布朗菲爾德登陸區域考慮

棕色地帶部署是現有的環境，需要修改以配合 Azure 登陸區域目標架構和最佳做法。當您需要解決棕色地帶部署案例時，請考慮現有的 Microsoft Azure 環境作為起點。本文摘要說明雲端採用架構就緒檔中其他地方找到的指引。如需詳細資訊，請參閱雲端採用架構就緒方法簡介。

資源組織

在棕色地帶環境中，您已建立 Azure 環境。但是現在套用經過證實的資源組織原則並向前邁進，從來就不是太晚了。請考慮實作下列任何建議：

若要精簡您現有的 Azure 環境有關驗證、授權和會計的安全性狀態，這是持續反復的程式。請考慮實作下列建議：

使用 Microsoft 的前 10 名 Azure 安全性最佳做法。本指南摘要說明 Microsoft 雲端解決方案架構師和 Microsoft 合作夥伴的現場證明指引。
部署 Microsoft Entra 連線雲端同步，為您的本機Active Directory 網域服務（AD DS）使用者提供安全單一登入（SSO）至 Microsoft Entra 識別碼支援的應用程式。設定混合式身分識別的另一個優點是您可以強制執行 Microsoft Entra 多重要素驗證（MFA）和 Microsoft Entra 密碼保護，以進一步保護這些身分識別
請考慮使用 Microsoft Entra 條件式存取，為您的雲端應用程式和 Azure 資源提供安全的驗證。
實作 Microsoft Entra Privileged Identity Management ，以確保整個 Azure 環境中的最低許可權存取和深層報告。 Teams 應該開始週期性存取權檢閱，以確保正確的人員和服務原則具有目前且正確的授權等級。此外，請研究雲端採用架構存取控制指引。
使用適用於雲端的 Microsoft Defender 建議、警示和補救功能。如果您的安全性小組需要更強固、集中管理的混合式和多重雲端安全性資訊事件管理 (SIEM)/安全性協調與回應 (SOAR) 解決方案，您的安全性小組也可以將適用於雲端的 Microsoft Defender 整合到 Microsoft Sentinel。

與 Azure 安全性一樣， Azure 治理不是「一個已完成」的主張。相反地，這是一個不斷演變的標準化和合規性強制執行程式。請考慮實作下列控制項：

重構已建立的 Azure 虛擬網路（VNet）基礎結構，對於許多企業來說，確實是一個沉重的提升。也就是說，請考慮將下列指引納入您的網路設計、實作和維護工作：

檢閱我們的最佳做法，以規劃、部署和維護 Azure VNet 中樞和輪輻拓撲
考慮 Azure 虛擬網絡管理員（預覽）以跨多個 VNet 集中網路安全性群組（NSG）安全性規則
Azure 虛擬 WAN 會統一網路、安全性和路由，以協助企業建置混合式雲端架構更安全且更快速
使用 Azure Private Link 私下存取 Azure 資料服務。 Private Link 服務會使用 Azure 骨幹網路和私人 IP 位址，而不是透過公用網際網路，確保您的使用者和應用程式與主要 Azure 服務通訊

現在您已概略瞭解 Azure 布朗菲爾德環境考慮，以下是一些要檢閱的相關資源：