Condividi tramite

Fase 2: Classificare le app e pianificare il progetto pilota

  • Articolo

La classificazione della migrazione delle app è un esercizio importante. Non è necessario eseguire la migrazione e la transizione di tutte le app contemporaneamente. Dopo aver raccolto informazioni su ognuna delle app, è possibile razionalizzare le app di cui eseguire prima la migrazione e che potrebbero richiedere tempo aggiuntivo.

Classificare le app nell'ambito

Un modo per pensare a questo aspetto è lungo gli assi della criticità aziendale, dell'utilizzo e della durata, ognuno dei quali dipende da più fattori.

Criticità aziendale

La criticità aziendale assume dimensioni diverse per ogni azienda, ma le due misure da considerare sono caratteristiche e funzionalità e profili utente. Assegnare alle app una funzionalità univoca con un valore in punti superiore rispetto alle app con funzionalità ridondanti oppure obsolete.

Diagramma che mostra gli spettri delle caratteristiche e delle funzionalità e dei profili utente.

Utilizzo

Le applicazioni con numeri di utilizzo elevato devono ricevere un valore superiore rispetto alle app con un utilizzo ridotto. Assegnare un valore superiore alle app con utenti esterni, esecutivi o del team di sicurezza. Per ogni app nel portfolio di migrazione, completare queste valutazioni.

Diagramma che mostra gli spettri di Volume utente e Ampiezza utente.

Dopo aver determinato i valori per la criticità aziendale e l'utilizzo, è possibile determinare la durata dell'applicazione e creare una matrice di priorità. Il diagramma mostra la matrice.

Diagramma di un triangolo che mostra le relazioni tra Utilizzo, Durata prevista e Criticità aziendale.

Nota

Questo video illustra le fasi 1 e 2 del processo di migrazione.

Assegnare priorità alle app per la migrazione

È possibile scegliere di iniziare la migrazione delle app con le app con priorità più bassa o le app con priorità più alta in base alle esigenze dell'organizzazione.

In uno scenario in cui si potrebbe non avere esperienza nell'uso di Microsoft Entra ID e dei servizi di identità, è consigliabile spostare prima le app con priorità più bassa in Microsoft Entra. Questa opzione riduce al minimo l'impatto aziendale ed è possibile creare slancio. Dopo aver spostato correttamente queste app e aver ottenuto la fiducia degli stakeholder, è possibile continuare a eseguire la migrazione delle altre app.

Se non esiste una priorità chiara, è consigliabile spostare prima le app presenti nella raccolta di Microsoft Entra e supportare più provider di identità perché sono più facili da integrare. È probabile che queste app siano le app con priorità più alta nell'organizzazione. Per semplificare l'integrazione delle applicazioni SaaS con Microsoft Entra ID, è stata creata una raccolta di esercitazioni che illustrano ogni passaggio della configurazione.

Quando si ha una scadenza per eseguire la migrazione delle app, questi bucket di app con priorità più alta assumono il carico di lavoro principale. È infine possibile selezionare le app con priorità più bassa perché non modificano il costo anche se si sposta la scadenza.

Oltre a questa classificazione e a seconda dell'urgenza della migrazione, è necessario pubblicare una pianificazione della migrazione secondo la quale i proprietari delle app devono impegnarsi per eseguire la migrazione delle app. Al termine di questo processo, è necessario avere un elenco di tutte le applicazioni in bucket con priorità per la migrazione.

Documentazione delle app

Innanzitutto, iniziare raccogliendo i dettagli chiave sulle applicazioni. Il foglio di lavoro di individuazione delle applicazioni aiuta a prendere decisioni di migrazione rapidamente e ottenere un consiglio per il gruppo aziendale in pochissimo tempo.

Le informazioni importanti per prendere la decisione sulla migrazione includono:

  • Nome dell'app - Com'è nota quest'app per l'azienda?
  • Tipo di app - Si tratta di un'app SaaS di terze parti? Un'app Web line-of-business personalizzata? Un'API?
  • Criticità aziendale - È una criticità elevata? Bassa? O una via di mezzo?
  • Volume di accesso utente - Tutti accedono a questa app o solo a poche persone?
  • Tipo di accesso utente: chi deve accedere all'applicazione - Dipendenti, partner commerciali o clientela o magari tutti?
  • Durata pianificata - Per quanto tempo è disponibile? Meno di sei mesi? Più di due anni?
  • Provider di identità corrente: qual è l'IdP primario per questa app? AD FS, Active Directory o Ping Federate?
  • Requisiti di sicurezza: l'applicazione richiede l'MFA o che gli utenti si trovino nella rete aziendale per accedere all'applicazione?
  • Metodo di autenticazione: l'app esegue l'autenticazione usando standard aperti?
  • Se si prevede di aggiornare il codice dell'app: l'app è in fase di sviluppo pianificato o attivo?
  • Se si prevede di mantenere l'app in locale: si desidera mantenere l'app nel data center a lungo termine?
  • Se l'app dipende da altre app o API: l'app chiama attualmente in altre app o API?
  • Se l'app si trova nella raccolta di Microsoft Entra: l'app è già integrata con Microsoft Entra Gallery?

Altri dati utili in un secondo momento, ma non necessari per prendere una decisione immediata sulla migrazione includono:

  • URL dell'app: dove accedono all'app gli utenti?
  • Logo dell'applicazione: se si esegue la migrazione di un'applicazione a Microsoft Entra ID che non si trova nella raccolta di app Microsoft Entra, è consigliabile fornire un logo descrittivo
  • Descrizione dell'app: qual è una breve descrizione delle funzionalità dell'app?
  • Proprietario dell'app: chi nell'azienda è il POC principale per l'app?
  • Commenti o note generali: qualsiasi altra informazione generale sull'app o sulla proprietà dell'azienda

Dopo aver classificato l'applicazione e documentato i dettagli, assicurarsi di ottenere il consenso dell'imprenditore alla strategia di migrazione pianificata.

Utenti dell'applicazione

Esistono due categorie principali di utenti delle app e delle risorse supportate da Microsoft Entra ID:

  • Interna: dipendenti, terzisti e rivenditori che dispongono di account all'interno del provider di identità. Questa categoria potrebbe richiedere ulteriori pivot con regole diverse per i manager o la leadership rispetto ad altri dipendenti.

  • Esterna: rivenditori, fornitori, distributori o altri partner commerciali che interagiscono con l'organizzazione nel corso regolare dell'attività con la collaborazione B2B di Microsoft Entra.

È possibile definire gruppi per questi utenti e popolare questi gruppi in modi diversi. È possibile scegliere che un amministratore debba aggiungere manualmente membri a un gruppo oppure abilitare gruppi di appartenenza dinamica self-service. È possibile stabilire regole che aggiungono automaticamente membri a gruppi in base ai criteri specificati usando i gruppi di appartenenza dinamica.

Gli utenti esterni possono anche fare riferimento ai clienti. Azure AD B2C, un prodotto separato supporta l'autenticazione del cliente. Tuttavia, non rientra nell'ambito di questo documento.

Pianificare un progetto pilota

Le app selezionate per il progetto pilota devono rappresentare i requisiti di identità e sicurezza chiave dell'organizzazione ed è necessario disporre di un consenso chiaro da parte dei proprietari dell'applicazione. I progetti pilota vengono in genere eseguiti in un ambiente di test separato.

Non dimenticare i partner esterni. Assicurarsi che partecipino alle pianificazioni e ai test della migrazione. Assicurarsi infine che siano in grado di accedere al supporto tecnico in caso di problemi.

Pianificare le limitazioni

Anche se alcune app sono facili da migrare, altre potrebbero richiedere più tempo a causa di più server o istanze. Ad esempio, la migrazione di SharePoint potrebbe richiedere più tempo a causa di pagine di accesso personalizzate.

Molti rivenditori di app SaaS potrebbero non fornire mezzi di self-service per riconfigurare l'applicazione e potrebbero addebitare addebiti per la modifica della connessione SSO. Verificare con essi e pianificare la limitazione.

Approvazione del proprietario dell'app

Le applicazioni business critical e universalmente usate potrebbero richiedere un gruppo di utenti pilota per testare l'app nella fase pilota. Dopo aver testato un'app nell'ambiente di preproduzione o pilota, assicurarsi che gli imprenditori dell'app approvino le prestazioni prima della migrazione dell'app. È inoltre necessario assicurarsi che tutti gli utenti migrino all'uso di produzione di Microsoft Entra ID per l'autenticazione.

Pianificare la postura di sicurezza

Prima di avviare il processo di migrazione, prendere in considerazione completamente la postura di sicurezza che si vuole sviluppare per il sistema di identità aziendale. Questo aspetto si basa sulla raccolta di questi preziosi set di informazioni: identità, dispositivi e posizioni che accedono alle applicazioni e ai dati.

Identità e dati

La maggior parte delle organizzazioni ha requisiti specifici sulle identità e sulla protezione dei dati che variano in base al segmento di settore e alle funzioni del processo all'interno delle organizzazioni. Per gli elementi consigliati, fare riferimento a Configurazioni di identità e accesso ai dispositivi. Gli elementi consigliati includono un set prestabilito di criteri di accesso condizionale e funzionalità correlate.

È possibile utilizzare queste informazioni per proteggere l'accesso a tutti i servizi integrati con Microsoft Entra ID. Questi elementi consigliati sono allineati a Microsoft Secure Score e al punteggio dell'identità in Microsoft Entra ID. Il punteggio consente di:

  • Misurare obiettivamente le condizioni di sicurezza delle identità
  • Pianificare miglioramenti per la sicurezza delle identità
  • Verificare il successo dei miglioramenti apportati

Microsoft Secure Score consente anche di implementare i cinque passaggi per proteggere l'infrastruttura delle identità. Usare le indicazioni come punto di partenza per l'organizzazione e modificare i criteri per soddisfare i requisiti specifici dell'organizzazione.

Dispositivo/posizione usati per accedere ai dati

Anche il dispositivo e la posizione usati da un utente per accedere a un'app sono importanti. I dispositivi connessi fisicamente alla rete aziendale sono più sicuri. Le connessioni dall'esterno della rete tramite VPN potrebbero richiedere un esame.

Diagramma che mostra la relazione tra la posizione utente e l'accesso ai dati.

Tenendo presente questi aspetti di risorse, utenti e dispositivi, è possibile scegliere di usare le funzionalità di accesso condizionale di Microsoft Entra. L'accesso condizionale supera le autorizzazioni utente. Dipende da una combinazione di fattori quali:

  • L'identità di un utente o di un gruppo
  • La rete a cui l'utente è connesso
  • Il dispositivo e l'applicazione usati dall'utente
  • Il tipo di dati a cui l'utente sta tentando di accedere.

L'accesso concesso all'utente si adatta a questo set di condizioni più ampio.

Criteri di uscita

Per assicurare la buona riuscita di questa fase è necessario:

  • Documentazione completa delle app di cui si intende eseguire la migrazione

  • App con priorità basate su criticità aziendale, volume di utilizzo e durata

  • App selezionate che rappresentano i requisiti per un progetto pilota

  • Consenso del proprietario dell'azienda per la definizione delle priorità e la strategia

  • Informazioni sulle esigenze di sicurezza e su come implementarle

Passaggi successivi