Faza 1. Odnajdywanie i określanie zakresu aplikacji

Odnajdywanie i analiza aplikacji to podstawowe ćwiczenie, które daje dobry początek. Być może nie znasz wszystkiego, więc przygotuj się do obsługi nieznanych aplikacji.

Znajdowanie aplikacji

Pierwszą decyzją w procesie migracji jest to, które aplikacje mają zostać zmigrowane, które, jeśli istnieją, i które aplikacje mają zostać wycofane. Zawsze istnieje możliwość wycofania aplikacji, których nie będziesz używać w organizacji. Istnieje kilka sposobów znajdowania aplikacji w organizacji. Podczas odnajdywania aplikacji upewnij się, że uwzględniasz aplikacje programistyczne i planowane. Użyj identyfikatora Microsoft Entra do uwierzytelniania we wszystkich przyszłych aplikacjach.

Odnajdywanie aplikacji przy użyciu usług ADFS:

• Użyj Microsoft Entra Connect Health dla usług ADFS: jeśli masz licencję Microsoft Entra o identyfikatorze P1 lub P2, zalecamy wdrożenie programu Microsoft Entra Connect Health w celu przeanalizowania użycia aplikacji w środowisku lokalnym. Raport aplikacji usług ADFS umożliwia odnajdywanie aplikacji usług AD FS, które można migrować i oceniać gotowość aplikacji do migracji.

• Jeśli nie masz licencji Microsoft Entra IDENTYFIKATOR P1 lub P2, zalecamy użycie usług ADFS do Microsoft Entra narzędzi migracji aplikacji na podstawie programu PowerShell. Zapoznaj się z przewodnikiem po rozwiązaniu:

Uwaga

Ten film wideo obejmuje zarówno fazę 1, jak i 2 procesu migracji.

Korzystanie z innych dostawców tożsamości (IDP)

• Jeśli obecnie używasz usługi Okta, zapoznaj się z naszym przewodnikiem po migracji w usłudze Okta, aby Microsoft Entra.

• Jeśli obecnie używasz narzędzia Ping Federate, rozważ użycie interfejsu API administracyjnego ping do odnajdywania aplikacji.

• Jeśli aplikacje są zintegrowane z usługą Active Directory, wyszukaj jednostki usługi lub konta usług, które mogą być używane dla aplikacji.

Korzystanie z narzędzi do odnajdywania w chmurze

W środowisku chmury potrzebujesz bogatej widoczności, kontroli nad podróżami danych i zaawansowanych analiz w celu znajdowania i zwalczania zagrożeń cybernetycznych we wszystkich usługach w chmurze. Spis aplikacji w chmurze można zebrać przy użyciu następujących narzędzi:

• Cloud Access Security Broker (CASB) — usługa CASB zwykle współpracuje z zaporą w celu zapewnienia wglądu w użycie aplikacji w chmurze pracowników i pomaga chronić dane firmowe przed zagrożeniami cyberbezpieczeństwa. Raport CASB może ułatwić określenie najczęściej używanych aplikacji w organizacji oraz wczesnych celów migracji do identyfikatora Microsoft Entra.
• Cloud Discovery — konfigurując Microsoft Defender for Cloud Apps, uzyskujesz wgląd w użycie aplikacji w chmurze i możesz odnaleźć niezaakceptowane lub niezaakceptowane aplikacje IT w tle.
• Aplikacje hostowane na platformie Azure — w przypadku aplikacji połączonych z infrastrukturą platformy Azure możesz użyć interfejsów API i narzędzi w tych systemach, aby rozpocząć tworzenie spisu hostowanych aplikacji. W środowisku platformy Azure:
  • Użyj polecenia cmdlet Get-AzureWebsite , aby uzyskać informacje o witrynach internetowych platformy Azure.
  • Użyj polecenia cmdlet Get-AzureRMWebApp, aby uzyskać informacje o usłudze Azure Web Apps. D
  • Zapytanie o identyfikator Microsoft Entra szuka aplikacji i jednostek usługi.

Proces ręcznego odnajdywania

Po dokonaniu zautomatyzowanych metod opisanych w tym artykule masz dobrą obsługę w aplikacjach. Możesz jednak rozważyć wykonanie następujących czynności, aby upewnić się, że masz dobre pokrycie we wszystkich obszarach dostępu użytkowników:

• Skontaktuj się z różnymi właścicielami firm w organizacji, aby znaleźć aplikacje używane w organizacji.
• Uruchom narzędzie inspekcji HTTP na serwerze proxy lub przeanalizuj dzienniki serwera proxy, aby sprawdzić, gdzie jest często kierowany ruch.
• Przejrzyj dzienniki internetowe z popularnych witryn portali firmy, aby zobaczyć, jakie linki użytkownicy uzyskują najwięcej dostępu.
• Skontaktuj się z kadrą kierowniczą lub innymi kluczowymi członkami biznesowymi, aby upewnić się, że zostały omówione aplikacje krytyczne dla działania firmy.

Typ aplikacji do migracji

Po znalezieniu aplikacji zidentyfikujesz te typy aplikacji w organizacji:

• Aplikacje korzystające z nowoczesnych protokołów uwierzytelniania, takich jak Security Assertion Markup Language (SAML) lub OpenID Connect (OIDC).
• Aplikacje korzystające ze starszego uwierzytelniania, takiego jak Kerberos lub NT LAN Manager (NTLM), które są wybierane do modernizacji.
• Aplikacje korzystające ze starszych protokołów uwierzytelniania, które nie są modernizujące
• Nowe aplikacje biznesowe (LoB)

Aplikacje korzystające już z nowoczesnego uwierzytelniania

Już zmodernizowane aplikacje najprawdopodobniej zostaną przeniesione do identyfikatora Microsoft Entra. Te aplikacje używają już nowoczesnych protokołów uwierzytelniania, takich jak SAML lub OIDC i można je ponownie skonfigurować w celu uwierzytelnienia za pomocą identyfikatora Microsoft Entra.

Zalecamy wyszukiwanie i dodawanie aplikacji z galerii aplikacji Microsoft Entra. Jeśli nie znajdziesz ich w galerii, nadal możesz dołączyć aplikację niestandardową.

Starsze aplikacje wybrane do modernizacji

W przypadku starszych aplikacji, które chcesz zmodernizować, przejście do Microsoft Entra identyfikator na potrzeby uwierzytelniania podstawowego i autoryzacji umożliwia odblokowanie wszystkich możliwości i bogatych w dane, które muszą oferować programy Microsoft Graph i Intelligent Security Graph.

Zalecamy zaktualizowanie kodu stosu uwierzytelniania dla tych aplikacji ze starszego protokołu (takiego jak uwierzytelnianie Windows-Integrated, Kerberos, uwierzytelnianie oparte na nagłówkach HTTP) do nowoczesnego protokołu (takiego jak SAML lub OpenID Connect).

Starsze aplikacje, których nie chcesz modernizować

W przypadku niektórych aplikacji korzystających ze starszych protokołów uwierzytelniania czasami modernizacja ich uwierzytelniania nie jest właściwą rzeczą do zrobienia ze względów biznesowych. Należą do nich następujące typy aplikacji:

• Aplikacje przechowywane lokalnie ze względów zgodności lub kontroli.
• Aplikacje połączone z lokalną tożsamością lub dostawcą federacyjnym, którego nie chcesz zmieniać.
• Aplikacje opracowane przy użyciu lokalnych standardów uwierzytelniania, które nie mają planów przeniesienia

Microsoft Entra identyfikator może przynieść duże korzyści tym starszym aplikacjom. Możesz włączyć nowoczesne funkcje zabezpieczeń i ładu Microsoft Entra, takie jak Multi-Factor Authentication, dostęp warunkowy, ochronatożsamości, delegowany dostęp do aplikacji i przeglądy dostępu do tych aplikacji bez dotykania aplikacji w ogóle!

• Zacznij od rozszerzenia tych aplikacji do chmury przy użyciu serwera proxy aplikacji Microsoft Entra.
• Możesz też zapoznać się z użyciem naszych integracji partnerów secure hybrid access (SHA), które mogły zostać już wdrożone.

Nowe aplikacje biznesowe (LoB)

Aplikacje loB są zwykle opracowywane na potrzeby użytku wewnętrznego organizacji. Jeśli masz nowe aplikacje w potoku, zalecamy użycie Platforma tożsamości Microsoft do zaimplementowania OIDC.

Aplikacje do wycofania

Aplikacje bez wyraźnych właścicieli i jasne konserwacje i monitorowanie stanowią zagrożenie bezpieczeństwa dla organizacji. Rozważ wycofanie aplikacji, gdy:

• Ich funkcjonalność jest wysoce nadmiarowa w przypadku innych systemów
• Nie ma właściciela firmy
• Nie ma wyraźnie żadnego użycia

Zalecamy, aby nie oznaczać aplikacji o dużym znaczeniu, krytycznym dla działania firmy. W takich przypadkach współpracuj z właścicielami firm, aby określić właściwą strategię.

Kryteria zakończenia

W tej fazie pomyślnie wykonasz następujące zadania:

• Dobre zrozumienie aplikacji w zakresie migracji, tych, które wymagają modernizacji, tych, które powinny pozostać zgodnie z rzeczywistymi lub tych, które zostały oznaczone do wycofania.

Następne kroki

• Faza 2 — klasyfikowanie aplikacji i planowanie pilotażowe.