Fase 2 – Apps classificeren en pilot plannen
Het classificeren van de migratie van uw apps is een belangrijke oefening. Niet elke app hoeft tegelijkertijd te worden gemigreerd en overgezet. Zodra u informatie over elk van de apps verzamelt, kunt u rationaliseren welke apps eerst moeten worden gemigreerd en wat extra tijd kan duren.
Apps binnen het bereik classificeren
Een manier om over dit aspect na te denken, is langs de assen van bedrijfskritiek, gebruik en levensduur, die elk afhankelijk zijn van meerdere factoren.
Bedrijfskritiek
Bedrijfskritiek heeft verschillende dimensies voor elk bedrijf, maar de twee metingen die u moet overwegen, zijn functies en functionaliteit en gebruikersprofielen. Wijs apps met unieke functionaliteit een hogere puntwaarde toe dan apps met redundante of verouderde functionaliteit.
Gebruik
Toepassingen die veel worden gebruikt moeten een hogere waarde krijgen dan apps die weinig worden gebruikt. Wijs een hogere waarde toe aan apps met externe, leidinggevende of beveiligingsteamgebruikers. Voltooi deze evaluaties voor elke app in uw migratieportfolio.
Zodra u waarden hebt vastgesteld voor bedrijfskritiek en -gebruik, kunt u vervolgens de levensduur van de toepassing bepalen en een matrix met prioriteit maken. In het diagram ziet u de matrix.
Notitie
In deze video worden zowel fase 1 als 2 van het migratieproces behandeld.
Apps prioriteren voor migratie
U kunt ervoor kiezen de app-migratie te starten met de apps met de laagste prioriteit of de apps met de hoogste prioriteit op basis van de behoeften van uw organisatie.
In een scenario waarin u mogelijk geen ervaring hebt met het gebruik van Microsoft Entra ID- en Identiteitsservices, kunt u overwegen om eerst uw apps met de laagste prioriteit naar Microsoft Entra te verplaatsen. Met deze optie wordt de impact van uw bedrijf geminimaliseerd en kunt u een momentum opbouwen. Zodra u deze apps hebt verplaatst en het vertrouwen van de belanghebbende hebt bereikt, kunt u de andere apps blijven migreren.
Als er geen duidelijke prioriteit is, kunt u overwegen de apps die zich in de Microsoft Entra Gallery bevinden, eerst te verplaatsen en meerdere id-providers te ondersteunen, omdat ze gemakkelijker kunnen worden geïntegreerd. Deze apps zijn waarschijnlijk de apps met de hoogste prioriteit in uw organisatie. Om uw SaaS-toepassingen te integreren met Microsoft Entra ID, is er een verzameling zelfstudies die u begeleiden bij de configuratie.
Wanneer u een deadline hebt om de apps te migreren, neemt deze bucket met de hoogste prioriteit de grote werkbelasting. U kunt uiteindelijk de apps met een lagere prioriteit selecteren omdat ze de kosten niet wijzigen, zelfs niet als u de deadline verplaatst.
Naast deze classificatie en afhankelijk van de urgentie van uw migratie, moet u een migratieschema publiceren waarin app-eigenaren moeten deelnemen om hun apps te laten migreren. Aan het einde van dit proces moet u een lijst hebben met alle toepassingen in geprioriteerde buckets voor migratie.
Uw apps documenteren
Begin eerst met het verzamelen van belangrijke informatie over uw toepassingen. Met het werkblad Toepassingsdetectie kunt u snel uw migratiebeslissingen nemen en een aanbeveling krijgen voor uw bedrijfsgroep.
Informatie die belangrijk is voor het nemen van uw migratiebeslissing, omvat:
- App-naam – Hoe wordt deze app genoemd in het bedrijf?
- App-type – Is het een SaaS-app van derden? Een aangepaste Line-of-Business-web-app? Een API?
- Bedrijfskritiek – Is de app zeer kritiek? Niet kritiek? Of ergens daartussenin?
- Gebruikerstoegangsvolume – Heeft iedereen toegang tot deze app of slechts een paar personen?
- Gebruikerstoegangstype: wie moet toegang hebben tot de toepassing: werknemers, zakenpartners of klanten of misschien allemaal?
- Geplande levensduur : hoe lang is deze beschikbaarheid? Minder dan zes maanden? Meer dan twee jaar?
- Huidige id-provider – Wat is de primaire IdP voor deze app? AD FS, Active Directory of Ping Federate?
- Beveiligingsvereisten : vereist de toepassing MFA of dat gebruikers zich in het bedrijfsnetwerk bevinden om toegang te krijgen tot de toepassing?
- Verificatiemethode – Wordt de app geverifieerd met behulp van open standaarden?
- Of u van plan bent om de app-code bij te werken – Is er geplande of actieve ontwikkeling van de app?
- Of u van plan bent om de app on-premises te houden – Wilt u de app op de lange termijn in uw datacenter houden?
- Of de app afhankelijk is van andere apps of API's – Roept de app momenteel andere apps of API's aan?
- Of de app zich in de Microsoft Entra-galerie bevindt, is de app momenteel al geïntegreerd met de Microsoft Entra Gallery?
Andere gegevens die u later helpen, maar u hoeft geen onmiddellijke migratiebeslissing te nemen, omvat:
- App-URL – Waar gaan gebruikers naartoe om toegang te krijgen tot de app?
- Toepassingslogo: Als u een toepassing migreert naar Microsoft Entra-id die zich niet in de Microsoft Entra-app-galerie bevindt, raden we u aan een beschrijvend logo op te geven
- App-beschrijving – Wat is een korte beschrijving van wat de app doet?
- App-eigenaar – Wie in het bedrijf is de belangrijkste contactpersoon voor de app?
- Algemene opmerkingen of notities – Andere algemene informatie over de app of het bedrijfseigendom
Zodra u uw toepassing hebt geclassificeerd en de details hebt gedocumenteerd, moet u ervoor zorgen dat u bedrijfseigenaar koopt in uw geplande migratiestrategie.
Gebruikers van toepassing
Er zijn twee hoofdcategorieën van gebruikers van uw apps en resources die door Microsoft Entra ID worden ondersteund:
Intern: Werknemers, aannemers en leveranciers met accounts binnen uw id-provider. Deze categorie heeft mogelijk verdere draaipunten nodig met verschillende regels voor managers of leidinggevenden ten opzichte van andere werknemers.
Extern: Leveranciers, leveranciers, distributeurs of andere zakelijke partners die communiceren met uw organisatie in de normale gang van zaken met Microsoft Entra B2B-samenwerking.
U kunt groepen voor deze gebruikers definiëren en deze groepen op verschillende manieren vullen. U kunt ervoor kiezen dat een beheerder handmatig leden aan een groep moet toevoegen of dat u dynamische lidmaatschapsgroepen voor selfservice kunt inschakelen. Regels kunnen worden ingesteld waarmee leden automatisch worden toegevoegd aan groepen op basis van de opgegeven criteria met behulp van dynamische lidmaatschapsgroepen.
Externe gebruikers kunnen ook verwijzen naar klanten. Azure AD B2C is een afzonderlijk product dat klantverificatie ondersteunt. Het valt echter buiten het bereik van dit document.
Een testfase plannen
De apps die u voor de pilot selecteert, moeten de belangrijkste identiteits- en beveiligingsvereisten van uw organisatie vertegenwoordigen, en u moet duidelijke acceptatie hebben van de toepassingseigenaren. Pilots worden doorgaans uitgevoerd in een afzonderlijke testomgeving.
Vergeet uw externe partners niet. Zorg ervoor dat ze deelnemen aan migratieplanningen en -testen. Verzeker tot slot dat ze toegang tot uw helpdesk kunnen krijgen voor het geval er problemen optreden.
Voor beperkingen plannen
Hoewel sommige apps eenvoudig kunnen worden gemigreerd, kan het langer duren voordat andere apps worden gemigreerd vanwege meerdere servers of exemplaren. SharePoint-migratie kan bijvoorbeeld langer duren vanwege aangepaste aanmeldingspagina's.
Veel Leveranciers van SaaS-apps bieden mogelijk geen selfservice voor het opnieuw configureren van de toepassing en kunnen kosten in rekening brengen voor het wijzigen van de SSO-verbinding. Neem contact met hen op en plan een beperking.
Goedkeuring van app-eigenaar
Bedrijfskritieke en universeel gebruikte toepassingen hebben mogelijk een groep testgebruikers nodig om de app in de testfase te testen. Zodra u een app in de preproductie- of testomgeving test, moet u ervoor zorgen dat bedrijfseigenaren van apps vóór de migratie van de app goedkeuring geven voor de prestaties. U moet er ook voor zorgen dat alle gebruikers migreren naar productiegebruik van Microsoft Entra-id voor verificatie.
De beveiligingspostuur plannen
Voordat u het migratieproces start, moet u de tijd nemen om de beveiligingspostuur volledig te overwegen die u wilt ontwikkelen voor uw bedrijfsidentiteitssysteem. Dit aspect is gebaseerd op het verzamelen van deze waardevolle gegevenssets: Identiteiten, apparaten en locaties die toegang hebben tot uw toepassingen en gegevens.
Identiteiten en gegevens
De meeste organisaties hebben specifieke vereisten voor identiteiten en gegevensbeveiliging die variëren per branchesegment en per functie binnen organisaties. Raadpleeg de configuraties voor identiteits- en apparaattoegang voor onze aanbevelingen. De aanbevelingen omvatten een voorgeschreven set beleidsregels voor voorwaardelijke toegang en gerelateerde mogelijkheden.
U kunt deze informatie gebruiken om de toegang te beveiligen tot alle services die zijn geïntegreerd met Microsoft Entra ID. Deze aanbevelingen worden afgestemd op Microsoft Secure Score en de identiteitsscore in Microsoft Entra ID. De score helpt bij het volgende:
- Objectief meten van het beveiligingspostuur van uw identiteit
- Plannen van verbeteringen aan de identiteitsbeveiliging
- Evalueren van het succes van uw verbeteringen
De Microsoft Secure Score helpt u ook bij het implementeren van de vijf stappen voor het beveiligen van uw identiteitsinfrastructuur. Gebruik de richtlijnen als uitgangspunt voor uw organisatie en pas de beleidsregels aan om te voldoen aan de specifieke vereisten van uw organisatie.
Apparaat/locatie die wordt gebruikt voor toegang tot gegevens
Het apparaat dat en de locatie die een gebruiker gebruikt voor toegang tot een app, zijn ook belangrijk. Apparaten die fysiek zijn verbonden met uw bedrijfsnetwerk, zijn veiliger. Verbindingen van buiten het netwerk via VPN moeten mogelijk worden gecontroleerd.
Met deze aspecten van resources, gebruikers en apparaten in het achterhoofd, kunt u ervoor kiezen om de mogelijkheden voor voorwaardelijke toegang van Microsoft Entra te gebruiken. Voorwaardelijke toegang gaat verder dan gebruikersmachtigingen. Dit hangt af van een combinatie van factoren zoals:
- De identiteit van een gebruiker of groep
- Het netwerk waarmee de gebruiker is verbonden
- Het apparaat en de toepassing die de gebruiker gebruikt
- Het type gegevens dat de gebruiker probeert te openen.
De toegang die aan de gebruiker wordt verleend, past zich aan deze bredere verzameling voorwaarden aan.
Criteria voor afsluiten
U bent in deze fase geslaagd wanneer u het volgende hebt:
Volledig gedocumenteerde apps die u wilt migreren
Apps met prioriteit op basis van bedrijfskritiek, gebruiksvolume en levensduur
Geselecteerde apps die uw vereisten voor een testfase vertegenwoordigen
Acceptatie van bedrijfseigenaren hebt gekregen voor uw prioritering en strategie
Inzicht in uw beveiligingspostuurbehoeften en hoe u deze implementeert