第 1 階段：探索應用程式並界定範圍

應用程式探索和分析是提供您良好起點的基本演練。 您無法事事皆知，因此必須做好接受未知應用程式的準備。

尋找您的應用程式

移轉程式中的第一個決策是要移轉哪些應用程式 (如果有的話)，以及要淘汰哪些應用程式。 您永遠有機會淘汰組織中不使用的應用程式。 您可以透過數種方式來尋找組織中的應用程式。 探索應用程式時，務必將開發中和已規劃的應用程式包含在內。 在所有未來的應用程式中，使用Microsoft Entra ID 進行驗證。

使用 ADFS 探索應用程式：

• 使用 Microsoft Entra Connect Health for ADFS：如果您有Microsoft Entra ID P1 或 P2 授權，建議您部署 Microsoft Entra Connect Health，以分析內部部署環境中的應用程式使用量。 您可以使用 ADFS 應用程式報表來探索可遷移的 ADFS 應用程式，並評估要遷移的應用程式是否就緒。

• 如果您沒有 Microsoft Entra ID P1 或 P2 授權，建議您使用以 PowerShell 為基礎的 ADFS 到 Microsoft Entra 應用程式移轉工具。 請參閱解決方案指南：

注意

這段影片涵蓋移轉流程的第 １ 階段和第 2 階段。

使用其他識別提供者 (IdP)

• 如果您目前使用 Okta，請參閱我們的 Okta Microsoft Entra 移轉指南。

• 如果您目前使用 Ping 同盟，請考慮使用 Ping 系統管理 API 來探索應用程式。

• 如果應用程式與 Active Directory 整合，請搜尋可用於應用程式的服務主體或服務帳戶。

使用 Cloud Discovery 工具

在雲端環境中，您需要豐富的可見度、控制資料移動，以及精密的分析，才能在所有雲端服務中找出並對抗網路威脅。 您可以使用下列工具來收集您的雲端應用程式詳細目錄：

• 雲端存取安全性代理程式 (CASB) – CASB 通常會與您的防火牆一起運作，以提供員工雲端應用程式使用情況的可見度，並協助您保護公司資料免於網路安全性的威脅。 CASB 報告可協助您判斷組織中最常使用的應用程式，以及遷移至 Microsoft Entra ID 的早期目標。
• Cloud Discovery - 藉由設定 Microsoft Defender for Cloud Apps，您可以看到雲端應用程式的使用情況，並且可以探索待批准或影子 IT 應用程式。
• Azure 託管應用程式 - 針對連線到 Azure 基礎結構的應用程式，您可以使用這些系統上的 API 和工具來開始清查託管的應用程式。 在 Azure 環境中：
  • 使用 Get-AzureWebsite Cmdlet 來取得 Azure 網站的相關資訊。
  • 使用 Get-AzureRMWebApp Cmdlet 取得 Azure Web Apps.D 的相關資訊
  • 查詢 Microsoft Entra ID，尋找 應用程式和服務主體。

手動探索流程

一旦您採用本文所述的自動化方法之後，您便能妥善處理應用程式。 不過，您可能會考慮進行下列動作，以確保包含所有使用者存取區域：

• 請與組織中的各個業務負責人聯繫，以找出組織中正在使用的應用程式。
• 在您的 Proxy 伺服器上執行 HTTP 檢查工具，或分析 Proxy 記錄，以查看流量通常路由的位置。
• 從熱門公司入口網站檢閱網路日誌，查看使用者最常存取的連結。
• 與主管或其他重要業務成員接洽，確保您已涵蓋商務關鍵應用程式。

要遷移的應用程式類型

找到您的應用程式之後，您會在組織中識別這些類型的應用程式：

• 使用新式驗證通訊協定的應用程式，例如安全性判斷提示標記語言 (SAML) 或 OpenID Connect (OIDC)。
• 使用舊版驗證的應用程式，例如 Kerberos 或您選擇現代化之 NT LAN Manager (NTLM)。
• 使用您選擇不將其傳統驗證通訊協定現代化的應用程式
• 新的企業營運 (LoB) 應用程式

已使用新式驗證的應用程式

已現代化的應用程式最有可能移至 Microsoft Entra ID。 這些應用程式已使用新式驗證通訊協定，例如 SAML 或 OIDC，且可以重新設定為使用 Microsoft Entra ID 進行驗證。

建議您從 Microsoft Entra 應用資源庫搜尋和新增應用程式。 如果您在資源庫中找不到它們，您仍然可以將自訂應用程式上線。

您選擇將其現代化的舊版應用程式

針對您想要現代化的舊版應用程式，請移至 Microsoft Entra ID 進行核心驗證和授權，即可解鎖 Microsoft Graph 和 Intelligent Security Graph 必須提供的所有功能和資料豐富性。

建議您更新這些應用程式的驗證堆疊程式碼，以從舊版通訊協定 (例如 Windows 整合式驗證、Kerberos、HTTP 標頭式驗證) 更新到新式通訊協定 (如 SAML 或 OpenID Connect)。

您選擇不要將其現代化的舊版應用程式

有時候因為一些商業原因，對於某些使用舊版驗證通訊協定的應用程式而言，現代化其驗證並不是正確做法。 其中包括下列類型的應用程式：

• 基於合規性或控制原因而保留在內部部署環境中的應用程式。
• 連線至內部部署身分識別的應用程式，或是您不想要變更的同盟提供者。
• 使用您不打算移動的內部部署驗證標準所開發的應用程式

Microsoft Entra ID 可以為這些舊版應用程式帶來極大的好處。 您可以對這些應用程式啟用新式 Microsoft Entra 安全性和治理功能，例如多重要素驗證、條件式存取、Microsoft Entra ID Protection、委派的應用程式存取及存取權檢閱，而且完全無須觸及應用程式！

• 首先，使用 Microsoft Entra 應用程式 Proxy將這些應用程式擴充至雲端。
• 或探索使用我們安全混合式存取 (SHA) 合作夥伴整合，您可能已經部署。

新的企業營運 (LoB) 應用程式

您通常會開發在組織內部使用的 LoB 應用程式。 如果您的管線中有新的應用程式，我們建議使用 Microsoft 身分識別平台來實作 OIDC。

要淘汰的應用程式

沒有明確擁有者和明確維護和監視方式的應用程式，會讓您的組織存在安全性風險。 如有以下情況，請考慮淘汰應用程式：

• 其功能性與其他系統高度重複
• 沒有企業主
• 顯然已不再使用

建議您不要淘汰影響度高的業務關鍵性應用程式。 在這些情況下，請與業務負責人合作，以判斷正確的策略。

允出準則

若要成功完成此階段，您必須具備下列條件：

• 充分瞭解移轉範圍中的應用程式、需要現代化的應用程式、應保持最新狀態的應用程式，或您標示為淘汰的應用程式。

下一步

• 第 2 階段：將應用程式分類和規劃試驗。