實作雲端優先方法

這主要是一種程序和原則驅動的階段，可停止 (或盡可能限制) 將新的相依性新增至 Active Directory，也可針對新的 IT 解決方案需求實作雲端優先方法。

此時，請務必找出會導致在 Active Directory 上新增相依性的內部程序。例如，大部分的組織在實作新的案例、功能和解決方案之前，都有必須遵循的變更管理程序。強烈建議確保這些變更核准程式都更新為：

使用者和群組

您可以在 Microsoft Entra ID 中擴充使用者屬性，讓更多使用者屬性可用於包含。需要豐富使用者屬性的常見案例範例包括：

應用程式佈建：應用程式佈建的資料來源是 Microsoft Entra ID，而且其中必須有必要的使用者屬性。
應用程式授權：Microsoft Entra ID 核發的權杖可以包含從使用者屬性產生的宣告，讓應用程式可以根據權杖中的宣告制定授權決策。它也可以包含透過自訂宣告提供者來自外部資料來源的屬性。
群組成員資格擴展和維護：動態群組可根據部門資訊等使用者屬性，動態擴展群組成員資格。

以下兩個連結提供進行架構變更的指引：

這些連結提供本主題的詳細資訊，但並非只針對變更結構描述：

這些連結提供有關群組的詳細資訊：

您和小組可能會覺得有必要變更您目前的員工佈建，以在此階段使用僅限雲端的帳戶。這項工作並非小事，但卻無法提供足夠的商業價值。建議您在不同的轉換階段規劃此轉移。

用戶端工作站傳統上會加入 Active Directory，並透過群組原則物件 (GPO) 或裝置管理解決方案 (例如 Microsoft Configuration Manager) 進行管理。您的小組將建立新的原則和程序，以防止新部署的工作站加入網域。重點包括：

Windows Autopilot 可協助您建立簡化的上線和裝置佈建，以強制執行這些指示。

Windows 本機系統管理員密碼解決方案 (LAPS) 可讓雲端優先解決方案管理本機系統管理員帳戶的密碼。

如需詳細資訊，請參閱深入了解雲端原生端點。

傳統上，應用程式伺服器通常會加入內部部署的 Active Directory 網域，因此可以使用 Windows 整合式驗證 (Kerberos 或 NTLM)、透過 LDAP 進行目錄查詢，並透過 GPO 或 Microsoft Configuration Manager 進行伺服器管理。

組織在考慮新的服務、應用程式或基礎結構時，有一個程序可評估 Microsoft Entra 替代方案。應用程式的雲端優先方法應遵循如下指示。 (沒有新式替代方案存在時，新的內部部署應用程式或繼承應用程式應該是罕見的例外。)

提供建議來變更採購原則和應用程式開發原則，以要求新式通訊協定 (OIDC/OAuth2 和 SAML) 並使用 Microsoft Entra ID 進行驗證。新的應用程式也應該支援 Microsoft Entra 應用程式佈建，而且不相依於 LDAP 查詢。例外狀況需要明確檢閱和核准。

重要

視需要舊版通訊協定的應用程式預期需求而定，當較新的替代方案不可行時，您可以選擇部署 Microsoft Entra Domain Services。
提供建議來建立原則以優先使用雲端原生替代方案。原則應限制將新的應用程式伺服器部署至網域。常見一些雲端原生案例替代加入 Active Directory 的伺服器，包括：
- 檔案伺服器：
  - SharePoint 或 OneDrive 提供跨 Microsoft 365 解決方案的共同作業支援，以及內建治理、風險、安全性和合規性。
  - Azure 檔案儲存體在雲端提供完全受控檔案共用，可透過業界標準 SMB 或 NFS 通訊協定來存取。客戶可以透過網際網路使用原生 Microsoft Entra 驗證 Azure 檔案儲存體，而不需要借助網域控制站。
  - Microsoft Entra ID 適用於 Microsoft 應用程式庫中的協力廠商應用程式。
- 列印伺服器：
  - 如果組織已下達命令採購通用列印相容印表機，請參閱合作夥伴整合。
  - 透過通用列印連接器來橋接不相容印表機。