Fase 1: Detetar e definir âmbito de aplicações

A deteção e análise de aplicações são um exercício fundamental para lhe dar um bom começo. Pode não saber tudo, por isso, esteja preparado para acomodar as aplicações desconhecidas.

Localizar as suas aplicações

A primeira decisão no processo de migração é as aplicações a migrar, que, se existirem, devem permanecer e quais as aplicações a preterir. Existe sempre a oportunidade de preterir as aplicações que não utilizará na sua organização. Existem várias formas de encontrar aplicações na sua organização. Ao detetar aplicações, certifique-se de que inclui aplicações em desenvolvimento e planeadas. Utilize Microsoft Entra ID para autenticação em todas as aplicações futuras.

Descubra aplicações com o ADFS:

• Utilizar o Microsoft Entra Connect Health para o ADFS: se tiver uma licença do ID P1 ou P2 Microsoft Entra, recomendamos que implemente Microsoft Entra Connect Health para analisar a utilização da aplicação no seu ambiente no local. Pode utilizar o relatório da aplicação ADFS para detetar aplicações do ADFS que podem ser migradas e avaliar a preparação da aplicação a ser migrada.

• Se não tiver licenças Microsoft Entra ID P1 ou P2, recomendamos que utilize o ADFS para Microsoft Entra ferramentas de migração de aplicações com base no PowerShell. Veja o guia da solução:

Nota

Este vídeo abrange a fase 1 e 2 do processo de migração.

Utilizar outros fornecedores de identidade (IdPs)

• Se estiver a utilizar o Okta, consulte o nosso Guia de migração okta para Microsoft Entra.

• Se estiver a utilizar o Ping Federate, considere utilizar a API Administrativa de Ping para detetar aplicações.

• Se as aplicações estiverem integradas no Active Directory, procure principais de serviço ou contas de serviço que possam ser utilizadas para aplicações.

Utilizar ferramentas de deteção da cloud

No ambiente da cloud, precisa de visibilidade avançada, controlo sobre viagens de dados e análise sofisticada para encontrar e combater ameaças cibernéticas em todos os seus serviços cloud. Pode recolher o inventário de aplicações na cloud com as seguintes ferramentas:

• Cloud Access Security Broker (CASB) – normalmente, um CASB funciona em conjunto com a firewall para dar visibilidade à utilização de aplicações na cloud dos seus funcionários e ajudá-lo a proteger os seus dados empresariais contra ameaças de cibersegurança. O relatório CASB pode ajudá-lo a determinar as aplicações mais utilizadas na sua organização e os objetivos iniciais para migrar para Microsoft Entra ID.
• Cloud Discovery – ao configurar Microsoft Defender for Cloud Apps, obtém visibilidade sobre a utilização da aplicação na cloud e pode detetar aplicações de TI não aprovadas ou Sombra.
• Aplicações Alojadas do Azure – para aplicações ligadas à infraestrutura do Azure, pode utilizar as APIs e as ferramentas nesses sistemas para começar a fazer um inventário das aplicações alojadas. No ambiente do Azure:
  • Utilize o cmdlet Get-AzureWebsite para obter informações sobre sites do Azure.
  • Utilize o cmdlet Get-AzureRMWebApp para obter informações sobre o seu Aplicações Web do Azure. D
  • Consultar Microsoft Entra ID à procura de Aplicações e Principais de Serviço.

Processo de deteção manual

Depois de efetuar as abordagens automatizadas descritas neste artigo, tem uma boa gestão das suas aplicações. No entanto, pode considerar fazer o seguinte para garantir que tem uma boa cobertura em todas as áreas de acesso dos utilizadores:

• Contacte os vários proprietários empresariais na sua organização para encontrar as aplicações em utilização na sua organização.
• Execute uma ferramenta de inspeção HTTP no servidor proxy ou analise os registos de proxy para ver onde o tráfego é normalmente encaminhado.
• Reveja os weblogs de sites populares do portal da empresa para ver as ligações a que os utilizadores acedem mais.
• Contacte executivos ou outros membros principais da empresa para garantir que abordou as aplicações críticas para a empresa.

Tipo de aplicações a migrar

Assim que encontrar as suas aplicações, identifica estes tipos de aplicações na sua organização:

• Aplicações que utilizam protocolos de autenticação modernos, como o Security Assertion Markup Language (SAML) ou o OpenID Connect (OIDC).
• Aplicações que utilizam autenticação legada, como Kerberos ou NT LAN Manager (NTLM), que opta por modernizar.
• Aplicações que utilizam protocolos de autenticação legados que escolhe NÃO modernizar
• Novas aplicações de Linha de Negócio (LoB)

Aplicações que já utilizam autenticação moderna

As aplicações já modernizadas são as mais prováveis de serem movidas para Microsoft Entra ID. Estas aplicações já utilizam protocolos de autenticação modernos, como SAML ou OIDC, e podem ser reconfiguradas para autenticar com Microsoft Entra ID.

Recomendamos que pesquise e adicione aplicações a partir da galeria de aplicações Microsoft Entra. Se não os encontrar na galeria, ainda pode integrar uma aplicação personalizada.

Aplicações legadas que opta por modernizar

Para aplicações legadas que pretende modernizar, mudar para Microsoft Entra ID para autenticação e autorização de núcleo desbloqueia toda a potência e riqueza de dados que o Microsoft Graph e o Graph de Segurança Inteligente têm para oferecer.

Recomendamos que atualize o código da pilha de autenticação para estas aplicações a partir do protocolo legado (como autenticação Windows-Integrated, Kerberos, autenticação baseada em Cabeçalhos HTTP) para um protocolo moderno (como SAML ou OpenID Connect).

Aplicações legadas que escolhe NÃO modernizar

Para determinadas aplicações que utilizam protocolos de autenticação legados, por vezes, modernizar a autenticação não é a coisa certa a fazer por motivos empresariais. Estes incluem os seguintes tipos de aplicações:

• Aplicações mantidas no local por motivos de conformidade ou controlo.
• Aplicações ligadas a um fornecedor de identidade ou federação no local que não pretende alterar.
• Aplicações desenvolvidas com padrões de autenticação no local que não tem planos para mover

Microsoft Entra ID pode trazer grandes benefícios a estas aplicações legadas. Pode ativar funcionalidades modernas de segurança e governação de Microsoft Entra, como Multi-Factor Authentication, Acesso Condicional, Proteção de Identidade, Acesso delegado à Aplicação e Revisões de Acesso a estas aplicações sem tocar na aplicação!

• Comece por expandir estas aplicações para a cloud com Microsoft Entra proxy de aplicações.
• Em alternativa, explore a utilização das nossas integrações de parceiros de Acesso Híbrido Seguro (SHA) que já possa ter implementado.

Novas aplicações de Linha de Negócio (LoB)

Normalmente, desenvolve aplicações LoB para utilização interna da sua organização. Se tiver novas aplicações no pipeline, recomendamos que utilize o plataforma de identidades da Microsoft para implementar o OIDC.

Aplicações a preterir

As aplicações sem proprietários limpos e manutenção e monitorização claras apresentam um risco de segurança para a sua organização. Considere preterir aplicações quando:

• A sua funcionalidade é altamente redundante com outros sistemas
• Não há nenhum proprietário empresarial
• Claramente não existe utilização

Recomendamos que não pretera aplicações críticas para a empresa de alto impacto. Nesses casos, trabalhe com os empresários para determinar a estratégia certa.

Critérios de saída

Tem êxito nesta fase com:

• Uma boa compreensão das aplicações no âmbito da migração, das que necessitam de modernização, das que devem permanecer como estão ou das que marcou para a descontinuação.

Passos seguintes

• Fase 2 – Classificar aplicações e planear o piloto.