Dela via

Molntransformeringsstatus

  • Artikel

Active Directory, Microsoft Entra ID och andra Microsoft-verktyg är kärnan i identitets- och åtkomsthantering (IAM). Till exempel tillhandahåller Active Directory-domän Services (AD DS) och Microsoft Configuration Manager enhetshantering i Active Directory. I Microsoft Entra ID tillhandahåller Intune samma funktion.

Som en del av de flesta initiativ för modernisering, migrering eller Nolltillit flyttar organisationer IAM-aktiviteter från att använda lokala lösningar eller IaaS-lösningar (infrastruktur som en tjänst) till att använda inbyggda lösningar för molnet. För en IT-miljö som använder Microsofts produkter och tjänster spelar Active Directory och Microsoft Entra ID en roll.

Många företag som migrerar från Active Directory till Microsoft Entra-ID börjar med en miljö som liknar följande diagram. Diagrammet överlägg tre pelare:

  • Program: Innehåller program, resurser och deras underliggande domänanslutna servrar.

  • Enheter: Fokuserar på domänanslutna klientenheter.

  • Användare och grupper: Representerar identiteter och attribut för mänskliga och arbetsbelastningar för resursåtkomst och gruppmedlemskap för styrning och principskapande.

Architectural diagram that depicts the common technologies contained in the pillars of applications, devices, and users.

Microsoft har modellerat fem omvandlingstillstånd som vanligtvis överensstämmer med kundernas affärsmål. När kundernas mål mognar är det typiskt för dem att gå från en stat till en annan i en takt som passar deras resurser och kultur.

De fem tillstånden har avslutsvillkor som hjälper dig att avgöra var din miljö finns idag. Vissa projekt, till exempel programmigrering, sträcker sig över alla fem tillstånden. Andra projekt sträcker sig över ett enda tillstånd.

Innehållet ger sedan mer detaljerad vägledning som är organiserad för att hjälpa till med avsiktliga ändringar av personer, processer och teknik. Vägledningen kan hjälpa dig:

  • Upprätta ett Microsoft Entra-fotavtryck.

  • Implementera en molnbaserad metod.

  • Börja migrera ut ur Active Directory-miljön.

Vägledningen organiseras av användarhantering, enhetshantering och programhantering enligt föregående pelare.

Organisationer som bildas i Microsoft Entra i stället för i Active Directory har inte den äldre lokala miljön som mer etablerade organisationer måste kämpa med. För dem, eller för kunder som helt återskapar sin IT-miljö i molnet, kan det hända att de blir 100 procent molncentrerade när den nya IT-miljön etableras.

För kunder som har en etablerad lokal IT-funktion introducerar omvandlingsprocessen komplexitet som kräver noggrann planering. Eftersom Active Directory och Microsoft Entra ID är separata produkter som riktas mot olika IT-miljöer har de inte liknande funktioner. Microsoft Entra-ID har till exempel inte begreppet Active Directory-domän- och skogsförtroenden.

Fem omvandlingstillstånd

I företagsstora organisationer är IAM-omvandling eller till och med omvandling från Active Directory till Microsoft Entra-ID vanligtvis ett flerårigt arbete med flera tillstånd. Du analyserar din miljö för att fastställa ditt aktuella tillstånd och anger sedan ett mål för nästa tillstånd. Målet kan ta bort behovet av Active Directory helt och hållet, eller så kanske du väljer att inte migrera någon funktion till Microsoft Entra-ID och lämna det på plats.

Tillstånden grupperar logiskt initiativ i projekt för att slutföra en omvandling. Under tillståndsövergångarna placerar du interimslösningar på plats. De interimistiska lösningarna gör det möjligt för IT-miljön att stödja IAM-åtgärder i både Active Directory och Microsoft Entra ID. De interimistiska lösningarna måste också göra det möjligt för de två miljöerna att samverka.

Följande diagram visar de fem tillstånden:

Diagram that shows five network architectures: cloud attached, hybrid, cloud first, Active Directory minimized, and 100% cloud.

Kommentar

Tillstånden i det här diagrammet representerar en logisk utveckling av molntransformeringen. Din möjlighet att gå från ett tillstånd till ett annat beror på vilka funktioner du har implementerat och funktionerna i den funktionen för att flytta till molnet.

Tillstånd 1: Molnanslutet

I det molnanslutna tillståndet har organisationer skapat en Microsoft Entra-klient för att aktivera verktyg för användarproduktivitet och samarbete. Klientorganisationen är i full drift.

De flesta företag som använder Microsofts produkter och tjänster i sin IT-miljö är redan i eller utanför detta tillstånd. I det här tillståndet kan driftskostnaderna vara högre eftersom det finns en lokal miljö och en molnmiljö att underhålla och göra interaktiva. Personer måste ha expertis i båda miljöerna för att stödja sina användare och organisationen.

I det här tillståndet:

  • Enheter är anslutna till Active Directory och hanteras via grupprincip eller lokala verktyg för enhetshantering.
  • Användare hanteras i Active Directory, etableras via lokala IDM-system (IDM) och synkroniseras till Microsoft Entra-ID via Microsoft Entra Anslut.
  • Appar autentiseras till Active Directory och till federationsservrar som Active Directory Federation Services (AD FS) (AD FS) via ett wam-verktyg (web access management), Microsoft 365 eller andra verktyg som SiteMinder och Oracle Access Manager.

Tillstånd 2: Hybrid

I hybridtillståndet börjar organisationer förbättra sin lokala miljö med hjälp av molnfunktioner. Lösningarna kan planeras för att minska komplexiteten, öka säkerhetsstatusen och minska fotavtrycket för den lokala miljön.

Under övergången och under driften i det här tillståndet utökar organisationer färdigheterna och expertisen för att använda Microsoft Entra ID för IAM-lösningar. Eftersom användarkonton och enhetsbilagor är relativt enkla och en vanlig del av den dagliga IT-driften har de flesta organisationer använt den här metoden.

I det här tillståndet:

  • Windows-klienter är Microsoft Entra-hybridanslutningar.

  • Icke-Microsoft-plattformar baserade på SaaS (programvara som en tjänst) börjar integreras med Microsoft Entra-ID. Exempel är Salesforce och ServiceNow.

  • Äldre appar autentiserar till Microsoft Entra-ID via Programproxy eller partnerlösningar som erbjuder säker hybridåtkomst.

  • Självbetjäning av lösenordsåterställning (SSPR) och lösenordsskydd för användare är aktiverade.

  • Vissa äldre appar autentiseras i molnet via Microsoft Entra Domain Services och Programproxy.

Tillstånd 3: Molnet först

I det molnbaserade tillståndet skapar teamen i organisationen en historia av framgång och börjar planera för att flytta mer utmanande arbetsbelastningar till Microsoft Entra-ID. Organisationer tillbringar vanligtvis mest tid i det här omvandlingstillståndet. I takt med att komplexiteten, antalet arbetsbelastningar och användningen av Active Directory ökar med tiden måste en organisation öka sin ansträngning och sitt antal initiativ för att övergå till molnet.

I det här tillståndet:

  • Nya Windows-klienter är anslutna till Microsoft Entra-ID och hanteras via Intune.
  • ECMA-anslutningsappar används för att etablera användare och grupper för lokala appar.
  • Alla appar som tidigare använde en AD DS-integrerad federerad identitetsprovider, till exempel AD FS, uppdateras för att använda Microsoft Entra-ID för autentisering. Om du använde lösenordsbaserad autentisering via identitetsprovidern för Microsoft Entra-ID migreras den till synkronisering av lösenordshash.
  • Planer på att flytta fil- och utskriftstjänster till Microsoft Entra-ID håller på att utvecklas.
  • Microsoft Entra ID tillhandahåller en B2B-samarbetsfunktion (business-to-business).
  • Nya grupper skapas och hanteras i Microsoft Entra-ID.

Tillstånd 4: Active Directory minimeras

Microsoft Entra ID tillhandahåller de flesta IAM-funktioner, medan gränsfall och undantag fortsätter att använda lokal Active Directory. Ett tillstånd för att minimera Active Directory är svårare att uppnå, särskilt för större organisationer som har betydande lokala tekniska skulder.

Microsoft Entra-ID fortsätter att utvecklas allt eftersom organisationens omvandling mognar, vilket ger nya funktioner och verktyg som du kan använda. Organisationer måste inaktuella funktioner eller skapa nya funktioner för att kunna ersätta dem.

I det här tillståndet:

  • Nya användare som etableras via HR-etableringsfunktionen skapas direkt i Microsoft Entra-ID.

  • En plan för att flytta appar som är beroende av Active Directory och som ingår i visionen för Microsoft Entra-miljön i framtiden körs. En plan för att ersätta tjänster som inte flyttas (fil-, utskrifts- eller faxtjänster) finns på plats.

  • Lokala arbetsbelastningar har ersatts med molnalternativ som Windows Virtual Desktop, Azure Files eller Universal Print. Azure SQL Managed Instance ersätter SQL Server.

Tillstånd 5: 100 % moln

I 100 %-molntillståndet tillhandahåller Microsoft Entra-ID och andra Azure-verktyg all IAM-funktion. Detta tillstånd är den långsiktiga strävan för många organisationer.

I det här tillståndet:

  • Inget lokalt IAM-fotavtryck krävs.

  • Alla enheter hanteras i Microsoft Entra-ID och molnlösningar som Intune.

  • Livscykeln för användaridentiteten hanteras via Microsoft Entra-ID.

  • Alla användare och grupper är molnbaserade.

  • Nätverkstjänster som är beroende av Active Directory flyttas.

Transformeringsanalogi

Omvandlingen mellan tillstånden liknar flyttplatser:

  1. Upprätta en ny plats: Du köper ditt mål och upprättar en anslutning mellan den aktuella platsen och den nya platsen. Med de här aktiviteterna kan du behålla din produktivitet och förmåga att arbeta. Mer information finns i Upprätta ett Microsoft Entra-fotavtryck. Resultatet övergår till tillstånd 2.

  2. Begränsa nya objekt på den gamla platsen: Du slutar investera på den gamla platsen och anger en princip för att mellanlagra nya objekt på den nya platsen. Mer information finns i Implementera en molnbaserad metod. De här aktiviteterna ställer in grunden för att migrera i stor skala och nå tillstånd 3.

  3. Flytta befintliga objekt till den nya platsen: Du flyttar objekt från den gamla platsen till den nya platsen. Du utvärderar affärsvärdet för objekten för att avgöra om du flyttar dem som de är, uppgraderar dem, ersätter dem eller inaktuella. Mer information finns i Övergång till molnet.

    Med de här aktiviteterna kan du slutföra tillstånd 3 och nå delstaterna 4 och 5. Baserat på dina affärsmål bestämmer du vilket sluttillstånd du vill rikta in dig på.

Omvandling till molnet är inte bara identitetsteamets ansvar. Organisationen behöver samordning mellan team för att definiera principer som omfattar personer och processändringar, tillsammans med teknik. Genom att använda en samordnad metod kan du säkerställa konsekventa framsteg och minska risken för regressering till lokala lösningar. Involvera team som hanterar:

  • Enheter/slutpunkter
  • Nätverk
  • Säkerhet/risk
  • Programägare
  • Personal
  • Samarbete
  • Anskaffning
  • Operations

Resa på hög nivå

När organisationer startar en migrering av IAM till Microsoft Entra-ID måste de fastställa prioriteringen av insatser baserat på deras specifika behov. Driftspersonal och supportpersonal måste utbildas för att utföra sina arbeten i den nya miljön. Följande diagram visar den övergripande resan för migrering från Active Directory till Microsoft Entra ID:

Chart that shows three major milestones in migrating from Active Directory to Microsoft Entra ID: establish Microsoft Entra capabilities, implement a cloud-first approach, and move workloads to the cloud.

  • Upprätta ett Microsoft Entra-fotavtryck: Initiera din nya Microsoft Entra-klientorganisation för att stödja visionen för sluttillståndsdistributionen. Anta en Nolltillit metod och en säkerhetsmodell som hjälper till att skydda din klientorganisation från lokala kompromisser tidigt på resan.

  • Implementera en molnbaserad metod: Upprätta en princip för att alla nya enheter, appar och tjänster ska vara molnbaserade först. Nya program och tjänster som använder äldre protokoll (till exempel NTLM, Kerberos eller LDAP) bör endast vara undantagsfel.

  • Övergång till molnet: Flytta hantering och integrering av användare, appar och enheter från lokala och över till molnbaserade alternativ. Optimera användaretablering genom att dra nytta av molnbaserade etableringsfunktioner som integreras med Microsoft Entra-ID.

Omvandlingen ändrar hur användare utför uppgifter och hur supportteam tillhandahåller användarsupport. Organisationen bör utforma och implementera initiativ eller projekt på ett sätt som minimerar påverkan på användarnas produktivitet.

Som en del av omvandlingen introducerar organisationen IAM-funktioner med självbetjäning. Vissa delar av personalen kan lättare anpassa sig till den självbetjäningsmiljö som är utbredd i molnbaserade företag.

Åldrande program kan behöva uppdateras eller ersättas för att fungera bra i molnbaserade IT-miljöer. Programuppdateringar eller ersättningar kan vara kostsamma och tidskrävande. Planeringen och andra faser måste också ta hänsyn till ålder och kapacitet för organisationens program.

Nästa steg