Fase 1: Descobrir e definir o escopo de aplicativos

A descoberta e a análise de aplicativos são um exercício fundamental para que você tenha um bom começo. Você pode não saber tudo, então esteja preparado para acomodar os aplicativos desconhecidos.

Encontre as suas aplicações

A primeira decisão no processo de migração é quais aplicativos migrar, quais se algum deve permanecer e quais aplicativos devem ser depreciados. Há sempre uma oportunidade de depreciar os aplicativos que você não usará em sua organização. Há várias maneiras de encontrar aplicativos em sua organização. Ao descobrir aplicativos, certifique-se de incluir aplicativos planejados e em desenvolvimento. Use o Microsoft Entra ID para autenticação em todos os aplicativos futuros.

Descubra aplicativos que usam o ADFS:

• Use o Microsoft Entra Connect Health para ADFS: se você tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos implantar o Microsoft Entra Connect Health para analisar o uso do aplicativo em seu ambiente local. Você pode usar o relatório do aplicativo ADFS para descobrir aplicativos ADFS que podem ser migrados e avaliar a prontidão do aplicativo a ser migrado.

• Se você não tiver licenças do Microsoft Entra ID P1 ou P2, recomendamos usar as ferramentas de migração do aplicativo ADFS para Microsoft Entra com base no PowerShell. Consulte o guia de soluções:

Nota

Este vídeo abrange as fases 1 e 2 do processo de migração.

Usando outros provedores de identidade (IdPs)

• Se você estiver usando o Okta, consulte nosso guia de migração do Okta para o Microsoft Entra.

• Se você estiver usando o Ping Federate, considere usar a API administrativa do Ping para descobrir aplicativos.

• Se os aplicativos estiverem integrados ao Ative Directory, procure entidades de serviço ou contas de serviço que possam ser usadas para aplicativos.

Usando ferramentas de descoberta na nuvem

No ambiente de nuvem, você precisa de visibilidade avançada, controle sobre viagens de dados e análises sofisticadas para encontrar e combater ameaças cibernéticas em todos os seus serviços de nuvem. Você pode reunir seu inventário de aplicativos na nuvem usando as seguintes ferramentas:

• Cloud Access Security Broker (CASB) – Um CASB normalmente trabalha em conjunto com seu firewall para fornecer visibilidade sobre o uso de aplicativos em nuvem de seus funcionários e ajuda você a proteger seus dados corporativos contra ameaças de segurança cibernética. O relatório CASB pode ajudá-lo a determinar os aplicativos mais usados em sua organização e os destinos iniciais para migrar para o Microsoft Entra ID.
• Descoberta na nuvem - Ao configurar o Microsoft Defender for Cloud Apps, você ganha visibilidade sobre o uso do aplicativo na nuvem e pode descobrir aplicativos de TI não autorizados ou sombra.
• Aplicativos Hospedados do Azure - Para aplicativos conectados à infraestrutura do Azure, você pode usar as APIs e ferramentas nesses sistemas para começar a fazer um inventário de aplicativos hospedados. No ambiente do Azure:
  • Use o cmdlet Get-AzureWebsite para obter informações sobre sites do Azure.
  • Use o cmdlet Get-AzureRMWebApp para obter informações sobre seus Aplicativos Web do Azure.D
  • Consulte o ID do Microsoft Entra procurando por Aplicativos e Entidades de Serviço.

Processo de descoberta manual

Depois de adotar as abordagens automatizadas descritas neste artigo, você terá um bom controle sobre seus aplicativos. No entanto, você pode considerar fazer o seguinte para garantir uma boa cobertura em todas as áreas de acesso do usuário:

• Entre em contato com os vários proprietários de empresas em sua organização para encontrar os aplicativos em uso em sua organização.
• Execute uma ferramenta de inspeção HTTP em seu servidor proxy ou analise logs de proxy para ver onde o tráfego é comumente roteado.
• Revise weblogs de sites de portal de empresas populares para ver quais links os usuários acessam mais.
• Entre em contato com executivos ou outros membros importantes da empresa para garantir que você tenha coberto os aplicativos críticos para os negócios.

Tipo de aplicações a migrar

Depois de encontrar seus aplicativos, você identifica esses tipos de aplicativos em sua organização:

• Aplicativos que usam protocolos de autenticação modernos, como SAML (Security Assertion Markup Language) ou OpenID Connect (OIDC).
• Aplicativos que usam autenticação herdada, como Kerberos ou NT LAN Manager (NTLM) que você optar por modernizar.
• Aplicativos que usam protocolos de autenticação herdados que você escolhe NÃO modernizar
• Novos aplicativos de linha de negócios (LoB)

Aplicativos que já usam autenticação moderna

Os aplicativos já modernizados são os mais propensos a serem movidos para o Microsoft Entra ID. Esses aplicativos já usam protocolos de autenticação modernos, como SAML ou OIDC, e podem ser reconfigurados para autenticação com o Microsoft Entra ID.

Recomendamos que você pesquise e adicione aplicativos da galeria de aplicativos do Microsoft Entra. Se você não encontrá-los na galeria, ainda poderá integrar um aplicativo personalizado.

Aplicativos herdados que você escolhe modernizar

Para aplicativos herdados que você deseja modernizar, mudar para o Microsoft Entra ID para autenticação e autorização principais desbloqueia todo o poder e riqueza de dados que o Microsoft Graph e o Intelligent Security Graph têm a oferecer.

Recomendamos atualizar o código da pilha de autenticação para esses aplicativos do protocolo herdado (como autenticação integrada do Windows, Kerberos, autenticação baseada em cabeçalhos HTTP) para um protocolo moderno (como SAML ou OpenID Connect).

Aplicativos herdados que você escolhe NÃO modernizar

Para determinados aplicativos que usam protocolos de autenticação herdados, às vezes modernizar sua autenticação não é a coisa certa a fazer por motivos comerciais. Estes incluem os seguintes tipos de aplicações:

• Aplicativos mantidos no local por motivos de conformidade ou controle.
• Aplicativos conectados a uma identidade local ou provedor de federação que você não deseja alterar.
• Aplicativos desenvolvidos usando padrões de autenticação local que você não tem planos de mover

O Microsoft Entra ID pode trazer grandes benefícios para esses aplicativos herdados. Você pode habilitar recursos modernos de segurança e governança do Microsoft Entra, como Autenticação Multifator, Acesso Condicional, Proteção de ID do Microsoft Entra, Acesso a Aplicativo Delegado e Revisões de Acesso nesses aplicativos sem tocar no aplicativo!

• Comece estendendo esses aplicativos para a nuvem com o proxy de aplicativo Microsoft Entra.
• Ou explore o uso de nossas integrações de parceiros de Acesso Híbrido Seguro (SHA) que você já pode ter implantado.

Novos aplicativos de linha de negócios (LoB)

Você geralmente desenvolve aplicativos LoB para uso interno da sua organização. Se você tiver novos aplicativos no pipeline, recomendamos usar a plataforma de identidade da Microsoft para implementar o OIDC.

Aplicativos para depreciar

Aplicativos sem proprietários claros e manutenção e monitoramento claros representam um risco de segurança para sua organização. Considere substituir aplicativos quando:

• A sua funcionalidade é altamente redundante com outros sistemas
• Não há dono de empresa
• Claramente não há uso

Recomendamos que você não menospreze aplicativos críticos para os negócios de alto impacto. Nesses casos, trabalhe com os proprietários de empresas para determinar a estratégia certa.

Critérios de saída

Você é bem-sucedido nesta fase com:

• Uma boa compreensão dos aplicativos no escopo da migração, aqueles que exigem modernização, aqueles que devem permanecer como estão ou aqueles que você marcou para descontinuação.

Próximos passos

• Fase 2 - Classificar aplicativos e planejar o piloto.