第 1 階段：探索應用程式並界定範圍

應用程式探索和分析是一個基本練習，可讓您開始著手。 您無法事事皆知，因此必須做好接受未知應用程式的準備。

尋找您的應用程式

移轉程式中的第一個決策是要移轉的應用程式，如果有的話，以及要取代哪些應用程式。 您永遠有機會取代您不會在組織中使用的應用程式。 您可以透過數種方式來尋找組織中的應用程式。 探索應用程式時，請確定您包含開發和規劃的應用程式。 在所有未來的應用程式中使用Microsoft Entra識別碼進行驗證。

使用 ADFS 探索應用程式：

• 針對 ADFS 使用 Microsoft Entra Connect Health：如果您有Microsoft Entra識別碼 P1 或 P2 授權，建議您部署Microsoft Entra Connect Health來分析內部部署環境中的應用程式使用量。 您可以使用 ADFS 應用程式報告 來探索可移轉的 ADFS 應用程式，並評估要移轉之應用程式的整備程度。

• 如果您沒有Microsoft Entra識別碼 P1 或 P2 授權，建議您使用 ADFS 來根據PowerShell來Microsoft Entra應用程式移轉工具。 請參閱 解決方案指南：

注意

這段影片涵蓋移轉程式的階段 1 和 2。

使用其他識別提供者 (IdP)

• 如果您目前使用 Okta，請參閱我們的Okta 以Microsoft Entra移轉指南。

• 如果您目前使用 Ping 同盟，請考慮使用 Ping 系統管理 API 來探索應用程式。

• 如果應用程式與 Active Directory 整合，請搜尋可能用於應用程式的服務主體或服務帳戶。

使用 Cloud Discovery 工具

在雲端環境中，您需要豐富的可見度、控制資料移動，以及精密的分析，才能在所有雲端服務中找出並對抗網路威脅。 您可以使用下列工具來收集您的雲端應用程式詳細目錄：

• 雲端存取安全性代理程式 (CASB) – CASB 通常會與您的防火牆一起運作，以提供員工雲端應用程式使用情況的可見度，並協助您保護公司資料免於網路安全性的威脅。 CASB 報告可協助您判斷組織中最常使用的應用程式，以及遷移至Microsoft Entra識別碼的早期目標。
• Cloud Discovery - 藉由設定Microsoft Defender for Cloud Apps，您可以瞭解雲端應用程式使用量，並探索未經批准或陰影 IT 應用程式。
• Azure 託管應用程式 - 針對連線到 Azure 基礎結構的應用程式，您可以使用這些系統上的 API 和工具開始清查託管的應用程式。 在 Azure 環境中：
  • 使用 Get-AzureWebsite Cmdlet 來取得 Azure 網站的相關資訊。
  • 使用Get-AzureRMWebApp Cmdlet 來取得 Azure Web Apps的相關資訊。D
  • 查詢Microsoft Entra識別碼尋找應用程式和服務主體。

手動探索程式

一旦您採用本文所述的自動化方法之後，您便能妥善處理您的應用程式。 不過，您可能會考慮進行下列動作，以確保包含所有使用者存取區域：

• 請與組織中的各個業務負責人聯繫，以找出組織中正在使用的應用程式。
• 在您的 Proxy 伺服器上執行 HTTP 檢查工具，或分析 Proxy 記錄，以查看流量通常路由的位置。
• 從熱門公司入口網站檢閱網路日誌，查看使用者最常存取的連結。
• 請連絡主管或其他重要業務成員，以確保您已涵蓋業務關鍵應用程式。

要遷移的應用程式類型

一旦您找到您的應用程式，您就可以識別組織中的這些應用程式類型：

• 使用新式驗證通訊協定的應用程式，例如 安全性判斷提示標記語言 (SAML) 或 OpenID Connect (OIDC) 。
• 使用舊版驗證的應用程式，例如 Kerberos 或 NT LAN Manager (NTLM) 您選擇現代化。
• 使用您選擇不將其傳統驗證通訊協定現代化的應用程式
• 新的企業營運 (LoB) 應用程式

已使用新式驗證的應用程式

已現代化應用程式最有可能移至Microsoft Entra識別碼。 這些應用程式已經使用 SAML 或 OIDC 等新式驗證通訊協定，並可重新設定為使用Microsoft Entra識別碼進行驗證。

建議您從Microsoft Entra應用程式庫搜尋和新增應用程式。 如果您在資源庫中找不到它們，您仍然可以將自訂應用程式上線。

您選擇將其現代化的舊版應用程式

針對您想要現代化的傳統應用程式，移至核心驗證和授權的Microsoft Entra識別碼，可解除鎖定Microsoft Graph和Intelligent Security Graph所提供的所有功能與資料豐富度。

我們建議將這些應用程式的驗證堆疊程式碼從舊版通訊協定 (更新，例如 Windows-Integrated 驗證、Kerberos、HTTP 標頭型驗證) 到新式通訊協定 (，例如 SAML 或 OpenID Connect) 。

您選擇不要將其現代化的舊版應用程式

對於使用舊版驗證通訊協定的特定應用程式，有時將其驗證現代化並不是基於商務理由而執行的正確動作。 其中包括下列類型的應用程式：

• 基於合規性或控制原因而保留在內部部署環境中的應用程式。
• 連線到您不想變更的內部部署身分識別或同盟提供者的應用程式。
• 使用您不打算移動的內部部署驗證標準所開發的應用程式

Microsoft Entra識別碼可為這些繼承應用程式帶來絕佳好處。 您可以針對這些應用程式啟用新式Microsoft Entra安全性和治理功能，例如Multi-Factor Authentication、條件式存取、身分識別保護、委派的應用程式存取和存取權檢閱，完全不需要觸碰應用程式！

• 首先，使用Microsoft Entra應用程式 Proxy將這些應用程式擴充到雲端。
• 或探索使用 我們的安全混合式存取 (SHA) 您可能 已部署的合作夥伴整合。

新的企業營運 (LoB) 應用程式

您通常會開發在組織內部使用的 LoB 應用程式。 如果您在管線中有新的應用程式，建議您使用Microsoft 身分識別平臺來實作 OIDC。

要淘汰的應用程式

沒有明確擁有者和明確維護和監視方式的應用程式，會讓您的組織存在安全性風險。 如有以下情況，請考慮淘汰應用程式：

• 其功能與其他系統高度備援
• 沒有業務擁有者
• 沒有任何 使用方式

建議您不要淘汰影響度高的業務關鍵性應用程式。 在這些情況下，請與業務負責人合作，以判斷正確的策略。

允出準則

您在此階段成功執行下列動作：

• 瞭解移轉範圍中的應用程式、需要現代化、應保持原樣的應用程式，或您標示為淘汰的應用程式。

下一步

• 階段 2 - 分類應用程式和計畫試驗。