分享方式:


實作雲端優先方法

這主要是一種程序和原則驅動的階段,可停止 (或盡可能限制) 將新的相依性新增至 Active Directory,也可針對新的 IT 解決方案需求實作雲端優先方法。

此時,請務必找出會導致在 Active Directory 上新增相依性的內部程序。 例如,大部分的組織在實作新的案例、功能和解決方案之前,都有必須遵循的變更管理程序。 強烈建議確保這些變更核准程式都更新為:

  • 包含一個步驟,以評估建議的變更是否會在 Active Directory 上新增相依性。
  • 如果可能,請要求評估 Microsoft Entra 替代方案。

使用者和群組

您可以在 Microsoft Entra ID 中擴充使用者屬性,讓更多使用者屬性可用於包含。 需要豐富使用者屬性的常見案例範例包括:

  • 應用程式佈建:應用程式佈建的資料來源是 Microsoft Entra ID,而且其中必須有必要的使用者屬性。

  • 應用程式授權:Microsoft Entra ID 核發的權杖可以包含從使用者屬性產生的宣告,讓應用程式可以根據權杖中的宣告制定授權決策。 它也可以包含透過自訂宣告提供者來自外部資料來源的屬性。

  • 群組成員資格擴展和維護:組動態成員資格群組可根據部門資訊等使用者屬性,動態擴展群組成員資格。

以下兩個連結提供進行架構變更的指引:

這些連結提供本主題的詳細資訊,但並非只針對變更結構描述:

這些連結提供有關群組的詳細資訊:

您和小組可能會覺得有必要變更您目前的員工佈建,以在此階段使用僅限雲端的帳戶。 這項工作並非小事,但卻無法提供足夠的商業價值。 建議您在不同的轉換階段規劃此轉移。

裝置

用戶端工作站傳統上會加入 Active Directory,並透過群組原則物件 (GPO) 或裝置管理解決方案 (例如 Microsoft Configuration Manager) 進行管理。 您的小組將建立新的原則和程序,以防止新部署的工作站加入網域。 重點包括:

  • 對新的 Windows 用戶端工作站強制加入 Microsoft Entra,以達成「不再加入網域」。

  • 使用統一端點管理 (UEM) 解決方案 (例如 Intune),從雲端管理工作站。

Windows Autopilot 可協助您建立簡化的上線和裝置佈建,以強制執行這些指示。

Windows 本機系統管理員密碼解決方案 (LAPS) 可讓雲端優先解決方案管理本機系統管理員帳戶的密碼。

如需詳細資訊,請參閱深入了解雲端原生端點

應用程式

傳統上,應用程式伺服器通常會加入內部部署的 Active Directory 網域,因此可以使用 Windows 整合式驗證 (Kerberos 或 NTLM)、透過 LDAP 進行目錄查詢,並透過 GPO 或 Microsoft Configuration Manager 進行伺服器管理。

組織在考慮新的服務、應用程式或基礎結構時,有一個程序可評估 Microsoft Entra 替代方案。 應用程式的雲端優先方法應遵循如下指示。 (沒有新式替代方案存在時,新的內部部署應用程式或繼承應用程式應該是罕見的例外。)

  • 提供建議來變更採購原則和應用程式開發原則,以要求新式通訊協定 (OIDC/OAuth2 和 SAML) 並使用 Microsoft Entra ID 進行驗證。 新的應用程式也應該支援 Microsoft Entra 應用程式佈建,而且不相依於 LDAP 查詢。 例外狀況需要明確檢閱和核准。

    重要

    視需要舊版通訊協定的應用程式預期需求而定,當較新的替代方案不可行時,您可以選擇部署 Microsoft Entra Domain Services

  • 提供建議來建立原則以優先使用雲端原生替代方案。 原則應限制將新的應用程式伺服器部署至網域。 常見一些雲端原生案例替代加入 Active Directory 的伺服器,包括:

    • 檔案伺服器:

      • SharePoint 或 OneDrive 提供跨 Microsoft 365 解決方案的共同作業支援,以及內建治理、風險、安全性和合規性。

      • Azure 檔案儲存體在雲端提供完全受控檔案共用,可透過業界標準 SMB 或 NFS 通訊協定來存取。 客戶可以透過網際網路使用原生 Microsoft Entra 驗證 Azure 檔案儲存體,而不需要借助網域控制站。

      • Microsoft Entra ID 適用於 Microsoft 應用程式庫中的協力廠商應用程式。

    • 列印伺服器:

下一步