云转换状况
Active Directory、Microsoft Entra ID 以及其他 Microsoft 工具是标识和访问管理 (IAM) 的核心。 例如,Active Directory 域服务 (AD DS) 和 Microsoft Configuration Manager 提供 Active Directory 中的设备管理。 在 Microsoft Entra ID 中,Intune 提供相同的功能。
在大多数现代化、迁移或零信任计划中,组织将 IAM 活动从使用本地或基础结构即服务 (IaaS) 解决方案转变为使用为云构建的解决方案。 对于使用 Microsoft 产品和服务的 IT 环境,Active Directory 和 Microsoft Entra ID 发挥着重要作用。
许多从 Active Directory 迁移到 Microsoft Entra ID 的公司都从如下图所示的环境开始。 该图覆盖了三个要素:
应用程序:包括应用程序、资源及其基础的加入域的服务器。
设备:侧重于加入域的客户端设备。
用户和组:表示用于资源访问的人员标识和工作负载标识及属性,以及用于治理和策略创建的组成员身份。
Microsoft 对通常符合客户业务目标的五种转型状态进行了建模。 随着客户目标的成熟,客户通常会以适合其资源和文化的速度从一个状态转移到另一个状态。
这五种状态都有退出条件,有助于确定当前环境所在的位置。 某些项目(例如应用程序迁移)涉及全部的五种状态。 其他项目仅涉及某一种状态。
然后,内容中提供了更详细的指导,以帮助对人员、过程和技术进行有目的性的更改。 本指南可帮助你:
建立 Microsoft Entra 占用情况。
实现云优先方法。
开始迁移出 Active Directory 环境。
根据上述要素,由用户管理、设备管理和应用程序管理整理指导。
Microsoft Entra 中的组织不使用 Active Directory 中更成熟的组织必须使用的旧式本地环境。 对于这些组织或在云中完全重新创建其 IT 环境的客户而言,新 IT 环境的建立意味着可以实现 100% 以云为中心。
对于已具备本地 IT 能力的客户来说,转换过程非常复杂,需要仔细规划。 此外,由于 Active Directory 和 Microsoft Entra ID 是针对不同 IT 环境的独立产品,因此没有同类功能。 例如,Microsoft Entra ID 没有 Active Directory 域和林信任的概念。
五种转换状态
在企业级的组织中,IAM 转换,甚至是从 Active Directory 到 Microsoft Entra ID 的转换通常都需要多年的努力,涉及多种状态。 你分析你的环境以确定当前的状态,然后为下一种状态设定目标。 你的目标可能是完全消除对 Active Directory 的需求,或者你可能决定不将某些功能迁移到 Microsoft Entra ID 并就地保留。
状态将计划按逻辑分组为多个项目,以完成转换。 状态转换期间,实施临时解决方案。 临时解决方案使 IT 环境能够支持 Active Directory 和 Microsoft Entra ID 中的 IAM 操作。 临时解决方案还必须支持这两个环境进行互操作。
下图显示了五种状态:
注意
此图中的状态表示云转换的逻辑进展。 你能否从一种状态迁移到下一种状态取决于你已实现的功能以及该功能是否具备迁移到云的能力。
状态 1:云附加
在云附加状态下,组织创建了 Microsoft Entra 租户来启用用户生产力和协作工具。 该租户可以完全正常运行。
大多数在其 IT 环境中使用 Microsoft 产品和服务的公司已经处于或超出此状态。 在这种状态下,运营成本可能会更高,因为需要维护本地环境和云环境并使其具备可交互性。 组织必须掌握这两种环境的专业知识才能为其用户和组织提供支持。
在这种状态下:
- 设备已加入 Active Directory 并通过组策略或本地设备管理工具进行管理。
- 用户在 Active Directory 中进行管理,通过本地标识管理 (IDM) 系统进行预配,并通过 Microsoft Entra Connect 同步到 Microsoft Entra ID。
- 应用通过 Web 访问管理 (WAM) 工具、Microsoft 365 或其他工具(如 SiteMinder 和 Oracle 访问管理器)向 Active Directory 和联合服务器(如 Active Directory 联合身份验证服务 (AD FS))进行身份验证。
状态 2:混合
在混合状态下,组织开始通过云功能增强其本地环境。 可以规划解决方案以降低复杂性、改善安全状况并减少本地环境的空间占用。
在转换期间以及在此状态下操作时,组织使用 Microsoft Entra ID for IAM 解决方案增强技能和专业知识。 由于用户帐户和设备附件相对简单,且常用于日常的 IT 操作,因此大多数组织都采用了这种方法。
在这种状态下:
Windows 客户端是 Microsoft Entra 混合联接。
基于服务型软件 (SaaS) 的非 Microsoft 平台开始与 Microsoft Entra ID 集成。 示例包括 Salesforce 和 ServiceNow。
旧式应用通过应用程序代理或提供安全混合访问权限的合作伙伴解决方案向 Microsoft Entra ID 进行身份验证。
用户的自助式密码重置 (SSPR) 和密码保护已启用。
一些旧式应用通过 Microsoft Entra 域服务和应用程序代理在云中进行身份验证。
状态 3:云优先
在云优先状态下,整个组织的团队实现了前所未有的成功,并开始计划将更具挑战性的工作负载转移到 Microsoft Entra ID。 组织通常在这种转换状态中花费的时间最多。 随着工作负载的复杂性和数量以及 Active Directory 的使用随时间不断增长,组织迁移到云所需的工作量和计划数就越大。
在这种状态下:
- 新的 Windows 客户端已加入 Microsoft Entra ID 并使用 Intune 进行管理。
- ECMA 连接器用于为本地应用预配用户和组。
- 以前使用 AD DS 集成联合身份验证标识提供者(如 AD FS)的所有应用都已更新为使用 Microsoft Entra ID 进行身份验证。 如果通过 Microsoft Entra ID 的该标识提供者进行基于密码的身份验证,则会迁移到密码哈希同步。
- 正在制定将文件和打印服务转移到 Microsoft Entra ID 的计划。
- Microsoft Entra ID 提供企业对企业 (B2B) 协作功能。
- 在 Microsoft Entra ID 中创建和管理新的组。
状态 4:Active Directory 最小化
Microsoft Entra ID 提供大多数 IAM 功能,而边缘事例和异常继续使用本地 Active Directory。 最小化 Active Directory 这种状态更难实现,尤其是对于拥有大量本地技术债务的大型组织而言。
随着组织转换的成熟,Microsoft Entra ID 会继续发展,提供可用的新功能和工具。 组织需要弃用功能,或生成用于替换的新功能。
在这种状态下:
直接在 Microsoft Entra ID 中创建通过 HR 预配功能预配的新用户。
正在执行迁移依赖于 Active Directory 的应用的计划,这些应用是未来状态 Microsoft Entra ID 环境愿景的一部分。 已制定替换无法移动的服务(文件、打印或传真服务)的计划。
本地工作负载已替换为 Windows 虚拟桌面、Azure 文件存储或通用打印等云替代方案。 Azure SQL 托管实例取代了 SQL Server。
状态 5:100% 云
在 100% 云状态下,Microsoft Entra ID 和其他 Azure 工具提供所有 IAM 功能。 达到这种状态是许多组织的长期愿望。
在这种状态下:
无需本地 IAM 内存占用。
所有设备都在 Microsoft Entra ID 和 Intune 等云解决方案中进行管理。
用户标识生命周期通过 Microsoft Entra ID 进行管理。
所有用户和组都是云本机的。
重新定位依赖于 Active Directory的网络服务。
转换类比
状态之间的转换类似于位置移动:
建立新位置:购买目标并在当前位置和新位置之间建立连接。 通过这些活动,你可以保持生产效率和操作能力。 有关详细信息,请参阅建立 Microsoft Entra 占用情况。 结果将转换为状态 2。
在旧位置限制新项:停止在旧位置投入并制定策略以在新位置暂存新项。 有关详细信息,请参阅实现云优先方法。 这些活动可为大规模迁移和进入状态 3 奠定基础。
将现有项移至新位置:将项从旧位置移至新位置。 你评估项的商业价值,以确定是将其原样移动、升级、替换还是弃用。 有关详细信息,请参阅转换到云。
这些活动使你能够完成状态 3 并进入状态 4 和状态 5。 根据业务目标,你可以决定要进入的最终状态。
转换到云不仅是标识团队的责任。 组织需要跨团队协调,以定义包括人员和流程更改以及技术的策略。 使用协调方法有助于确保进展一致并降低向本地解决方案倒退的风险。 需要管理以下内容的团队:
- 设备/终结点
- 网络
- 安全/风险
- 应用程序所有者
- 人力资源
- 协作
- 采购
- 操作
高级旅程
组织开始将 IAM 迁移到 Microsoft Entra ID 时,必须根据其具体需求确定工作的优先级。 必须对运营人员和支持人员进行培训,以便其在新环境中开展工作。 下图显示了从 Active Directory 迁移到 Microsoft Entra ID 的高级旅程:
建立 Microsoft Entra 占用情况:初始化新的 Microsoft Entra 租户以支持实现最终状态部署的愿景。 采用零信任方法和安全模型,该模型在旅程的早期帮助保护租户免受本地入侵。
实现云优先方法:制定要求所有新设备、应用和服务都应是云优先的策略。 使用旧式协议(如 NTLM、Kerberos、LDAP)的新应用程序和服务应该例外。
转换到云:将用户、应用和设备的管理和集成从本地转移到云优先替代方案。 利用与 Microsoft Entra ID 集成的云优先预配功能优化用户预配。
这种转换会改变用户完成任务的方式以及支持团队为用户提供支持的方式。 组织应该以一种最小化对用户生产效率影响的方式设计和实现计划或项目。
作为转换的一部分,组织引入了自助服务 IAM 功能。 部分员工更容易适应基于云的企业中普遍存在的自助服务用户环境。
陈旧的应用程序可能需要更新或替换才能在基于云的 IT 环境中正常运行。 应用程序的更新或替换可能既昂贵又耗时。 规划和其他阶段还必须考虑到组织应用程序的陈旧程度和功能。