Teilen über

Phase 1: Ermittlung und Bereichsfestlegung für Apps

  • Artikel

Die Anwendungsermittlung und -analyse bilden den Grundstein für einen guten Start. Sie kennen möglicherweise noch nicht alle Details, also seien Sie darauf vorbereitet, unbekannte Apps einzubeziehen.

Suchen der Apps

Die erste Entscheidung im Migrationsprozess ist die Festlegung, welche Apps migriert, welche ggf. beibehalten und welche als veraltet gekennzeichnet werden sollen. Es gibt immer die Möglichkeit, die Apps als veraltet zu kennzeichnen, die in Ihrer Organisation nicht mehr verwendet werden. Sie können auf mehrere Arten nach Apps in Ihrer Organisation suchen. Achten Sie beim Entdecken von Apps darauf, dass Sie auch in Entwicklung befindliche und geplante Apps einbeziehen. Verwenden Sie in allen zukünftigen Apps Microsoft Entra ID für die Authentifizierung.

Ermitteln von Anwendungen mithilfe von ADFS:

  • Verwenden von Microsoft Entra Connect Health für AD FS: Wenn Sie über eine Microsoft Entra ID P1- oder P2-Lizenz verfügen, empfehlen wir, Microsoft Entra Connect Health bereitzustellen, um die App-Nutzung in Ihrer lokalen Umgebung zu analysieren. Mithilfe des AD FS-Anwendungsberichts können Sie AD FS-Anwendungen ermitteln, die migriert werden können, und die Bereitschaft der Anwendung für die Migration bewerten.

  • Wenn Sie nicht über Microsoft Entra ID P1- oder P2-Lizenzen verfügen, empfehlen wir die Verwendung der auf PowerShell basierenden Tools zur App-Migration von AD FS zu Microsoft Entra. Informationen dazu finden Sie unter Lösungsanleitung:

Hinweis

Dieses Video behandelt sowohl Phase 1 als auch Phase 2 des Migrationsprozesses.

Verwenden anderer Identitätsanbieter (IdPs)

  • Wenn Sie derzeit Okta verwenden, lesen Sie unseren Leitfaden zur Migration von Okta zu Microsoft Entra.

  • Wenn Sie derzeit Ping Federate verwenden, sollten Sie die Ping-Verwaltungs-API verwenden, um Anwendungen zu ermitteln.

  • Wenn die Anwendungen in Active Directory integriert sind, suchen Sie nach Dienstprinzipalen oder Dienstkonten, die für Anwendungen verwendet werden können.

Verwenden von Cloud Discovery-Tools

In der Cloudumgebung benötigen Sie umfassende Transparenz, Kontrolle über den Datenverkehr sowie erweiterte Analysen, um Cyberbedrohungen für all Ihre Clouddienste zu erkennen und abzuwehren. Sie können Ihren Cloud-App-Bestand mit den folgenden Tools erfassen:

  • Cloud Access Security Broker (CASB) : Ein CASB arbeitet in der Regel mit Ihrer Firewall zusammen, um Einblicke in die Nutzung von Cloudanwendungen durch Ihre Mitarbeiter zu erhalten, und hilft Ihnen, Ihre Unternehmensdaten vor Bedrohungen der Cybersicherheit zu schützen. Mithilfe des CASB-Berichts können Sie die am häufigsten verwendeten Apps in Ihrer Organisation und die ersten Ziele für die Migration zu Microsoft Entra ID ermitteln.
  • Cloud Discovery – Durch das Konfigurieren von Microsoft Defender for Cloud-Apps erhalten Sie Einblicke in die Nutzung von Cloud-Apps und können nicht genehmigte oder Schatten-IT-Apps ermitteln.
  • Gehostete Azure-Anwendungen – Bei Apps, die mit der Azure-Infrastruktur verbunden sind, können Sie die APIs und Tools in diesen Systemen nutzen, um mit der Bestandsaufnahme der gehosteten Apps zu beginnen. In der Azure-Umgebung:

Manueller Ermittlungsprozess

Wenn Sie die in diesem Artikel beschriebenen Automatisierungsmaßnahmen ergriffen haben, haben Sie Ihre Anwendungen gut im Griff. Sie sollten jedoch die folgenden Schritte in Erwägung ziehen, um eine gute Abdeckung aller Benutzerzugriffsbereiche zu erzielen:

  • Nehmen Sie Kontakt mit den verschiedenen geschäftlichen Besitzern in Ihrer Organisation auf, um die in Ihrer Organisation verwendeten Anwendungen zu ermitteln.
  • Führen Sie ein HTTP-Überprüfungstool auf Ihrem Proxyserver aus, oder analysieren Sie Proxyprotokolle, um festzustellen, wohin der Datenverkehr häufig geleitet wird.
  • Überprüfen Sie Webprotokolle von beliebten Websites im Unternehmensportal, um zu sehen, auf welche Links die Benutzer am häufigsten zugreifen.
  • Wenden Sie sich an Führungskräfte oder andere wichtige Mitarbeiter des Unternehmens, um sicherzustellen, dass Sie die unternehmenskritischen Apps abgedeckt haben.

Typ der zu migrierenden Apps

Nachdem Sie die Apps gefunden haben, identifizieren Sie die folgenden App-Typen in Ihrer Organisation:

  • Apps, die moderne Authentifizierungsprotokolle wie Security Assertion Markup Language (SAML) oder OpenID Connect (OIDC) verwenden.
  • Apps, welche die Legacy-Authentifizierung wie Kerberos oder NT LAN Manager (NTLM) verwenden, die Sie modernisieren möchten.
  • Apps, die ältere Authentifizierungsprotokolle verwenden, die Sie NICHT modernisieren möchten
  • Neue LoB-Apps (Line-of-Business)

Apps, die bereits moderne Authentifizierung verwenden

Die bereits modernisierten Apps werden am wahrscheinlichsten zu Microsoft Entra ID verschoben. Diese Apps verwenden bereits moderne Authentifizierungsprotokolle wie SAML oder OIDC und können für die Authentifizierung über Microsoft Entra ID neu konfiguriert werden.

Es wird empfohlen, Anwendungen aus dem Microsoft Entra-App-Katalog zu suchen und hinzuzufügen. Wenn Sie diese nicht im Katalog finden, können Sie trotzdem ein Onboarding für eine benutzerdefinierte Anwendung durchführen.

Legacy-Apps, die Sie modernisieren möchten

Für ältere Apps, die Sie modernisieren möchten, werden durch die Umstellung der Kernauthentifizierung und -autorisierung auf Microsoft Entra ID der gesamte Leistungs- und Datenumfang freigegeben, den Microsoft Graph und Intelligent Security Graph zu bieten haben.

Für diese Anwendungen wird eine Codeaktualisierung des Authentifizierungsstapels vom Legacyprotokoll (z. B. integrierte Windows-Authentifizierung, Kerberos, auf HTTP-Headern basierende Authentifizierung) auf ein modernes Protokoll (z. B. SAML oder OpenID Connect) empfohlen.

Legacy-Apps, die Sie NICHT modernisieren möchten

Für bestimmte Apps, die ältere Authentifizierungsprotokolle verwenden, ist das Modernisieren der Authentifizierung manchmal aus geschäftlichen Gründen nicht die richtige Lösung. Dazu zählen die folgenden App-Typen:

  • Apps, die aus Compliance- oder Kontrollgründen lokal gespeichert sind.
  • Apps, die mit einer lokalen Identität oder einem lokalen Verbundanbieter verbunden sind, die bzw. den Sie nicht ändern möchten.
  • Apps, die mit lokalen Authentifizierungsstandards entwickelt wurden, die Sie nicht zu verschieben beabsichtigen

Microsoft Entra ID kann für diese älteren Apps große Vorteile bedeuten. Sie können moderne Microsoft Entra-Sicherheits- und Governancefeatures wie Multi-Faktor-Authentifizierung, bedingten Zugriff, Microsoft Entra ID Protection, delegierten Anwendungszugriff und Zugriffsüberprüfungen für diese Apps aktivieren, ganz ohne sie bearbeiten zu müssen.

Neue LoB-Apps (Line-of-Business)

Normalerweise entwickeln Sie LoB-Apps für die interne Verwendung in Ihrer Organisation. Wenn Sie neue Apps in der Pipeline haben, empfehlen wir die Verwendung der Microsoft Identity Platform zur Implementierung von OIDC.

Als veraltet zu kennzeichnende Apps

Apps ohne eindeutige Besitzer und klare Wartung und Überwachung stellen ein Sicherheitsrisiko für Ihre Organisation dar. Ziehen Sie in folgenden Fällen eine Kennzeichnung von Anwendungen als veraltet in Betracht:

  • Ihre Funktionalität überschneidet sich weitgehend mit anderen Systemen
  • Es gibt keinen geschäftlichen Besitzer
  • Es gibt eindeutig keine Verwendung

Wichtige, geschäftskritische Anwendungen sollten nicht als veraltet erklärt werden.. Arbeiten Sie in diesen Fällen mit den geschäftlichen Besitzern zusammen, um die richtige Strategie zu ermitteln.

Beendigungskriterien

Sie haben diese Phase erfolgreich abgeschlossen, wenn Sie über Folgendes verfügen:

  • Ein gutes Verständnis der Anwendungen im Bereich der Migration, der Anwendungen, die eine Modernisierung erfordern, die unverändert bleiben sollten oder die Sie als veraltet markiert haben.

Nächste Schritte