1. fázis: Alkalmazások felderítése és hatóköre
Az alkalmazásfelderítés és -elemzés alapvető gyakorlat, amely jó kezdést biztosít. Lehet, hogy nem tud mindent, ezért készüljön fel az ismeretlen alkalmazások elhelyezésére.
Alkalmazások megkeresése
A migrálási folyamat első döntése az, hogy mely alkalmazások migrálhatóak, melyek maradnak, és mely alkalmazások elavultak. Mindig lehetőség van arra, hogy elavultítsa a szervezetében nem használt alkalmazásokat. Többféleképpen is kereshet alkalmazásokat a szervezetében. Az alkalmazások felfedezése közben győződjön meg arról, hogy fejlesztési és tervezett alkalmazásokat is tartalmaz. A Microsoft Entra ID-t minden jövőbeli alkalmazásban használhatja a hitelesítéshez.
Alkalmazások felderítése az ADFS használatával:
A Microsoft Entra Csatlakozás Health for ADFS használata: Ha P1 vagy P2 Microsoft Entra-azonosítójú licenccel rendelkezik, javasoljuk, hogy telepítse a Microsoft Entra Csatlakozás Health-t, hogy elemezze az alkalmazás használatát a helyszíni környezetben. Az ADFS-alkalmazásjelentéssel felderítheti az áttelepíthető ADFS-alkalmazásokat, és kiértékelheti az áttelepítendő alkalmazás felkészültségét.
Ha nem rendelkezik Microsoft Entra ID P1 vagy P2 licenccel, javasoljuk, hogy használja az ADFS-t a Microsoft Entra alkalmazásmigrálási eszközeire a PowerShell alapján. Tekintse meg a megoldási útmutatót:
Feljegyzés
Ez a videó a migrálási folyamat 1. és 2. fázisát ismerteti.
Más identitásszolgáltatók (IDP-k) használata
Ha jelenleg az Okta-t használja, tekintse meg az Oktát a Microsoft Entra migrálási útmutatójában.
Ha jelenleg Ping Federate-et használ, fontolja meg a Ping Rendszergazda istrative API használatát az alkalmazások felderítéséhez.
Ha az alkalmazások integrálva vannak az Active Directoryval, keresse meg az alkalmazásokhoz használható szolgáltatásneveket vagy szolgáltatásfiókokat.
Felhőfelderítési eszközök használata
A felhőkörnyezetben gazdag láthatóságra, az adatutazás szabályozására és kifinomult elemzésre van szüksége a kiberfenyegetések kereséséhez és leküzdéséhez az összes felhőszolgáltatásban. A felhőalkalmazások leltárát az alábbi eszközökkel gyűjtheti össze:
- Cloud Access Security Broker (CASB) – A CASB általában a tűzfal mellett működik, hogy betekintést nyújtson az alkalmazottak felhőalkalmazásainak használatába, és segít megvédeni a vállalati adatokat a kiberbiztonsági fenyegetésektől. A CASB-jelentés segíthet meghatározni a szervezet leggyakrabban használt alkalmazásait és a Microsoft Entra-azonosítóra való migrálás korai céljait.
- Cloud Discovery – Az Felhőhöz készült Microsoft Defender-alkalmazások konfigurálásával betekintést nyerhet a felhőalkalmazások használatába, és felderítheti a nem használt vagy árnyékalapú informatikai alkalmazásokat.
- Azure-beli üzemeltetett alkalmazások – Az Azure-infrastruktúrához csatlakoztatott alkalmazások esetében az ezeken a rendszereken található API-k és eszközök segítségével megkezdheti a üzemeltetett alkalmazások leltárának készítését. Azure-környezetben:
- A Get-AzureWebsite parancsmaggal információkat kaphat az Azure-webhelyekről.
- A Get-AzureRMWebApp parancsmaggal információkat kérhet le az Azure Web Apps.D-ről
- A Microsoft Entra-azonosító lekérdezése alkalmazások és szolgáltatásnevek keresése céljából.
Manuális felderítési folyamat
Miután elvégezte a cikkben ismertetett automatizált megközelítéseket, jól kezeli az alkalmazásait. Megfontolhatja azonban a következőket, hogy minden felhasználói hozzáférési területen megfelelő lefedettséget biztosítson:
- Lépjen kapcsolatba a szervezet különböző üzleti tulajdonosaival, és keresse meg a szervezetben használt alkalmazásokat.
- Futtasson egy HTTP-ellenőrző eszközt a proxykiszolgálón, vagy elemezze a proxynaplókat, hogy lássa, hol történik a forgalom irányítása.
- Tekintse át a népszerű céges portálwebhelyekről származó blogokat, és nézze meg, hogy a felhasználók milyen hivatkozásokat érnek el a legjobban.
- Lépjen kapcsolatba a vezetőkkel vagy más kulcsfontosságú üzleti tagokkal, hogy biztosan lefedje az üzletileg kritikus fontosságú alkalmazásokat.
A migrálandó alkalmazások típusa
Miután megtalálta az alkalmazásokat, az alábbi típusú alkalmazásokat azonosíthatja a szervezetében:
- Olyan modern hitelesítési protokollokat használó alkalmazások, mint a Security Assertion Markup Language (SAML) vagy az OpenID Csatlakozás (OIDC).
- Az olyan régi hitelesítést használó alkalmazások, mint a Kerberos vagy az NT LAN Manager (NTLM), amelyeket modernizálni szeretne.
- Olyan alkalmazások, amelyek régebbi hitelesítési protokollokat használnak, amelyeket NEM kíván modernizálni
- Új üzletági (LoB) alkalmazások
Már modern hitelesítést használó alkalmazások
A már modernizált alkalmazások a legvalószínűbb, hogy a Microsoft Entra-azonosítóba kerülnek. Ezek az alkalmazások már modern hitelesítési protokollokat, például SAML-t vagy OIDC-t használnak, és újrakonfigurálhatók a Microsoft Entra-azonosítóval való hitelesítéshez.
Javasoljuk, hogy keressen és vegyen fel alkalmazásokat a Microsoft Entra alkalmazáskatalógusából. Ha nem találja őket a katalógusban, akkor is készíthet egyéni alkalmazásokat.
Régi alkalmazások, amelyeket modernizálni szeretne
A modernizálni kívánt régi alkalmazások esetében a Microsoft Entra ID-ra való áttérés az alapvető hitelesítéshez és engedélyezéshez feloldja a Microsoft Graph és az Intelligent Security Graph által kínált összes energia- és adatgazdagságot.
Javasoljuk, hogy frissítse az alkalmazások hitelesítési veremkódját az örökölt protokollról (például Windows-integrált hitelesítés, Kerberos, HTTP-fejlécalapú hitelesítés) egy modern protokollra (például SAML vagy OpenID Csatlakozás).
Örökölt alkalmazások, amelyeket nem modernizálásra választ
Az örökölt hitelesítési protokollokat használó egyes alkalmazások esetében néha a hitelesítés modernizálása üzleti okokból nem megfelelő. Ezek közé tartoznak a következő típusú alkalmazások:
- A helyszínen tárolt alkalmazások megfelelőségi vagy ellenőrzési okokból.
- Olyan helyszíni identitáshoz vagy összevonási szolgáltatóhoz csatlakoztatott alkalmazások, amelyeket nem szeretne módosítani.
- Olyan helyszíni hitelesítési szabványokat használó alkalmazások, amelyek áthelyezését nem tervezi
A Microsoft Entra ID nagyszerű előnyöket jelenthet ezeknek az örökölt alkalmazásoknak. A Microsoft Entra modern biztonsági és szabályozási funkcióit, például a Multi-Factor Authenticationt, a Feltételes hozzáférést, az Identity Protectiont, a Delegált alkalmazáshozzáférést és az Access-felülvizsgálatokat anélkül engedélyezheti, hogy az alkalmazáshoz egyáltalán hozzá se nyúljon!
- Először is bővítse ezeket az alkalmazásokat a felhőbe a Microsoft Entra alkalmazásproxyval.
- Vagy ismerkedjen meg a biztonságos hibrid hozzáférésű (SHA) partnerintegrációkkal, amelyeket esetleg már üzembe helyezett.
Új üzletági (LoB) alkalmazások
Általában loB-alkalmazásokat fejleszt a szervezet belső használatára. Ha új alkalmazásokat használ a folyamatban, javasoljuk, hogy a Microsoft Identitásplatform használatával implementálja az OIDC-t.
Elavult alkalmazások
Az egyértelmű tulajdonosok nélküli alkalmazások, valamint az egyértelmű karbantartás és monitorozás biztonsági kockázatot jelentenek a szervezet számára. A következő esetekben érdemes lehet elavultnak tekinteni az alkalmazásokat:
- Működésük más rendszerek esetében rendkívül redundáns
- Nincs üzlettulajdonos
- Egyértelműen nincs használat
Javasoljuk, hogy ne elavultítsa a nagy hatású, üzleti szempontból kritikus alkalmazásokat. Ezekben az esetekben az üzleti tulajdonosokkal együttműködve állapítsa meg a megfelelő stratégiát.
Kilépési feltételek
Ebben a fázisban a következőkkel lehet sikeres:
- Jól ismeri a migrálás hatókörébe tartozó alkalmazásokat, a modernizálást igénylő alkalmazásokat, azokat, amelyeknek naprakésznek kell maradniuk, vagy azokat, amelyeket elavulásra jelölt meg.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: