フェーズ 3: 移行とテストを計画する
ビジネス上の同意を得たら、次の手順として、Microsoft Entra 認証へのこれらのアプリの移行を開始します。
移行ツールとガイダンス
提供されているツールとガイダンスを使用して、Microsoft Entra ID にアプリケーションを移行するために必要となる正確な手順に従います:
- 一般的な移行ガイダンス – Microsoft Entra アプリの移行ツールキットのホワイトペーパー、ツール、電子メール テンプレート、およびアプリケーションのアンケートを使用して、アプリの検出、分類、および移行を行います。
- SaaS アプリケーション – SaaS アプリのチュートリアルのリストと、「Microsoft Entra SSO デプロイ計画」を参照して、エンドツーエンド プロセスを確認してください。
- オンプレミスで実行されているアプリケーション – Microsoft Entra アプリケーション プロキシについて十分理解し、完全な Microsoft Entra アプリケーション プロキシ デプロイ計画を使って迅速に作業を進めるか、既に所有している可能性があるセキュア ハイブリッド アクセス パートナーを検討します。
- 開発中のアプリ – 詳細な統合と登録のガイダンスを参照してください。
テストを計画する
移行プロセス時に、アプリには通常のデプロイ中に使用されるテスト環境が既に存在する場合があります。 移行のテストにこの環境を引き続き使用することができます。 テスト環境を現在使用できない場合、アプリケーションのアーキテクチャによっては、Azure App Service または Azure Virtual Machines を使用して設定できます。
アプリの構成を開発するための別のテスト Microsoft Entra テナントを設定することもできます。 このテナントはクリーンな状態で開始され、どのシステムとも同期するように構成されません。
アプリの構成方法に応じて、SSO が正常に機能することを確認します。
| 認証の種類 | テスト |
|---|---|
| OAuth/OpenID Connect | [エンタープライズ アプリケーション] > [アクセス許可] の順に選択し、アプリのユーザー設定において組織内で使用されるアプリケーションに確実に同意しておきます。 |
| SAML ベースの SSO | [シングル サインオン] の下にある [SAML 設定のテスト] ボタンを使用します。 |
| パスワードベースの SSO | マイ アプリによるセキュリティで保護されたサインイン拡張機能をダウンロードしてインストールします。 この拡張機能は、SSO プロセスを使用する必要がある組織の任意のクラウド アプリを開始する場合に役立ちます。 |
| アプリケーション プロキシ | コネクタが実行されていて、アプリケーションに割り当てられていることを確認します。 詳細については、アプリケーション プロキシのトラブルシューティング ガイドに関する記事をご覧ください。 |
テスト ユーザーでログインすることで各アプリをテストし、すべての機能が移行前と同じであることを確認できます。 テスト中に、ユーザーが MFA または SSPR の設定を更新する必要があると判断した場合、または移行中にこの機能を追加する場合は、必ず、エンド ユーザーのコミュニケーション計画にそれを追加してください。 MFA と SSPR のエンド ユーザー通信テンプレートを参照してください。
トラブルシューティング
問題が発生した場合は、アプリのトラブルシューティング ガイドと安全なハイブリッド アクセスのパートナー統合に関する記事を参照して役立ててください。 トラブルシューティングの記事を確認することもできます。「SAML ベースのシングル サインオンで構成されたアプリへのサインインに関する問題」を参照してください。
ロールバックを計画する
移行が失敗した場合、AD FS サーバー上の既存の証明書利用者はそのままにして、証明書利用者へのアクセスを削除することをお勧めします。 これにより、デプロイの間に必要になった場合、迅速にフォールバックを行うことができます。
移行の問題を軽減するためのアクションに関する次の推奨事項を検討してください。
- アプリの既存の構成のスクリーンショットを取得します。 もう一度アプリを再構成する必要があるかどうかを確認できます。
- また、クラウド認証に問題がある場合に備えて、代替認証オプション (レガシまたはローカル認証) を使用するためのリンクをアプリケーションに提供することも検討します。
- 移行を完了する前に、既存の ID プロバイダーで既存の構成を変更しないでください。
- 複数の IdP をサポートするアプリでは、より簡単なロールバック計画が提供されます。
- アプリのエクスペリエンスに、 [フィードバック] ボタンまたは問題が発生したときのヘルプ デスクへのポインターがあることを確認します。
従業員への通知
計画的な停止期間自体は最小限で済む可能性がありますが、それでも AD FS から Microsoft Entra ID に切り替えるときは、これらの時間枠を従業員に事前に伝達することを計画する必要があります。 アプリのエクスペリエンスに、[フィードバック] ボタンまたは問題が発生したときのヘルプ デスクへのポインターがあることを確認します。
デプロイが完了したら、ユーザーに、デプロイが成功したことを知らせるとともに、実行する必要がある手順について再確認させることができます。
- マイ アプリを使用して、移行されたすべてのアプリケーションにアクセスするようにユーザーに指示します。
- MFA の設定の更新が必要な場合があることをユーザーに通知します。
- セルフサービス パスワード リセットがデプロイされている場合、ユーザーは自分の認証方法を更新または確認することが必要な場合があります。 MFA と SSPR のエンド ユーザー通信テンプレートを参照してください。
外部ユーザーへの通知
このユーザー グループは通常、問題が発生した場合に最も重大な影響を受けます。 セキュリティ対策によって外部パートナーに対して異なる一連の条件付きアクセス規則またはリスク プロファイルが指示されている場合は特にそうです。 外部パートナーがクラウド移行スケジュールを認識していること、およびパイロット デプロイへの参加が推奨される期間が外部パートナーに提供されていることを確認します。パイロット デプロイでは、外部コラボレーションに固有のすべてのフローをテストします。 最後に、問題が発生した場合にヘルプ デスクにアクセスする方法があることを確認します。
終了基準
次のような場合、このフェーズは成功です。
- 移行ツールを確認した
- テスト環境とグループを含む、テストを計画した
- ロールバックを計画した