Fase 3: planificación de la migración y pruebas
Una vez que haya logrado la participación de la empresa, el siguiente paso es empezar a migrar estas aplicaciones a la autenticación de Microsoft Entra.
Guías y herramientas de migración
Use las herramientas y las guías proporcionadas para seguir los pasos exactos necesarios para migrar las aplicaciones a Microsoft Entra ID:
- Guía de migración general: use las notas del producto, las herramientas, las plantillas de correo electrónico y el cuestionario de aplicaciones en el kit de herramientas de migración de aplicaciones a Microsoft Entra para detectar, clasificar y migrar sus aplicaciones.
- Aplicaciones SaaS: consulte la lista de tutoriales de aplicaciones SaaS y el plan de implementación de SSO de Microsoft Entra para realizar paso a paso el proceso integral.
- Aplicaciones que se ejecutan de forma local: obtenga toda la información sobre el proxy de aplicación de Microsoft Entra y use el plan de implementación completo del proxy de aplicación de Microsoft Entra para empezar a trabajar rápidamente o tener en cuenta nuestros asociados de acceso híbrido seguro, que es posible que ya posea.
- Aplicaciones que está desarrollando: lea nuestra guía paso a paso de integración y registro.
Planeamiento de pruebas
Durante el proceso de migración, es posible que la aplicación ya tenga un entorno de prueba que se usa durante las implementaciones normales. Puede seguir usando este entorno para las pruebas de migración. Si actualmente no hay disponible un entorno de prueba, quizá pueda configurar uno con Azure App Service o Azure Virtual Machines, en función de la arquitectura de la aplicación.
Puede optar por configurar un inquilino de Microsoft Entra de prueba independiente para usarlo cuando desarrolle las configuraciones de las aplicaciones. Este inquilino se inicia en un estado limpio y no estará configurado para sincronizarse con ningún sistema.
En función de cómo configure la aplicación, compruebe que el inicio de sesión único funciona correctamente.
| Tipo de autenticación | Prueba |
|---|---|
| OAuth / OpenID Connect | Seleccione Aplicaciones empresariales > Permisos y asegúrese de haber dado su consentimiento a que la aplicación se use en la organización desde la configuración del usuario correspondiente a la aplicación. |
| SSO basado en SAML | Use el botón Probar la configuración de SAML que está en Inicio de sesión único. |
| SSO basado en contraseñas | Descarga e instalación de la extensión de inicio de sesión seguro de Mis aplicaciones. Esta extensión lo ayudará a iniciar cualquiera de las aplicaciones en la nube de su organización que requiera que se use un proceso de inicio de sesión único. |
| Proxy de aplicación | Asegúrese de que el conector esté en ejecución y que esté asignado a la aplicación. Visite la Solución de problemas y mensajes de error de Proxy de aplicación para obtener más ayuda. |
Para probar todas las aplicaciones, inicie sesión con un usuario de prueba y asegúrese de que todas las funcionalidades son las mismas que antes de la migración. Si durante las pruebas determina que los usuarios deberán actualizar la configuración de MFA o SSPR, o si agrega esta funcionalidad durante la migración, asegúrese de agregarla al plan de comunicaciones para el usuario final. Consulte las plantillas de comunicación con el usuario final de MFA y SSPR.
Solución de problemas
Si tiene problemas, consulte nuestra guía de solución de problemas de aplicaciones y el artículo sobre la integración de asociados de acceso híbrido seguro para obtener ayuda. También puede consultar nuestros artículos de solución de problemas; vea Problemas al iniciar sesión en aplicaciones configuradas de inicio de sesión único basadas en SAML.
Planeamiento de la reversión
Si se produce un error en la migración, se recomienda dejar los usuarios de confianza existentes en los servidores de AD FS y quitar el acceso a los usuarios de confianza. Esto lee permite realizar una reversión rápida durante la implementación si es necesario.
Tenga en cuenta las siguientes sugerencias para las acciones que puede realizar para mitigar los problemas de migración:
- Realice capturas de pantalla de la configuración existente de la aplicación. Puede consultarlas si necesita volver a configurar la aplicación.
- También puede considerar la posibilidad de proporcionar vínculos para que la aplicación use opciones de autenticación alternativas (autenticación heredada o local), en caso de que haya problemas con la autenticación en la nube.
- Antes de completar la migración, no cambie la configuración existente con el proveedor de identidades existente.
- Tenga en cuenta las aplicaciones que admiten varios IDP, ya que proporcionan un plan de reversión más sencillo.
- Asegúrese de que la experiencia de la aplicación tenga un botón Comentarios o punteros al departamento de soporte técnico en caso de problemas.
Comunicación de empleados
Aunque la ventana de interrupción planeada puede ser mínima, de todos modos debe planear la comunicación de estos plazos a los empleados de forma proactiva, a la vez que se migra de AD FS a Microsoft Entra ID. Asegúrese de que la experiencia de la aplicación tenga un botón de comentarios o punteros al departamento de soporte técnico en caso de problemas.
Una vez completada la implementación, puede informar a los usuarios de la implementación correcta y recordarles los pasos que deben seguir.
- Indique a los usuarios que usen la página Aplicaciones para acceder a todas las aplicaciones migradas.
- Recuerde a los usuarios que es posible que necesiten actualizar la configuración de MFA.
- Si se implementa el autoservicio de restablecimiento de contraseña, es posible que los usuarios necesiten actualizar o comprobar sus métodos de autenticación. Consulte las plantillas de comunicación con el usuario final de MFA y SSPR.
Comunicación de usuarios externos
Por lo general, este grupo de usuarios es el que se ve afectado de forma más crítica en caso de problemas. Esto es especialmente cierto si su postura de seguridad dicta un conjunto diferente de reglas de acceso condicional o perfiles de riesgo para los asociados externos. Asegúrese de que los asociados externos conocen la programación de migración a la nube y que tienen un período de tiempo durante el cual se les anima a participar en una implementación piloto que prueba todos los flujos exclusivos de la colaboración externa. Por último, asegúrese de que tienen una manera de acceder al departamento de soporte técnico en caso de problemas.
Exit criteria (Criterios de salida)
Esta fase se realiza correctamente cuando ha hecho lo siguiente:
- Revisó las herramientas de migración
- Planeó las pruebas, incluidos los grupos y entornos de prueba
- Planeó la reversión