Condividi tramite


Fase 1: Individuare e definire l'ambito delle app

L'individuazione e l'analisi delle applicazioni sono un esercizio fondamentale per iniziare con il piede giusto. È possibile che non si conoscano tutti i componenti dell’ambiente, quindi è bene prepararsi ad accogliere le app sconosciute.

Trovare le app

La prima decisione da prendere nel processo di migrazione è quali applicazioni includere nella migrazione, quali eventualmente mantenere e quali deprecare. C'è sempre l'opportunità di deprecare le app che non si usano più nell'organizzazione. Esistono diversi modi per trovare le app nell'organizzazione. Durante l'individuazione delle app, assicurarsi di includere le app in fase di sviluppo e quelle pianificate. Usare Microsoft Entra ID per l'autenticazione in tutte le app future.

Individuare le applicazioni tramite AD FS:

  • Usare Microsoft Entra Connect Health per AD FS: se si dispone di una licenza Microsoft Entra ID P1 o P2, è consigliabile distribuire Microsoft Entra Connect Health per analizzare l'utilizzo delle app nell'ambiente locale. È possibile usare il report applicazioni AD FS per individuare le applicazioni AD FS di cui è possibile eseguire la migrazione e valutare l'idoneità dell'applicazione per la migrazione.

  • Se non si dispone di licenze Microsoft Entra ID P1 o P2, è consigliabile usare gli strumenti di migrazione delle app da ADFS a Microsoft Entra basati su PowerShell. Vedere la guida alla soluzione:

Nota

Questo video illustra le fasi 1 e 2 del processo di migrazione.

Uso di altri provider di identità

  • Se attualmente si usa Okta, fare riferimento alla guida alla migrazione da Okta a Microsoft Entra.

  • Se attualmente si usa Ping Federate, è consigliabile usare l'API amministrativa Ping per individuare le applicazioni.

  • Se le applicazioni sono integrate con Active Directory, cercare entità servizio o account di servizio che possano essere usati per le applicazioni.

Uso di strumenti di Cloud Discovery

In ambiente cloud servono ampia visibilità, controllo sul transito dei dati e funzionalità di analisi sofisticate per individuare e contrastare le minacce informatiche in tutti i servizi cloud. È possibile raccogliere l'inventario delle app cloud usando gli strumenti seguenti:

  • Cloud Access Security Broker (CASB): un CASB in genere interagisce con il firewall per fornire visibilità sull'utilizzo delle applicazioni cloud dei dipendenti e contribuisce alla protezione dei dati aziendali dalle minacce alla cybersecurity. Il report CASB consente di individuare le app più usate nell'organizzazione e le prime app di cui eseguire la migrazione a Microsoft Entra ID.
  • Cloud Discovery: configurando Microsoft Defender for Cloud Apps, si ottiene visibilità sull'utilizzo delle app cloud e si possono individuare le app non approvate o shadow IT.
  • Applicazioni ospitate in Azure: per le app connesse all'infrastruttura di Azure è possibile usare le API e gli strumenti disponibili in tali sistemi per iniziare a creare un inventario delle app ospitate. Nell'ambiente di Azure:

Processo di individuazione manuale

Una volta adottati gli approcci automatizzati descritti in questo articolo, si sarà in grado di gestire al meglio le proprie applicazioni. Tuttavia, per garantire una buona copertura di tutte le aree di accesso degli utenti, è opportuno considerare i suggerimenti seguenti:

  • Contattare i vari proprietari di app aziendali per individuare le applicazioni in uso nell'organizzazione.
  • Eseguire uno strumento di ispezione HTTP sul server proxy o analizzare i log del proxy per vedere dove viene in genere instradato il traffico.
  • Esaminare i log Web dei siti del portale aziendale più visitati per vedere quali sono i collegamenti a cui gli utenti accedono di più.
  • Contattare i dirigenti o altri membri aziendali chiave per assicurarsi di avere incluso le app critiche.

Tipi di app di cui eseguire la migrazione

Una volta trovate le app, identificare i tipi di app seguenti nell'organizzazione:

  • App che usano protocolli di autenticazione moderni, come SAML (Security Assertion Markup Language) o OIDC (OpenID Connect)
  • App che usano un sistema di autenticazione legacy, come Kerberos o NT LAN Manager (NTLM), e che si è deciso di modernizzare
  • App che usano protocolli di autenticazione legacy che si è deciso di NON modernizzare
  • Nuove app line-of-business

App che usano già protocolli di autenticazione moderni

Le app già modernizzate hanno le maggiori probabilità di essere trasferite in Microsoft Entra ID. Queste app usano già protocolli di autenticazione moderni, come SAML o OIDC, e possono essere riconfigurate per l'autenticazione con Microsoft Entra ID.

È consigliabile cercare e aggiungere applicazioni dalla raccolta di app Microsoft Entra. Se non se ne trovano nella raccolta, è sempre possibile eseguire l'onboarding di un'applicazione personalizzata.

App legacy che si sceglie di modernizzare

Per le app legacy che si è deciso di modernizzare, il passaggio a Microsoft Entra ID per l'autenticazione e l'autorizzazione di base sblocca tutta la potenza e la ricchezza dei dati che Microsoft Graph e Intelligent Security Graph hanno da offrire.

È consigliabile aggiornare il codice dello stack di autenticazione di queste applicazioni dal protocollo legacy (ad esempio autenticazione integrata di Windows, Kerberos, autenticazione basata su intestazioni HTTP) a un protocollo moderno (ad esempio SAML o OpenID Connect).

App legacy che si sceglie di NON modernizzare

Per determinate app che usano protocolli di autenticazione legacy, talvolta la modernizzazione del sistema di autenticazione non è la cosa giusta da fare per motivi legati all’azienda. Tra le app interessate rientrano i tipi seguenti:

  • App mantenute in locale per motivi di conformità o controllo.
  • App connesse a un'identità locale o a un provider di federazione che non si vuole cambiare.
  • App sviluppate con standard di autenticazione locali che non si prevede di trasferire.

Microsoft Entra ID può offrire grandi vantaggi a queste app legacy. È possibile abilitare su queste app funzionalità moderne per la sicurezza e la governance di Microsoft Entra, come l’autenticazione a più fattori, l'accesso condizionale, Identity Protection, l’accesso delegato alle applicazioni e le verifiche di accesso, senza toccare l’app.

Nuove app line-of-business

In genere le app line-of-business vengono sviluppate per l'uso interno dell'organizzazione. Se nella pipeline sono presenti nuove app, è consigliabile usare Microsoft Identity Platform per implementare OIDC.

App da deprecare

Le app senza un chiaro proprietario e prive di un chiaro sistema di manutenzione e monitoraggio rappresentano un rischio per la sicurezza dell'organizzazione. È opportuno deprecare le applicazioni quando:

  • Le loro funzionalità sono altamente ridondanti con altri sistemi
  • Non sono di proprietà di nessuno in azienda
  • È evidente che non vengono usate

È consigliabile non deprecare applicazioni critiche e ad alto impatto. In questi casi, collaborare con i proprietari aziendali delle app per determinare la strategia corretta.

Criteri di uscita

Per assicurare la buona riuscita di questa fase occorre:

  • Una buona conoscenza delle applicazioni idonee per la migrazione, quelle che devono essere modernizzate, quelle che devono rimanere così come sono o quelle contrassegnate per la deprecazione.

Passaggi successivi