Migrace ověřování aplikací na Azure Active Directory

O tomto dokumentu

Tento dokument white paper podrobně popisuje plánování a výhody migrace ověřování vaší aplikace do Azure AD. Je navržený pro správce Azure a odborníky na identity.

Rozdělení procesu do čtyř fází, z nichž každá obsahuje podrobná kritéria plánování a ukončení, je navržená tak, aby vám pomohla naplánovat strategii migrace a pochopit, jak ověřování Azure AD podporuje vaše organizační cíle.

Úvod

Vaše organizace dnes vyžaduje, aby uživatelé mohli pracovat s aplikacemi (aplikacemi). Aplikace budete pravděpodobně přidávat, vyvíjet nebo vyřadit každý den. Uživatelé k těmto aplikacím přistupují z široké škály firemních a osobních zařízení a umístění. Aplikace se otevírají mnoha způsoby, včetně:

  • prostřednictvím domovské stránky společnosti nebo portálu

  • záložkou v prohlížečích

  • prostřednictvím adresy URL dodavatele pro aplikace saaS (software jako služba)

  • odkazy nabízené přímo na stolní počítače nebo mobilní zařízení uživatelů prostřednictvím řešení správy mobilních zařízení nebo aplikací (MDM/ MAM)

Vaše aplikace pravděpodobně používají následující typy ověřování:

  • Místní řešení federace (například Active Directory Federation Services (AD FS) (ADFS) a Ping

  • Active Directory (například Ověřování protokolu Kerberos a ověřování Windows-Integrated)

  • Další cloudová řešení pro správu identit a přístupu (IAM) (například Okta nebo Oracle)

  • Místní webová infrastruktura (například IIS a Apache)

  • Infrastruktura hostovaná v cloudu (například Azure a AWS)

Abyste zajistili, že uživatelé můžou snadno a bezpečně přistupovat k aplikacím, je vaším cílem mít jednu sadu řízení přístupu a zásad napříč místními a cloudovými prostředími.

Azure Active Directory (Azure AD) nabízí univerzální platformu identit, která poskytuje vašim lidem, partnerům a zákazníkům jedinou identitu pro přístup k aplikacím, které chtějí, a spolupráci z libovolné platformy a zařízení.

A diagram of Azure Active Directory connectivity

Azure AD má úplnou sadu možností správy identit. Standardizace ověřování a autorizace aplikací pro Azure AD umožňuje získat výhody těchto funkcí.

Další prostředky migrace najdete na adrese https://aka.ms/migrateapps

Výhody migrace ověřování aplikací do Azure AD

Přesun ověřování aplikací do Azure AD vám pomůže spravovat rizika a náklady, zvýšit produktivitu a řešit požadavky na dodržování předpisů a zásady správného řízení.

Řízení rizik

Ochrana aplikací vyžaduje, abyste měli úplný přehled o všech rizikových faktorech. Migrace aplikací do Azure AD konsoliduje vaše řešení zabezpečení. S ním můžete:

Správa nákladů

Vaše organizace může mít k dispozici několik řešení IAM (Identity Access Management). Migrace na jednu infrastrukturu Azure AD je příležitost snížit závislosti na licencích IAM (místně nebo v cloudu) a nákladů na infrastrukturu. V případech, kdy jste už možná zaplatili za Azure AD prostřednictvím Microsoft 365 licencí, není důvod zaplatit přidané náklady na jiné řešení IAM.

S Azure AD můžete snížit náklady na infrastrukturu:

Zvýšení produktivity

Ekonomické a bezpečnostní výhody řídí organizace, aby přijaly Azure AD, ale úplné přijetí a dodržování předpisů je pravděpodobnější, pokud uživatelé mají také prospěch. S Azure AD můžete:

Řešení dodržování předpisů a zásad správného řízení

Zajištění dodržování zákonných požadavků vynucením zásad podnikového přístupu a monitorováním přístupu uživatelů k aplikacím a přidruženým datům pomocí integrovaných nástrojů auditu a rozhraní API V Azure AD můžete monitorovat přihlašování aplikací prostřednictvím sestav, které používají nástroje SIEM (Security Incident and Event Monitoring). K sestavám můžete přistupovat z portálu nebo rozhraní API a programově auditovat, kdo má přístup k vašim aplikacím, a odebrat přístup neaktivním uživatelům prostřednictvím kontrol přístupu.

Plánování fází migrace a strategie projektu

Pokud technologické projekty selžou, často je to způsobeno neshodnými očekáváními, správnými zúčastněnými stranami, které se nezabíjejí, nebo nedostatkem komunikace. Zajistěte úspěch plánováním samotného projektu.

Fáze migrace

Než se dostaneme k nástrojům, měli byste pochopit, jak proces migrace promyslet. Prostřednictvím několika přímých workshopů pro zákazníky doporučujeme následující čtyři fáze:

A diagram of the phases of migration

Sestavení projektového týmu

Migrace aplikací je týmová práce a musíte zajistit, abyste měli všechny důležité pozice naplněné. Podpora od vedoucích vedoucích pracovníků je důležitá. Ujistěte se, že budete zahrnovat správnou sadu výkonných sponzorů, odborníků na obchodní rozhodnutí a odborníky na problematiku.)

Během projektu migrace může jedna osoba splnit více rolí nebo více lidí splnit každou roli v závislosti na velikosti a struktuře vaší organizace. Můžete mít také závislost na jiných týmech, které hrají klíčovou roli v oblasti zabezpečení.

Následující tabulka obsahuje klíčové role a jejich příspěvky:

Role Contributions
Projektový manažer Project trenér zodpovědný za vedení projektu, včetně:
- získání výkonné podpory
- přineste zúčastněné strany
– správa plánů, dokumentace a komunikace
Architekt identit / Správce aplikací Azure AD Jsou zodpovědní za následující:
- návrh řešení ve spolupráci se zúčastněnými stranami
- dokumentujte návrh řešení a provozní postupy pro předání provoznímu týmu.
– správa předprodukčního a produkčního prostředí
Místní provozní tým SLUŽBY AD Organizace, která spravuje různé místní zdroje identit, jako jsou doménové struktury AD, adresáře LDAP, personální systémy atd.
– proveďte všechny úlohy nápravy potřebné před synchronizací.
– Zadejte účty služeb vyžadované pro synchronizaci.
– poskytnutí přístupu ke konfiguraci federace pro Azure AD
Správce podpory IT Zástupce organizace podpory IT, který může poskytnout vstup o podpoře této změny z hlediska helpdesku.
Vlastník zabezpečení Zástupce týmu zabezpečení, který může zajistit, aby plán splňoval požadavky na zabezpečení vaší organizace.
Technické vlastníky aplikací Zahrnuje technické vlastníky aplikací a služeb, které se budou integrovat s Azure AD. Poskytují atributy identity aplikací, které by měly být součástí procesu synchronizace. Obvykle mají vztah se zástupci CSV.
Vlastníci obchodních aplikací Reprezentativní kolegové, kteří mohou poskytnout vstup do uživatelského prostředí a užitečnosti této změny z pohledu uživatele a vlastní celkový obchodní aspekt aplikace, který může zahrnovat správu přístupu.
Pilotní skupina uživatelů Uživatelé, kteří budou testovat jako součást své každodenní práce, pilotního prostředí a poskytují zpětnou vazbu, která povede zbývající nasazení.

Plán komunikace

Efektivní obchodní zapojení a komunikace je klíčem k úspěchu. Je důležité dát zúčastněným stranám a koncovým uživatelům možnost získat informace a informovat o aktualizacích plánu. Informujte všechny o hodnotě migrace, o tom, co jsou očekávané časové osy a jak naplánovat případné dočasné přerušení firmy. Používejte několik cest, jako jsou schůzky, e-maily, schůzky 1:1, bannery a radnice.

Na základě strategie komunikace, kterou jste zvolili pro aplikaci, můžete chtít uživatelům připomenout nevyřízené výpadky. Měli byste také ověřit, že neexistují žádné nedávné změny nebo obchodní dopady, které by vyžadovaly odložení nasazení.

V následující tabulce najdete minimální navrženou komunikaci, která umožní účastníkům informovat:

Fáze plánování a strategie projektů:

Komunikace Cílová skupina
Povědomí a obchodní / technická hodnota projektu Všichni kromě koncových uživatelů
Vyžádání pro pilotní aplikace – Vlastníci firmy aplikací
– Technické vlastníky aplikací
- Architekti a tým identit

Fáze 1– Zjišťování a rozsah:

Komunikace Cílová skupina
- Žádost o informace o aplikaci
- Výsledek cvičení oboru
– Technické vlastníky aplikací
– Vlastníci firmy aplikací

Fáze 2: Klasifikace aplikací a plánování pilotního nasazení:

Komunikace Cílová skupina
- Výsledek klasifikací a co to znamená pro plán migrace
– Předběžný plán migrace
– Technické vlastníky aplikací
– Vlastníci firmy aplikací

Fáze 3 – Plánování migrace a testování:

Komunikace Cílová skupina
- Výsledek testování migrace aplikací – Technické vlastníky aplikací
– Vlastníci firmy aplikací
– Oznámení, že migrace přichází a vysvětluje výsledné prostředí koncových uživatelů.
– Nadcházející výpadek a úplná komunikace, včetně toho, co by teď měli dělat, zpětnou vazbu a jak získat pomoc
– Koncoví uživatelé (a všichni ostatní)

Fáze 4 – Správa a získání přehledů:

Komunikace Cílová skupina
Dostupné analýzy a přístup k nim – Technické vlastníky aplikací
– Vlastníci firmy aplikací

Řídicí panel pro komunikaci se stavy migrace

Komunikace celkového stavu projektu migrace je zásadní, protože ukazuje průběh a pomáhá vlastníkům aplikací, jejichž aplikace přicházejí k migraci, připravit se na přesun. Jednoduchý řídicí panel můžete vytvořit pomocí Power BI nebo jiných nástrojů pro vytváření sestav, abyste měli přehled o stavu aplikací během migrace.

Stavy migrace, které můžete zvážit, jsou následující:

Stavy migrace Akční plán
Počáteční žádost Vyhledání aplikace a kontaktování vlastníka s dalšími informacemi
Posouzení dokončeno Vlastník aplikace vyhodnotí požadavky aplikace a vrátí dotazník aplikace.
Probíhá konfigurace Vývoj změn nezbytných ke správě ověřování v Azure AD
Úspěšná konfigurace testu Vyhodnocení změn a ověření aplikace vůči testovacímu tenantovi Azure AD v testovacím prostředí
Úspěšná produkční konfigurace Změňte konfigurace tak, aby fungovaly s produkčním tenantem AD, a vyhodnoťte ověřování aplikace v testovacím prostředí.
Dokončení / odhlášení Nasaďte změny aplikace do produkčního prostředí a spusťte je v produkčním tenantovi Azure AD.

Tím se zajistí, že vlastníci aplikací vědí, co je plán migrace a testování aplikací, když se jejich aplikace zmigrují a jaké jsou výsledky z jiných aplikací, které už byly migrovány. Můžete také zvážit poskytnutí odkazů na databázi pro sledování chyb, aby vlastníci mohli vytvářet soubory a zobrazovat problémy s migrovanými aplikacemi.

Osvědčené postupy

Níže jsou uvedené články o úspěchu našich zákazníků a partnerů a doporučené osvědčené postupy:

Fáze 1: Zjišťování a obor aplikací

Zjišťování a analýza aplikací je základní cvičení, které vám poskytne dobrý začátek. Možná neznáte všechno, takže buďte připraveni na přizpůsobení neznámých aplikací.

Vyhledání aplikací

Prvním rozhodovacím bodem migrace aplikace je to, které aplikace se mají migrovat, a které aplikace by měly zůstat, a které aplikace se mají vypsat. Aplikace, které ve vaší organizaci nebudete používat, je vždy příležitost přestat používat. Aplikace ve vaší organizaci můžete najít několika způsoby. Při zjišťování aplikací se ujistěte, že zahrnete do vývoje a plánovaných aplikací. Azure AD můžete použít k ověřování ve všech budoucích aplikacích.

Použití Active Directory Federation Services (AD FS) (AD FS) Ke shromáždění správného inventáře aplikací:

  • Použití Azure AD Connect Health Pokud máte licenci Azure AD Premium, doporučujeme nasadit Službu Azure AD Připojení Health k analýze využití aplikace ve vašem místním prostředí. Sestavu aplikace ADFS (Preview) můžete použít ke zjištění aplikací ADFS, které je možné migrovat, a vyhodnotit připravenost aplikace k migraci. Po dokončení migrace nasaďte Cloud Discovery , které vám umožní nepřetržitě monitorovat stínové IT ve vaší organizaci, jakmile budete v cloudu.

  • Analýza protokolů služby AD FS Pokud nemáte Azure AD Premium licence, doporučujeme použít ADFS do nástrojů pro migraci aplikací Azure AD na základě PowerShellu. Projděte si průvodce řešením:

Migrace aplikací z Active Directory Federation Services (AD FS) (AD FS) do Azure AD

Použití jiných zprostředkovatelů identity (IDP)

U jiných zprostředkovatelů identity (například Okta nebo Ping) můžete k exportu inventáře aplikací použít jejich nástroje. Můžete zvážit zobrazení principů služeb zaregistrovaných ve službě Active Directory, které odpovídají webovým aplikacím ve vaší organizaci.

Použití nástrojů cloud discovery

V cloudovém prostředí potřebujete bohatou viditelnost, kontrolu nad cestováním na data a sofistikované analýzy, které vám umožní najít a bojovat proti kybernetickým hrozbám ve všech vašich cloudových službách. Inventář cloudových aplikací můžete shromáždit pomocí následujících nástrojů:

  • Cloud Access Security Broker (CASB) – CASB obvykle funguje společně s bránou firewall, která poskytuje přehled o využití cloudových aplikací vašich zaměstnanců a pomáhá chránit podniková data před hrozbami kybernetické bezpečnosti. Sestava CASB vám může pomoct určit nejpoužívanější aplikace ve vaší organizaci a počáteční cíle pro migraci do Azure AD.

  • Cloud Discovery – Konfigurací Cloud Discovery získáte přehled o využití cloudových aplikací a můžete zjišťovat neschválené nebo stínové IT aplikace.

  • Rozhraní API – U aplikací připojených ke cloudové infrastruktuře můžete pomocí rozhraní API a nástrojů v těchto systémech začít inventarizaci hostovaných aplikací. V prostředí Azure:

    • K získání informací o webech Azure použijte rutinu Get-AzureWebsite .

    • K získání informací o Web Apps Azure použijte rutinu Get-AzureRMWebApp. D

    • Všechny aplikace spuštěné ve službě Microsoft IIS najdete na příkazovém řádku Windows pomocí AppCmd.exe.

    • Pomocí aplikací a instančních objektů získáte informace o instanci aplikace a aplikace v adresáři v Azure AD.

Použití ručních procesů

Jakmile použijete automatizované přístupy popsané výše, budete mít na svých aplikacích dobrý popis. Můžete ale zvážit následující kroky, abyste měli jistotu, že máte dobré pokrytí napříč všemi oblastmi přístupu uživatelů:

  • Pokud chcete najít aplikace používané ve vaší organizaci, obraťte se na různé vlastníky firmy ve vaší organizaci.

  • Spusťte na proxy serveru nástroj kontroly HTTP nebo analyzujte protokoly proxy serveru a zjistěte, kde se provoz běžně směruje.

  • Projděte si weblogy z oblíbených webů portálu společnosti a podívejte se, jaké odkazy uživatelé přistupují nejvíce.

  • Spojte se s vedoucími pracovníky nebo jinými klíčovými obchodními členy, abyste měli jistotu, že jste se zabývali důležitými obchodními aplikacemi.

Typ aplikací, které se mají migrovat

Jakmile najdete své aplikace, identifikujete tyto typy aplikací ve vaší organizaci:

  • Aplikace, které už používají moderní ověřovací protokoly

  • Aplikace používající starší ověřovací protokoly, které se rozhodnete modernizovat

  • Aplikace používající starší ověřovací protokoly, které se rozhodnete nemodernizovat

  • Nové obchodní aplikace (LoB)

Aplikace, které už používají moderní ověřování

Už modernizované aplikace se pravděpodobně přesunou do Azure AD. Tyto aplikace už používají moderní ověřovací protokoly (například SAML nebo OpenID Připojení) a dají se překonfigurovat tak, aby se ověřily v Azure AD.

Kromě voleb v galerii aplikací Azure AD to můžou být aplikace, které už existují ve vaší organizaci nebo jakékoli aplikace třetích stran od dodavatele, který není součástí galerie Azure AD (aplikace mimo galerii).

Starší verze aplikací, které se rozhodnete modernizovat

U starších aplikací, které chcete modernizovat, přesunete se do Azure AD pro základní ověřování a autorizaci a odemkne veškerou sílu a bohatost dat, které musí microsoft Graph a inteligentní zabezpečení Graph nabídnout.

Doporučujeme aktualizovat kód zásobníku ověřování pro tyto aplikace ze starší verze protokolu (jako je například ověřování Windows-Integrated, omezené delegování protokolu Kerberos, ověřování založené na hlavičce HTTP) na moderní protokol (například SAML nebo OpenID Připojení).

Starší verze aplikací, které se rozhodnete nemodernizovat

U některých aplikací, které používají starší ověřovací protokoly, někdy modernizace jejich ověřování není správná věc, kterou byste měli udělat z obchodních důvodů. Patří mezi ně následující typy aplikací:

  • Aplikace uchovávané místně z důvodů dodržování předpisů nebo kontroly.

  • Aplikace připojené k místní identitě nebo poskytovateli federace, které nechcete změnit.

  • Aplikace vyvinuté pomocí místních ověřovacích standardů, které nemáte v úmyslu přesunout

Azure AD může těmto starším aplikacím přinést skvělé výhody, protože můžete povolit moderní funkce zabezpečení a zásad správného řízení Azure AD, jako je multi-Factor Authentication, podmíněný přístup, ochrana identit, delegovaný přístup k aplikacím a kontroly přístupu proti těmto aplikacím, aniž byste se museli dotýkat aplikace vůbec!

Začněte tím, že tyto aplikace rozšíříte do cloudu pomocí Azure AD proxy aplikací pomocí jednoduchých prostředků ověřování (jako je trezor hesel) a umožníte uživatelům rychle migrovat nebo prostřednictvím integrace partnerů s kontrolery doručování aplikací, které jste už možná nasadili.

Nové obchodní aplikace (LoB)

Aplikace LoB obvykle vyvíjíte pro interní použití vaší organizace. Pokud máte v kanálu nové aplikace, doporučujeme k implementaci openID Připojení použít platformu Microsoft Identity Platform.

Aplikace pro vyřazení

Aplikace bez jasných vlastníků a vymazání údržby a monitorování představují bezpečnostní riziko pro vaši organizaci. Zvažte vyřazení aplikací, když:

  • jejich funkčnost je vysoce redundantní s jinými systémy • neexistuje žádný vlastník firmy.

  • neexistuje jasně žádné využití.

Doporučujeme , abyste nezastaral o vysoké dopady a důležité obchodní aplikace. V takových případech spolupracujte s vlastníky firmy a určete správnou strategii.

Kritéria ukončení

V této fázi jste úspěšní s následujícími operacemi:

  • Dobré porozumění systémům v oboru migrace (které můžete po přesunu do Azure AD vyřadit z provozu)

  • Seznam aplikací, které zahrnují:

    • K jakým systémům se tyto aplikace připojují
    • Odkud a na jakých zařízeních uživatelé k nim přistupují
    • Bez ohledu na to, jestli budou migrované, zastaralé nebo připojené k Azure AD Připojení.

Poznámka

List zjišťování aplikací si můžete stáhnout a zaznamenat aplikace, které chcete migrovat na ověřování Azure AD, a ty, které chcete opustit, ale spravovat pomocí azure AD Připojení.

Fáze 2: Klasifikace aplikací a pilotního plánování

Klasifikace migrace aplikací je důležitým cvičením. Ne každá aplikace se musí migrovat a převádět současně. Jakmile shromáždíte informace o jednotlivých aplikacích, můžete nejprve racionalizovat, které aplikace se mají migrovat a které můžou nějakou dobu trvat.

Klasifikace aplikací v oboru

Jedním ze způsobů, jak si to představit, je podél os obchodní důležitosti, využití a životnosti, z nichž každá závisí na několika faktorech.

Obchodní důležitost

Obchodní důležitost bude pro každou firmu mít různé dimenze, ale dvě míry, které byste měli zvážit, jsou funkce a funkce a profily uživatelů. Přiřaďte aplikace s jedinečnými funkcemi vyšší hodnotu bodu než aplikace s redundantními nebo zastaralými funkcemi.

A diagram of the spectrums of Features & Functionality and User Profiles

Využití

Aplikace s vysokými čísly využití by měly obdržet vyšší hodnotu než aplikace s nízkým využitím. Přiřaďte aplikacím vyšší hodnotu s externími, výkonnými nebo bezpečnostními uživateli. Pro každou aplikaci v portfoliu migrace dokončete tato posouzení.

A diagram of the spectrums of User Volume and User Breadth

Jakmile určíte hodnoty pro důležitost a využití firmy, můžete určit životnost aplikace a vytvořit matici priority. Podívejte se na jednu z těchto matic:

A triangle diagram showing the relationships between Usage, Expected Lifespan, and Business Criticality

Stanovení priorit aplikací pro migraci

Migraci aplikací můžete zahájit s aplikacemi s nejnižší prioritou nebo aplikacemi s nejvyšší prioritou na základě potřeb vaší organizace.

Ve scénáři, kdy možná nemáte zkušenosti s používáním služeb Azure AD a Identita, zvažte nejprve přesun aplikací s nejnižší prioritou do Azure AD. Tím se minimalizuje dopad vaší firmy a můžete vytvořit dynamiku. Jakmile tyto aplikace úspěšně přesunete a získáte důvěru účastníka, můžete i nadále migrovat ostatní aplikace.

Pokud neexistuje jasná priorita, měli byste zvážit přesun aplikací, které jsou v Galerii Azure AD , jako první a podporovat více zprostředkovatelů identity (ADFS nebo Okta), protože se snadněji integrují. Je pravděpodobné, že tyto aplikace jsou aplikace s nejvyšší prioritou ve vaší organizaci. Abychom vám pomohli integrovat aplikace SaaS s Azure AD, vytvořili jsme kolekci kurzů , které vás provedou konfigurací.

Pokud máte termín pro migraci aplikací, budou tyto kontejnery aplikací s nejvyšší prioritou převzít hlavní úlohu. Nakonec můžete vybrat aplikace s nižší prioritou, protože náklady se nezmění, i když jste přesunuli konečný termín. I když licenci musíte prodloužit, bude to za malou částku.

Kromě této klasifikace a v závislosti na naléhavosti migrace můžete také zvážit zavedení plánu migrace , ve kterém se vlastníci aplikací musí zapojit do migrace svých aplikací. Na konci tohoto procesu byste měli mít seznam všech aplikací v kontejnerech s prioritami pro migraci.

Zdokumentujte své aplikace

Nejprve začněte tím, že shromáždíte klíčové podrobnosti o vašich aplikacích. List Application Discovery Worksheetwill vám pomůže rychle se rozhodovat o migraci a získat doporučení pro vaši obchodní skupinu, a to kdykoliv.

Mezi důležité informace, které je důležité při rozhodování o migraci, patří:

  • Název aplikace – co se tato aplikace označuje jako firma?

  • Typ aplikace – jedná se o aplikaci SaaS třetí strany? Vlastní obchodní webová aplikace? Rozhraní API?

  • Obchodní důležitost – je její vysoká důležitost? Nízké? Nebo někde mezi?

  • Svazek uživatelských přístupů – přistupuje k této aplikaci všichni nebo jen pár lidí?

  • Plánovaná životnost – jak dlouho bude tato aplikace kolem? Méně než šest měsíců? Víc než dva roky?

  • Aktuální zprostředkovatel identity – jaký je primární zprostředkovatele identity pro tuto aplikaci? Nebo se spoléhá na místní úložiště?

  • Metoda ověřování – ověřuje se aplikace pomocí otevřených standardů?

  • Ať už plánujete aktualizovat kód aplikace – je aplikace v plánovaném nebo aktivním vývoji?

  • Jestli chcete aplikaci zachovat v místním prostředí – chcete aplikaci zachovat v dlouhodobém horizontu ve vašem datacentru?

  • Jestli aplikace závisí na jiných aplikacích nebo rozhraních API – aplikace aktuálně volá do jiných aplikací nebo rozhraní API?

  • Jestli je aplikace v galerii Azure AD – je aplikace aktuálně integrovaná s galerií Azure AD?

Další data, která vám pomůžou později, ale že není nutné provést okamžité rozhodnutí o migraci, zahrnuje:

  • Adresa URL aplikace – kde uživatelé přistupují k aplikaci?

  • Popis aplikace – jaký je stručný popis toho, co aplikace dělá?

  • Vlastník aplikace – kdo ve firmě je hlavním POC aplikace?

  • Obecné komentáře nebo poznámky – jakékoli další obecné informace o aplikaci nebo vlastnictví firmy

Jakmile aplikaci klasifikujete a zdokumentujete podrobnosti, nezapomeňte získat nákup vlastníka firmy do plánované strategie migrace.

Plánování pilotního nasazení

Vybrané aplikace pro pilotní nasazení by měly představovat klíčové požadavky na identitu a zabezpečení vaší organizace a musíte mít jasný nákup od vlastníků aplikací. Pilotní nasazení se obvykle spouští v samostatném testovacím prostředí. Podívejte se na osvědčené postupy pro pilotní nasazení na stránce plánů nasazení.

Nezapomeňte na externí partnery. Ujistěte se, že se účastní plánů migrace a testování. Nakonec se ujistěte, že mají způsob, jak získat přístup k helpdesku, pokud došlo k problémům způsobujícím chyby.

Plánování omezení

I když se některé aplikace snadno migrují, jiné můžou trvat déle kvůli více serverům nebo instancím. Migrace SharePoint může například trvat déle kvůli vlastním přihlašovacím stránkám.

Mnoho dodavatelů aplikací SaaS účtuje poplatky za změnu připojení jednotného přihlašování. Podívejte se na ně a naplánujte si to.

Azure AD má také limity služeb a omezení , o které byste měli vědět.

Odhlášení vlastníka aplikace

Důležité obchodní a univerzální aplikace můžou potřebovat skupinu pilotních uživatelů k otestování aplikace v pilotní fázi. Jakmile otestujete aplikaci v předprodukčním nebo pilotním prostředí, ujistěte se, že se vlastníci aplikací před migrací aplikace odhlásí k výkonu a všichni uživatelé do produkčního prostředí azure AD k ověřování.

Plánování stavu zabezpečení

Než zahájíte proces migrace, zvažte stav zabezpečení, který chcete pro váš podnikový systém identit vyvíjet, nějakou dobu. To je založeno na shromažďování těchto cenných sad informací: Identity, zařízení a umístění, která přistupují k vašim datům.

Identity a data

Většina organizací má specifické požadavky na identity a ochranu dat, které se liší podle segmentů odvětví a pracovních funkcí v rámci organizací. Informace o konfiguraci přístupu k identitám a zařízením najdete v našich doporučeních, včetně předepsané sady zásad podmíněného přístupu a souvisejících funkcí.

Tyto informace můžete použít k ochraně přístupu ke všem službám integrovaným se službou Azure AD. Tato doporučení jsou v souladu se skóre zabezpečení Microsoftu a skóre identit ve službě Azure AD. Toto skóre vám umožní:

  • Objektivně změřit stav zabezpečení vaší identity

  • Naplánovat vylepšení zabezpečení identity

  • Posoudit úspěšnost těchto vylepšení

Pomůže vám to také implementovat pět kroků pro zabezpečení infrastruktury identit. Pokyny použijte jako výchozí bod pro vaši organizaci a upravte zásady tak, aby splňovaly konkrétní požadavky vaší organizace.

Kdo přistupujete k vašim datům?

Existují dvě hlavní kategorie uživatelů vašich aplikací a prostředků, které Azure AD podporuje:

  • Vnitřní: Zaměstnanci, dodavatelé a dodavatelé, kteří mají účty ve vašem poskytovateli identity. To může vyžadovat další pivoty s různými pravidly pro manažery nebo vedení oproti jiným zaměstnancům.

  • Externí: Dodavatelé, dodavatelé, distributori nebo další obchodní partneři, kteří pracují s vaší organizací v pravidelném průběhu podnikání s využitím spolupráce Azure AD B2B.

Skupiny pro tyto uživatele můžete definovat a naplnit je různými způsoby. Můžete zvolit, že správce musí ručně přidat členy do skupiny nebo můžete povolit členství ve skupině samoobslužných služeb. Pravidla lze vytvořit, která automaticky přidávají členy do skupin na základě zadaných kritérií pomocí dynamických skupin.

Externí uživatelé můžou také odkazovat na zákazníky. Azure AD B2C, samostatný produkt podporuje ověřování zákazníků. Je však mimo rozsah tohoto dokumentu.

Zařízení nebo umístění používané k přístupu k datům

Zařízení a umístění, které uživatel používá pro přístup k aplikaci, jsou také důležité. Zařízení fyzicky připojená k podnikové síti jsou bezpečnější. Připojení mimo síť přes síť VPN možná potřebují kontrolu.

A diagram showing the relationship between User Location and Data Access

S ohledem na tyto aspekty prostředků, uživatelů a zařízení se můžete rozhodnout používat funkce podmíněného přístupu Azure AD . Podmíněný přístup přesahuje uživatelská oprávnění: je založen na kombinaci faktorů, jako je identita uživatele nebo skupiny, síť, ke které je uživatel připojený, zařízení a aplikace, které používá, a typ dat, ke kterým se pokouší získat přístup. Přístup udělený uživateli se přizpůsobí této širší sadě podmínek.

Kritéria ukončení

V této fázi jste úspěšní, když:

  • Znalost aplikací

    • Plně zdokumentované aplikace, které chcete migrovat
    • Mít upřednostněné aplikace na základě obchodní důležitosti, objemu využití a životnosti
  • Máte vybrané aplikace, které představují vaše požadavky na pilotní nasazení.

  • Nákup vlastníka firmy k vaší prioritě a strategii

  • Vysvětlení potřeb zabezpečení a jejich implementace

Fáze 3: Plánování migrace a testování

Jakmile získáte nákup firmy, dalším krokem je začít migrovat tyto aplikace do ověřování Azure AD.

Nástroje a doprovodné materiály k migraci

Pomocí následujících nástrojů a pokynů postupujte podle přesných kroků potřebných k migraci aplikací do Azure AD:

Po migraci se můžete rozhodnout odeslat komunikaci informující uživatele o úspěšném nasazení a připomenout jim všechny nové kroky, které potřebují provést.

Plánování testování

Během procesu migrace už vaše aplikace může mít testovací prostředí používané během pravidelných nasazení. Toto prostředí můžete dál používat k testování migrace. Pokud testovací prostředí není aktuálně dostupné, můžete ho nastavit pomocí Azure App Service nebo Azure Virtual Machines v závislosti na architektuře aplikace. Můžete se rozhodnout nastavit samostatného testovacího tenanta Azure AD, který se použije při vývoji konfigurací aplikací. Tento tenant začne v čistém stavu a nenakonfiguruje synchronizaci s žádným systémem.

Každou aplikaci můžete otestovat tak, že se přihlásíte pomocí testovacího uživatele a zajistíte, aby všechny funkce byly stejné jako před migrací. Pokud zjistíte během testování, že uživatelé budou muset aktualizovat své MFA nebo SSPRsettings, nebo tuto funkci přidáváte během migrace, nezapomeňte tuto funkci přidat do vašeho komunikačního plánu koncového uživatele. Viz šablony komunikace MFA a SSPR pro koncové uživatele.

Po migraci aplikací přejděte na Azure Portal a otestujte, jestli migrace byla úspěšná. Postupujte podle následujících pokynů:

  • Vyberte Enterprise Aplikace > Všechny aplikace a v seznamu vyhledejte aplikaci.

  • Výběrem možnosti Spravovat > uživatele a skupiny přiřaďte aplikaci aspoň jednoho uživatele nebo skupiny.

  • Vyberte Spravovat > podmíněný přístup. Zkontrolujte seznam zásad a ujistěte se, že neblokujete přístup k aplikaci pomocí zásad podmíněného přístupu.

V závislosti na tom, jak aplikaci nakonfigurujete, ověřte, že jednotné přihlašování funguje správně.

Typ ověřování Testování
OAuth / OpenID Připojení Vyberte Enterprise aplikace > Oprávnění a ujistěte se, že jste udělili souhlas s aplikací, aby se používala ve vaší organizaci v uživatelských nastaveních vaší aplikace.
Jednotné přihlašování založené na SAML Použijte tlačítko Test SAML Nastavení nalezené pod jednotným přihlašováním.
Jednotné přihlašování založené na heslech Stáhněte a nainstalujte rozšíření zabezpečeného přihlašování MyApps. Toto rozšíření vám pomůže spustit některou z cloudových aplikací vaší organizace, které vyžadují, abyste použili proces jednotného přihlašování.

| proxy aplikací | Ujistěte se, že je konektor spuštěný a přiřazený k vaší aplikaci. Další pomoc najdete v průvodci odstraňováním potíží s proxy aplikací. |

Řešení potíží

Pokud narazíte na problémy, projděte si průvodce odstraňováním potíží s aplikacemi a získejte nápovědu. Můžete se také podívat na naše články o řešení potíží, viz Problémy s přihlášením k aplikacím nakonfigurovaným jednotným přihlašováním založeným na SAML.

Vrácení zpět plánu

Pokud migrace selže, nejlepší strategií je vrátit se zpět a otestovat. Tady jsou kroky, které můžete provést ke zmírnění problémů s migrací:

  • Udělejte snímky obrazovky se stávající konfigurací vaší aplikace. Pokud je potřeba aplikaci znovu nakonfigurovat, můžete se podívat zpět.

  • Můžete také zvážit poskytnutí odkazů na starší verzi ověřování, pokud došlo k problémům s cloudovým ověřováním.

  • Před dokončením migrace nezměníte stávající konfiguraci se starším zprostředkovatelem identity.

  • Začněte migrací aplikací, které podporují více zprostředkovatele identity. Pokud se něco nepovede, můžete vždy změnit konfiguraci preferovaného zprostředkovatele identity.

  • Ujistěte se, že vaše aplikace obsahuje tlačítko Feedback nebo ukazatele na problémy s helpdeskem .

Kritéria ukončení

V této fázi jste úspěšní, když máte:

  • Určení způsobu migrace jednotlivých aplikací

  • Kontrola nástrojů pro migraci

  • Naplánování testování včetně testovacích prostředí a skupin

  • Plánované vrácení zpět

Fáze 4: Plánování správy a přehledů

Po migraci aplikací je nutné zajistit, aby:

  • Uživatelé můžou bezpečně přistupovat a spravovat

  • Můžete získat odpovídající přehled o využití a stavu aplikací.

Doporučujeme provést následující akce podle potřeby pro vaši organizaci.

Správa přístupu k aplikacím uživatelů

Jakmile migrujete aplikace, můžete prostředí uživatele rozšířit mnoha způsoby.

Zjišťování aplikací

Nasměrujte uživatele na prostředí MyAppsportal. Tady můžou přistupovat ke všem cloudovým aplikacím, aplikacím, které zpřístupníte pomocí azure AD Připojení, a aplikací pomocí proxy aplikací za předpokladu, že mají oprávnění k přístupu k těmto aplikacím.

Uživatele můžete vést k tomu, jak zjistit své aplikace:

Zpřístupnění aplikací

Umožnit uživatelům přistupovat k aplikacím ze svých mobilních zařízení. Uživatelé mají přístup k portálu MyApps s prohlížečem spravovaným Intune na svých zařízeních s iOSem 7.0 nebo novějším nebo Androidem .

Uživatelé si můžou stáhnout prohlížeč spravovaný v Intune:

Umožňuje uživatelům otevírat své aplikace z rozšíření prohlížeče.

Uživatelé si můžou stáhnout rozšíření zabezpečeného přihlašování MyApps v Chromu nebo Microsoft Edge a můžou spouštět aplikace přímo z panelu prohlížeče na:

  • Vyhledejte své aplikace a zobrazí se jejich naposledy používané aplikace.

  • Automaticky převést interní adresy URL, které jste nakonfigurovali v proxy aplikací, na příslušné externí adresy URL. Vaši uživatelé teď můžou pracovat s odkazy, které znají bez ohledu na to, kde jsou.

Umožňuje uživatelům otevírat své aplikace z webu Office.com.

Uživatelé můžou přejít na web Office.com, kde vyhledávají své aplikace a mají pro ně zobrazeny naposledy používané aplikace přímo z místa, kde pracují.

Zabezpečený přístup k aplikacím

Azure AD poskytuje centralizované umístění pro správu migrovaných aplikací. Přejděte na Azure Portal a povolte následující možnosti:

  • Zabezpečení přístupu uživatelů k aplikacím Povolte zásadu podmíněného přístupuIdentity Protection, abyste zajistili uživatelský přístup k aplikacím na základě stavu zařízení, umístění a dalších.

  • Automatické zřizování Nastavte automatické zřizování uživatelů s různými aplikacemi SaaS třetích stran, ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje také údržbu a odebrání identit uživatelů při změně stavu nebo rolí.

  • Delegujte řízení přístupu uživatelů. Podle potřeby povolte samoobslužný přístup k aplikacím a přiřaďte schvalovatele pro schválení přístupu k těmto aplikacím. Použijte samoobslužnou správu skupin pro skupiny přiřazené kolekci aplikací.

  • Delegujte přístup správce. pomocí role adresáře přiřaďte uživateli roli správce (například správce aplikací, správce cloudových aplikací nebo vývojář aplikací).

Auditování a získání přehledů o aplikacích

Pomocí Azure Portal můžete také auditovat všechny aplikace z centralizovaného umístění.

Kritéria ukončení

V této fázi jste úspěšní, když:

  • Zajištění zabezpečeného přístupu k aplikacím uživatelům

  • Správa auditování a získání přehledů migrovaných aplikací

Další akce s plány nasazení

Plány nasazení vás provedou obchodní hodnotou, plánováním, kroky implementace a správou řešení Azure AD, včetně scénářů migrace aplikací. Spojují vše, co potřebujete k tomu, abyste mohli začít nasazovat a získávat hodnotu z funkcí Azure AD. Průvodci nasazením zahrnují obsah, jako jsou doporučené osvědčené postupy Microsoftu, komunikace koncových uživatelů, příručky pro plánování, kroky implementace, testovací případy a další.

Mnoho plánů nasazení je k dispozici pro vaše použití a vždy děláme více!

Kontaktování podpory

Pokud chcete vytvořit nebo sledovat lístek podpory a monitorovat stav, navštivte následující odkazy na podporu.

  • Podpora Azure: Můžete volat podpora Microsoftu a otevřít lístek pro všechny Azure.

Problém s nasazením identity v závislosti na vašem smlouva Enterprise s Microsoftem

  • FastTrack: Pokud jste zakoupili licence Enterprise Mobility and Security (EMS) nebo Azure AD Premium, máte nárok na získání pomoci s nasazením z programu FastTrack.

  • Zapojení produktového týmu: Pokud pracujete na velkém nasazení zákazníků s miliony uživatelů, máte nárok na podporu od týmu účtu Microsoft nebo architekta cloudových řešení. Na základě složitosti nasazení projektu můžete pracovat přímo s týmem produktového inženýrství azure identity.

  • Blog o identitě Azure AD: Přihlaste se k odběru blogu o identitě Azure AD , abyste zůstali v aktualizovaném stavu se všemi nejnovějšími oznámeními o produktech, podrobnými informacemi a informacemi o plánu, které poskytuje přímo technický tým identit.