現代化需求有許多組織將身分識別和存取管理 (IAM) 解決方案從內部部署轉移到雲端。 對於雲端計劃的道路,Microsoft已 建立五種轉型狀態的模型 ,以符合客戶業務目標。
若要將內部部署基礎結構大小和複雜度降到最低,請採用雲端優先方法。 隨著您在雲端中的存在成長,您的內部部署 Active Directory 網域服務 (AD DS) 狀態可能會縮小。 此程式稱為 AD DS 最小化:只有必要的物件會保留在內部部署網域中。
一個 AD DS 最小化方法是將授權單位群組來源 (SOA) 轉換為 Microsoft Entra 識別符。 此方法可讓您直接管理雲端中的這些群組。 您可以刪除不再需要內部部署的 AD DS 群組。 如果您需要將群組保留在內部部署環境,您可以將安全組布建從 Microsoft Entra ID 設定為 AD DS。 然後,您可以在 Microsoft Entra 識別碼中對群組進行變更,並讓這些變更反映在內部部署群組中。
本文說明群組 SOA 如何協助 IT 系統管理員將群組管理從 AD DS 轉換至雲端。 您也可以使用 Microsoft Entra ID Governance 來啟用進階案例,例如存取控管。 如需 IT 架構師使用群組 SOA 的指南,請參閱: Cloud-First 身分識別管理:IT 架構師的指引
影片:Microsoft Entra 群組權威來源
觀看我們的影片,了解 SOA 的簡介,以及它如何協助您遷移到雲端。
轉換群組 SOA 以簡化 AD DS 群組移轉至雲端
群組 SOA 功能可讓組織將內部部署應用程式存取控管轉移到雲端。 這項功能會將透過 Microsoft Entra Connect Sync 或 Microsoft Entra Cloud Sync 同步至 Microsoft Entra ID 的 AD DS 群組的授權來源進行轉換。使用分階段遷移的方法,系統管理員可以在執行複雜遷移任務的同時將對終端使用者的中斷降到最低。
您可以使用物件層級 SOA,不一次將整個目錄移至雲端,而是可以透過受控的方式逐漸減少 AD DS 相依性。 您可以使用Microsoft Entra ID Governance 來管理與安全組相關聯之雲端和內部部署應用程式的存取控管。
將群組 SOA 套用至從 AD DS 同步處理的群組,會將群組轉換成雲端物件。 轉換之後,您可以直接在雲端中編輯、刪除和變更雲端群組成員資格。 Microsoft Entra Connect Sync 會遵循轉換規則,並停止從 AD DS 同步物件。 使用群組 SOA,您可以移轉多個群組或選取特定群組。 轉換 SOA 之後,您可以執行雲端群組可用的所有作業。 如有必要,您可以反轉這些變更。
群組 SOA 案例
使用 Microsoft Entra ID Governance 控管存取權
場景: 您的組合中有應用程式無法現代化或連線到 AD DS。 這些應用程式會使用 Kerberos 或 LDAP 來查詢 AD DS 中未啟用郵件的安全組,以判斷訪問許可權。 您的目標是使用 Microsoft Entra ID 和 Microsoft Entra ID Governance 來規範對這些應用程式的存取。 此目標必須讓Microsoft Entra 管理的群組成員資格資訊可供應用程式存取。
解決方案: 您可以透過下列兩種方式之一達成您的目標:
內部部署群組的音樂會群組SOA。 將群組配置回到 AD DS。 在此模型中,您不需要變更應用程式或建立新的群組。 如需詳細資訊,請參閱 使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 網域服務型應用程式 (Kerberos)。
若要復寫 AD DS 中的群組,請在 Microsoft Entra ID 中從頭建立群組作為新的雲端安全組。 將它們配置至 AD DS 作為通用群組。 在此模型中,您可以將應用程式變更為使用新的群組安全性識別碼。 如果您使用「帳戶 > 全域 > 網域本地」權限模型,請將新布建的群組巢狀於現有群組之下。 如需詳細資訊,請參閱 教學課程 - 使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory 網域服務。
AD DS 最小化
場景: 您已將部分或所有應用程式現代化,並移除使用 AD DS 群組進行存取的需求。 例如,這些應用程式現在會利用 Microsoft Entra ID,使用群組宣告搭配安全性斷言標記語言 (SAML) 或 OpenID Connect,而不是像 AD FS 這樣的聯邦系統。 不過,這些應用程式仍依賴現有的同步安全組來管理存取權。 使用群組 SOA,您可以讓安全組成員資格在雲端中可編輯、完全移除 AD DS 安全組,並視需要透過 Microsoft Entra ID Governance 功能來管理雲端安全組。
解決方案: 您可以使用群組 SOA 將它們設為雲端管理群組,並從 Active Directory 域服務(AD DS)中移除它們。 您可以繼續直接在雲端中建立新的群組。 如需詳細資訊,請參閱 在雲端中管理群組的最佳做法。
移除內部部署 Exchange 依賴
場景: 您已將所有使用者 Exchange 信箱移轉至雲端。 您已更新依賴郵件路由功能的應用程式,以使用 SAML 和 OpenID Connect 等新式驗證方法。 您不再需要管理 AD DS 中的通訊群組 (DL) 和郵件啟用的安全群組 (MESG)。 您的目標是將現有的 DLS 和 MESG 遷移至雲端。 然後,您可以將這些群組更新為Microsoft 365 個群組,或透過Exchange Online加以管理。
解決方案: 您可以使用群組 SOA 達成此目標,使其成為雲端受控群組,並將其從 AD DS 中移除。 您可以繼續直接在 EXO 或透過 Exchange PowerShell 模組編輯這些群組。 這些郵件對象無法直接在 Microsoft Entra ID 或使用 MS Graph API 進行管理。