Implemente uma abordagem baseada na nuvem

É principalmente uma fase orientada por processos e políticas para parar, ou limitar o máximo possível, a adição de novas dependências ao Ative Directory e implementar uma abordagem baseada na nuvem para a nova demanda de soluções de TI.

Neste momento, é fundamental identificar os processos internos que levariam à adição de novas dependências no Ative Directory. Por exemplo, a maioria das organizações teria um processo de gerenciamento de mudanças que deve ser seguido antes da implementação de novos cenários, recursos e soluções. É altamente recomendável garantir que esses processos de aprovação de alterações sejam atualizados para:

• Inclua uma etapa para avaliar se a alteração proposta adicionaria novas dependências no Ative Directory.
• Solicite a avaliação das alternativas do Microsoft Entra sempre que possível.

Utilizadores e grupos

Você pode enriquecer atributos de usuário no Microsoft Entra ID para disponibilizar mais atributos de usuário para inclusão. Exemplos de cenários comuns que exigem atributos de usuário avançados incluem:

• Provisionamento de aplicativos: a fonte de dados do provisionamento de aplicativos é o Microsoft Entra ID e os atributos de usuário necessários devem estar lá.

• Autorização de aplicativo: um token que o Microsoft Entra ID emite pode incluir declarações geradas a partir de atributos de usuário para que os aplicativos possam tomar decisões de autorização com base nas declarações no token. Ele também pode conter atributos provenientes de fontes de dados externas por meio de um provedor de declarações personalizado.

• População e manutenção de membros de grupos: os grupos dinâmicos permitem a população dinâmica de membros de grupos com base em atributos de usuário, como informações de departamento.

Estes dois links fornecem orientação sobre como fazer alterações de esquema:

• Compreender o esquema do Microsoft Entra e as expressões personalizadas

• Atributos sincronizados pelo Microsoft Entra Connect

Estes links fornecem mais informações sobre este tópico, mas não são específicos para alterar o esquema:

• Usar atributos de extensão de esquema do Microsoft Entra em declarações - Microsoft identity platform

• O que são atributos de segurança personalizados no Microsoft Entra ID (visualização)?

• Personalizar mapeamentos de atributos do Microsoft Entra no provisionamento de aplicativos

• Fornecer declarações opcionais para aplicativos Microsoft Entra - plataforma de identidade da Microsoft

Estes links fornecem mais informações sobre grupos:

• Criar ou editar um grupo dinâmico e obter status no Microsoft Entra ID

• Usar grupos de autoatendimento para gerenciamento de grupos iniciados pelo usuário

• Provisionamento de aplicativos baseado em atributos com filtros de escopo ou O que é o gerenciamento de direitos do Microsoft Entra? (para acesso ao aplicativo)

• Comparar grupos

• Restringir permissões de acesso de convidado no Microsoft Entra ID

Você e sua equipe podem se sentir compelidos a alterar seu provisionamento de funcionários atual para usar contas somente na nuvem neste estágio. O esforço não é trivial, mas não fornece valor comercial suficiente. Recomendamos que você planeje essa transição em uma fase diferente da sua transformação.

Dispositivos

As estações de trabalho cliente são tradicionalmente associadas ao Ative Directory e geridas através de objetos de Política de Grupo (GPOs) ou soluções de gestão de dispositivos, como o Microsoft Configuration Manager. Suas equipes estabelecerão uma nova política e um novo processo para impedir que estações de trabalho recém-implantadas sejam ingressadas no domínio. Os pontos-chave incluem:

• Mandato Microsoft Entra ingressar para novas estações de trabalho cliente Windows para alcançar "não mais ingresso no domínio".

• Gerencie estações de trabalho a partir da nuvem usando soluções de gerenciamento de ponto final unificado (UEM), como o Intune.

O Windows Autopilot pode ajudá-lo a estabelecer uma integração simplificada e o provisionamento de dispositivos, que podem impor essas diretivas.

A Windows Local Administrator Password Solution (LAPS) permite uma solução cloud-first para gerir as palavras-passe de contas de administrador local.

Para obter mais informações, consulte Saiba mais sobre pontos de extremidade nativos da nuvem.

Aplicações

Tradicionalmente, os servidores de aplicativos geralmente são associados a um domínio do Ative Directory local para que possam usar a Autenticação Integrada do Windows (Kerberos ou NTLM), consultas de diretório por meio de LDAP e gerenciamento de servidor por meio de GPO ou Microsoft Configuration Manager.

A organização tem um processo para avaliar as alternativas do Microsoft Entra quando está considerando novos serviços, aplicativos ou infraestrutura. As diretivas para uma abordagem baseada na nuvem às aplicações devem ser as seguintes. (Novos aplicativos locais ou aplicativos herdados devem ser uma rara exceção quando não existe uma alternativa moderna.)

• Forneça uma recomendação para alterar a política de compras e a política de desenvolvimento de aplicativos para exigir protocolos modernos (OIDC/OAuth2 e SAML) e autenticar usando o Microsoft Entra ID. Os novos aplicativos também devem oferecer suporte ao provisionamento de aplicativos Microsoft Entra e não depender de consultas LDAP. As exceções exigem revisão e aprovação explícitas.

  Importante

  Dependendo das demandas previstas de aplicativos que exigem protocolos herdados, você pode optar por implantar os Serviços de Domínio Microsoft Entra quando alternativas mais atuais não funcionarem.

• Forneça uma recomendação para criar uma política para priorizar o uso de alternativas nativas da nuvem. A política deve limitar a implantação de novos servidores de aplicativos no domínio. Os cenários comuns nativos da nuvem para substituir os servidores associados ao Ative Directory incluem:

  • Servidores de ficheiros:

    • O SharePoint ou o OneDrive oferece suporte à colaboração em soluções Microsoft 365 e governança, risco, segurança e conformidade integrados.

    • O Azure Files oferece compartilhamentos de arquivos totalmente gerenciados na nuvem que podem ser acessados por meio do protocolo SMB ou NFS padrão do setor. Os clientes podem usar a autenticação nativa do Microsoft Entra nos Arquivos do Azure pela Internet sem linha de visão para um controlador de domínio.

    • O Microsoft Entra ID funciona com aplicativos de terceiros na galeria de aplicativos da Microsoft.

  • Servidores de impressão:

    • Se a sua organização tiver um mandato para adquirir impressoras compatíveis com a Universal Print, consulte Integrações de parceiros.

    • Ponte com o conector Universal Print para impressoras incompatíveis.

Próximos passos

• Introdução
• Postura de transformação da nuvem
• Estabeleça uma pegada do Microsoft Entra
• Transição para a nuvem