Fáze 1: Zjišťování a vymezení rozsahu aplikací

Zjišťování a analýza aplikací jsou základním cvičením, které vám poskytne dobrý začátek. Možná nevíte všechno, takže se připravte na to, abyste neznámým aplikacím vyhověli.

Vyhledání aplikací

Prvním rozhodnutím v procesu migrace je to, které aplikace se mají migrovat, které z nich by měly zůstat a které aplikace se mají vyřadit z provozu. Aplikace, které nebudete ve vaší organizaci používat, je vždy možné vyřazení z provozu. Existuje několik způsobů, jak najít aplikace ve vaší organizaci. Při zjišťování aplikací se ujistěte, že zahrnujete aplikace ve vývoji a plánované aplikace. Microsoft Entra ID použijte k ověřování ve všech budoucích aplikacích.

Zjišťování aplikací pomocí ADFS:

• Použití Microsoft Entra Connect Health pro AD FS: Pokud máte licenci s ID Microsoft Entra P1 nebo P2, doporučujeme nasadit Microsoft Entra Connect Health a analyzovat využití aplikace v místním prostředí. Sestavu aplikace ADFS můžete použít ke zjištění aplikací ADFS, které je možné migrovat, a vyhodnocení připravenosti aplikace na migraci.

• Pokud nemáte licence Microsoft Entra ID P1 nebo P2, doporučujeme použít službu AD FS k Microsoft Entra nástrojů pro migraci aplikací založených na PowerShellu. Projděte si průvodce řešením:

Poznámka

Toto video se věnuje fázi 1 i 2 procesu migrace.

Použití jiných zprostředkovatelů identity (ZPROSTŘEDKOVATELE IDENTITY)

• Pokud aktuálně používáte Oktu, projděte si průvodce migrací Microsoft Entra okty.

• Pokud aktuálně používáte příkaz Ping Federate, zvažte použití rozhraní PING API pro správu ke zjišťování aplikací.

• Pokud jsou aplikace integrovány se službou Active Directory, vyhledejte instanční objekty nebo účty služeb, které se dají použít pro aplikace.

Použití nástrojů cloud discovery

V cloudovém prostředí potřebujete bohatý přehled, kontrolu nad datovými cestami a sofistikované analýzy, které vám umožní najít a bojovat proti kybernetickým hrozbám ve všech vašich cloudových službách. Inventář cloudových aplikací můžete shromáždit pomocí následujících nástrojů:

• Zprostředkovatel zabezpečení přístupu k cloudu (CASB) – CASB obvykle spolupracuje s bránou firewall, aby poskytovala přehled o využití cloudových aplikací vašimi zaměstnanci a pomáhá chránit firemní data před kybernetickými hrozbami. Sestava CASB vám pomůže určit nejpoužívanější aplikace ve vaší organizaci a počáteční cíle migrace na id Microsoft Entra.
• Cloud Discovery – konfigurací Microsoft Defender for Cloud Apps získáte přehled o využití cloudových aplikací a můžete zjišťovat neschválené nebo stínové aplikace IT.
• Aplikace hostované v Azure – U aplikací připojených k infrastruktuře Azure můžete pomocí rozhraní API a nástrojů v těchto systémech začít inventarizaci hostovaných aplikací. V prostředí Azure:
  • K získání informací o webech Azure použijte rutinu Get-AzureWebsite .
  • K získání informací o Web Apps Azure použijte rutinu Get-AzureRMWebApp. D
  • Id Microsoft Entra dotazu a vyhledejte aplikace a instanční objekty.

Proces ručního zjišťování

Jakmile se rozhodnete pro automatizované přístupy popsané v tomto článku, můžete své aplikace dobře zpracovat. Můžete ale zvážit následující postup, abyste měli jistotu, že budete mít dobré pokrytí ve všech oblastech přístupu uživatelů:

• Obraťte se na vlastníky různých firem ve vaší organizaci a najděte aplikace, které se ve vaší organizaci používají.
• Spusťte nástroj pro kontrolu HTTP na proxy serveru nebo analyzujte protokoly proxy serveru, abyste zjistili, kam se provoz běžně směruje.
• Zkontrolujte webové protokoly z oblíbených webů portálu společnosti a zjistěte, k jakým odkazům uživatelé nejčastěji přistupují.
• Spojte se s vedoucími pracovníky nebo jinými klíčovými obchodními členy a ujistěte se, že jste probrali důležité obchodní aplikace.

Typ migrovaných aplikací

Jakmile najdete své aplikace, identifikujete v organizaci tyto typy aplikací:

• Aplikace, které používají moderní ověřovací protokoly, jako je SAML (Security Assertion Markup Language) nebo OpenID Connect (OIDC)
• Aplikace, které používají starší verze ověřování, jako je Kerberos nebo NT LAN Manager (NTLM), které se rozhodnete modernizovat.
• Aplikace používající starší ověřovací protokoly, které nechcete modernizovat
• Nové obchodní aplikace

Aplikace, které už používají moderní ověřování

S největší pravděpodobností se na id Microsoft Entra přesunou už modernizované aplikace. Tyto aplikace už používají moderní ověřovací protokoly, jako jsou SAML nebo OIDC, a dají se překonfigurovat tak, aby se ověřovaly pomocí ID Microsoft Entra.

Doporučujeme vyhledávat a přidávat aplikace z galerie aplikací Microsoft Entra. Pokud je v galerii nenajdete, můžete i tak nasadit vlastní aplikaci.

Starší verze aplikací, které se rozhodnete modernizovat

U starších aplikací, které chcete modernizovat, se přechodem na Microsoft Entra ID pro základní ověřování a autorizaci odemkne veškerý výkon a bohatost dat, které nabízí Microsoft Graph a Intelligent Security Graph.

Doporučujeme aktualizovat kód ověřovacího zásobníku pro tyto aplikace ze starší verze protokolu (jako je ověřování Windows-Integrated, Kerberos nebo ověřování na základě hlaviček HTTP) na moderní protokol (například SAML nebo OpenID Connect).

Starší aplikace, které nechcete modernizovat

U některých aplikací, které používají starší ověřovací protokoly, někdy modernizace jejich ověřování není z obchodních důvodů správná. Patří mezi ně následující typy aplikací:

• Aplikace uchovávané místně z důvodu dodržování předpisů nebo kontroly.
• Aplikace připojené k místní identitě nebo federačnímu zprostředkovateli, které nechcete změnit.
• Aplikace vyvinuté pomocí místních ověřovacích standardů, které nemáte v plánu přesunout

Microsoft Entra ID může těmto starším aplikacím přinést velké výhody. Pro tyto aplikace můžete povolit moderní Microsoft Entra funkce zabezpečení a zásad správného řízení, jako jsou vícefaktorové ověřování, podmíněný přístup, ochrana identit, přístup delegovaných aplikací a kontroly přístupu, aniž byste se vůbec dotýkali aplikace.

• Začněte rozšířením těchto aplikací do cloudu pomocí Microsoft Entra proxy aplikací.
• Nebo prozkoumejte použití partnerských integrací zabezpečeného hybridního přístupu (SHA), které jste už možná nasadili.

Nové obchodní aplikace

Obvykle vyvíjíte obchodní aplikace pro interní použití ve vaší organizaci. Pokud máte v kanálu nové aplikace, doporučujeme k implementaci OIDC použít Microsoft identity platform.

Aplikace, které se mají přestat používat

Aplikace bez jasných vlastníků a bez jasné údržby a monitorování představují pro vaši organizaci bezpečnostní riziko. Vyřazení aplikací zvažte vyřazení v případech:

• Jejich funkce jsou vysoce redundantní s jinými systémy.
• Neexistuje žádný vlastník firmy.
• Zjevně se nepoužívá.

Doporučujeme nevyužít aplikace s vysokým dopadem, které jsou důležité pro chod firmy. V takových případech spolupracujte s vlastníky firem a určete správnou strategii.

Výstupní kritéria

V této fázi jste úspěšní s následujícími funkcemi:

• Dobrá znalost aplikací v rámci migrace, těch, které vyžadují modernizaci, těch, které by měly zůstat beze slov, nebo těch, které jste označili k vyřazení z provozu.

Další kroky

• Fáze 2 – klasifikace aplikací a plánování pilotního nasazení