Entwurfsentscheidung: Überlegungen zur Benutzermigration

Die meisten Endbenutzer verbinden sich von außerhalb der Azure-Cloud, wenn sie mit ihren eigenen Geräten oder Geräten aus Ihrem Unternehmen auf Cloud-Ressourcen zugreifen. Die Benutzer- und Geräteeigenschaften haben großen Einfluss auf das Design und die Architektur der Cloud-Umgebung und die empfohlenen Migrationspfade. Die Art und Weise, wie Sie Ihre Umgebung heute verwalten, stellt bestimmte Anforderungen, wenn dieses Managementsystem auf Azure umgestellt wird.

Die Benutzer werden hauptsächlich über die Verzeichnisdienste verwaltet. Wenn Sie eine reine Cloud-Bereitstellung von Benutzern verwenden, erstellen Sie zunächst einen Azure AD-Mandanten. Anschließend verknüpfen Sie diesen Mandanten mit Azure AD und erstellen die Benutzer und Gruppen direkt in Azure AD. Wenn Sie über eine vorhandene Bereitstellung verfügen, können Sie Azure AD Connect verwenden, um Ihre AD-Benutzer und Gruppen automatisch mit Azure AD zu synchronisieren.

Normalerweise ist die Installation und Konfiguration von Azure AD Connect für die Synchronisierung mit Azure AD ein zeitaufwändiger Prozess. Die für die Einrichtung von Azure AD Connect aufgewendete Zeit lohnt sich, da Benutzer einfacher auf Ressourcen zugreifen können. Die Implementierung von Azure AD wird als beste langfristige Cloud-Strategie für die Authentifizierung empfohlen.

Hier sind die Fragen, die Sie zur Benutzerverwaltung beantworten müssen:

Welchen Identitätsanbieter brauche ich für die Citrix Cloud?

  • Die Citrix Cloud unterstützt die folgenden Identitätsanbieter nativ:
    • On-Premises-Active Directory
    • Azure Active Directory
    • Citrix-Identitätsanbieter
    • Über 20 föderierte Drittanbieter wie Okta oder Ping
  • Wählen Sie den Identitätsanbieter aus, der für Ihre Citrix Cloud-Bereitstellung am sinnvollsten ist. Vergessen Sie nicht, alle vorhandenen Anwendungen und deren Anforderungen für die Integration in Cloud-Dienste zu berücksichtigen

  • Stellen Sie fest, ob die Verwendung eines mit einer on-premises Bereitstellung eingerichteten Verbandes eine Voraussetzung für Benutzeridentitäten ist. Beispiele für potenzielle Verbände sind Kerberos-basierte SSO, SAML oder MFA mit Smartcards oder Hardware-Token wie RSA SecurID.

Wie verschiebe ich meine vorhandenen on-premises AD-Benutzer und Gruppen zu Azure AD?

  • Lesen Sie die verfügbare Microsoft-Dokumentation, um festzustellen, welches Design für Ihre Geschäftsanforderungen am besten geeignet ist

  • Stellen Sie sicher, dass das Lizenzmodell für Ihr Azure AD die Funktionen und die Anzahl der Benutzer für Ihre Umgebung unterstützt.

  • Microsoft empfiehlt die Installation eines Domänencontrollers in Azure zur Synchronisation mit Ihren on-premises Domänencontrollern über Azure ExpressRoute oder VPN. Ein Domänencontroller in Azure verbessert die Azure AD Connect-Synchronisationsleistung.

  • Installieren und konfigurieren Sie Azure AD Connect und ermöglichen Sie ihm, Ihre Benutzer und Gruppenmitgliedschaften mit Azure AD zu synchronisieren

  • Ein einzelner Azure AD Connect-Server ist für die Synchronisation auf eine einzelne Gesamtstruktur beschränkt. Die Verwendung von Azure AD Connect ist komplizierter, wenn mehrere AD-Domänen innerhalb derselben Gesamtstruktur am Synchronisierungsprozess beteiligt sind.

  • Abhängig von der erforderlichen Hybrididentität können verschiedene Optionen aktiviert werden:
    • Kennwort-Hashsynchronisation (PHS)
    • Pass-Through-Authentifizierung (PTA)
    • Multifaktor-Authentifizierung (nur Cloud-basiert)
    • Single Sign-On mit Verbunddiensten (Smartcards, Benachrichtigungen über den Ablauf von Kennwörtern, on-premises MFA)
  • Wenn nicht alle Benutzer mit Azure AD synchronisiert werden müssen, unterstützt Azure AD Connect die Filterung auf Domänen-, Organisationseinheit-, Attribut- oder Gruppenebene.

  • Filtern Sie den AD-Bereich so, dass er nur Objekte enthält, die in Azure AD enthalten sein müssen

  • Große Verzeichnisse benötigen viel Zeit für den Import. Derzeit drosselt Azure AD Schreibvorgänge auf 84.000 pro Stunde, sodass Sie ausreichend Zeit für eine vollständige Synchronisierung einplanen müssen.

  • Überwachen und konfigurieren Sie Warnungen mithilfe des Azure AD Connect Health-Portals in Azure

Überlegungen zum Entwurf der hybriden Azure Active Directory

Azure AD Connect-Synchronisierung: Synchronisation verstehen und anpassen

Verbinden von Azure Active Directory mit Citrix Cloud

Was ist eine hybride Identität mit Azure Active Directory?

Entwurfsentscheidung: Überlegungen zur Benutzermigration

In diesem Artikel