Как шаг за шагом перейти с локального AD на Azure


Миграция с локального сервера AD на устройства, присоединенные к Azure AD, — это распространенный сценарий для любой компании, которая больше не нуждается в быстром доступе с малой задержкой к данных и уже инвестировал в Microsoft 365.

Это может означать, что доступ ко всем бизнес-приложениям компании осуществляется через Интернет, а информация сохраняется и совместно используется с помощью таких платформ, как Microsoft Teams и SharePoint.

В этом посте я покажу вам, как можно шаг за шагом перенести локальную AD в Azure.

Здесь мы собираемся обсудить гипотетический сценарий бизнеса, который хочет осуществить этот переход и пройти через этот процесс. Затем мы подробно опишем этапы планирования от начала до конца, которые позволят перейти к современному рабочему решению.

Сценарий миграции AD

OurCloudNetwork имеет единственный локальный контроллер домена, на котором также размещен основной корпоративный файловый ресурс компании. Все рабочие станции компании подключены к Active Directory и уже используют Exchange Online из пакета Microsoft 365 для электронной почты.

Было установлено, что их последнее локальное приложение для бухгалтерского учета можно переместить в облако и модернизировать доступ, чтобы использовать возможности веб-браузера и вход в систему посредством единого входа с помощью Azure Active Directory. Таким образом, больше нет никаких требований к архитектуре клиент/сервер.

Некоторые другие факты также верны в этом сценарии:

  • На одном сервере Windows работает Windows Server 2012 R2.
  • Некоторые клиенты используют ранние сборки Windows 10, а некоторые — Windows 11.
  • Требования к печати минимальны, общий принтер отсутствует, у некоторых пользователей есть собственные настольные USB-принтеры.
  • Некоторые пользовательские групповые политики используются для управления локальными клиентскими служебными приложениями.
  • Файлы, сохраненные на компьютерах пользователей и не имеющие резервных копий, вызывают беспокойство.
  • OurCloudNetwork хотела бы сотрудничать в проектах с внешними компаниями.

Требуемая конечная цель

С учетом текущей среды и требований была предложена следующая конечная цель — модернизировать инфраструктуру OurCloudNetwork.

Локальный сервер

Локальный сервер будет выведен из эксплуатации, а удостоверения из Active Directory будут синхронизированы с Azure Active Directory с помощью инструмента синхронизации Azure AD Connect.

Любые действующие групповые политики будут экспортированы с сервера и перенесены в Microsoft Intune.

Существующие общие файловые ресурсы будут перенесены в SharePoint и Microsoft Teams с разрешениями, поддерживаемыми группами Microsoft 365.

Exchange Online будет по-прежнему использоваться как часть пакета Microsoft 365.

Лицензирование пользователей в Microsoft 365 будет обновлено до Microsoft 365 E3, чтобы учесть необходимые изменения.

Клиентские рабочие станции

Все клиентские рабочие станции будут удалены из домена и присоединены к Azure Active Directory с помощью Intune для управления устройствами.

Intune также будет применять политики на всех компьютерах и заниматься управлением обновлениями для операционной системы Windows.

Безопасность

Поскольку соблюдение требований было признано проблемой, политики соответствия устройств должны быть реализованы, подкрепленные политиками условного доступа для обеспечения контроля.

Строгая многофакторная аутентификация (не SMS или телефонный звонок) будет реализована для всех пользователей, за исключением учетной записи «Разбитое стекло», использование которой будет отслеживаться.

План миграции с локального AD на Azure

Шаг 1

Вам следует начать с обеспечения того, чтобы все ваши пользователи имели соответствующие лицензии для внедряемого вами решения. В нашем сценарии мы выбрали план Microsoft 365 E3, Enterprise. Эта лицензия предоставляет нам все облачные сервисы, инструменты безопасности и управления, необходимые для создания эффективного и безопасного решения. Другие корпоративные планы можно просмотреть здесь: https://www.microsoft.com/en-gb/microsoft-365/compare-microsoft-365-enterprise-plans. У вас также есть возможность приобрести лицензию M365 Business Premium, если в вашей организации менее 300 пользователей и вам не требуются улучшенные функции, такие как Exchange Online Plan 2, гибридное лицензирование, дополнительная защита от потери данных и поддержка.

Вам следует изучить разницу между каждым доступным типом лицензии и принять решение на основе бизнес-требований, таких как; Требования к гибридному серверу, безопасность, соответствие требованиям и данные. управление конечными точками и поддержка от Microsoft.

Шаг 2

Вполне вероятно (даже если вы не согласны с этим утверждением), что ваши пользователи сохраняют на своих рабочих станциях данные, которые не входят в область резервного копирования вашей организации или не сохраняются в облаке. В любом случае этот шаг должен включать в себя очистку данных вашей компании и обеспечение сохранения важных данных ваших пользователей (над которыми они часто сейчас работают) в их OneDrive (как минимум).

Во-первых, вы должны убедиться, что на рабочих станциях вашего клиента установлена последняя версия клиента OneDrive. OneDrive можно загрузить здесь, и вам следует следовать указаниям мастера установки, чтобы выполнить резервное копирование важных данных. Я говорю «резервное копирование», поскольку на этом этапе вы традиционно не создаете резервную копию своих данных, а просто перенаправляете их в их личное облачное хранилище (OneDrive). Наряду с Microsoft 365 также следует использовать стороннее решение для резервного копирования, но об этом мы поговорим в конце.

Вам также следует обработать все данные, имеющиеся на локальных файловых серверах, и подготовить эти данные к перемещению в Teams и SharePoint. Прежде чем принять решение о переходе на современное рабочее решение для ваших данных, необходимо было провести технико-экономическое обоснование, которое определило, что SharePoint и Teams являются правильным решением. Часто вы обнаружите, что гибридное решение всегда работает лучше всего: большие файлы, требующие доступа с низкой задержкой, сохраняются в хранилищах локального сервера, а документы проектов для совместной работы хорошо работают в Teams.

Зачастую это самый трудоемкий этап проекта, но зачастую это нелюбимый процесс. Поэтому не торопитесь на этом этапе и работайте с ключевыми заинтересованными сторонами и владельцами данных, чтобы выбрать лучший план и место для хранения таких данных.

Шаг 3

После того как вы оценили и очистили свои данные, вам следует оценить использование Microsoft Teams. Microsoft Teams — отличный инструмент для проектно-ориентированной работы, поскольку он позволяет пользователям совместно работать над файлами, звонками и собраниями в режиме реального времени.

Microsoft Teams преимущественно поддерживается группами Microsoft 365. При создании группы также создаются многие другие службы, такие как группа Microsoft 365, сайт группы SharePoint Online, групповой почтовый ящик Exchange и коллекция в OneNote.

Также полезно логически понять, как Microsoft Teams устроена с другими службами Microsoft 365:

  • Ваши личные файлы в Teams сохраняются в вашем личном пространстве OneDrive.
  • Общие файлы в Teams сохраняются на сайтах SharePoint Online. Это также означает, что вы можете получить доступ к файлам без необходимости использовать непосредственно Teams.
  • Сообщения в каналах Teams сохраняются в почтовом ящике Exchange группы.
  • Сообщения чата «один на один» сохраняются в почтовом ящике отдельного пользователя.
  • Информация календаря сохраняется в почтовом ящике отдельного пользователя.

Шаг 4

Теперь, когда вы спланировали свою стратегию обработки данных с использованием SharePoint Online и Teams, вам следует внедрить Azure AD Connect на рядовом сервере или контроллере домена, чтобы синхронизировать пароли пользователей между их входом в Windows и Microsoft 365.

Включение синхронизации паролей с Azure AD Connect упростит работу пользователя, и ему больше не придется запоминать несколько паролей, тем более что теперь вы собираетесь представить такие службы, как OneDrive и Teams, которые будут запрашивать повторный вход в систему. Обычно вы обнаружите, что если организация не использует Azure AD Connect, пользователи редко помнят свой пароль Microsoft 365, что приводит к административной нагрузке для вашей ИТ-команды.

Инструкции по установке Azure AD Connect можно найти в моем посте: Как установить Azure AD Connect и управлять им.

Шаг 5

Следующим шагом должен стать перенос ваших данных в SharePoint Online и Microsoft Teams. Для этого у вас есть два фантастических бесплатных инструмента от Microsoft:

  • Средство миграции SharePoint (SPMT)
  • Менеджер по миграции SharePoint

Используйте этот полезный учебный документ от Microsoft Learn, посвященный особенностям миграции общих файловых ресурсов в SharePoint/Teams.

После переноса данных вам следует на некоторое время отключить файловый сервер (или вы можете просто отключить сеть), чтобы ничего не осталось.

Шаг 6

На этом этапе вы должны находиться на этапе, когда у вас есть согласованные идентификаторы пользователей между локальным активным каталогом и Azure AD. Вы также должны хранить все свои данные в SharePoint и Microsoft Teams.

Поскольку все ваши критически важные системы теперь находятся в облаке, нам необходимо подготовить вашего клиента Microsoft 365/Azure к предлагаемому решению по управлению устройствами через Microsoft Intune и использованию Auto Pilot.

Вы должны убедиться, что делаете следующее:

  1. Включите автоматическую регистрацию для Microsoft Intune. Это гарантирует, что когда устройства присоединяются к AzureAD вручную или через OOBE, они также регистрируются в системе управления устройствами.
  2. Добавьте устройства в службу Windows Autopilot

Шаг 7

К сожалению, простого включения служб управления недостаточно для эффективного использования управления устройствами Intune. Перед началом тестирования необходимо настроить некоторые другие параметры.

Профили конфигурации — это пакеты настроек, которые вы применяете к своим устройствам на основе личности пользователя или устройства. Например, если вы хотите настроить включение Защитника Windows на всех устройствах, вам следует настроить профиль конфигурации с включенным этим параметром и динамически назначить его всем устройствам.

Политики соответствия. Они определяют, соответствует ли устройство определенному стандарту в Intune. Например, если вы требуете, чтобы ваши устройства Windows использовали BitLocker и включили его, вы можете указать это в своей политике соответствия, и тогда ваше устройство будет отмечено как совместимое или несоответствующее. Политики соответствия могут работать вместе с политиками условного доступа, блокируя доступ к службам, если устройство помечено как не соответствующее требованиям.

Количество обновлений. Кольцо обновлений определяет, как обновления Windows (и связанные с ними приложения и драйверы) развертываются на ваших рабочих станциях. Вы можете настроить периоды отсрочки обновления функций и исправлений, обновление или отсрочку обновления Windows 11, периоды удаления обновлений функций, предварительные развертывания, часы активного обновления, поведение автоматического обновления и многое другое. Это важный шаг как для обеспечения своевременного развертывания обновлений, так и для улучшения пользовательского опыта обновлений.

Потратьте некоторое время, чтобы просмотреть центр администрирования Intune и просмотреть все настройки, которые могут повысить ценность вашей организации.

Шаг 8

Поскольку мы планируем выполнить полный сброс каждого устройства Windows, любые сторонние приложения (например, веб-браузеры или служебные приложения) необходимо будет переустановить. К счастью, Intune позволяет вам удаленно развертывать приложения с портала управления на ваше устройство.

Существует множество типов приложений, которые можно развернуть на своем устройстве. Наиболее часто используемые типы приложений включают:

  • .MSI
  • Интуневин
  • Office C2R (нажмите, чтобы запустить)
  • ПРИЛОЖЕНИЕ
  • Магазин бизнес-приложений

Шаг 9

Сейчас вы находитесь на этапе тестирования. Вам следует определить устройство и учетную запись пользователя, которые могут быть прерваны, и провести пилотный запуск сброса устройства через «Настройки» > «Обновление и безопасность» > «Восстановление» > «Сбросить этот компьютер».

Устройство должно перезагрузиться и перейти к первому запуску (из коробки). Когда вы входите в свою корпоративную учетную запись, устройство должно зарегистрироваться в службах AutoPilot и Intune. Это должно быть очевидно на основе параметров, которые вы настроили в каждой службе, и вашего опыта работы с устройством.

Выполняя каждый шаг, вы должны записывать процесс с помощью изображений или видеозаписи. Любой шаг, требующий участия пользователя, должен быть тщательно задокументирован, особенно если такой шаг будет выполнять конечный пользователь.

После входа в систему убедитесь, что все необходимые приложения и профили конфигурации развернуты правильно, и при необходимости настройте любые параметры. Если вас устраивает процесс, вы можете перейти к полному развертыванию.

Шаг 10

После завершения тестирования вы готовы провести полную миграцию для оставшихся рабочих станций. В зависимости от того, сколько у вас устройств и в скольких местах они находятся, вы можете подойти к этому разными способами.

Вероятно, если у вас около 30 устройств в одном месте, вы можете легко сбросить настройки групп устройств одновременно и выполнить эту работу в течение нескольких дней или недели. Однако если у вас сотни устройств, вам следует включить в них тестирование некоторых методов автоматизации и, возможно, делегировать кого-нибудь в каждом месте для оказания помощи в этом процессе. Например, вы можете зарегистрировать свои устройства в Intune/Autopilot с помощью гибридного присоединения к домену и групповой политики, а затем сбросить настройки устройства через портал управления. Или вы можете использовать инструмент RMM для сброса устройства. Ваш подход будет зависеть от размера и сложности вашей системы Windows.

Шаг 10

Часто этот шаг можно упустить из виду, особенно если в разных местах действуют разные нормативы, и это усложняет ваш и без того большой проект. Однако реализация условного доступа является важным шагом на пути модернизации вашей инфраструктуры.

Вам следует оценить, каким приложениям и пользователям вы хотите потребовать определенные элементы управления, такие как требование многофакторной аутентификации, ограничения сеансов или даже элементы управления блокировкой.

В идеальном мире вам следует охватить все свое имущество с помощью одной или двух политик соответствия, которые нацелены на всех пользователей для MFA и на все устройства для обеспечения соответствия.

Следуйте моему руководству «Как создать политику условного доступа».

Шаг 11

Наконец, через определенный период времени, обычно от 2 недель до месяца. При необходимости вам следует вывести из эксплуатации серверную инфраструктуру. В некоторых случаях вам может потребоваться обслуживание нескольких серверов Windows, однако, если такого требования больше нет, вам следует убедиться, что они остаются выключенными в течение указанного выше периода времени, а затем выводятся из эксплуатации.