Этап 1. Обнаружение приложений и определение их области действия

Обнаружение и анализ приложений — это основное упражнение, которое дает вам хороший старт. Возможно, вы чего-то не знаете, поэтому нужно подготовиться к размещению неизвестных приложений.

Поиск приложений

Первое решение в процессе миграции заключается в том, какие приложения следует перенести, которые должны остаться и какие приложения не рекомендуется использовать. Всегда есть возможность нерекомендуемые приложения, которые вы не будете использовать в вашей организации. Приложения можно искать в организации несколькими способами. При обнаружении приложений убедитесь, что вы включаете в разработку и запланированные приложения. Используйте идентификатор Microsoft Entra для проверки подлинности во всех будущих приложениях.

Обнаружение приложений с помощью ADFS:

• Используйте Microsoft Entra Connect Health для ADFS: если у вас есть лицензия Microsoft Entra ID P1 или P2, рекомендуется развернуть Microsoft Entra Connect Health для анализа использования приложений в локальной среде. Отчет о приложении ADFS можно использовать для обнаружения приложений ADFS, которые можно перенести и оценить готовность перенесенного приложения.

• Если у вас нет лицензий Microsoft Entra ID P1 или P2, рекомендуется использовать ADFS в средства миграции приложений Microsoft Entra на основе PowerShell. См. руководство по решению:

Примечание.

Это видео охватывает как этап 1, так и 2 процесса миграции.

Использование других поставщиков удостоверений

• Если вы сейчас используете Okta, ознакомьтесь с нашим руководством по миграции Okta в Microsoft Entra.

• Если вы используете федерацию Ping в настоящее время, рассмотрите возможность использования API администрирования Ping для обнаружения приложений.

• Если приложения интегрированы с Active Directory, выполните поиск субъектов-служб или учетных записей служб, которые могут использоваться для приложений.

Использование облачных средств обнаружения

В облачной среде требуются широкие возможности для выявления, контроль над перемещением данных и сложная аналитика для поиска киберугроз и борьбы с ними во всех облачных службах. Данные инвентаризации облачных приложений можно собрать с помощью следующих средств:

• Брокер безопасного доступа в облако (CASB). Обычно CASB вместе с брандмауэром предоставляет сведения об использовании облачных приложений сотрудниками и помогает защитить корпоративные данные от угроз кибербезопасности. Отчет CASB поможет определить наиболее используемые приложения в организации и ранние целевые объекты для миграции на идентификатор Microsoft Entra.
• Cloud Discovery — настраивая Microsoft Defender для облака приложения, вы получаете представление об использовании облачных приложений и сможете обнаруживать несанкционированные или теневые ИТ-приложения.
• Размещенные приложения Azure. Для приложений, подключенных к инфраструктуре Azure, можно использовать API и средства в этих системах, чтобы начать инвентаризацию размещенных приложений. В среде Azure:
  • Используйте командлет Get-AzureWebsite, чтобы получить сведения о веб-сайтах Azure.
  • Используйте командлет Get-AzureRMWebApp, чтобы получить сведения о веб-приложения Azure. D
  • Запрос идентификатора Microsoft Entra для поиска приложений и субъектов-служб.

Процесс обнаружения вручную

После того как вы приняли автоматизированные подходы, описанные в этой статье, у вас есть хороший дескриптор для приложений. Однако вы можете выполнить следующие действия, чтобы полнее охватить все области доступа пользователей.

• Чтобы найти приложения, используемые в организации, обратитесь к владельцам различных бизнес-процессов в организации.
• Запустите средство проверки HTTP на прокси-сервере или проанализируйте журналы прокси-сервера, чтобы узнать, куда чаще всего направляется трафик.
• Просмотрите веб-журналы популярных сайтов корпоративного портала, чтобы узнать, по каким ссылкам пользователи переходят чаще всего.
• Обратитесь к руководителям или другим ключевым бизнес-членам, чтобы убедиться, что вы рассмотрели критически важные для бизнеса приложения.

Тип переносимых приложений

После поиска приложений вы определите эти типы приложений в вашей организации:

• Приложения, использующие современные протоколы проверки подлинности, такие как язык разметки утверждений безопасности (SAML) или OpenID Connect (OIDC).
• Приложения, использующие устаревшую проверку подлинности, например Kerberos или NT LAN Manager (NTLM), которые вы решили модернизировать.
• приложения, использующие устаревшие протоколы проверки подлинности, которые вы НЕ собираетесь модернизировать;
• новые бизнес-приложения.

Приложения, уже использующие современную проверку подлинности

Уже обновленные приложения наиболее вероятно, будут перемещены в идентификатор Microsoft Entra. Эти приложения уже используют современные протоколы проверки подлинности, такие как SAML или OIDC, и их можно перенастроить для проверки подлинности с помощью идентификатора Microsoft Entra.

Рекомендуется искать и добавлять приложения из коллекции приложений Microsoft Entra. Если вы не найдете их в коллекции, вы по-прежнему можете подключить пользовательское приложение.

Выбранные для модернизации устаревшие приложения

Для устаревших приложений, которые вы хотите модернизировать, переход на идентификатор Microsoft Entra для основной проверки подлинности и авторизации разблокирует все возможности и возможности, доступные Microsoft Graph и Intelligent Security Graph.

Мы рекомендуем обновить код стека проверки подлинности для этих приложений из устаревшего протокола (например, встроенной в Windows, Kerberos, аутентификации на основе HTTP-заголовков) до современного протокола (например, SAML или OpenID Connect).

Устаревшие приложения, НЕ выбранные для модернизации

Для некоторых приложений, использующих устаревшие протоколы проверки подлинности, иногда модернизация их проверки подлинности не подходит для бизнес-причин. Это касается приложений следующих типов:

• приложения, которые хранятся локально для обеспечения соответствия или соблюдения принципов управления;
• Приложения, подключенные к локальному поставщику удостоверений или федерации, которые вы не хотите изменить.
• приложения, разработанные с использованием локальных стандартов проверки подлинности, которые не планируется перемещать.

Идентификатор Microsoft Entra может принести большие преимущества для этих устаревших приложений. Вы можете включить современные функции безопасности и управления Microsoft Entra, такие как Многофакторная проверка подлинности, условный доступ, Защита идентификации Microsoft Entra, делегированный доступ к приложениям и проверки доступа для этих приложений, не касаясь приложения вообще!

• Начните с расширения этих приложений в облако с помощью прокси приложения Microsoft Entra.
• Или изучите возможности интеграции с партнерами по безопасному гибридному доступу (SHA), которые вы уже развернули.

новые бизнес-приложения.

Обычно бизнес-приложения разрабатываются для внутреннего использования в организации. Если у вас есть новые приложения в конвейере, рекомендуется использовать платформа удостоверений Майкрософт для реализации OIDC.

Приложения, от которых следует отказаться

Приложения без четко установленных владельцев, а также процедур обслуживания и мониторинга представляют угрозу безопасности для вашей организации. Рекомендуется отказаться от приложений, если:

• Их функциональные возможности являются весьма избыточными с другими системами
• Нет владельца бизнеса
• Явно нет использования

От критически важных для бизнеса приложений рекомендуется не отказываться. В таких случаях следует обратиться к владельцам бизнес-функций, чтобы определить правильную стратегию.

Условия выхода

На этом этапе вы успешно выполните следующие действия.

• Хорошее понимание приложений в области миграции, тех, которые требуют модернизации, тех, которые должны оставаться как есть, или тех, которые вы отметили для отмены.

Следующие шаги

• Этап 2. Классификация приложений и пилотного плана.