Implémenter une approche cloud-first
Il s’agit principalement d’une phase pilotée par les processus et les stratégies pour arrêter, ou limiter autant que possible, l’ajout de nouvelles dépendances à Azure Directory et implémenter une approche cloud-first pour la nouvelle demande de solutions informatiques.
Il est essentiel à ce stade d’identifier les processus internes qui mèneraient à l’ajout de nouvelles dépendances à Azure Directory. Par exemple, la plupart des organisations pourraient avoir un processus de gestion des changements qui doit être suivi avant que de nouveaux scénarios, fonctionnalités et solutions ne soient implémentés. Nous vous recommandons vivement de vérifier que ces processus d’approbation des modifications sont mis à jour pour :
- Incluez une étape pour évaluer si la modification proposée ajouterait de nouvelles dépendances sur Active Directory.
- Demandez l’évaluation des alternatives Microsoft Entra lorsque cela est possible.
Utilisateurs et groupes
Vous pouvez enrichir les attributs utilisateur dans Microsoft Entra ID pour rendre davantage d'attributs utilisateur disponibles à l'inclusion. Voici quelques exemples de scénarios courants qui demandent des attributs utilisateur riches :
Provisionnement d'applications : la source de données de provisionnement d'applications est l'ID Microsoft Entra et les attributs utilisateur nécessaires doivent s'y trouver.
Autorisation d'application : un jeton émis par Microsoft Entra ID peut inclure des revendications générées à partir d'attributs utilisateur afin que les applications puissent prendre des décisions d'autorisation basées sur les revendications contenues dans le jeton. Il peut également contenir des attributs provenant de sources de données externes via un fournisseur de revendications personnalisées.
Remplissage et maintenance des appartenances au groupe : les groupes d’appartenance dynamique permettent un remplissage dynamique de l’appartenance au groupe en fonction des attributs utilisateur comme les informations du service.
Ces deux liens fournissent des conseils sur l’apport de changements au schéma :
Ces liens fournissent des informations supplémentaires sur ce sujet, mais ne sont pas spécifiques aux changements du schéma :
Que sont les attributs de sécurité personnalisés dans Microsoft Entra ID (préversion) ?
Personnaliser les mappages d'attributs Microsoft Entra dans le provisionnement d'applications
Ces liens fournissent plus d’informations sur les groupes :
Créez ou modifiez un groupe dynamique et obtenez le statut dans Microsoft Entra ID
Utiliser des groupes en libre-service pour une gestion des groupes initiée par l’utilisateur
Provisionnement d'applications basé sur les attributs avec filtres de portée ou Qu'est-ce que la gestion des droits d’utilisation Microsoft Entra ? (pour accéder aux applications)
Restreindre les autorisations d'accès des invités dans Microsoft Entra ID
Vous et votre équipe pouvez vous sentir obligés de changer le provisionnement actuel de vos employés pour utiliser des comptes uniquement cloud à ce stade. L’effort est non trivial mais ne fournit pas suffisamment de valeur métier. Nous vous recommandons de planifier cette transition à une autre phase de votre transformation.
Appareils
Les stations de travail clientes sont généralement jointes à Active Directory et gérées via des objets stratégie de groupe (GPO) ou des solutions de gestion des appareils telles que Microsoft Configuration Manager. Vos équipes établissent une nouvelle stratégie et un nouveau processus pour empêcher les stations de travail nouvellement déployées d’être jointes au domaine. Les points clés sont les suivants :
Mandatez la jointure Microsoft Entra pour les nouveaux postes de travail clients Windows afin de parvenir à « plus de jointure de domaine. »
Gérer les stations de travail à partir du cloud à l’aide de solutions de gestion unifiée des points de terminaison (UEM), telles que Intune.
Windows Autopilot peut vous aider à établir une intégration et un provisionnement d’appareils simplifiés, pouvant appliquer ces directives.
La solution de mot de passe d’administrateur local Windows (LAPS) permet à une solution cloud de gérer les mots de passe des comptes d’administrateur local.
Pour plus d’informations, consultez En savoir plus sur les points de terminaison natifs cloud.
Applications
Généralement, les serveurs d’application sont souvent joints à un domaine Active Directory local afin qu’ils puissent utiliser l’authentification intégrée Windows (Kerberos ou NTLM), les requêtes d’annuaire via LDAP et la gestion des serveurs avec une stratégie de groupe ou Microsoft Configuration Manager.
L'organisation dispose d'un processus pour évaluer les alternatives Microsoft Entra lorsqu'elle envisage de nouveaux services, applications ou infrastructures. Les directives relatives à une approche cloud-first des applications doivent être les suivantes. (Les nouvelles applications locales ou les applications héritées doivent être une exception rare lorsqu’aucune alternative moderne n’existe.)
Fournir une suggestion visant à modifier la politique d'approvisionnement et la politique de développement d'applications pour exiger des protocoles modernes (OIDC/OAuth2 et SAML) et s'authentifier à l'aide de Microsoft Entra ID. Les nouvelles applications doivent également prendre en charge le provisionnement des applications Microsoft Entra et ne pas dépendre des requêtes LDAP. Les exceptions nécessitent une révision et une approbation explicites.
Important
En fonction des demandes anticipées des applications nécessitant des protocoles existants, vous pouvez choisir de déployer Microsoft Entra Domain Services lorsque les alternatives plus actuelles ne fonctionnent pas.
Donnez une recommandation pour créer une stratégie visant à prioriser l’utilisation d’alternatives natives cloud. La stratégie doit limiter le déploiement de nouveaux serveurs d’applications sur le domaine. Les scénarios natifs cloud courants pour remplacer les serveurs joints à Azure Directory incluent :
Serveurs de fichiers :
SharePoint ou OneDrive offrent une prise en charge de la collaboration dans les solutions Microsoft 365 et gouvernance, risques, sécurité et conformité intégrés.
Azure Files offre des partages de fichiers complètement managés dans le cloud, accessibles via le protocole SMB ou NFS standard. Les clients peuvent utiliser l’authentification native Microsoft Entra sur Azure Files sur Internet sans avoir de visibilité directe sur un contrôleur de domaine.
Microsoft Entra ID fonctionne avec les applications tierces de la galerie d'applications Microsoft.
Serveurs d’impression :
Si votre organisation a un mandat pour obtenir des imprimantes compatiblesavec l’impression universelle, consultez intégrations de partenaires.
Pont avec le connecteur d’impression universelle pour les imprimantes incompatibles.