Condividi tramite

Postura della trasformazione cloud

  • Articolo

Active Directory, Microsoft Entra ID e altri strumenti Microsoft sono alla base della gestione delle identità e degli accessi (IAM). Ad esempio, Active Directory Domain Services (AD DS) e Microsoft Configuration Manager forniscono la gestione dei dispositivi in Active Directory. In Microsoft Entra ID Intune offre la stessa funzionalità.

Nell'ambito della maggior parte delle iniziative di modernizzazione, migrazione o Zero Trust, le organizzazioni spostano le attività IAM dall'uso di soluzioni IAM locali o IaaS (Infrastructure-as-a-Service) all'uso di soluzioni predefinite per il cloud. Per un ambiente IT che usa prodotti e servizi Microsoft, Active Directory e Microsoft Entra ID svolgono un ruolo.

Molte aziende che migrano da Active Directory a Microsoft Entra ID iniziano con un ambiente simile al diagramma seguente. Il diagramma sovrappone tre pilastri:

  • Applicazioni: include applicazioni, risorse e server sottostanti aggiunti a un dominio.

  • Dispositivi: incentrato sui dispositivi client aggiunti a un dominio.

  • Utenti e gruppi: rappresenta identità e attributi umani e del carico di lavoro per l'accesso alle risorse e l'appartenenza ai gruppi ai fini della governance e della creazione di criteri.

Diagramma dell'architettura che illustra le tecnologie comuni contenute nei pilastri delle applicazioni, dei dispositivi e degli utenti.

Microsoft ha modellato cinque stati di trasformazione che si allineano comunemente agli obiettivi aziendali dei clienti. Man mano che gli obiettivi dei clienti maturano, è tipico per loro passare da uno stato all'altro a un ritmo adatto alle risorse e alla cultura.

I cinque stati hanno criteri di uscita che consentono di determinare la posizione attuale dell'ambiente. Alcuni progetti, ad esempio la migrazione delle applicazioni, si estendono su tutti e cinque gli stati. Altri progetti si estendono su un singolo stato.

Il contenuto fornisce quindi indicazioni più dettagliate organizzate per facilitare modifiche intenzionali a persone, processi e tecnologie. Le indicazioni possono essere utili per:

  • Stabilire un footprint Microsoft Entra.

  • Implementare un approccio cloud-first.

  • Iniziare a eseguire la migrazione dall'ambiente Active Directory.

Le linee guida sono organizzate in base alla gestione degli utenti, alla gestione dei dispositivi e alle applicazioni in base ai pilastri precedenti.

Le organizzazioni formate in Microsoft Entra anziché in Active Directory non hanno l'ambiente locale legacy che le organizzazioni più consolidate devono affrontare. Per loro, o per i clienti che stanno ricreando completamente l'ambiente IT nel cloud, diventa il 100% incentrato sul cloud può verificarsi man mano che viene stabilito il nuovo ambiente IT.

Per i clienti che hanno una funzionalità IT locale consolidata, il processo di trasformazione introduce complessità che richiede un'attenta pianificazione. Inoltre, poiché Active Directory e Microsoft Entra ID sono prodotti separati destinati a ambienti IT diversi, non hanno funzionalità simili. Ad esempio, Microsoft Entra ID non ha la nozione di trust tra domini e foreste di Active Directory.

Cinque stati di trasformazione

Nelle organizzazioni di dimensioni aziendali, la trasformazione IAM o persino la trasformazione da Active Directory a Microsoft Entra ID, è in genere un impegno di più anni con più stati. Si analizza l'ambiente per determinare lo stato corrente e quindi si imposta un obiettivo per lo stato successivo. L'obiettivo potrebbe rimuovere completamente la necessità di Active Directory oppure potrebbe decidere di non eseguire la migrazione di alcune funzionalità a Microsoft Entra ID e lasciarla attiva.

Gli stati raggruppano logicamente le iniziative in progetti verso il completamento di una trasformazione. Durante le transizioni di stato, si inserisce soluzioni provvisorie. Le soluzioni provvisorie consentono all'ambiente IT di supportare le operazioni IAM sia in Active Directory che in Microsoft Entra ID. Le soluzioni provvisorie devono anche consentire l'interoperabilità dei due ambienti.

Il diagramma seguente mostra i cinque stati:

Diagramma che mostra cinque architetture di rete: cloud collegato, ibrido, cloud prima, Active Directory ridotto a icona e cloud al 100%.

Nota

Gli stati in questo diagramma rappresentano una progressione logica della trasformazione del cloud. La possibilità di passare da uno stato a quello successivo dipende dalle funzionalità implementate e dalle funzionalità all'interno di tale funzionalità per passare al cloud.

Stato 1: Cloud collegato

Nello stato collegato al cloud, le organizzazioni hanno creato un tenant di Microsoft Entra per abilitare gli strumenti di produttività e collaborazione degli utenti. Il tenant è completamente operativo.

La maggior parte delle aziende che usano prodotti e servizi Microsoft nel proprio ambiente IT è già presente o oltre questo stato. In questo stato, i costi operativi potrebbero essere più elevati perché esiste un ambiente locale e un ambiente cloud per gestire e rendere interattivi. Le persone devono avere competenze in entrambi gli ambienti per supportare gli utenti e l'organizzazione.

In questo stato:

  • I dispositivi vengono aggiunti ad Active Directory e gestiti tramite Criteri di gruppo o strumenti di gestione dei dispositivi locali.
  • Gli utenti vengono gestiti in Active Directory, sottoposti a provisioning tramite sistemi IDM (On-Premises Identity Management) e sincronizzati con Microsoft Entra ID tramite Microsoft Entra Connect.
  • Le app vengono autenticate in Active Directory e nei server federativi come Active Directory Federation Services (AD FS) tramite uno strumento di gestione degli accessi Web (WAM), Microsoft 365 o altri strumenti come SiteMinder e Oracle Access Manager.

Stato 2: ibrido

Nello stato ibrido, le organizzazioni iniziano a migliorare l'ambiente locale tramite funzionalità cloud. Le soluzioni possono essere pianificate per ridurre la complessità, aumentare la postura di sicurezza e ridurre il footprint dell'ambiente locale.

Durante la transizione e mentre operano in questo stato, le organizzazioni aumentano le competenze e le competenze per l'uso di Microsoft Entra ID per le soluzioni IAM. Poiché gli account utente e gli allegati dei dispositivi sono relativamente semplici e una parte comune delle operazioni IT quotidiane, la maggior parte delle organizzazioni ha usato questo approccio.

In questo stato:

  • I client Windows sono aggiunti a Microsoft Entra ibrido.

  • Le piattaforme non Microsoft basate su Software as a Service (SaaS) iniziano a essere integrate con Microsoft Entra ID. Gli esempi sono Salesforce e ServiceNow.

  • Le app legacy eseguono l'autenticazione in Microsoft Entra ID tramite Application Proxy o soluzioni partner che offrono accesso ibrido sicuro.

  • La reimpostazione della password self-service e la protezione password per gli utenti sono abilitate.

  • Alcune app legacy vengono autenticate nel cloud tramite Microsoft Entra Domain Services e Application Proxy.

Stato 3: Cloud first

Nello stato cloud-first, i team dell'organizzazione creano un track record di successo e iniziano a pianificare lo spostamento di carichi di lavoro più complessi in Microsoft Entra ID. Le organizzazioni in genere impiegano più tempo in questo stato di trasformazione. Con la complessità, il numero di carichi di lavoro e l'uso di Active Directory aumentano nel tempo, un'organizzazione deve aumentare il proprio impegno e il numero di iniziative per passare al cloud.

In questo stato:

  • I nuovi client Windows vengono aggiunti a Microsoft Entra ID e vengono gestiti tramite Intune.
  • I connettori ECMA vengono usati per effettuare il provisioning di utenti e gruppi per le app locali.
  • Tutte le app che in precedenza usavano un provider di identità federato integrato in Active Directory Domain Services, ad esempio AD FS, vengono aggiornate per usare Microsoft Entra ID per l'autenticazione. Se è stata usata l'autenticazione basata su password tramite tale provider di identità per Microsoft Entra ID, viene eseguita la migrazione alla sincronizzazione dell'hash delle password.
  • I piani per spostare i servizi di file e stampa in Microsoft Entra ID sono in fase di sviluppo.
  • Microsoft Entra ID offre una funzionalità di collaborazione business-to-business (B2B).
  • I nuovi gruppi vengono creati e gestiti in Microsoft Entra ID.

Stato 4: Active Directory ridotta a icona

Microsoft Entra ID offre la maggior parte delle funzionalità IAM, mentre i casi perimetrali e le eccezioni continuano a usare Active Directory locale. Uno stato di riduzione al minimo di Active Directory è più difficile da raggiungere, soprattutto per le organizzazioni di grandi dimensioni che hanno un notevole debito tecnico locale.

Microsoft Entra ID continua a evolversi man mano che la trasformazione dell'organizzazione matura, portando nuove funzionalità e strumenti che è possibile usare. Le organizzazioni devono deprecare le funzionalità o creare nuove funzionalità per fornire la sostituzione.

In questo stato:

  • I nuovi utenti di cui è stato effettuato il provisioning tramite la funzionalità di provisioning delle risorse umane vengono creati direttamente in Microsoft Entra ID.

  • Si prevede di spostare le app che dipendono da Active Directory e fanno parte della visione per l'ambiente Microsoft Entra in futuro in fase di esecuzione. È disponibile un piano per sostituire i servizi che non verranno spostati (servizi file, stampa o fax).

  • I carichi di lavoro locali sono stati sostituiti con alternative cloud, ad esempio Desktop virtuale Windows, File di Azure o Stampa universale. Istanza gestita di SQL di Azure sostituisce SQL Server.

Stato 5: 100% cloud

Nello stato 100%-cloud, Microsoft Entra ID e altri strumenti di Azure offrono tutte le funzionalità IAM. Questo stato è l'aspirazione a lungo termine per molte organizzazioni.

In questo stato:

  • Non è necessario alcun footprint IAM locale.

  • Tutti i dispositivi vengono gestiti in Microsoft Entra ID e soluzioni cloud come Intune.

  • Il ciclo di vita dell'identità utente viene gestito tramite Microsoft Entra ID.

  • Tutti gli utenti e i gruppi sono nativi del cloud.

  • I servizi di rete che si basano su Active Directory vengono rilocati.

Analogia della trasformazione

La trasformazione tra gli stati è simile allo spostamento delle posizioni:

  1. Stabilire una nuova località: si acquista la destinazione e si stabilisce la connettività tra la posizione corrente e la nuova posizione. Queste attività consentono di mantenere la produttività e la capacità di operare. Per altre informazioni, vedere Stabilire un footprint di Microsoft Entra. I risultati passano allo stato 2.

  2. Limitare i nuovi elementi nella posizione precedente: si smette di investire nella posizione precedente e si imposta un criterio per preparare i nuovi elementi nella nuova posizione. Per altre informazioni, vedere Implementare un approccio cloud-first. Queste attività impostano le basi per eseguire la migrazione su larga scala e raggiungere lo stato 3.

  3. Spostare gli elementi esistenti nella nuova posizione: si spostano gli elementi dalla posizione precedente alla nuova posizione. Si valuta il valore aziendale degli elementi per determinare se si spostano così come sono, aggiornarli, sostituirli o deprecarli. Per altre informazioni, vedere Transizione verso il cloud.

    Queste attività consentono di completare lo stato 3 e raggiungere gli stati 4 e 5. In base agli obiettivi aziendali, si decide quale stato finale si desidera definire come destinazione.

La trasformazione nel cloud non è solo responsabilità del team di identità. L'organizzazione deve coordinare i team per definire criteri che includono persone e cambiamenti di processo, insieme alla tecnologia. L'uso di un approccio coordinato consente di garantire un avanzamento coerente e di ridurre il rischio di regredire alle soluzioni locali. Coinvolgere i team che gestiscono:

  • Dispositivi/Endpoint
  • Reti
  • Sicurezza/Rischio
  • Proprietari dell'applicazione
  • Risorse umane
  • Collaborazione
  • Approvvigionamento
  • Operazioni

Percorso generale

Quando le organizzazioni avviano una migrazione di IAM a Microsoft Entra ID, devono determinare la priorità delle attività in base alle proprie esigenze specifiche. Il personale operativo e il personale di supporto devono essere formati per svolgere il proprio lavoro nel nuovo ambiente. Il grafico seguente illustra il percorso generale per la migrazione da Active Directory a Microsoft Entra ID:

Grafico che mostra tre importanti attività cardine nella migrazione da Active Directory a Microsoft Entra ID: stabilire le funzionalità di Microsoft Entra, implementare un approccio cloud-first e spostare i carichi di lavoro nel cloud.

  • Stabilire un footprint di Microsoft Entra: inizializzare il nuovo tenant di Microsoft Entra per supportare la visione per la distribuzione dello stato finale. Adottare un approccio Zero Trust e un modello di sicurezza che contribuisce a proteggere il tenant dalla compromissione locale all'inizio del percorso.

  • Implementare un approccio cloud-first: stabilire un criterio secondo cui tutti i nuovi dispositivi, app e servizi devono essere cloud-first. Le nuove applicazioni e i servizi che usano protocolli legacy (ad esempio, NTLM, Kerberos o LDAP) devono essere solo per eccezione.

  • Transizione verso il cloud: spostare la gestione e l'integrazione di utenti, app e dispositivi lontano dall'ambiente locale e verso le alternative cloud-first. Ottimizzare il provisioning degli utenti sfruttando le funzionalità di provisioning cloud-first che si integrano con Microsoft Entra ID.

La trasformazione cambia il modo in cui gli utenti eseguono attività e come i team di supporto forniscono supporto per gli utenti. L'organizzazione deve progettare e implementare iniziative o progetti in modo da ridurre al minimo l'impatto sulla produttività degli utenti.

Nell'ambito della trasformazione, l'organizzazione introduce funzionalità IAM self-service. Alcune parti della forza lavoro si adattano più facilmente all'ambiente utente self-service prevalente nelle aziende basate sul cloud.

Le applicazioni invecchiate potrebbero dover essere aggiornate o sostituite per funzionare correttamente negli ambienti IT basati sul cloud. Gli aggiornamenti o le sostituzioni delle applicazioni possono richiedere molto tempo. Anche la pianificazione e le altre fasi devono tenere conto dell'età e delle capacità delle applicazioni dell'organizzazione.

Passaggi successivi