如何逐步从本地 AD 迁移到 Azure

从本地 AD 服务器迁移到 Azure AD 加入的设备是任何不再需要快速、低延迟访问的企业的常见方案数据并已投资于 Microsoft 365。

这可能意味着公司的所有业务应用程序都可以通过 Web 访问，并且可以通过 Microsoft Teams 和 SharePoint 等平台保存信息并进行协作。

在这篇文章中，我将向您展示如何逐步将本地 AD 迁移到 Azure。

在这里，我们将讨论一个假设的场景，即一家想要进行这种转变并完成整个过程的企业。然后，我们将详细说明从开始到结束的规划步骤，这将使我们能够转向基于工作的现代解决方案。

AD迁移场景

OurCloudNetwork 有一个本地域控制器，还托管公司的主要公司文件共享。所有公司工作站都加入了 Active Directory，并且已经在使用 Microsoft 365 套件中的 Exchange Online 发送电子邮件。

现已确定，他们的最后一个本地会计应用程序可以迁移到云并进行现代化访问，以使用 Web 浏览器体验并通过 Azure Active Directory 单点登录进行登录。因此，不再需要客户端/服务器架构。

在这种情况下，其他一些事实也成立：

• 单个 Windows 服务器运行 Windows Server 2012 R2
• 一些客户端正在运行 Windows 10 的早期版本和一些 Windows 11
• 打印要求最低，没有共享打印机，一些用户有自己的 USB 桌面打印机
• 一些自定义组策略用于管理本地客户端实用程序应用程序
• 保存在用户桌面上且未备份的文件是一个问题
• OurCloudNetwork 希望与外部公司进行项目合作

所需的最终目标

根据当前环境和要求，提出了以下最终目标来实现 OurCloudNetwork 基础设施的现代化。

本地服务器

本地服务器将停用，并且 Active Directory 中的身份将使用 Azure AD Connect 同步工具同步到 Azure Active Directory。

任何现有的组策略都将从服务器导出并迁移到 Microsoft Intune。

现有文件共享将迁移到 SharePoint 和 Microsoft Teams，并具有 Microsoft 365 组支持的权限。

Exchange Online 将继续作为 Microsoft 365 套件的一部分使用。

Microsoft 365 中的用户许可将升级到 Microsoft 365 E3 以适应所需的更改。

客户端工作站

所有客户端工作站都将从域中删除，并通过 Intune 加入 Azure Active Directory 以进行设备管理。

Intune 还将在计算机上实施策略并处理 Windows 操作系统的更新管理。

安全

由于合规性已被确定为一个问题，因此设备合规性策略将在条件访问策略的支持下实施，以实施控制。

将为所有用户实施强大的多重身份验证（不是短信或电话），但需要监控使用情况的碎玻璃帐户除外。

从本地 AD 迁移到 Azure 的计划

第 1 步

您应该首先确保所有用户都获得针对您正在实施的解决方案的适当许可。在我们的场景中，我们选择了 Microsoft 365 E3 企业计划。该许可证为我们提供了构建有效且安全的解决方案所需的所有云服务、安全工具和管理工具。其他企业计划可在此处查看：https://www.microsoft.com/en-gb/microsoft-365/compare-microsoft-365-enterprise-plans。如果您的组织用户数低于 300 名并且不需要 Exchange Online Plan 2、混合许可、额外 DLP 和支持等改进功能，您还可以选择获取 M365 Business Premium 许可证。

您应该研究每种可用许可证类型之间的差异，并根据业务需求做出决定，例如：混合服务器要求、安全性、合规性和数据。 Microsoft 的端点管理和支持。

步骤 2

您的用户可能将数据保存到其工作站上（即使您不同意此声明），但这些数据不在您组织的备份范围内或保存在云中。无论如何，此步骤应涉及清理公司数据并确保用户的关键数据（他们当前经常使用的数据）保存到他们的 OneDrive（至少）。

首先，您应该确保客户端的工作站上安装了最新的 OneDrive 客户端。 OneDrive可以在这里下载，您应该按照安装向导来“备份”重要数据。我说备份是因为您在这个阶段并不是按照传统方式备份他们的数据，而是简单地将其重定向到他们的个人云存储 (OneDrive) 中。第三方备份解决方案也应与 Microsoft 365 一起使用，但我们将在最后介绍这一点。

您还应该处理本地文件服务器上的所有数据，并准备好将这些数据移动到 Teams 和 SharePoint。在决定将数据迁移到现代工作解决方案之前，应进行可行性研究，确定 SharePoint 和 Teams 是正确的解决方案。通常，您会发现混合解决方案始终效果最佳，其中需要低延迟访问的大型文件被保存到本地服务器存储区域，并且协作项目文档在 Teams 中运行良好。

这通常可能是项目中最耗时的步骤，但往往是一个不受欢迎的过程。因此，请确保在此阶段花些时间并与关键利益相关者和数据所有者合作，决定存储此类数据的最佳计划和区域。

步骤 3

评估和清理数据后，您应该评估 Microsoft Teams 的使用。 Microsoft Teams 是面向项目的工作的绝佳工具，因为它允许用户通过实时通信在文件、通话和会议中协同工作。

Microsoft Teams 主要由 Microsoft 365 团体支持。创建团队时，还会创建许多其他服务，例如 Microsoft 365 组、SharePoint Online 团队网站、组 Exchange 邮箱和 OneNote 中的集合。

从逻辑上理解 Microsoft Teams 与其他 Microsoft 365 服务的架构也很有好处：

• 您在 Teams 中的个人文件将保存到您的个人 OneDrive 空间。
• Teams 中的共享文件将保存到 SharePoint Online 网站。这也意味着您无需直接通过 Teams 即可访问这些文件。
• Teams 频道中的消息保存到组 Exchange 邮箱中
• 一对一聊天消息保存在个人用户的邮箱中。
• 日历信息保存在个人用户的邮箱中。

第 4 步

现在，你已经使用 SharePoint Online 和 Teams 规划了数据策略，你应该在成员服务器或域控制器上实施 Azure AD Connect，以在 Windows 登录和 Microsoft 365 之间同步用户密码。

启用与 Azure AD Connect 的密码同步将简化用户的体验，使他们不再需要记住多个密码，特别是因为你现在将引入 OneDrive 和 Teams 等服务，这些服务将要求再次登录。通常您会发现，如果组织不使用 Azure AD Connect，用户很少会记住他们的 Microsoft 365 密码，这只会给 IT 团队带来管理负担。

有关安装 Azure AD Connect 的指南，请查看我的帖子：如何安装和管理 Azure AD Connect。

步骤 5

下一步应该是将数据迁移到 SharePoint Online 和 Microsoft Teams。 Microsoft 提供了 2 个出色的免费工具来实现此目的：

• SharePoint 迁移工具 (SPMT)
• SharePoint 迁移管理器

使用 Microsoft Learn 提供的这份有用的学习文档，了解有关将文件共享迁移到 SharePoint/Teams 的详细信息。

数据迁移完成后，您应该将文件服务器关闭一段时间（或者可以简单地断开网络），以确保没有留下任何内容。

第 6 步

此时，您应该处于本地 Active Directory 和 Azure AD 之间具有一致用户身份的阶段。您还应该将所有数据存储在 SharePoint 和 Microsoft Teams 中。

由于您的所有关键系统现在都位于云中，因此我们需要让您的 Microsoft 365/Azure 租户为通过 Microsoft Intune 和使用 Auto Pilot 管理设备的建议解决方案做好准备。

您应该确保执行以下操作：

1. 启用 Microsoft Intune 自动注册。这将确保当设备手动或通过 OOBE 加入 AzureAD 时，它们也会注册到设备管理中。
2. 将设备添加到 Windows Autopilot 服务

第7步

不幸的是，仅仅启用管理服务不足以有效地使用 Intune 设备管理。在开始测试之前，您还需要配置一些其他设置。

配置配置文件 - 这些是您根据用户或设备身份应用于设备的设置包。例如，如果您想要将 Windows Defender 配置为在所有设备上启用，您可以配置一个配置文件，启用该设置并将其动态分配给所有设备。

合规性策略 - 这些策略确定设备是否符合 Intune 中定义的标准。例如，如果您要求 Windows 设备使用 BitLocker 并启用它，则可以在合规性策略中指定这一点，然后您的设备将被标记为合规或不合规。如果设备被标记为不合规，合规性策略可以与条件访问策略协同工作，阻止对服务的访问。

更新环 - 更新环定义如何将 Windows 更新（以及相关的应用程序和驱动程序）部署到您的工作站。您可以配置功能和质量更新延迟期、Windows 11 升级或延迟、功能更新卸载期、预发布部署、活动更新时间、自动更新行为等等。这是确保按时部署更新和改善用户更新体验的关键步骤。

花一些时间浏览 Intune 管理中心并查看任何可为您的组织带来价值的设置。

步骤 8

由于我们的计划是对每个 Windows 设备进行完全重置，因此任何第三方应用程序（例如网络浏览器或实用程序应用程序）都需要重新安装。值得庆幸的是，Intune 允许您从管理门户将应用程序远程部署到您的设备。

您可以将多种类型的应用程序部署到您的设备，常用的应用程序类型包括：

• .MSI
• IntuneWin
• Office C2R（点击运行）
• APPX
• 商业应用程序商店

步骤9

您现在处于测试阶段。您应该确定可以中断的设备和用户帐户，并通过“设置”>“更新和安全”>“恢复”>“重置此电脑”进行重置设备的试运行。

设备应重置并带您进入首次启动（开箱即用）体验。当您使用公司帐户登录时，设备应注册 AutoPilot 和 Intune 服务，根据您在每项服务中配置的设置以及您在设备上的体验，这一点应该是显而易见的。

当您执行每个步骤时，您应该通过图片或视频记录来记录该过程。任何需要用户输入的步骤都应仔细记录，特别是当最终用户将执行此类步骤时。

设备登录后，检查所有必需的应用程序和配置文件是否已准确部署，并根据需要调整任何设置。如果您对这个过程感到满意，您可以继续进行完整的部署。

第 10 步

测试完成后，您就可以对其余工作站进行完全迁移。根据您拥有的设备数量以及它们位于多少个不同位置，您可以通过多种不同的方式来解决此问题。

如果您在一个位置有大约 30 台设备，您可以轻松地一次手动重置设备组，并在几天或一周内完成这项工作。但是，如果您有数百台设备，则应该测试一些自动化技术，并可能在每个位置委派某人来协助该过程。例如，您可以通过混合域加入和组策略在 Intune/Autopilot 中注册设备，然后通过管理门户重置设备。或者您可以使用 RMM 工具来重置设备。您的方法将取决于您的 Windows 资产的大小和复杂性。

第 10 步

这通常是一个被忽视的步骤，特别是如果不同的地点遵循不同的合规性，并且它会给您已经很大的项目增加额外的复杂性。然而，实施条件访问是基础设施现代化的关键一步。

您应该评估您希望哪些应用程序和用户需要某些控制，例如需要多重身份验证、会话限制甚至阻止控制。

在完美的世界中，您应该通过 1 或 2 个合规策略来捕获所有资产，这些策略针对 MFA 的所有用户和所有设备的合规性。

请按照我的关于如何创建条件访问策略的教程进行操作。

第11步

最后，经过一段规定的时间后，通常是两周到一个月左右。如果需要，您应该停用您的服务器基础设施。在某些情况下，您可能需要维护一些 Windows 服务器，但是，如果不再有此要求，您应确保它们在上述时间段内保持关闭状态，然后停用。