實作雲端優先方法

它主要是一個流程和原則驅動階段，可停止或限制盡可能多地將新的相依性新增至 Active Directory Domain Services （AD DS），並針對 IT 解決方案的新需求實作雲端優先方法。

此時，請務必識別會導致在 AD DS 上新增相依性的內部程式。 例如，大部分的組織在實作新的案例、功能和解決方案之前，都有必須遵循的變更管理程序。 強烈建議確保這些變更核准程式都更新為：

• 包含一個步驟，以評估建議的變更是否會在 AD DS 上新增相依性。
• 盡可能評估Microsoft Entra 替代專案。

屬性

您可以在 Microsoft Entra ID 中擴充使用者屬性，讓更多使用者屬性可用於包含。 需要豐富使用者屬性的常見案例範例包括：

• 應用程式佈建：應用程式佈建的資料來源是 Microsoft Entra ID，而且其中必須有必要的使用者屬性。

• 應用程式授權：Microsoft Entra ID 核發的權杖可以包含從使用者屬性產生的宣告，讓應用程式可以根據權杖中的宣告制定授權決策。 它也可以包含透過自訂宣告提供者來自外部資料來源的屬性。

• 群組成員資格擴展和維護：組動態成員資格群組可根據部門資訊等使用者屬性，動態擴展群組成員資格。

以下兩個連結提供進行架構變更的指引：

• 了解 Microsoft Entra 結構描述和自訂運算式

• Microsoft Entra Connect 所同步處理的屬性

這些連結提供本主題的詳細資訊，但並非只針對變更結構描述：

• 在宣告中使用 Microsoft Entra 結構描述延伸模組屬性 - Microsoft 身分識別平台

• Microsoft Entra ID 中的自訂安全性屬性是什麼 (預覽)？

• 在應用程式佈建中自訂 Microsoft Entra 屬性對應

• 為 Microsoft Entra 應用程式提供選擇性宣告 - Microsoft 身分識別平台

• 具有範圍篩選的屬性型應用程式佈 建或 什麼是Microsoft Entra 權利管理 （適用於應用程式存取）

群組

群組的雲端優先方法牽涉到在雲端中建立新的群組。 如果您需要它們內部部署， 請使用 Microsoft Entra Cloud Sync，將群組布建至 Active Directory Domain Services （AD DS）。將現有內部部署群組的群組來源 （SOA） 轉換為從 entra Microsoft管理它們。

這些連結提供有關群組的詳細資訊：

• 在 Microsoft Entra ID 中建立或編輯動態群組並取得狀態

• 使用自助群組進行使用者起始的群組管理

• 使用範圍篩選器的屬性型應用程式佈建或什麼是 Microsoft Entra 權利管理？ (用於應用程式存取)

• 比較群組

• 在 Microsoft Entra ID 中限制來賓的存取權限

使用者

如果您的組織中有使用者沒有 Active Directory 的應用程式相依性，您可以採取雲端優先方法，方法是將這些使用者直接佈建至 Microsoft Entra ID。 如果有些使用者不需要存取 Active Directory，但已佈建 Active Directory 帳戶，則可以變更其權限來源，讓您清除其 Active Directory 帳戶。

裝置

用戶端工作站傳統上會加入 Active Directory，並透過群組原則物件 (GPO) 或裝置管理解決方案 (例如 Microsoft Configuration Manager) 進行管理。 您的小組將建立新的原則和程序，以防止新部署的工作站加入網域。 重點包括：

• 對新的 Windows 用戶端工作站強制加入 Microsoft Entra，以達成「不再加入網域」。

• 使用統一端點管理 (UEM) 解決方案 (例如 Intune)，從雲端管理工作站。

Windows Autopilot 可協助您建立簡化的上線和裝置佈建，以強制執行這些指示。

Windows 本機系統管理員密碼解決方案 (LAPS) 可讓雲端優先解決方案管理本機系統管理員帳戶的密碼。

如需詳細資訊，請參閱深入了解雲端原生端點。

應用程式

傳統上，應用程式伺服器通常會加入內部部署的 Active Directory 網域，因此可以使用 Windows 整合式驗證 (Kerberos 或 NTLM)、透過 LDAP 進行目錄查詢，並透過 GPO 或 Microsoft Configuration Manager 進行伺服器管理。

組織在考慮新的服務、應用程式或基礎結構時，有一個程序可評估 Microsoft Entra 替代方案。 應用程式的雲端優先方法應遵循如下指示。 (沒有新式替代方案存在時，新的內部部署應用程式或繼承應用程式應該是罕見的例外。)

• 提供建議來變更採購原則和應用程式開發原則，以要求新式通訊協定 (OIDC/OAuth2 和 SAML) 並使用 Microsoft Entra ID 進行驗證。 新的應用程式也應該支援 Microsoft Entra 應用程式佈建，而且不相依於 LDAP 查詢。 例外狀況需要明確檢閱和核准。

  重要

  視需要舊版通訊協定的應用程式預期需求而定，當較新的替代方案不可行時，您可以選擇部署 Microsoft Entra Domain Services。

• 提供建議來建立原則以優先使用雲端原生替代方案。 原則應限制將新的應用程式伺服器部署至網域。 取代網域成員伺服器的常見雲端原生案例包括：

  • 檔案伺服器：

    • SharePoint 或 OneDrive 提供跨 Microsoft 365 解決方案的共同作業支援，以及內建治理、風險、安全性和合規性。

    • Azure 檔案儲存體在雲端提供完全受控檔案共用，可透過業界標準 SMB 或 NFS 通訊協定來存取。 客戶可以透過網際網路使用原生 Microsoft Entra 驗證 Azure 檔案儲存體，而不需要借助網域控制站。

    • Microsoft Entra ID 適用於 Microsoft 應用程式庫中的協力廠商應用程式。

  • 列印伺服器：

    • 如果組織已下達命令採購通用列印相容印表機，請參閱合作夥伴整合。

    • 透過通用列印連接器來橋接不相容印表機。

下一步

• 簡介
• 雲端轉換狀態
• 建立 Microsoft Entra 足跡
• 轉換至雲端