Implementieren eines Cloud-First-Ansatzes

Es handelt sich hauptsächlich um eine prozess- und richtliniengesteuerte Phase, um das Hinzufügen neuer Abhängigkeiten zu Active Directory Domain Services (AD DS) zu stoppen oder weitestgehend einzuschränken und einen Cloud-first-Ansatz für neue IT-Lösungen zu implementieren.

An diesem Punkt ist es wichtig, die internen Prozesse zu identifizieren, die dazu führen würden, neue Abhängigkeiten zu AD DS hinzuzufügen. Beispielsweise würden die meisten Organisationen einen Änderungsverwaltungsprozess einführen, der befolgt werden muss, bevor neue Szenarien, Features und Lösungen implementiert werden. Es wird dringend empfohlen, sicherzustellen, dass diese Änderungsgenehmigungsprozesse wie folgt aktualisiert werden:

• Fügen Sie einen Schritt ein, um zu bewerten, ob die vorgeschlagene Änderung neue Abhängigkeiten von AD DS hinzufügen würde.
• Bewerten Sie nach Möglichkeit Microsoft Entra-Alternativen.

Attribute

Sie können Benutzerattribute in Microsoft Entra ID erweitern, um weitere Benutzerattribute für die Aufnahme verfügbar zu machen. Zu den Beispielen für gängige Szenarien, die erweiterte Benutzerattribute erfordern, zählen:

• App-Bereitstellung: Die Datenquelle der App-Bereitstellung ist Microsoft Entra ID, und die erforderlichen Benutzerattribute müssen dort vorhanden sein.

• Anwendungsautorisierung: Ein von Microsoft Entra ID ausgestelltes Token kann Ansprüche enthalten, die aus Benutzerattributen generiert werden, sodass Anwendungen eine Autorisierungsentscheidung auf der Grundlage der im Token vorhandenen Ansprüche treffen können. Attribute aus externen Datenquellen können über einen Anbieter von benutzerdefinierten Ansprüchen ebenfalls enthalten sein.

• Gesamtheit der Gruppenmitgliedschaften und Wartung: Dynamische Gruppen ermöglichen es, die dynamische Gesamtheit der Gruppenmitgliedschaften auf Benutzerattributen wie Abteilungsinformationen aufzubauen.

Diese beiden Links bieten Anleitungen zum Vornehmen von Schemaänderungen:

• Grundlegendes zum Microsoft Entra-Schema und zu benutzerdefinierten Ausdrücken

• Von Microsoft Entra Connect synchronisierte Attribute

Diese Links bieten weitere Informationen zu diesem Thema, beziehen sind jedoch nicht speziell auf die Schemaänderung:

• Verwenden von Attributen zur Microsoft Entra-Schemaerweiterung in Ansprüchen – Microsoft Identity Platform

• Was sind benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID (Vorschau)?

• Anpassen der Zuordnungen von Microsoft Entra-Attributen in der Anwendungsbereitstellung

• Bereitstellen optionaler Ansprüche für Microsoft Entra-Apps – Microsoft Identity Platform

• Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern oder Was ist die Verwaltung von Microsoft Entra-Berechtigungen (für den Anwendungszugriff)

Gruppen

Ein cloudbasierter Ansatz für Gruppen umfasst das Erstellen neuer Gruppen in der Cloud. Wenn Sie sie lokal benötigen, stellen Sie Gruppen mithilfe von Microsoft Entra Cloud Sync für Active Directory Domain Services (AD DS) bereit. Konvertieren Sie die Quellen der Gruppen-Autorität (SOA) vorhandener lokaler Gruppen, um sie über Microsoft Entra zu verwalten.

Diese Links bieten weitere Informationen zu Gruppen:

• Erstellen oder Bearbeiten einer dynamischen Gruppe und Abrufen des Status in Microsoft Entra ID

• Verwenden von Self-Service-Gruppen für die benutzergesteuerte Gruppenverwaltung

• Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern oder Was ist die Microsoft Entra-Berechtigungsverwaltung? (für den Anwendungszugriff)

• Vergleichen von Gruppen

• Einschränken von Zugriffsberechtigungen für Gäste in Microsoft Entra ID

Benutzer

Wenn es Benutzer in Ihrer Organisation gibt, die keine Anwendungsabhängigkeiten für Active Directory haben, können Sie einen cloudbasierten Ansatz ergreifen, indem Sie diese Benutzer direkt an die Microsoft Entra-ID bereitstellen. Wenn Es Benutzer gibt, die keinen Zugriff auf Active Directory erfordern, aber Active Directory-Konten für sie bereitgestellt haben, kann ihre Autoritätsquelle geändert werden, sodass Sie ihr Active Directory-Konto bereinigen können.

Geräte

Bei der herkömmlichen Vorgehensweise werden Clientarbeitsstationen in Active Directory eingebunden und über Gruppenrichtlinienobjekte oder Geräteverwaltungslösungen wie Microsoft Configuration Manager verwaltet. Ihre Teams richten eine neue Richtlinie und einen neuen Prozess ein, um zu verhindern, dass zukünftig neu bereitgestellte Arbeitsstationen in die Domäne eingebunden werden. Wichtige Punkte sind:

• Schreiben Sie den Beitritt zu Microsoft Entra für neue Windows-Clientarbeitsstationen vor, um zu erreichen, dass „keine neuen Domänenbeitritte“ mehr stattfinden.

• Verwalten Sie Arbeitsstationen in der Cloud mithilfe von UEM-Lösungen (Unified Endpoint Management) wie Intune.

Windows Autopilot kann hilfreich sein, um optimierte Onboarding- und Gerätebereitstellungsprozesse einzurichten, die diese Richtlinien durchsetzen können.

Windows Local Administrator Password Solution (LAPS) ermöglicht eine Cloud-First-Lösung zum Verwalten der Kennwörter lokaler Administratorkonten.

Mehr dazu erfahren Sie unter Weitere Informationen zu cloudnativen Endpunkten.

Anwendungen

Traditionell werden Anwendungsserver häufig in eine lokale Active Directory-Domäne eingebunden, sodass die integrierte Windows-Authentifizierung (Kerberos oder NTLM), Verzeichnisabfragen über LDAP und eine Serververwaltung über Gruppenrichtlinienobjekte oder Microsoft Configuration Manager verwendet werden kann.

Die Organisation verfügt über einen Prozess zum Beurteilen von Microsoft Entra-Alternativen, der bei der Erwägung neuer Dienste, Apps oder Infrastruktur zum Tragen kommt. Für einen Cloud-first-Ansatz für Anwendungen sollten folgende Richtlinien beachtet werden. (Neue lokale Anwendungen oder Legacy-Anwendungen sollten eine seltene Ausnahme sein, wenn es keine moderne Alternative gibt.)

• Geben Sie eine Empfehlung zum Ändern der Richtlinien für Beschaffung und Anwendungsentwicklung, um moderne Protokolle (OIDC/OAuth2 und SAML) und die Authentifizierung mithilfe von Microsoft Entra ID vorzuschreiben. Neue Apps sollten außerdem die Microsoft Entra-App-Bereitstellung unterstützen und keine Abhängigkeit von LDAP-Abfragen aufweisen. Ausnahmen erfordern eine explizite Überprüfung und Genehmigung.

  Wichtig

  Abhängig von den erwarteten Anforderungen an Anwendungen, die Legacy-Protokolle benötigen, können Sie sich für die Bereitstellung von Microsoft Entra Domain Services entscheiden, wenn aktuellere Alternativen nicht funktionieren.

• Empfehlen Sie die Erstellung einer Richtlinie, um die Verwendung cloudnativer Alternativen zu priorisieren. Die Richtlinie sollte die Bereitstellung neuer Anwendungsserver in der Domäne einschränken. Zu den gängigen Cloud-nativen Szenarien zum Ersetzen von Domänenmitgliedsservern gehören:

  • Dateiserver:

    • SharePoint oder OneDrive ermöglichen eine übergreifende Unterstützung der Zusammenarbeit für Microsoft 365-Lösungen sowie integrierte Governance, Risikominimierung, Sicherheit und Compliance.

    • Azure Files bietet vollständig verwaltete Dateifreigaben in der Cloud, auf die über das Branchenstandardprotokoll SMB oder NFS zugegriffen werden kann. Kunden können die native Microsoft Entra-Authentifizierung bei Azure Files über das Internet verwenden, ohne „Sichtverbindung“ zu einem Domänencontroller.

    • Microsoft Entra ID funktioniert mit Anwendungen von Drittanbietern im Anwendungskatalog von Microsoft.

  • Druckserver:

    • Wenn Ihre Organisation die Beschaffung von Universal Print-kompatiblen Druckern vorschreibt, finden Sie weitere Informationen unter Partnerintegrationen.

    • Erstellen Sie mit dem Universal Print-Connector eine Brücke für inkompatible Drucker.

Nächste Schritte

• Introduction (Einführung)
• Ausgangssituation für die Cloudtransformation
• Einrichten eines Microsoft Entra-Footprints
• Übergang in die Cloud