Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os requisitos de modernização têm muitas organizações mudando soluções de IAM (Gerenciamento de Identidade e Acesso) do local para a nuvem. Para o caminho para a iniciativa de nuvem, a Microsoft modelou cinco estados de transformação para se alinhar às metas de negócios do cliente.
Para minimizar o tamanho e a complexidade da infraestrutura local, adote uma abordagem de primeira nuvem. À medida que sua presença na nuvem aumenta, a presença do AD DS (Active Directory Domain Services) local pode diminuir. Esse processo é chamado de minimização do AD DS: somente os objetos necessários permanecem no domínio local.
Uma abordagem de minimização do AD DS é converter a SOA (Fonte de Autoridade do Grupo) na ID do Microsoft Entra. Essa abordagem permite que você gerencie diretamente esses grupos na nuvem. Você pode excluir grupos do AD DS que você não precisa mais no local. Se você precisar manter um grupo local, poderá configurar o provisionamento de grupo de segurança do Microsoft Entra ID para o AD DS. Em seguida, você pode fazer alterações no grupo na ID do Microsoft Entra e ter essas alterações refletidas no grupo local.
Este artigo descreve como o SOA do Grupo pode ajudar os administradores de TI a fazer a transição do gerenciamento de grupo do AD DS para a nuvem. Você também pode habilitar cenários avançados, como governança de acesso com a Governança de ID do Microsoft Entra. Para obter um guia sobre como usar o SOA do grupo para arquitetos de TI, consulte: Cloud-First gerenciamento de identidades: Diretrizes para arquitetos de TI
Vídeo: Fonte de Autoridade do Grupo Microsoft Entra
Confira nosso vídeo para obter uma introdução ao SOA e como ele pode ajudá-lo a mudar para a nuvem.
Otimizar a migração de grupos do AD DS para a nuvem convertendo o Grupo SOA
O recurso SOA de grupo permite que as organizações mudem a governança de acesso a aplicativos locais para a nuvem. Esse recurso converte a fonte de autoridade de grupos no AD DS que sincronizam com a ID do Microsoft Entra com o Microsoft Entra Connect Sync ou o Microsoft Entra Cloud Sync. Com uma abordagem de migração em fases, os administradores podem executar tarefas de migração complexas minimizando as interrupções para os usuários finais.
Em vez de mover todo o diretório para a nuvem de uma só vez, com SOA no nível do objeto, você pode reduzir gradualmente as dependências do AD DS de maneira controlada. Você pode usar a Governança de ID do Microsoft Entra para gerenciar a governança de acesso para aplicativos locais e de nuvem associados a grupos de segurança.
Aplicar o SOA do grupo a um grupo que sincroniza do AD DS converte o grupo em um objeto de nuvem. Depois que ele for convertido, você poderá editar, excluir e alterar a associação do grupo de nuvem diretamente na nuvem. O Microsoft Entra Connect Sync respeita a conversão e interrompe a sincronização do objeto do AD DS. Com o SOA do Grupo, você pode migrar vários grupos ou selecionar grupos específicos. Depois de converter SOA, você pode executar todas as operações disponíveis para um grupo de nuvem. Se necessário, você pode reverter essas alterações.
Agrupar cenários SOA
Gerencie o acesso com o Microsoft Entra ID Governance
Cenário: Há aplicativos em seu portfólio que você não pode modernizar ou que se conectam ao AD DS. Esses aplicativos usam Kerberos ou LDAP para consultar grupos de segurança não habilitados para email no AD DS para determinar permissões de acesso. Seu objetivo é regular o acesso a esses aplicativos com Microsoft Entra ID e Microsoft Entra ID Governance. Essa meta exige que as informações de associação de grupo que o Microsoft Entra gerencia sejam acessíveis aos aplicativos.
Solução: Você pode atingir sua meta de duas maneiras:
SOA do grupo de concertos de grupos locais. Provisione os grupos de volta ao AD DS. Nesse modelo, você não precisa alterar o aplicativo nem criar novos grupos. Para obter mais informações, consulte Gerencie aplicativos baseados no Active Directory Domain Services (Kerberos) no local usando a Governança de Identidade do Microsoft Entra.
Para replicar os grupos no AD DS, crie-os do zero na ID do Microsoft Entra como novos grupos de segurança na nuvem. Provisione-os para o AD DS como grupos universais. Nesse modelo, você pode alterar o aplicativo para usar os novos identificadores de segurança de grupo. Se você usar o modelo de permissão "Account > Global > Domain Local", aninhe o grupo recém-provisionado no grupo existente. Para obter mais informações, consulte Tutorial – Provisionar grupos no Active Directory Domain Services usando o Microsoft Entra Cloud Sync.
Minimização do AD DS
Cenário: Você modernizou alguns ou todos os seus aplicativos e removeu a necessidade de usar grupos do AD DS para acesso. Por exemplo, esses aplicativos agora usam declarações de grupo com Security Assertion Markup Language (SAML) ou OpenID Connect do Microsoft Entra ID em vez de sistemas de federação, como o AD FS. No entanto, esses aplicativos ainda dependem do grupo de segurança sincronizado existente para gerenciar o acesso. Usando o SOA do Grupo, você pode tornar a associação do grupo de segurança editável na nuvem, remover completamente o grupo de segurança do AD DS e controlar o grupo de segurança na nuvem por meio dos recursos de Governança da ID do Microsoft Entra, se desejado.
Solução: Você pode usar o SOA do Grupo para torná-los grupos gerenciados na nuvem e removê-los do AD DS. Você pode continuar a criar novos grupos diretamente na nuvem. Para obter mais informações, consulte As práticas recomendadas para gerenciar grupos na nuvem.
Remover dependências locais do Exchange
Cenário: Você migrou todas as caixas de correio do Exchange de usuário para a nuvem. Você atualizou aplicativos que dependem de recursos de roteamento de email para usar métodos de autenticação modernos, como SAML e OpenID Connect. Você não precisa mais gerenciar listas de distribuição (DLs) e grupos de segurança com habilitação de e-mail (MESG) no AD DS. Sua meta é migrar DLs e MESGs existentes para a nuvem. Em seguida, atualize esses grupos para grupos do Microsoft 365 ou gerencie-os por meio do Exchange Online.
Solução: Você pode alcançar essa meta com o Grupo SOA para torná-los grupos gerenciados na nuvem e removê-los do AD DS. Você pode continuar a editar esses grupos diretamente no EXO ou por meio de módulos do Exchange PowerShell. Esses objetos de email não podem ser gerenciados diretamente na ID do Microsoft Entra ou usando as APIs do MS Graph.