Phase 3: Planen von Migration und Tests
Sobald Sie die geschäftliche Zustimmung erhalten haben, können Sie im nächsten Schritt damit beginnen, diese Apps zur Microsoft Entra-Authentifizierung zu migrieren.
Migrationstools und -anleitungen
Verwenden Sie die bereitgestellten Tools und Anleitungen, um die exakten Schritte zum Migrieren Ihrer Anwendungen zu Microsoft Entra ID auszuführen:
- Allgemeine Anleitungen zur Migration: Verwenden Sie das Whitepaper, die Tools, die E-Mail-Vorlagen und den Anwendungsfragebogen im Toolkit für die Migration von Apps zu Microsoft Entra, um Ihre Apps zu ermitteln, zu klassifizieren und zu migrieren.
- SaaS-Anwendungen: Sehen Sie sich unsere Liste mit SaaS-App-Tutorials und den Microsoft Entra-SSO-Bereitstellungsplan an, um den End-to-End-Prozess zu durchlaufen.
- Lokal ausgeführte Anwendungen: Erfahren Sie alles über den Microsoft Entra-Anwendungsproxy, und verwenden Sie den vollständigen Bereitstellungsplan für den Microsoft Entra-Anwendungsproxy, um schnell loszulegen. Alternativ dazu können Sie unsere Secure Hybrid Access-Partner in Betracht ziehen, mit denen Sie möglicherweise schon zusammenarbeiten.
- Von Ihnen entwickelte Apps: Lesen Sie unsere ausführlichen Anleitungen für die Integration und Registrierung.
Planen von Tests
Während des Migrationsprozesses verfügt Ihre App möglicherweise bereits über eine Testumgebung, die bei regulären Bereitstellungen verwendet wird. Sie können diese Umgebung weiterhin für Migrationstests verwenden. Wenn zurzeit keine Testumgebung zur Verfügung steht, können Sie diese je nach Architektur der Anwendung möglicherweise mithilfe von Azure App Service oder Azure VMs einrichten.
Sie können einen separaten Microsoft Entra-Testmandanten einrichten, der bei der Entwicklung Ihrer App-Konfigurationen verwendet werden soll. Dieser Mandant startet in einem fehlerfreien Zustand und wird nicht für die Synchronisierung mit einem System konfiguriert werden.
Vergewissern Sie sich, dass das einmalige Anmelden je nach Konfiguration Ihrer App ordnungsgemäß funktioniert.
| Authentifizierungsart | Testen |
|---|---|
| OAuth und OpenID Connect | Wählen Sie Unternehmensanwendungen > Berechtigungen aus, und stellen Sie sicher, dass Sie in den Benutzereinstellungen für Ihre App zugestimmt haben, dass die Anwendung in Ihrer Organisation verwendet werden darf. |
| SAML-basiertes SSO | Verwenden Sie die Schaltfläche SAML-Einstellungen testen unter Einmaliges Anmelden. |
| Kennwortbasiertes SSO | Laden Sie die Erweiterung zur sicheren Anmeldung bei „Meine Apps“ herunter, und installieren Sie sie. Mit dieser Erweiterung können Sie alle Cloud-Apps Ihrer Organisation starten, bei denen Sie einen SSO-Prozess verwenden müssen. |
| Anwendungsproxy | Stellen Sie sicher, dass Ihr Connector ausgeführt wird und der Anwendung zugewiesen ist. Im Leitfaden zum Beheben von Problemen mit Anwendungsproxys und Fehlermeldungen finden Sie weitere Unterstützung. |
Sie können die einzelnen Apps testen, indem Sie sich mit einem Testbenutzer anmelden und sicherstellen, dass alle Funktionen mit denen vor der Migration übereinstimmen. Wenn Sie während der Tests feststellen, dass Benutzer ihre MFA- oder SSPR-Einstellungen aktualisieren müssen, oder wenn Sie diese Funktionalität während der Migration hinzufügen, sollten Sie daran denken, dies zu Ihrem Kommunikationsplan für Endbenutzer hinzuzufügen. Weitere Informationen finden Sie in den MFA- und SSPR-Vorlagen für die Endbenutzerkommunikation.
Problembehandlung
Wenn Probleme auftreten, lesen Sie unseren Leitfaden zur Problembehandlung für Apps und den Artikel zur Integration von Partnern für den sicheren Hybridzugriff, um Hilfe zu erhalten. Weitere Informationen finden Sie in den Artikeln zur Problembehandlung, z. B. Probleme bei der Anmeldung bei SAML-basierten Apps mit konfigurierter einmaliger Anmeldung.
Planen eines Rollbacks
Wenn die Migration fehlschlägt, empfiehlt es sich, die vorhandenen vertrauenden Seiten auf den AD FS-Servern beizubehalten und den Zugriff auf die vertrauenden Seiten zu entfernen. Dies ermöglicht bei Bedarf einen schnellen Fallback während der Bereitstellung.
Beachten Sie die folgenden Vorschläge für Maßnahmen, die Sie ergreifen können, um die Probleme bei der Migration zu beheben:
- Erstellen Sie Screenshots der bestehenden Konfiguration Ihrer App. Wenn Sie die App erneut konfigurieren müssen, können Sie darauf zurückgreifen.
- Sie können auch in Erwägung ziehen, Links für die Anwendung bereitzustellen, um alternative Authentifizierungsoptionen (Legacy- oder lokale Authentifizierung) zu verwenden, falls Probleme mit der Cloudauthentifizierung auftreten.
- Ändern Sie nicht die vorhandene Konfiguration mit dem vorhandenen Identitätsanbieter, bevor Sie die Migration abgeschlossen haben.
- Achten Sie die Apps, die mehrere IdPs unterstützen, da sie einen einfacheren Rollbackplan bieten.
- Stellen Sie sicher, dass Ihre App für den Fall von Problemen über eine Feedbackschaltfläche oder einen Verweis auf Ihren Helpdesk verfügt.
Mitarbeiterkommunikation
Selbst wenn der geplante Ausfallzeitraum für den Wechsel von AD FS zu Microsoft Entra ID kurz ist, sollten Sie Ihren Mitarbeiter*innen diese Zeiträume dennoch proaktiv mitteilen. Stellen Sie sicher, dass Ihre App für den Fall von Problemen über eine Schaltfläche für Feedback oder einen Zeiger auf den Helpdesk verfügt.
Nachdem die Bereitstellung abgeschlossen ist, können Sie die Benutzer über die erfolgreiche Bereitstellung informieren und an alle Schritte erinnern, die sie durchführen müssen.
- Weisen Sie die Benutzer an, Meine Apps für den Zugriff auf alle migrierten Anwendungen zu verwenden.
- Erinnern Sie Benutzer daran, dass sie ihre MFA-Einstellungen möglicherweise aktualisieren müssen.
- Wenn die Self-Service-Kennwortzurücksetzung bereitgestellt wird, müssen Benutzer möglicherweise ihre Authentifizierungsmethoden aktualisieren oder überprüfen. Weitere Informationen finden Sie in den MFA- und SSPR-Vorlagen für die Endbenutzerkommunikation.
Kommunikation mit externen Benutzern
Diese Benutzergruppe ist im Falle von Problemen in der Regel am stärksten betroffen. Dies trifft vor allem dann zu, wenn Ihr Sicherheitsstatus andere Regeln für den bedingten Zugriff oder für Risikoprofile für externe Partner festlegt. Stellen Sie sicher, dass externe Partner über den Zeitplan für die Cloud-Migration informiert sind und einen Zeitrahmen haben, in dem sie aufgefordert werden, an einer Pilotimplementierung teilzunehmen, bei der alle für die externe Zusammenarbeit spezifischen Abläufe getestet werden. Stellen Sie schließlich sicher, dass Ihre Partner im Falle von Problemen auf den Helpdesk zugreifen können.
Beendigungskriterien
Sie haben diese Phase erfolgreich abgeschlossen, wenn Sie folgende Aufgaben ausgeführt haben:
- Überprüfen der Migrationstools
- Planen der Tests, einschließlich Testumgebungen und -gruppen
- Planen eines Rollbacks