现代化要求使许多组织将标识和访问管理(IAM)解决方案从本地转移到云。 对于云计划的道路,Microsoft已经 建模了五种转型状态, 以符合客户业务目标。
若要最大程度地减少本地基础结构大小和复杂性,请采用云优先方法。 随着云中存在的增长,本地 Active Directory 域服务(AD DS)的存在可能会减少。 此过程称为 AD DS 最小化:只有必需的对象保留在本地域中。
一种AD DS最小化方法是将“组权限源”(SOA)转换为Microsoft Entra ID。 此方法允许直接在云中管理这些组。 可以删除不再需要本地的 AD DS 组。 如果需要在本地保留组,可以配置从 Microsoft Entra ID 到 AD DS 的安全组预配。 然后,可以在 Microsoft Entra ID 中对组进行更改,并让这些更改反映在本地组中。
本文介绍了组 SOA 如何帮助 IT 管理员将组管理从 AD DS 过渡到云。 还可以使用 Microsoft Entra ID Governance 启用高级方案,例如访问治理。 有关 IT 架构师使用 SOA 的指南,请参阅:云优先身份管理:IT 架构师指导手册
视频:Microsoft Entra 权威来源
查看我们的视频,了解 SOA 的简介,以及它如何帮助你迁移到云。
通过转换组 SOA 来简化 AD DS 组迁移到云
组 SOA 功能使组织能够将本地应用程序访问治理转移到云中。 此功能将 AD DS 中组的权限来源转换为与 Microsoft Entra Connect Sync 或 Microsoft Entra Cloud Sync 同步的 Microsoft Entra ID。使用分阶段迁移方法,管理员可以执行复杂的迁移任务,同时最大程度地减少对最终用户的影响。
可以使用对象级 SOA,而不是一次性将整个目录移到云中,而是以受控方式逐步减少 AD DS 依赖项。 可以使用 Microsoft Entra ID Governance 来管理与安全组关联的云和本地应用程序的访问治理。
将组 SOA 应用到从 AD DS 同步的组会将该组转换为云对象。 转换后,可以直接在云中编辑、删除和更改云组成员身份。 Microsoft Entra Connect Sync 遵循转换规则,并停止从 AD DS 同步该对象。 使用组 SOA,可以迁移多个组或选择特定组。 转换 SOA 后,您可以执行所有可用于云组的操作。 如有必要,可以反转这些更改。
SOA场景分组
使用 Microsoft Entra ID 治理管理访问权限
场景: 你的组合中有一些应用程序,你无法实现现代化或连接到 AD DS。 这些应用程序使用 Kerberos 或 LDAP 查询 AD DS 中未启用邮件的安全组,以确定访问权限。 目标是使用 Microsoft Entra ID 和 Microsoft Entra ID 治理来规范对这些应用程序的访问。 此目标要求Microsoft Entra 管理的组成员身份信息可供应用程序访问。
解决方案:您可以通过以下两种方式之一来实现目标:
本地组的音乐会组 SOA。 将组配置回 AD DS。 在此模型中,无需更改应用或创建新组。 有关详细信息,请参阅 使用 Microsoft Entra ID Governance 管理基于本地 Active Directory 域服务的应用(Kerberos)。
若要复制 AD DS 中的组,请在 Microsoft Entra ID 中从头开始将它们创建为新的云安全组。 将它们作为通用组配置到 AD DS。 在此模型中,可以更改应用以使用新的组安全标识符。 如果使用“帐户 > 全局域本地 >”权限模型,请在现有组下嵌套新创建的组。 有关详细信息,请参阅 教程 - 使用 Microsoft Entra Cloud Sync 将组预配到 Active Directory 域服务。
AD DS 最小化
场景: 你对部分或所有应用程序进行了现代化,并删除了使用 AD DS 组进行访问的需求。 例如,这些应用程序现在使用来自 Microsoft Entra ID 的安全断言标记语言(SAML)或 OpenID Connect 的组声明,而不是使用 AD FS 等联合系统。 但是,这些应用仍依赖于现有的同步安全组来管理访问权限。 使用组 SOA,可以使安全组成员身份在云中可编辑,完全删除 AD DS 安全组,并根据需要通过 Microsoft Entra ID 治理功能来管理云安全组。
解决方案:可以使用组 SOA 将其设为云托管组,并将其从 AD DS 中删除。 您可以直接在云中创建新的群组。 有关详细信息,请参阅 管理云中的组的最佳做法。
删除本地 Exchange 依赖项
场景: 你已将所有用户 Exchange 邮箱迁移到云。 你更新了依赖于邮件路由功能的应用程序,以使用 SAML 和 OpenID Connect 等新式身份验证方法。 不再需要在 AD DS 中管理通讯组列表(DLS)和 Mail-Enabled 安全组(MESG)。 目标是将现有 DLS 和 MESG 迁移到云。 然后,将这些组更新为Microsoft 365 个组,或者通过 Exchange Online 对其进行管理。
解决方案: 您可以通过配置组 SOA 达成此目标,使其成为基于云管理的组,并从 AD DS 中移除。 可以直接在 EXO 中或通过 Exchange PowerShell 模块编辑这些组。 这些邮件对象不能直接在 Microsoft Entra ID 或使用 MS Graph API 进行管理。