Fase 1: Individuare e definire l'ambito delle app
L'individuazione e l'analisi delle applicazioni sono un esercizio fondamentale per dare un buon inizio. Potresti non sapere tutto in modo che sia pronto ad accogliere le app sconosciute.
Trovare le app
La prima decisione nel processo di migrazione è quale app eseguire la migrazione, che, se presente, deve rimanere e quali app deprecare. È sempre possibile deprecare le app che non verranno usate nell'organizzazione. Esistono diversi modi per trovare le app nell'organizzazione. Durante l'individuazione delle app, assicurarsi di includere app in fase di sviluppo e pianificate. Usare Microsoft Entra ID per l'autenticazione in tutte le app future.
Individuare le applicazioni con ADFS:
Usa Microsoft Entra Connessione Health per ADFS: se hai una licenza Microsoft Entra ID P1 o P2, ti consigliamo di distribuire Microsoft Entra Connessione Health per analizzare l'utilizzo dell'app nell'ambiente locale. È possibile usare il report dell'applicazione ADFS per individuare le applicazioni ADFS di cui è possibile eseguire la migrazione e valutare l'idoneità dell'applicazione per la migrazione.
Se non si hanno licenze microsoft Entra ID P1 o P2, è consigliabile usare ad ADFS per gli strumenti di migrazione delle app Microsoft Entra basati su PowerShell. Fare riferimento alla guida alla soluzione:
Nota
Questo video illustra sia la fase 1 che 2 del processo di migrazione.
Uso di altri provider di identità (IDP)
Se attualmente si usa Okta, fare riferimento alla guida alla migrazione di Okta a Microsoft Entra.
Se attualmente si usa Ping Federate, è consigliabile usare l'API Ping Amministrazione istrative per individuare le applicazioni.
Se le applicazioni sono integrate con Active Directory, cercare entità servizio o account di servizio che possono essere usati per le applicazioni.
Uso degli strumenti di Cloud Discovery
Nell'ambiente cloud è necessaria una visibilità avanzata, il controllo sul viaggio dei dati e analisi sofisticate per trovare e combattere le minacce informatiche in tutti i servizi cloud. È possibile raccogliere l'inventario delle app cloud usando gli strumenti seguenti:
- Cloud Access Security Broker (CASB): un CASB funziona in genere insieme al firewall per offrire visibilità sull'utilizzo delle applicazioni cloud dei dipendenti e consente di proteggere i dati aziendali dalle minacce alla sicurezza informatica. Il report CASB consente di determinare le app più usate nell'organizzazione e le destinazioni iniziali per eseguire la migrazione all'ID Entra Di Microsoft.
- Cloud Discovery: configurando le app Microsoft Defender per il cloud, si ottiene visibilità sull'utilizzo delle app cloud e si possono individuare app IT non approvate o Shadow IT.
- Applicazioni ospitate di Azure: per le app connesse all'infrastruttura di Azure, è possibile usare le API e gli strumenti in tali sistemi per iniziare a eseguire un inventario delle app ospitate. Nell'ambiente Azure:
- Usare il cmdlet Get-AzureWebsite per ottenere informazioni sui siti Web di Azure.
- Usare il cmdlet Get-AzureRMWebApp per ottenere informazioni sull'App Web di Azure. D
- Eseguire una query su Microsoft Entra ID per cercare le applicazioni e le entità servizio.
Processo di individuazione manuale
Dopo aver adottato gli approcci automatizzati descritti in questo articolo, è possibile gestire in modo ottimale le applicazioni. È tuttavia consigliabile eseguire le operazioni seguenti per garantire una copertura ottimale in tutte le aree di accesso degli utenti:
- Contattare i vari proprietari aziendali dell'organizzazione per trovare le applicazioni in uso nell'organizzazione.
- Eseguire uno strumento di ispezione HTTP nel server proxy o analizzare i log proxy per vedere dove viene in genere instradato il traffico.
- Esaminare i weblog dai siti del portale aziendale più diffusi per visualizzare i collegamenti a cui gli utenti accedono di più.
- Contattare i dirigenti o altri membri aziendali chiave per assicurarsi di aver trattato le app critiche per l'azienda.
Tipo di app di cui eseguire la migrazione
Dopo aver trovato le app, identificare questi tipi di app nell'organizzazione:
- App che usano protocolli di autenticazione moderni, ad esempio SAML (Security Assertion Markup Language) o OpenID Connessione (OIDC).
- App che usano l'autenticazione legacy, ad esempio Kerberos o NT LAN Manager (NTLM) che si sceglie di modernizzare.
- App che usano protocolli di autenticazione legacy che si sceglie DI NON modernizzare
- Nuove app line-of-business (LoB)
App che usano già l'autenticazione moderna
Le app già modernizzate sono probabilmente spostate in Microsoft Entra ID. Queste app usano già protocolli di autenticazione moderni, ad esempio SAML o OIDC, e possono essere riconfigurate per l'autenticazione con Microsoft Entra ID.
È consigliabile cercare e aggiungere applicazioni dalla raccolta di app Microsoft Entra. Se non vengono trovate nella raccolta, è comunque possibile eseguire l'onboarding di un'applicazione personalizzata.
App legacy che si sceglie di modernizzare
Per le app legacy che si vogliono modernizzare, passare all'ID entra Microsoft per l'autenticazione e l'autorizzazione di base sblocca tutta la potenza e la ricchezza dei dati che Microsoft Graph e Intelligent Security Graph devono offrire.
È consigliabile aggiornare il codice dello stack di autenticazione per queste applicazioni dal protocollo legacy (ad esempio l'autenticazione integrata di Windows, Kerberos, l'autenticazione basata su intestazioni HTTP) a un protocollo moderno (ad esempio SAML o OpenID Connessione).
App legacy che si sceglie DI NON modernizzare
Per determinate app che usano protocolli di autenticazione legacy, talvolta la modernizzazione dell'autenticazione non è la cosa giusta da eseguire per motivi aziendali. Tra questi sono inclusi i tipi di app seguenti:
- Le app vengono mantenute in locale per motivi di conformità o controllo.
- App connesse a un'identità locale o a un provider federativo che non si vuole modificare.
- App sviluppate usando standard di autenticazione locali che non si prevede di spostare
Microsoft Entra ID può offrire grandi vantaggi a queste app legacy. È possibile abilitare funzionalità moderne per la sicurezza e la governance di Microsoft Entra, ad esempio Multi-Factor Authentication, accesso condizionale, Identity Protection, accesso alle applicazioni delegate e verifiche di accesso su queste app senza toccare l'app.
- Per iniziare, estendere queste app nel cloud con il proxy dell'applicazione Microsoft Entra.
- In alternativa, esplorare l'uso delle integrazioni dei partner SECURE Hybrid Access (SHA) già distribuite.
Nuove app line-of-business (LoB)
In genere si sviluppano app LoB per l'uso interno dell'organizzazione. Se nella pipeline sono presenti nuove app, è consigliabile usare Microsoft Identity Platform per implementare OIDC.
App da deprecare
Le app senza proprietari chiari e la manutenzione e il monitoraggio chiari presentano un rischio per la sicurezza per l'organizzazione. Prendere in considerazione la deprecazione delle applicazioni quando:
- La loro funzionalità è estremamente ridondante con altri sistemi
- Non c'è alcun proprietario dell'azienda
- Non c'è chiaramente alcun utilizzo
È consigliabile non deprecare applicazioni business critical ad alto impatto. In questi casi, collaborare con i proprietari dell'azienda per determinare la strategia corretta.
Criteri di uscita
Questa fase ha esito positivo con:
- Una buona conoscenza delle applicazioni nell'ambito della migrazione, quelle che richiedono la modernizzazione, quelle che devono rimanere così come sono o quelle contrassegnate per la deprecazione.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per