Sdílet prostřednictvím


Fáze 1: Zjišťování a určení rozsahu aplikací

Zjišťování a analýza aplikací jsou základním cvičením, které vám poskytne dobrý začátek. Možná neznáte všechno, takže buďte připraveni na přizpůsobení neznámých aplikací.

Vyhledání aplikací

Prvním rozhodnutím v procesu migrace je to, které aplikace se mají migrovat, a které aplikace se mají vymýtit. Aplikace, které ve vaší organizaci nebudete používat, je vždy možné vypsat. Existuje několik způsobů, jak ve vaší organizaci najít aplikace. Při zjišťování aplikací se ujistěte, že zahrnete do vývoje a plánovaných aplikací. Pro ověřování ve všech budoucích aplikacích použijte ID Microsoft Entra.

Zjišťování aplikací pomocí ADFS:

  • Použijte Microsoft Entra Connect Health pro ADFS: Pokud máte licenci Microsoft Entra ID P1 nebo P2, doporučujeme nasadit Microsoft Entra Connect Health k analýze využití aplikace v místním prostředí. Sestavu aplikace ADFS můžete použít ke zjištění aplikací ADFS, které je možné migrovat, a vyhodnotit připravenost aplikace k migraci.

  • Pokud nemáte licence Microsoft Entra ID P1 nebo P2, doporučujeme použít ADFS k nástrojům pro migraci aplikací Microsoft Entra na základě PowerShellu. Projděte si průvodce řešením:

Poznámka:

Toto video se věnuje fázi 1 i 2 procesu migrace.

Použití jiných zprostředkovatelů identity (IDP)

  • Pokud aktuálně používáte Okta, projděte si našeho průvodce migrací do Microsoft Entra.

  • Pokud aktuálně používáte federování příkazem Ping, zvažte použití rozhraní API pro správu ping ke zjišťování aplikací.

  • Pokud jsou aplikace integrované se službou Active Directory, vyhledejte instanční objekty nebo účty služeb, které se můžou používat pro aplikace.

Použití nástrojů cloud discovery

V cloudovém prostředí potřebujete bohatou viditelnost, kontrolu nad cestováním na data a sofistikovanou analýzu, abyste našli a bojovali s kybernetickými hrozbami napříč všemi vašimi cloudovými službami. Inventář cloudových aplikací můžete shromáždit pomocí následujících nástrojů:

  • Cloud Access Security Broker (CASB) – CASB obvykle funguje společně s bránou firewall a poskytuje přehled o využití cloudových aplikací vašich zaměstnanců a pomáhá chránit podniková data před hrozbami kybernetické bezpečnosti. Sestava CASB vám může pomoct určit nejpoužívanější aplikace ve vaší organizaci a počáteční cíle pro migraci na Microsoft Entra ID.
  • Cloud Discovery – Konfigurací Microsoft Defenderu pro Cloud Apps získáte přehled o využití cloudových aplikací a můžete zjišťovat neschválené nebo stínové IT aplikace.
  • Hostované aplikace Azure – Pro aplikace připojené k infrastruktuře Azure můžete pomocí rozhraní API a nástrojů v těchto systémech začít inventarizaci hostovaných aplikací. V prostředí Azure:

Proces ručního zjišťování

Jakmile provedete automatizované přístupy popsané v tomto článku, máte pro své aplikace dobrý popis. Můžete ale zvážit následující kroky, abyste měli jistotu, že máte dobré pokrytí napříč všemi oblastmi přístupu uživatelů:

  • Obraťte se na různé vlastníky firmy ve vaší organizaci a najděte aplikace používané ve vaší organizaci.
  • Spusťte na proxy serveru nástroj kontroly HTTP nebo analyzujte protokoly proxy serveru a zjistěte, kde se provoz běžně směruje.
  • Zkontrolujte weblogy z oblíbených webů portálu společnosti a zjistěte, jaké odkazy uživatelé přistupují nejvíce.
  • Spojte se s vedoucími pracovníky nebo dalšími klíčovými obchodními členy, abyste měli jistotu, že jste probrali důležité obchodní aplikace.

Typ aplikací, které se mají migrovat

Jakmile najdete své aplikace, identifikujete tyto typy aplikací ve vaší organizaci:

  • Aplikace, které používají moderní ověřovací protokoly, například SAML (Security Assertion Markup Language) nebo OpenID Connect (OIDC).
  • Aplikace, které používají starší ověřování, jako je Kerberos nebo NT LAN Manager (NTLM), které se rozhodnete modernizovat.
  • Aplikace, které používají starší ověřovací protokoly, které se rozhodnete NE modernizovat
  • Nové obchodní aplikace (LoB)

Aplikace, které už používají moderní ověřování

Už modernizované aplikace se s největší pravděpodobností přesunou do Microsoft Entra ID. Tyto aplikace už používají moderní ověřovací protokoly, jako je SAML nebo OIDC, a je možné je překonfigurovat tak, aby se ověřily pomocí Microsoft Entra ID.

Doporučujeme vyhledávat a přidávat aplikace z galerie aplikací Microsoft Entra. Pokud je v galerii nenajdete, můžete stále připojit vlastní aplikaci.

Starší verze aplikací, které se rozhodnete modernizovat

U starších aplikací, které chcete modernizovat, se přesunem na Microsoft Entra ID pro základní ověřování a autorizaci odemkne veškerá výkonová a datová richness, kterou nabízí Microsoft Graph a Intelligent Security Graph .

Doporučujeme aktualizovat kód zásobníku ověřování pro tyto aplikace ze starší verze protokolu (například ověřování integrovaného systému Windows, Kerberos, ověřování založené na hlavičkách HTTP) na moderní protokol (například SAML nebo OpenID Connect).

Starší verze aplikací, které se rozhodnete nemodernizovat

U některých aplikací, které používají starší ověřovací protokoly, není někdy modernizace ověřování správná věc z obchodních důvodů. Patří mezi ně následující typy aplikací:

  • Aplikace se uchovávají místně z důvodů dodržování předpisů nebo kontroly.
  • Aplikace připojené k místní identitě nebo federačnímu zprostředkovateli, které nechcete změnit.
  • Aplikace vyvinuté pomocí místních ověřovacích standardů, které nemáte v plánu přesunout

Microsoft Entra ID může těmto starším aplikacím přinést skvělé výhody. Můžete povolit moderní funkce zabezpečení a zásad správného řízení Microsoft Entra, jako je vícefaktorové ověřování, podmíněný přístup, ochrana Microsoft Entra ID, delegovaný přístup k aplikacím a kontroly přístupu proti těmto aplikacím, aniž byste se museli vůbec dotýkat aplikace.

  • Začněte rozšířením těchto aplikací do cloudu pomocí proxy aplikací Microsoft Entra.
  • Nebo prozkoumejte použití našich integrací partnerů s zabezpečeným hybridním přístupem (SHA), které jste už možná nasadili.

Nové obchodní aplikace (LoB)

Obvykle vyvíjíte aplikace LoB pro interní použití vaší organizace. Pokud máte v kanálu nové aplikace, doporučujeme k implementaci OIDC použít platformu Microsoft Identity Platform .

Aplikace, které se mají přestat používat

Aplikace bez jasného vlastníka a jasné údržby a monitorování představují bezpečnostní riziko pro vaši organizaci. Zvažte vyřazení aplikací, když:

  • Jejich funkce jsou vysoce redundantní s jinými systémy
  • Neexistuje žádný vlastník firmy.
  • Není zřejmé , že by se nic nepoužádá.

Doporučujeme, abyste nevyužíli vysoké dopady, důležité obchodní aplikace. V takových případech spolupracujte s vlastníky firmy a určete správnou strategii.

Kritéria ukončení

V této fázi jste úspěšní s:

  • Dobrý přehled o aplikacích v oblasti migrace, těch, které vyžadují modernizaci, ty, které by měly zůstat tak, jak jsou, nebo těch, které jste označili k vyřazení.

Další kroky