Как просто организовать гибридную инфраструктуру с Azure AD: с чего начать и как избежать типичных ошибок

Создать и настроить гибридную IT-инфраструктуру, на первый взгляд, не просто. Есть большое количество «НО», которые необходимо учитывать. Это и взаимодействие инструментов управления локальной сетью и облаком, и высокие требования к внутренней инфраструктуре и компетенциям сотрудников, и, в конце концов, обеспечение безопасности данных в гибридном облаке. Кроме того, чтобы корректно построить гибридную инфраструктуру, нужно провести предпроектное обследование и планирование, затем тщательно реализовать подготовительные работы.
В данной статье мы расскажем, с чего необходимо начать формирование гибридной инфраструктуры компании, и каких ошибок при этом избегать. С помощью Cloud-решений Microsoft можно легко и быстро перенести часть локальных ресурсов в облако. Подготовка к развертыванию гибридной инфраструктуры, синхронизация локальной и облачной службы Active Directory требует не больше 24 часов.
Пять ответов на вопрос «Зачем нужна гибридная инфраструктура локального AD с Azure AD?»
Прежде, чем мы перейдем к практическим шагам организации гибридной инфраструктуры с Azure AD, давайте посмотрим, какие задачи она решает.
Позволяет сократить число паролей к разным элементам инфраструктуры, предоставляет удобный и безопасный доступ к ресурсам компании с любого устройства из любой точки мира. Это возможно благодаря технологии Единого входа (Single Sing On), с помощью которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.
Сокращение количества паролей приводит к удобному использованию сервисов и повышает безопасность от компрометации учетных записей пользователей.
Обеспечивает удобный безопасный удаленный доступ к ресурсам компании. Повышение уровня безопасности происходит с помощью многофакторной проверки подлинности и дополнительной необходимости использовать биометрические параметры пользователя. Таким образом компания повышает безопасность использования корпоративных ресурсов за пределами защищенного домена.
Обеспечивает безопасный доступ к критически важной информации компании путем ограничения подключений из определенного пула IP-адресов. Включение условного доступа на основе состояния устройства позволяет повысить защищенность данных в организации. Чтобы использовать условный доступ, требуется управляемое устройство, соответствующее требованиям Azure AD или гибридное устройство, присоединенное к Azure AD.
Позволяет организовать управление лицензиями используемых устройств без построения сложных систем учета. Все устройства Windows 10, присоединенные к Azure AD, проходят проверку лицензий, что дает возможность автоматически обновлять лицензии с уровня Pro до Enterprise через Microsoft Cloud. Когда вы удаляете у пользователя соответствующую подписку, для устройства автоматически понижается уровень лицензии. Эта функция предоставляет единый уровень управления для лицензий Windows, не требующий использования сложных процессов или локальных систем.
Снижает нагрузки и затраты на содержание IT-службы, позволяет оптимизировать процессы построения безопасной IT-среды для работы компании.
С чего необходимо начать? Два простых шага: аудит и план
Конечно, начать необходимо с аудита локальной инфраструктуры компании. Аудит должен выявить сильные и слабые места вашей инфраструктуры, какие элементы необходимо перенести в облако, а какие лучше оставить в локальном доступе. Вам потребуется провести полный анализ всех сервисов компании, определить их значимость и объём ресурсов потребления.
Следующим этапом в подготовке развертывания гибридной инфраструктуры является создание плана. И здесь немаловажными будут знания об основных ошибках, которые допускают специалисты при построении гибридной среды.
ТОП-4 типичных ошибок:
Работы были начаты без предварительного плана.
Локальная инфраструктура не была подготовлена к началу работ.
Недостаточный уровень знаний по решениям, с которыми будет проводиться работа.
Перед выполнением работ не был сделан бэкап критических данных, которые планируется переносить в облако.
Понимание, какие подводные камни могут возникнуть при организации гибридной среды, уже на этапе планирования поможет избежать ненужных проблем и упростить процесс развертывания инфраструктуры.
Планирование развертывания гибридной инфраструктуры с Azure AD. Три основных шага
Как только определён четкий план построения гибрида, перед IT-специалистами компании встает вопрос: на что следует обратить внимание и с чего начать работу? Опираясь на свой опыт, мы описали ключевые шаги, требующиеся для организации гибридной инфраструктуры c Azure AD. Итак, необходимо заранее запланировать и подготовить следующее:
Приобрести подписку к Azure, написав нам запрос. Без подписки не будет доступа к Azure.
Подготовить локальную инфраструктуру организации:
Очистка AD DS. Перед синхронизацией AD DS с клиентом Azure AD необходимо очистить AD DS от повторяющихся значений. Все наименования должны быть уникальными
Настройка объекта справочника и подготовка атрибутов. Для успешной синхронизации каталогов между AD DS и Microsoft 365 необходимо правильно подготовить атрибуты AD DS. Например, вам необходимо убедиться, что определенные символы не используются в определенных атрибутах, которые синхронизируются со средой Microsoft 365. Неожиданные символы не приводят к сбою синхронизации каталогов, но могут возвращать предупреждение. Недопустимые символы приведут к сбою синхронизации каталогов.
Подготовка атрибута userPrincipalName. UPN должен быть в формате nameorg.ru Рекомендуем использовать утилиту Idfix и запустить ее внутри домена. Она покажет ошибки с учетными записями – например, логин на русском языке или наличие каких-либо дубликатов.
Создать отдельный Organization Unit (OU, группа в Active Directory) для синхронизации пользователей. Чтобы в этих OU не было Учетных Записей, которые НЕ нужно синхронизировать. Исключить служебные, тестовые Учетные записи с административными правами, которые не будут использоваться в облаке.

Подготовка облачной инфраструктуры. 5 главных моментов
После подготовки локальной инфраструктуры, можно переходить к подготовке облачной инфраструктуры:
Настроить доменное имя в тенанте, которое будет полностью совпадать с локальным именем локального домена в формате name.ru. Стандартные имена в формате onmicrosoft.com и Local использовать нельзя.
Скачать утилиту Azure AD Connect для синхронизации с Azure AD.
Определиться с местом установки – все АРМ должны работать 24/7 с подключенным доступом к сети Интернет, в т.ч.:
локальный сервер AD;
сторонний сервер;
компьютер администратора.
Установить Azure AD Connect. В процессе работы Azure AD Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2012 Express LocalDB. Можно также использовать стороннюю БД.
Подготовить учетную запись с правами глобального администратора и УЗ с правами администратора локального AD. Далее можно начинать установку и настройку Azure AD Connect.

После проведения всех подготовительных работ можно приступать к настройке гибридной инфраструктуры Azure AD. Хотите получить об этом более детальную информацию? Приходите на наши онлайн-семинары. В рамках мероприятий мы расскажем о том, как обеспечить безопасное подключение к корпоративным ресурсам компании, как можно сэкономить при миграции в облако, как правильно и экономично делать backup в облако и многом другом, а также ответим на все возникающие вопросы. Зарегистрироваться на онлайн-семинары вы сможете, перейдя по ссылке: http://cloudteam.axoftglobal.com/webs-azure?utm_medium=securitylab

Axoft – официальный дистрибутор Microsoft CSP – работает на IT-рынке более 17 лет. В штате компании – сертифицированные корпорацией Microsoft инженеры, реализовавшие более 120 проектов в сфере миграции и построения гибридных инфраструктур с помощью Microsoft Cloud.

Источник 📢