Fase 1: Detección y ámbito de aplicaciones
La detección y el análisis de aplicaciones son un ejercicio fundamental para lograr un buen comienzo. Es posible que no lo sepa todo, por lo que debe estar preparado para adaptarse a las aplicaciones desconocidas.
Búsqueda de aplicaciones
La primera decisión en el proceso de migración es qué aplicaciones se van a migrar, si alguna debe quedarse y qué aplicaciones se van a dejar de usar. Siempre existe la posibilidad de dejar de usar las aplicaciones que no usará en su organización. Hay varias maneras de buscar aplicaciones en su organización. Durante la detección de aplicaciones, asegúrese de incluir las aplicaciones en desarrollo y planificadas. Use Microsoft Entra ID para la autenticación en todas las aplicaciones futuras.
Detección de aplicaciones mediante ADFS:
Use Microsoft Entra Connect Health para ADFS: si tiene una licencia Microsoft Entra ID P1 o P2, se recomienda implementar Microsoft Entra Connect Health para analizar el uso de la aplicación en el entorno local. Puede usar el informe de la aplicación de ADFS para detectar las aplicaciones de ADFS que se pueden migrar y evaluar la preparación de la aplicación que se va a migrar.
Si no tiene licencias Microsoft Entra ID P1 o P2, se recomienda usar ADFS para herramientas de migración de aplicaciones de Microsoft Entra basadas en PowerShell. Consulte la guía de soluciones:
Nota
Este vídeo abarca las fases 1 y 2 del proceso de migración.
Uso de otros proveedores de identidades (IdP)
Si actualmente usa Okta, consulte nuestra guía de migración de Okta a Microsoft Entra.
Si actualmente usa Ping Federate, considere la posibilidad de usar la API administrativa de Ping para detectar aplicaciones.
Si las aplicaciones están integradas con Active Directory, busque entidades de servicio o cuentas de servicio que se puedan usar para las aplicaciones.
Uso de herramientas de Cloud Discovery
En el entorno en la nube, necesita visibilidad enriquecida, control sobre el viaje de los datos y análisis sofisticados para encontrar y combatir las ciberamenazas en todos los servicios en la nube. Puede recopilar el inventario de aplicaciones en la nube mediante las siguientes herramientas:
- Agente de seguridad de acceso a la nube (CASB): un CASB suele funcionar junto con el firewall para proporcionar visibilidad sobre el uso de la aplicación en la nube de los empleados y ayuda a proteger los datos corporativos de las amenazas de ciberseguridad. El informe de CASB puede ayudarle a determinar las aplicaciones más usadas en la organización y los primeros objetivos para migrar a Microsoft Entra ID.
- Cloud Discovery: mediante la configuración de Microsoft Defender for Cloud Apps, obtiene visibilidad del uso de aplicaciones en la nube y puede detectar aplicaciones de Shadow IT o no autorizadas.
- Aplicaciones hospedadas de Azure: para las aplicaciones conectadas a la infraestructura de Azure, puede usar las API y las herramientas de esos sistemas para empezar a realizar un inventario de las aplicaciones hospedadas. En el entorno de Azure:
- Use el cmdlet Get-AzureWebsite para obtener información sobre los sitios web de Azure.
- Use el cmdlet Get-AzureRMWebApp para obtener información sobre Azure Web Apps.
- Consulte Microsoft Entra ID buscando Aplicaciones y Entidades de servicio.
Proceso de detección manual
Una vez que haya llevado a cabo los enfoques automatizados descritos en este artículo, tendrá un buen manejo de sus aplicaciones. No obstante, se recomienda que haga lo siguiente para asegurarse de que tiene una buena cobertura en todas las áreas de acceso de usuario:
- Póngase en contacto con los distintos propietarios empresariales de su organización para encontrar las aplicaciones que se están usando en su organización.
- Ejecute una herramienta de inspección de HTTP en el servidor proxy o analice los registros del proxy para ver a dónde se enruta normalmente el tráfico.
- Revise los registros web de los sitios de portal de empresa populares para ver los vínculos a los que más acceden los usuarios.
- Comuníquese con los ejecutivos u otros miembros empresariales importantes para asegurarse de que ha cubierto las aplicaciones críticas para la empresa.
Tipos de aplicaciones que se van a migrar
Una vez que encuentre las aplicaciones, identificará estos tipos de aplicaciones en su organización:
- Aplicaciones que usan protocolos de autenticación modernos, como el Lenguaje de marcado de aserción de seguridad (SAML) o OpenID Connect (OIDC).
- Aplicaciones que usan autenticación heredada, como Kerberos o NT LAN Manager (NTLM) que elija modernizar.
- Aplicaciones que usan protocolos de autenticación heredados que ha decidido no modernizar
- Nuevas aplicaciones de línea de negocio (LoB)
Aplicaciones que ya usan la autenticación moderna
Las aplicaciones ya modernizadas tienen más probabilidades de trasladarse a Microsoft Entra ID. Estas aplicaciones ya usan protocolos de autenticación modernos (como SAML u OIDC) y se pueden volver a configurar para autenticarse con Microsoft Entra ID.
Se recomienda buscar y agregar aplicaciones desde la galería de aplicaciones de Microsoft Entra. Si no las encuentra en la galería, todavía puede incorporar una aplicación personalizada.
Aplicaciones heredadas que elige modernizar
En el caso de las aplicaciones heredadas que quiera modernizar, el traslado a Microsoft Entra ID de la autenticación y la autorización principales desbloquea toda la eficacia y variedad de datos que ofrecen Microsoft Graph e Intelligent Security Graph.
Se recomienda actualizar el código de la pila de autenticación para estas aplicaciones del protocolo heredado (como la autenticación integrada de Windows, Kerberos y la autenticación basada en encabezados HTTP) a un protocolo moderno (como SAML u OpenID Connect).
Aplicaciones heredadas que elige no modernizar
En el caso de ciertas aplicaciones que usan protocolos de autenticación heredados, a veces modernizar la autenticación no es la decisión adecuada por motivos empresariales. Este caso se puede aplicar a los siguientes tipos de aplicaciones:
- Las aplicaciones que se mantienen en el entorno local por motivos de cumplimiento o control.
- Las aplicaciones conectadas a un proveedor de federación o identidades local que no quiere cambiar.
- Las aplicaciones desarrolladas con estándares de autenticación locales que no tiene la intención de trasladar.
Microsoft Entra ID puede aportar grandes ventajas a estas aplicaciones heredadas. Puede habilitar las características modernas de seguridad y gobernanza de Microsoft Entra como la autenticación multifactor, el acceso condicional, Identity Protection, el acceso de aplicaciones delegado y las revisiones de acceso en estas aplicaciones sin modificarlas en lo absoluto.
- Empiece por extender estas aplicaciones a la nube con el Proxy de aplicación de Microsoft Entra.
- O explore el uso de las integraciones de asociados de Acceso híbrido seguro (SHA) que quizá ya haya implementado.
Nuevas aplicaciones de línea de negocio (LoB)
Normalmente se desarrollan aplicaciones LoB para el uso interno en la organización. Si tiene aplicaciones nuevas en la canalización, se recomienda usar la Plataforma de identidad de Microsoft para implementar OIDC.
Aplicaciones que se dejarán de usar
Las aplicaciones sin propietarios claros y sin un mantenimiento y supervisión claros presentan un riesgo de seguridad para su organización. Considere la posibilidad de dejar de usar las aplicaciones cuando:
- Su funcionalidad es altamente redundante con otros sistemas
- No hay propietario del negocio
- No hay ningún uso claro
Se recomienda no dejar de usar aplicaciones críticas para la empresa con un gran impacto. En esos casos, trabaje con los propietarios de la empresa para determinar la estrategia correcta.
Exit criteria (Criterios de salida)
Esta fase se realiza correctamente con lo siguiente:
- Una buena comprensión de las aplicaciones en el ámbito de la migración, las que requieren modernización, las que deben permanecer como están, o las que ha marcado para su sustitución.