Övergång till molnet
När du har anpassat din organisation mot att stoppa tillväxten av Active Directory-fotavtrycket kan du fokusera på att flytta befintliga lokala arbetsbelastningar till Microsoft Entra-ID. Den här artikeln beskriver de olika migreringsarbetsströmmarna. Du kan köra arbetsströmmarna i den här artikeln baserat på dina prioriteringar och resurser.
En typisk migreringsarbetsström har följande steg:
Upptäck: Ta reda på vad du för närvarande har i din miljö.
Pilot: Distribuera nya molnfunktioner till en liten delmängd användare, program eller enheter, beroende på arbetsströmmen.
Skala ut: Expandera piloten för att slutföra övergången av en funktion till molnet.
Klipp över (om tillämpligt): Sluta använda den gamla lokala arbetsbelastningen.
Användare och grupper
Aktivera självbetjäning av lösenord
Vi rekommenderar en lösenordslös miljö. Fram till dess kan du migrera arbetsflöden för självbetjäning av lösenord från lokala system till Microsoft Entra-ID för att förenkla din miljö. Microsoft Entra ID självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sitt lösenord, utan administratörs- eller supportavdelningsengagemang.
Om du vill aktivera självbetjäningsfunktioner väljer du lämpliga autentiseringsmetoder för din organisation. När autentiseringsmetoderna har uppdaterats kan du aktivera lösenordsfunktioner för självbetjäning för din Microsoft Entra-autentiseringsmiljö. Distributionsvägledning finns i Distributionsöverväganden för självbetjäningsåterställning av lösenord i Microsoft Entra.
Ytterligare överväganden är:
- Distribuera Microsoft Entra Password Protection i en delmängd domänkontrollanter med granskningsläge för att samla in information om effekten av moderna principer.
- Aktivera gradvis kombinerad registrering för SSPR- och Microsoft Entra multifaktorautentisering. Du kan till exempel distribuera efter region, dotterbolag eller avdelning för alla användare.
- Gå igenom en cykel med lösenordsändring för alla användare för att rensa ut svaga lösenord. När cykeln är klar implementerar du principens förfallotid.
- Växla lösenordsskyddskonfigurationen i de domänkontrollanter som har läget inställt på Framtvingat. Mer information finns i Aktivera lokalt Microsoft Entra-lösenordsskydd.
Kommentar
- Vi rekommenderar användarkommunikation och evangelisering för en smidig distribution. Se Exempel på SSPR-distributionsmaterial.
- Om du använder Microsoft Entra ID Protection aktiverar du lösenordsåterställning som en kontroll i principer för villkorsstyrd åtkomst för användare som har markerats som riskfyllda.
Flytta hantering av grupper
Så här transformerar du grupper och distributionslistor:
För säkerhetsgrupper använder du din befintliga affärslogik som tilldelar användare till säkerhetsgrupper. Migrera logiken och funktionen till Microsoft Entra-ID och dynamiska medlemskapsgrupper.
För självhanterade gruppfunktioner som tillhandahålls av Microsoft Identity Manager ersätter du funktionen med grupphantering via självbetjäning.
Du kan konvertera distributionslistor till Microsoft 365-grupper i Outlook. Den här metoden är ett bra sätt att ge organisationens distributionslistor alla funktioner i Microsoft 365-grupper.
Uppgradera distributionslistorna till Microsoft 365-grupper i Outlook och inaktivera din lokala Exchange-server.
Flytta etablering av användare och grupper till program
Du kan förenkla din miljö genom att ta bort programetableringsflöden från lokala IDM-system (IDM), till exempel Microsoft Identity Manager. Baserat på din programidentifiering kategoriserar du ditt program baserat på följande egenskaper:
Program i din miljö som har en etableringsintegrering med Microsoft Entra-programgalleriet.
Program som inte finns i galleriet men som stöder SCIM 2.0-protokollet. Dessa program är internt kompatibla med Microsoft Entra-molnetableringstjänsten.
Lokala program som har en TILLGÄNGLIG ECMA-anslutningsapp. Dessa program kan integreras med microsoft entra lokal programetablering.
Mer information finns i Planera en automatisk distribution av användaretablering för Microsoft Entra-ID.
Flytta till HR-etablering i molnet
Du kan minska ditt lokala fotavtryck genom att flytta arbetsflöden för HR-etablering från lokala IDM-system, till exempel Microsoft Identity Manager, till Microsoft Entra-ID. Två kontotyper är tillgängliga för Microsoft Entra-molnbaserad HR-etablering:
För nya anställda som uteslutande använder program som använder Microsoft Entra-ID kan du välja att etablera endast molnkonton. Den här etableringen hjälper dig att innehålla fotavtrycket för Active Directory.
För nya anställda som behöver åtkomst till program som är beroende av Active Directory kan du etablera hybridkonton.
Hr-etablering i Microsoft Entra-molnet kan också hantera Active Directory-konton för befintliga anställda. Mer information finns i Planera molnets HR-program till Microsoft Entra-användaretablering och Planera distributionsprojektet.
Flytta livscykelarbetsflöden
Utvärdera dina befintliga arbetsflöden och processer för koppling/mover/leaver för tillämplighet och relevans för din Microsoft Entra-molnmiljö. Du kan sedan förenkla dessa arbetsflöden och skapa nya med hjälp av livscykelarbetsflöden.
Flytta extern identitetshantering
Om din organisation etablerar konton i Active Directory eller andra lokala kataloger för externa identiteter, till exempel leverantörer, leverantörer eller konsulter, kan du förenkla din miljö genom att hantera dessa användarobjekt från tredje part internt i molnet. Här är några möjligheter:
För nya externa användare använder du Microsoft Entra Externt ID, vilket stoppar Active Directory-fotavtrycket för användare.
För befintliga Active Directory-konton som du etablerar för externa identiteter kan du ta bort kostnaderna för att hantera lokala autentiseringsuppgifter (till exempel lösenord) genom att konfigurera dem för B2B-samarbete (business-to-business). Följ stegen i Bjud in interna användare till B2B-samarbete.
Använd Microsoft Entra-berättigandehantering för att bevilja åtkomst till program och resurser. De flesta företag har dedikerade system och arbetsflöden för detta ändamål som du nu kan flytta från lokala verktyg.
Använd åtkomstgranskningar för att ta bort åtkomsträttigheter och/eller externa identiteter som inte längre behövs.
Enheter
Flytta icke-Windows-arbetsstationer
Du kan integrera icke-Windows-arbetsstationer med Microsoft Entra-ID för att förbättra användarupplevelsen och dra nytta av molnbaserade säkerhetsfunktioner som villkorsstyrd åtkomst.
För macOS:
Registrera macOS till Microsoft Entra-ID och registrera/hantera dem med hjälp av en lösning för hantering av mobila enheter.
Distribuera plugin-programmet Microsoft Enterprise SSO (enkel inloggning) för Apple-enheter.
Planera att distribuera plattforms-SSO för macOS 13.
För Linux kan du logga in på en virtuell Linux-dator (VM) med hjälp av Microsoft Entra-autentiseringsuppgifter.
Ersätt andra Windows-versioner för arbetsstationer
Om du har följande operativsystem på arbetsstationer kan du överväga att uppgradera till de senaste versionerna för att dra nytta av molnbaserad hantering (Microsoft Entra-anslutning och enhetlig slutpunktshantering):
Windows 7 eller 8.x
Windows Server
VDI-lösning
Det här projektet har två primära initiativ:
Nya distributioner: Distribuera en molnhanterad VDI-lösning (Virtual Desktop Infrastructure), till exempel Windows 365 eller Azure Virtual Desktop, som inte kräver lokalni Active Directory.
Befintliga distributioner: Om din befintliga VDI-distribution är beroende av Active Directory använder du affärsmål och mål för att avgöra om du underhåller lösningen eller migrerar den till Microsoft Entra-ID.
Mer information finns i:
Appar
För att upprätthålla en säker miljö stöder Microsoft Entra ID moderna autentiseringsprotokoll. Om du vill överföra programautentisering från Active Directory till Microsoft Entra-ID måste du:
Fastställ vilka program som kan migreras till Microsoft Entra-ID utan ändringar.
Ta reda på vilka program som har en uppgraderingssökväg som gör att du kan migrera med en uppgradering.
Ta reda på vilka program som kräver ersättning eller betydande kodändringar för migrering.
Resultatet av ditt initiativ för programidentifiering är att skapa en prioriterad lista för migrering av programportföljen. Listan innehåller program som:
Kräv en uppgradering eller uppdatering av programvaran och en uppgraderingssökväg är tillgänglig.
Kräv en uppgradering eller uppdatering av programvaran, men en uppgraderingssökväg är inte tillgänglig.
Med hjälp av listan kan du ytterligare utvärdera de program som inte har någon befintlig uppgraderingssökväg. Avgör om affärsvärdet garanterar att programvaran uppdateras eller om den ska dras tillbaka. Om programvaran ska dras tillbaka ska du bestämma om du behöver en ersättning.
Baserat på resultaten kan du göra om aspekter av din omvandling från Active Directory till Microsoft Entra-ID. Det finns metoder som du kan använda för att utöka lokalni Active Directory till Azure-infrastruktur som en tjänst (IaaS) (lift and shift) för program med autentiseringsprotokoll som inte stöds. Vi rekommenderar att du anger en princip som kräver ett undantag för att använda den här metoden.
Programidentifiering
När du har segmenterat din appportfölj kan du prioritera migrering baserat på affärsvärde och affärsprioritet. Du kan använda verktyg för att skapa eller uppdatera din appinventering.
Det finns tre huvudsakliga sätt att kategorisera dina appar:
Moderna autentiseringsappar: Dessa program använder moderna autentiseringsprotokoll (till exempel OIDC, OAuth2, SAML eller WS-Federation) eller som använder en federationstjänst som Active Directory usluge za ujedinjavanje (AD FS).
WAM-verktyg (Web Access Management): Dessa program använder huvuden, cookies och liknande tekniker för enkel inloggning. Dessa appar kräver vanligtvis en WAM-identitetsprovider, till exempel Symantec SiteMinder.
Äldre appar: Dessa program använder äldre protokoll som Kerberos, LDAP, Radius, Remote Desktop och NTLM (rekommenderas inte).
Microsoft Entra-ID kan användas med varje typ av program för att tillhandahålla funktioner som resulterar i olika migreringsstrategier, komplexitet och kompromisser. Vissa organisationer har en programinventering som kan användas som en identifieringsbaslinje. (Det är vanligt att inventeringen inte har slutförts eller uppdaterats.)
Så här identifierar du moderna autentiseringsappar:
Om du använder AD FS använder du aktivitetsrapporten för AD FS-programmet.
Om du använder en annan identitetsprovider använder du loggarna och konfigurationen.
Följande verktyg kan hjälpa dig att identifiera program som använder LDAP:
Event1644Reader: Exempelverktyg för att samla in data på LDAP-frågor som görs till domänkontrollanter med hjälp av fältteknikloggar.
Microsoft 365 Defender for Identity: Säkerhetslösning som använder en övervakningsfunktion för inloggningsåtgärder. (Observera att den samlar in bindningar med hjälp av LDAP, inte säker LDAP.)
PSLDAPQueryLogging: GitHub-verktyg för rapportering av LDAP-frågor.
Migrera AD FS eller andra federationstjänster
När du planerar migreringen till Microsoft Entra-ID bör du överväga att migrera de appar som använder moderna autentiseringsprotokoll (till exempel SAML och OpenID Connect) först. Du kan konfigurera om dessa appar för att autentisera med Microsoft Entra-ID antingen via en inbyggd anslutningsapp från Azure App Gallery eller via registrering i Microsoft Entra-ID.
När du har flyttat SaaS-program som federerats till Microsoft Entra-ID finns det några steg för att inaktivera det lokala federationssystemet:
Flytta fjärråtkomst till interna program om du använder Microsoft Entra-programproxy
Viktigt!
Om du använder andra funktioner kontrollerar du att tjänsterna flyttas innan du inaktiverar Active Directory usluge za ujedinjavanje.
Flytta WAM-autentiseringsappar
Det här projektet fokuserar på att migrera SSO-funktioner från WAM-system till Microsoft Entra-ID. Mer information finns i Migrera program från Symantec SiteMinder till Microsoft Entra ID.
Definiera en strategi för hantering av programserver
När det gäller infrastrukturhantering använder lokala miljöer ofta en kombination av grupprincipobjekt (GPO: er) och Microsoft Configuration Manager-funktioner för segmenthanteringsuppgifter. Uppgifter kan till exempel delas in i hantering av säkerhetsprinciper, uppdateringshantering, konfigurationshantering och övervakning.
Active Directory är för lokala IT-miljöer och Microsoft Entra ID är för molnbaserade IT-miljöer. En-till-en-paritet med funktioner finns inte här, så du kan hantera programservrar på flera sätt.
Azure Arc hjälper till exempel till att sammanföra många av de funktioner som finns i Active Directory i en enda vy när du använder Microsoft Entra-ID för identitets- och åtkomsthantering (IAM). Du kan också använda Microsoft Entra Domain Services för domänanslutna servrar i Microsoft Entra-ID, särskilt när du vill att dessa servrar ska använda grupprincipobjekt av specifika affärs- eller tekniska skäl.
Använd följande tabell för att avgöra vilka Azure-baserade verktyg du kan använda för att ersätta den lokala miljön:
| Hanteringsområde | Lokal funktion (Active Directory) | Motsvarande Microsoft Entra-funktion |
|---|---|---|
| Säkerhetspolicyhantering | Grupprincipobjekt, Microsoft Configuration Manager | Microsoft 365 Defender för molnet |
| Hantering av uppdateringar | Microsoft Configuration Manager, Windows Server Update Services | Azure Automation – Uppdateringshantering |
| Konfigurationshantering | Grupprincipobjekt, Microsoft Configuration Manager | Azure Automation State Configuration |
| Övervakning | System Center Operations Manager | Azure Monitor Log Analytics |
Här är mer information som du kan använda för programserverhantering:
Azure Arc aktiverar Azure-funktioner för virtuella datorer som inte är azure-datorer. Du kan till exempel använda den för att hämta Azure-funktioner för Windows Server när den används lokalt eller på Amazon Web Services, eller autentisera till Linux-datorer med SSH.
Om du måste vänta med att migrera eller utföra en partiell migrering kan du använda grupprincipobjekt med Microsoft Entra Domain Services.
Om du behöver hantering av programservrar med Microsoft Configuration Manager kan du inte uppnå det här kravet med hjälp av Microsoft Entra Domain Services. Microsoft Configuration Manager stöds inte för körning i en Microsoft Entra Domain Services-miljö. I stället måste du utöka din lokalni Active Directory-instans till en domänkontrollant som körs på en virtuell Azure-dator. Eller så behöver du distribuera en ny Active Directory-instans till ett virtuellt Azure IaaS-nätverk.
Definiera migreringsstrategin för äldre program
Äldre program har beroenden som dessa för Active Directory:
Användarautentisering och auktorisering: Kerberos, NTLM, LDAP-bindning, ACL:er.
Åtkomst till katalogdata: LDAP-frågor, schematillägg, läsning/skrivning av katalogobjekt.
För att minska eller eliminera dessa beroenden har du tre huvudsakliga metoder.
Metod 1
I den mest föredragna metoden utför du projekt för att migrera från äldre program till SaaS-alternativ som använder modern autentisering. Be SaaS-alternativen autentisera till Microsoft Entra-ID direkt:
Distribuera Microsoft Entra Domain Services till ett virtuellt Azure-nätverk och utöka schemat så att det innehåller ytterligare attribut som behövs av programmen.
Lyfta och flytta äldre appar till virtuella datorer i det virtuella Azure-nätverket som är domänanslutna till Microsoft Entra Domain Services.
Publicera äldre appar i molnet med hjälp av Microsoft Entra-programproxy eller en säker hybridåtkomstpartner .
När äldre appar drar sig tillbaka genom attrition inaktiverar du slutligen Microsoft Entra Domain Services som körs i det virtuella Azure-nätverket.
Kommentar
- Använd Microsoft Entra Domain Services om beroendena är anpassade till vanliga distributionsscenarier för Microsoft Entra Domain Services.
- För att kontrollera om Microsoft Entra Domain Services passar bra kan du använda verktyg som Tjänstkarta på Azure Marketplace och automatisk beroendemappning med Tjänstkarta och Live Maps.
- Kontrollera att dina SQL Server-instansieringar kan migreras till en annan domän. Om SQL-tjänsten körs på virtuella datorer använder du den här vägledningen.
Metod 2
Om den första metoden inte är möjlig och ett program har ett starkt beroende av Active Directory kan du utöka lokalni Active Directory till Azure IaaS.
Du kan omplatforma för att stödja modern serverlös värd, till exempel använda PaaS (platform as a service). Du kan också uppdatera koden för modern autentisering. Du kan också göra så att appen kan integreras med Microsoft Entra-ID direkt. Läs mer om Microsoft Authentication Library i Microsoft platforma za identitete.
Anslut ett virtuellt Azure-nätverk till det lokala nätverket via virtuellt privat nätverk (VPN) eller Azure ExpressRoute.
Distribuera nya domänkontrollanter för den lokalni Active Directory instansen som virtuella datorer till det virtuella Azure-nätverket.
Lyfta och flytta äldre appar till virtuella datorer i det virtuella Azure-nätverk som är domänanslutet.
Publicera äldre appar i molnet med hjälp av Microsoft Entra-programproxy eller en säker hybridåtkomstpartner .
Slutligen inaktiverar du lokalni Active Directory infrastruktur och kör Active Directory helt i det virtuella Azure-nätverket.
När äldre appar dras tillbaka genom attrition inaktiverar du så småningom Active Directory-instansen som körs i det virtuella Azure-nätverket.
Metod 3
Om den första migreringen inte är möjlig och ett program har ett starkt beroende av Active Directory kan du distribuera en ny Active Directory-instans till Azure IaaS. Lämna programmen som äldre program under överskådlig framtid eller avsluta dem när möjligheten uppstår.
Med den här metoden kan du frikoppla appen från den befintliga Active Directory-instansen för att minska ytan. Vi rekommenderar att du endast ser det som en sista utväg.
Distribuera en ny Active Directory-instans som virtuella datorer i ett virtuellt Azure-nätverk.
Lyfta och flytta äldre appar till virtuella datorer i det virtuella Azure-nätverket som är domänanslutna till den nya Active Directory-instansen.
Publicera äldre appar i molnet med hjälp av Microsoft Entra-programproxy eller en säker hybridåtkomstpartner .
När äldre appar dras tillbaka genom attrition inaktiverar du så småningom Active Directory-instansen som körs i det virtuella Azure-nätverket.
Jämförelse av strategier
| Strategi | Microsoft Entra Domain Services | Utöka Active Directory till IaaS | Oberoende Active Directory-instans i IaaS |
|---|---|---|---|
| Avkoppling från lokalni Active Directory | Ja | No | Ja |
| Tillåta schematillägg | Nej | Ja | Ja |
| Fullständig administrativ kontroll | Nej | Ja | Ja |
| Potentiell omkonfiguration av appar som krävs (till exempel ACL:er eller auktorisering) | Ja | No | Ja |
Flytta VPN-autentisering
Det här projektet fokuserar på att flytta din VPN-autentisering till Microsoft Entra-ID. Det är viktigt att veta att olika konfigurationer är tillgängliga för VPN-gatewayanslutningar. Du måste bestämma vilken konfiguration som passar bäst för dina behov. Mer information om hur du utformar en lösning finns i DESIGN av VPN-gateway.
Här är viktiga punkter om användning av Microsoft Entra-ID för VPN-autentisering:
Kontrollera om vpn-leverantörerna stöder modern autentisering. Till exempel:
För Windows 10-enheter bör du överväga att integrera Microsoft Entra-stöd i den inbyggda VPN-klienten.
När du har utvärderat det här scenariot kan du implementera en lösning för att ta bort ditt beroende med lokalt för att autentisera till VPN.
Flytta fjärråtkomst till interna program
För att förenkla din miljö kan du använda Microsoft Entra-programproxy eller säkra hybridåtkomstpartners för att tillhandahålla fjärråtkomst. På så sätt kan du ta bort beroendet av lokala lösningar för omvänd proxy.
Det är viktigt att nämna att det är ett tillfälligt steg att aktivera fjärråtkomst till ett program med hjälp av föregående teknik. Du behöver göra mer för att helt frikoppla programmet från Active Directory.
Med Microsoft Entra Domain Services kan du migrera programservrar till moln-IaaS och frikoppla från Active Directory, samtidigt som du använder Microsoft Entra-programproxy för att aktivera fjärråtkomst. Mer information om det här scenariot finns i Distribuera Microsoft Entra-programproxy för Microsoft Entra Domain Services.