Ίσως εξακολουθούν να χρησιμοποιούν παλαιού τύπου λογισμικό και η μετεγκατάσταση σε διαφορετική πλατφόρμα θα διαρκούσε πολύ και θα απαιτούσε πάρα πολλούς πόρους.
Εναλλακτικά, δεν είναι πολύ εύκολο να αποθηκεύουν μεγάλες ποσότητες διαβαθμισμένων πληροφοριών στο cloud. Όποιος κι αν είναι ο λόγος, δεν είναι πραγματικά πρακτικό για αυτούς να ζητούν από τους χρήστες τους να διατηρήσουν δύο ξεχωριστές ταυτότητες.
Εδώ μπαίνει το Azure AD Connect. Ουσιαστικά, το Azure AD Connect λειτουργεί ως Single Sign-On συγχρονίζοντας αυτόματα τις ταυτότητες του Microsoft cloud με το εσωτερικό σας περιβάλλον AD. Ακολουθούν ορισμένες οδηγίες που πρέπει να ακολουθήσετε όταν χρησιμοποιείτε το Azure AD Connect.
Βέλτιστες πρακτικές για τη χρήση του Azure AD Connect
1. Προστατέψτε τον server που τρέχει το Azure AD Connect
Βεβαιωθείτε ότι ο server που εκτελεί τον agent Azure AD Connect είναι σωστά ασφαλισμένος. Περιορίστε τους λογαριασμούς που μπορούν να συνδεθούν στον server, ειδικά σε αυτούς με δικαιώματα τοπικής διαχείρισης. Θα χρειαστεί επίσης να ελέγξετε τη φυσική πρόσβαση στον server και να επιβάλετε μια ισχυρή πολιτική κωδικού πρόσβασης. Εάν πρέπει να επιτρέψετε σε άλλους χρήστες να έχουν πρόσβαση στο εργαλείο Azure AD Connect Sync, μπορείτε να τις προσθέσετε στην ομάδα ADSyncAdmins στον τοπικό server. Όπως πάντα, ελέγξτε ότι χρειάζονται πραγματικά πρόσβαση στο εργαλείο προτού το κάνετε.
2. Προσδιορίστε ποιοι χρήστες και αντικείμενα ομάδας μπορούν να συγχρονιστούν με το Azure AD
Από προεπιλογή, όλα τα αντικείμενα χρήστη και ομάδας θα συγχρονιστούν με το Azure AD. Ωστόσο, πολλές ομάδες εσωτερικής εγκατάστασης δεν χρειάζεται στην πραγματικότητα να συγχρονιστούν με το cloud. Στην πραγματικότητα, πολλά από αυτά μπορεί να μην απαιτούνται πλέον. Είναι καλή ιδέα να αφαιρέσετε τυχόν πλεονάζουσες ομάδες από το εσωτερικό σας AD, ανεξάρτητα από το αν χρησιμοποιείτε το Azure AD Connect ή όχι. Μπορείτε επίσης να χρησιμοποιήσετε τις δυνατότητες φιλτραρίσματος της μηχανής συγχρονισμού για να εξαιρέσετε τυχόν ομάδες που δεν είναι σχετικές. Είναι επίσης καλή ιδέα να απενεργοποιήσετε προσωρινά την προγραμματισμένη εργασία συγχρονισμού προτού κάνετε σημαντικές αλλαγές, καθώς αυτό θα αποτρέψει τον αυτόματο συγχρονισμό τυχόν λαθών μεταξύ του Azure AD και του εσωτερικού σας περιβάλλοντος.
3. Μην συγχρονίζετε τις On-Premises Ομάδες Διαχειριστή με το Azure AD
Δεν υπάρχει λόγος να συγχρονίσετε τις ομάδες διαχειριστή με το Azure AD, καθώς είναι συγκεκριμένες για το εσωτερικό περιβάλλον σας και, επομένως, δεν σχετίζονται με το περιβάλλον του cloud σας. Στην πραγματικότητα, κάτι τέτοιο θα εισαγάγει μόνο περιττούς κινδύνους, καθώς περισσότεροι πιθανοί αντίπαλοι θα γνωρίζουν ποιες ομάδες (και επομένως διαχειριστές) να στοχεύσουν.
4. Βεβαιωθείτε ότι ο κύκλος συγχρονισμού εκτελείται τουλάχιστον μία φορά κάθε 7 ημέρες
Από προεπιλογή, ένας κύκλος συγχρονισμού εκτελείται κάθε 30 λεπτά. Η Microsoft συνιστά, εάν επιλέξετε να τροποποιήσετε τον κύκλο συγχρονισμού, για οποιονδήποτε λόγο, να βεβαιωθείτε ότι εκτελείται τουλάχιστον μία φορά κάθε 7 ημέρες. Η αποτυχία να το κάνετε αυτό μπορεί να οδηγήσει σε ζητήματα που πρέπει να επιλυθούν εκτελώντας έναν πλήρη συγχρονισμό. Αυτό μπορεί να πάρει πολύ χρόνο για να ολοκληρωθεί.
5. Μην υποθέτετε ότι το AD Connect θα χρησιμεύσει ως αξιόπιστη λύση δημιουργίας αντιγράφων ασφαλείας και ανάκτησης
Αν και είναι αλήθεια ότι το Azure AD connect θα συγχρονίσει τα δεδομένα σας στο cloud με το εσωτερικό περιβάλλον AD σας, δεν θα πρέπει να θεωρείται ως αξιόπιστη λύση δημιουργίας αντιγράφων ασφαλείας και ανάκτησης. Το ζήτημα είναι ότι τα αντικείμενα Azure AD περιέχουν ορισμένα χαρακτηριστικά που είναι ειδικά για τις υπηρεσίες cloud που τα χρησιμοποιούν.
Εάν διαγράψατε κατά λάθος ένα αντικείμενο στο Azure AD και, επομένως, προσπαθήσατε να επαναφέρετε ένα αντίγραφο ασφαλείας από το εσωτερικό περιβάλλον σας, αυτά τα χαρακτηριστικά θα χαθούν. Σε αυτήν την περίπτωση, τα αντικείμενα που έχουν αποκατασταθεί δεν θα είναι προσβάσιμα στο Microsoft 365, στο Teams, στο SharePoint Online, στο OneDrive και σε άλλες υπηρεσίες που βασίζονται σε cloud. Το ίδιο πρόβλημα προκύπτει όταν διαγράφετε τα χαρακτηριστικά ενός αντικειμένου, σε αντίθεση με το ίδιο το αντικείμενο. Ως εκ τούτου, είναι πολύ σημαντικό να χρησιμοποιείτε μια λύση δημιουργίας αντιγράφων ασφαλείας και ανάκτησης εταιρικού επιπέδου σε αντίθεση με το να βασίζεστε στο Azure AD Connect.
6. Προστατέψτε τους λογαριασμούς AD Azure με προνόμια επιπέδου διαχειριστή
Βεβαιωθείτε ότι όλοι οι λογαριασμοί διαχειριστή έχουν εκχωρηθεί σε προκαθορισμένους ρόλους. Δεδομένου ότι ένας λογαριασμός Global Administrator θα έχει πρόσβαση σε όλες τις ρυθμίσεις διαχείρισης στο περιβάλλον σας Azure AD, βεβαιωθείτε ότι δεν έχουν ανατεθεί περισσότερα από πέντε άτομα σε αυτόν τον ρόλο. Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), διαχείριση πρόσβασης ταυτότητας (IAM) και μια λύση ελέγχου αλλαγών σε πραγματικό χρόνο για την προστασία του λογαριασμού Global Administrator και άλλων λογαριασμών με προνόμια σε επίπεδο διαχειριστή.