Fáze 1: Zjišťování a určení rozsahu aplikací
Zjišťování a analýza aplikací jsou základním cvičením, které vám poskytne dobrý začátek. Možná neznáte všechno, takže buďte připraveni na přizpůsobení neznámých aplikací.
Vyhledání aplikací
Prvním rozhodnutím v procesu migrace je to, které aplikace se mají migrovat, a které aplikace se mají vymýtit. Aplikace, které ve vaší organizaci nebudete používat, je vždy možné vypsat. Existuje několik způsobů, jak ve vaší organizaci najít aplikace. Při zjišťování aplikací se ujistěte, že zahrnete do vývoje a plánovaných aplikací. Pro ověřování ve všech budoucích aplikacích použijte ID Microsoft Entra.
Zjišťování aplikací pomocí ADFS:
Použijte Microsoft Entra Připojení Health pro ADFS: Pokud máte licenci Microsoft Entra ID P1 nebo P2, doporučujeme nasadit Microsoft Entra Připojení Health k analýze využití aplikace v místním prostředí. Sestavu aplikace ADFS můžete použít ke zjištění aplikací ADFS, které je možné migrovat, a vyhodnotit připravenost aplikace k migraci.
Pokud nemáte licence Microsoft Entra ID P1 nebo P2, doporučujeme použít ADFS k nástrojům pro migraci aplikací Microsoft Entra na základě PowerShellu. Projděte si průvodce řešením:
Poznámka:
Toto video se věnuje fázi 1 i 2 procesu migrace.
Použití jiných zprostředkovatelů identity (IDP)
Pokud aktuálně používáte Okta, projděte si našeho průvodce migrací do Microsoft Entra.
Pokud aktuálně používáte Ping Federate, zvažte použití rozhraní Ping Správa istrativní rozhraní API ke zjišťování aplikací.
Pokud jsou aplikace integrované se službou Active Directory, vyhledejte instanční objekty nebo účty služeb, které se můžou používat pro aplikace.
Použití nástrojů cloud discovery
V cloudovém prostředí potřebujete bohatou viditelnost, kontrolu nad cestováním na data a sofistikovanou analýzu, abyste našli a bojovali s kybernetickými hrozbami napříč všemi vašimi cloudovými službami. Inventář cloudových aplikací můžete shromáždit pomocí následujících nástrojů:
- Cloud Access Security Broker (CASB) – CASB obvykle funguje společně s bránou firewall a poskytuje přehled o využití cloudových aplikací vašich zaměstnanců a pomáhá chránit podniková data před hrozbami kybernetické bezpečnosti. Sestava CASB vám může pomoct určit nejpoužívanější aplikace ve vaší organizaci a počáteční cíle pro migraci na Microsoft Entra ID.
- Cloud Discovery – Konfigurací Microsoft Defenderu pro Cloud Apps získáte přehled o využití cloudových aplikací a můžete zjišťovat neschválené nebo stínové IT aplikace.
- Hostované aplikace Azure – Pro aplikace připojené k infrastruktuře Azure můžete pomocí rozhraní API a nástrojů v těchto systémech začít inventarizaci hostovaných aplikací. V prostředí Azure:
- K získání informací o webech Azure použijte rutinu Get-AzureWebsite .
- Získání informací o službě Azure Web Apps.D pomocí rutiny Get-AzureRMWebApp
- Zadejte dotaz na ID Microsoft Entra a vyhledejte aplikace a instanční objekty.
Proces ručního zjišťování
Jakmile provedete automatizované přístupy popsané v tomto článku, máte pro své aplikace dobrý popis. Můžete ale zvážit následující kroky, abyste měli jistotu, že máte dobré pokrytí napříč všemi oblastmi přístupu uživatelů:
- Obraťte se na různé vlastníky firmy ve vaší organizaci a najděte aplikace používané ve vaší organizaci.
- Spusťte na proxy serveru nástroj kontroly HTTP nebo analyzujte protokoly proxy serveru a zjistěte, kde se provoz běžně směruje.
- Zkontrolujte weblogy z oblíbených webů portálu společnosti a zjistěte, jaké odkazy uživatelé přistupují nejvíce.
- Spojte se s vedoucími pracovníky nebo dalšími klíčovými obchodními členy, abyste měli jistotu, že jste probrali důležité obchodní aplikace.
Typ aplikací, které se mají migrovat
Jakmile najdete své aplikace, identifikujete tyto typy aplikací ve vaší organizaci:
- Aplikace, které používají moderní ověřovací protokoly, jako je SAML (Security Assertion Markup Language) nebo OpenID Připojení (OIDC).
- Aplikace, které používají starší ověřování, jako je Kerberos nebo NT LAN Manager (NTLM), které se rozhodnete modernizovat.
- Aplikace, které používají starší ověřovací protokoly, které se rozhodnete NE modernizovat
- Nové obchodní aplikace (LoB)
Aplikace, které už používají moderní ověřování
Už modernizované aplikace se s největší pravděpodobností přesunou do Microsoft Entra ID. Tyto aplikace už používají moderní ověřovací protokoly, jako je SAML nebo OIDC, a je možné je překonfigurovat tak, aby se ověřily pomocí Microsoft Entra ID.
Doporučujeme vyhledávat a přidávat aplikace z galerie aplikací Microsoft Entra. Pokud je v galerii nenajdete, můžete stále připojit vlastní aplikaci.
Starší verze aplikací, které se rozhodnete modernizovat
U starších aplikací, které chcete modernizovat, se přesunem na Microsoft Entra ID pro základní ověřování a autorizaci odemkne veškerá výkonová a datová richness, kterou nabízí Microsoft Graph a Intelligent Security Graph .
Doporučujeme aktualizovat kód zásobníku ověřování pro tyto aplikace ze starší verze protokolu (například ověřování integrovaného systému Windows, Kerberos, ověřování založené na hlavičkách HTTP) na moderní protokol (například SAML nebo OpenID Připojení).
Starší verze aplikací, které se rozhodnete nemodernizovat
U některých aplikací, které používají starší ověřovací protokoly, není někdy modernizace ověřování správná věc z obchodních důvodů. Patří mezi ně následující typy aplikací:
- Aplikace se uchovávají místně z důvodů dodržování předpisů nebo kontroly.
- Aplikace připojené k místní identitě nebo federačnímu zprostředkovateli, které nechcete změnit.
- Aplikace vyvinuté pomocí místních ověřovacích standardů, které nemáte v plánu přesunout
Microsoft Entra ID může těmto starším aplikacím přinést skvělé výhody. Můžete povolit moderní funkce zabezpečení a zásad správného řízení Společnosti Microsoft, jako je vícefaktorové ověřování, podmíněný přístup, ochrana identit, delegovaný přístup k aplikacím a kontroly přístupu, aniž byste se museli dotýkat aplikace.
- Začněte rozšířením těchto aplikací do cloudu pomocí proxy aplikací Microsoft Entra.
- Nebo prozkoumejte použití našich integrací partnerů s zabezpečeným hybridním přístupem (SHA), které jste už možná nasadili.
Nové obchodní aplikace (LoB)
Obvykle vyvíjíte aplikace LoB pro interní použití vaší organizace. Pokud máte v kanálu nové aplikace, doporučujeme k implementaci OIDC použít platformu Microsoft Identity Platform .
Aplikace, které se mají přestat používat
Aplikace bez jasného vlastníka a jasné údržby a monitorování představují bezpečnostní riziko pro vaši organizaci. Zvažte vyřazení aplikací, když:
- Jejich funkce jsou vysoce redundantní s jinými systémy
- Neexistuje žádný vlastník firmy.
- Není zřejmé , že by se nic nepoužádá.
Doporučujeme, abyste nevyužíli vysoké dopady, důležité obchodní aplikace. V takových případech spolupracujte s vlastníky firmy a určete správnou strategii.
Kritéria ukončení
V této fázi jste úspěšní s:
- Dobrý přehled o aplikacích v oblasti migrace, těch, které vyžadují modernizaci, ty, které by měly zůstat tak, jak jsou, nebo těch, které jste označili k vyřazení.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro