Создать и настроить гибридную IT-инфраструктуру, на первый взгляд, не просто. Есть большое количество «НО», которые необходимо учитывать. Это и взаимодействие инструментов управления локальной сетью и облаком, и высокие требования к внутренней инфраструктуре и компетенциям сотрудников, и, в конце концов, обеспечение безопасности данных в гибридном облаке. Кроме того, чтобы корректно построить гибридную инфраструктуру, нужно провести предпроектное обследование и планирование, затем тщательно реализовать подготовительные работы.
В данной статье мы расскажем, с чего необходимо начать формирование гибридной инфраструктуры компании, и каких ошибок при этом избегать. С помощью Cloud-решений Microsoft можно легко и быстро перенести часть локальных ресурсов в облако. Подготовка к развертыванию гибридной инфраструктуры, синхронизация локальной и облачной службы Active Directory требует не больше 24 часов.
Пять ответов на вопрос «Зачем нужна гибридная инфраструктура локального AD с Azure AD?»
Прежде, чем мы перейдем к практическим шагам организации гибридной инфраструктуры с Azure AD, давайте посмотрим, какие задачи она решает.
1) Позволяет сократить число паролей к разным элементам инфраструктуры, предоставляет удобный и безопасный доступ к ресурсам компании с любого устройства из любой точки мира. Это возможно благодаря технологии Единого входа (Single Sing On), с помощью которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.
Сокращение количества паролей приводит к удобному использованию сервисов и повышает безопасность от компрометации учетных записей пользователей.
2) Обеспечивает удобный безопасный удаленный доступ к ресурсам компании. Повышение уровня безопасности происходит с помощью многофакторной проверки подлинности и дополнительной необходимости использовать биометрические параметры пользователя. Таким образом компания повышает безопасность использования корпоративных ресурсов за пределами защищенного домена.
3) Обеспечивает безопасный доступ к критически важной информации компании путем ограничения подключений из определенного пула IP-адресов. Включение условного доступа на основе состояния устройства позволяет повысить защищенность данных в организации. Чтобы использовать условный доступ, требуется управляемое устройство, соответствующее требованиям Azure AD или гибридное устройство, присоединенное к Azure AD.
4) Позволяет организовать управление лицензиями используемых устройств без построения сложных систем учета. Все устройства Windows 10, присоединенные к Azure AD, проходят проверку лицензий, что дает возможность автоматически обновлять лицензии с уровня Pro до Enterprise через Microsoft Cloud. Когда вы удаляете у пользователя соответствующую подписку, для устройства автоматически понижается уровень лицензии. Эта функция предоставляет единый уровень управления для лицензий Windows, не требующий использования сложных процессов или локальных систем.
5) Снижает нагрузки и затраты на содержание IT-службы, позволяет оптимизировать процессы построения безопасной IT-среды для работы компании.
С чего необходимо начать? Два простых шага: аудит и план
Axoft – официальный дистрибутор Microsoft CSP – работает на IT-рынке более 17 лет. В штате компании – сертифицированные корпорацией Microsoft инженеры, реализовавшие более 120 проектов в сфере миграции и построения гибридных инфраструктур с помощью Microsoft Cloud. |
Конечно, начать необходимо с аудита локальной инфраструктуры компании. Аудит должен выявить сильные и слабые места вашей инфраструктуры, какие элементы необходимо перенести в облако, а какие лучше оставить в локальном доступе. Вам потребуется провести полный анализ всех сервисов компании, определить их значимость и объём ресурсов потребления.
Следующим этапом в подготовке развертывания гибридной инфраструктуры является создание плана. И здесь немаловажными будут знания об основных ошибках, которые допускают специалисты при построении гибридной среды.
ТОП-4 типичных ошибок:
- Работы были начаты без предварительного плана.
- Локальная инфраструктура не была подготовлена к началу работ.
- Недостаточный уровень знаний по решениям, с которыми будет проводиться работа.
- Перед выполнением работ не был сделан бэкап критических данных, которые планируется переносить в облако.
Понимание, какие подводные камни могут возникнуть при организации гибридной среды, уже на этапе планирования поможет избежать ненужных проблем и упростить процесс развертывания инфраструктуры.
Планирование развертывания гибридной инфраструктуры с Azure AD. Три основных шага
Как только определён четкий план построения гибрида, перед IT-специалистами компании встает вопрос: на что следует обратить внимание и с чего начать работу? Опираясь на свой опыт, мы описали ключевые шаги, требующиеся для организации гибридной инфраструктуры c Azure AD. Итак, необходимо заранее запланировать и подготовить следующее:
1. Приобрести подписку к Azure, написав нам запрос https://cloudteam.axoftglobal.com. Без подписки не будет доступа к Azure.
2. Подготовить локальную инфраструктуру организации:
- Очистка AD DS. Перед синхронизацией AD DS с клиентом Azure AD необходимо очистить AD DS от повторяющихся значений. Все наименования должны быть уникальными.
- Настройка объекта справочника и подготовка атрибутов. Для успешной синхронизации каталогов между AD DS и Microsoft 365 необходимо правильно подготовить атрибуты AD DS. Например, вам необходимо убедиться, что определенные символы не используются в определенных атрибутах, которые синхронизируются со средой Microsoft 365. Неожиданные символы не приводят к сбою синхронизации каталогов, но могут возвращать предупреждение. Недопустимые символы приведут к сбою синхронизации каталогов.
- Подготовка атрибута userPrincipalName. UPN должен быть в формате nameorg.ru Рекомендуем использовать утилиту Idfix и запустить ее внутри домена. Она покажет ошибки с учетными записями – например, логин на русском языке или наличие каких-либо дубликатов.
3. Создать отдельный Organization Unit (OU, группа в Active Directory) для синхронизации пользователей. Чтобы в этих OU не было Учетных Записей, которые НЕ нужно синхронизировать. Исключить служебные, тестовые Учетные записи с административными правами, которые не будут использоваться в облаке.
Подготовка облачной инфраструктуры. 5 главных моментов
После подготовки локальной инфраструктуры, можно переходить к подготовке облачной инфраструктуры:
1. Настроить доменное имя в тенанте, которое будет полностью совпадать с локальным именем локального домена в формате name.ru. Стандартные имена в формате onmicrosoft.com и Local использовать нельзя.
2. Скачать утилиту Azure AD Connect для синхронизации с Azure AD.
3. Определиться с местом установки – все АРМ должны работать 24/7 с подключенным доступом к сети Интернет, в т.ч.:
- локальный сервер AD;
- сторонний сервер;
- компьютер администратора.
4. Установить Azure AD Connect. В процессе работы Azure AD Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2012 Express LocalDB. Можно также использовать стороннюю БД.
5. Подготовить учетную запись с правами глобального администратора и УЗ с правами администратора локального AD. Далее можно начинать установку и настройку Azure AD Connect.
После проведения всех подготовительных работ можно приступать к настройке гибридной инфраструктуры Azure AD. Хотите получить об этом более детальную информацию? Приходите на наши онлайн-семинары. В рамках мероприятий мы расскажем о том, как обеспечить безопасное подключение к корпоративным ресурсам компании, как можно сэкономить при миграции в облако, как правильно и экономично делать backup в облако и многом другом, а также ответим на все возникающие вопросы. Зарегистрироваться на онлайн-семинары вы сможете, перейдя по ссылке: https://cloudteam.axoftglobal.com/webs-azure