Fase 1 – Apps detecteren en bereik bepalen
Toepassingsdetectie en -analyse zijn een fundamentele oefening om u een goed begin te geven. Misschien weet u niet alles, dus wees bereid de onbekende apps onder te brengen.
Vind uw apps
De eerste beslissing in het migratieproces is welke apps moeten worden gemigreerd, welke indien aanwezig moeten blijven en welke apps moeten worden afgeschaft. Er is altijd een kans om de apps die u niet in uw organisatie gaat gebruiken, te verwijderen. Er zijn verschillende manieren om apps in uw organisatie te vinden. Zorg er tijdens het detecteren van apps voor dat u apps in ontwikkeling en geplande apps opneemt. Gebruik Microsoft Entra ID voor verificatie in alle toekomstige apps.
Toepassingen detecteren met behulp van ADFS:
Gebruik Microsoft Entra Verbinding maken Health voor ADFS: Als u een Microsoft Entra ID P1- of P2-licentie hebt, raden we u aan Microsoft Entra Verbinding maken Health te implementeren om het app-gebruik in uw on-premises omgeving te analyseren. U kunt het ADFS-toepassingsrapport gebruiken om ADFS-toepassingen te detecteren die kunnen worden gemigreerd en de gereedheid van de toepassing te evalueren die moeten worden gemigreerd.
Als u geen Microsoft Entra ID P1- of P2-licenties hebt, raden we u aan de migratiehulpprogramma's voor ADFS naar Microsoft Entra-apps te gebruiken op basis van PowerShell. Raadpleeg de oplossingshandleiding:
Notitie
In deze video worden zowel fase 1 als 2 van het migratieproces behandeld.
Andere id-providers (IdP's) gebruiken
Als u momenteel Okta gebruikt, raadpleegt u onze Okta-migratiehandleiding voor Microsoft Entra.
Als u momenteel Ping Federate gebruikt, kunt u overwegen de Ping Beheer istratieve API te gebruiken om toepassingen te detecteren.
Als de toepassingen zijn geïntegreerd met Active Directory, zoekt u naar service-principals of serviceaccounts die kunnen worden gebruikt voor toepassingen.
Hulpprogramma's voor clouddetectie gebruiken
In de cloudomgeving hebt u uitgebreid inzicht, controle over gegevensverkeer en geavanceerde analyses nodig om cyberbedreigingen in al uw cloudservices te vinden en bestrijden. U kunt de inventaris van uw cloud-apps verzamelen met behulp van de volgende hulpprogramma's:
- Cloud Access Security Broker (CASB) – Een CASB werkt doorgaans samen met uw firewall om inzicht te krijgen in het gebruik van cloudtoepassingen door uw werknemers en helpt u uw bedrijfsgegevens te beschermen tegen cyberbeveiligingsbedreigingen. Het CASB-rapport kan u helpen bij het bepalen van de meest gebruikte apps in uw organisatie en de vroege doelen voor migratie naar Microsoft Entra-id.
- Cloud Discovery: door Microsoft Defender voor Cloud-apps te configureren, krijgt u inzicht in het gebruik van cloud-apps en kunt u niet-opgegeven of Schaduw-IT-apps detecteren.
- Gehoste Azure-toepassingen : voor apps die zijn verbonden met de Azure-infrastructuur, kunt u de API's en hulpprogramma's op deze systemen gebruiken om een inventaris van gehoste apps te maken. In de Azure-omgeving:
- Gebruik de cmdlet Get-AzureWebsite om informatie over Azure-websites op te halen.
- Gebruik de cmdlet Get-AzureRMWebApp om informatie over uw Azure Web Apps.D op te halen
- Query's uitvoeren op Microsoft Entra-id op zoek naar toepassingen en service-principals.
Handmatig detectieproces
Zodra u de geautomatiseerde benaderingen hebt gebruikt die in dit artikel worden beschreven, hebt u een goede ingang voor uw toepassingen. U kunt echter overwegen het volgende te doen om te verzekeren dat u goede dekking hebt voor alle gebruikerstoegangsgebieden:
- Neem contact op met de verschillende bedrijfseigenaren in uw organisatie om de toepassingen te vinden die in uw organisatie worden gebruikt.
- Voer een HTTP-inspectieprogramma uit op uw proxyserver of analyseer proxylogboeken om te zien waar verkeer doorgaans wordt gerouteerd.
- Bekijk weblogs van populaire bedrijfsportalsites om te zien welke koppelingen gebruikers het meest gebruiken.
- Neem contact op met leidinggevenden of andere belangrijke zakelijke leden om ervoor te zorgen dat u de bedrijfskritieke apps hebt behandeld.
Type apps dat moet worden gemigreerd
Zodra u uw apps hebt gevonden, identificeert u deze typen apps in uw organisatie:
- Apps die gebruikmaken van moderne verificatieprotocollen zoals Security Assertion Markup Language (SAML) of OpenID Verbinding maken (OIDC).
- Apps die gebruikmaken van verouderde verificatie, zoals Kerberos of NT LAN Manager (NTLM), die u wilt moderniseren.
- Apps die gebruikmaken van verouderde verificatieprotocollen die u NIET wilt moderniseren
- Nieuwe LoB-apps (Line-of-Business)
Apps die al gebruikmaken van moderne verificatie
De al gemoderniseerde apps zijn de meest waarschijnlijke verplaatst naar Microsoft Entra-id. Deze apps maken al gebruik van moderne verificatieprotocollen zoals SAML of OIDC en kunnen opnieuw worden geconfigureerd voor verificatie met Microsoft Entra-id.
U wordt aangeraden toepassingen te zoeken en toe te voegen vanuit de Microsoft Entra-app-galerie. Als u deze niet in de galerie vindt, kunt u nog steeds een aangepaste toepassing onboarden.
Verouderde apps die u wilt moderniseren
Voor verouderde apps die u wilt moderniseren, kunt u overstappen op Microsoft Entra ID voor kernverificatie en autorisatie, waardoor alle kracht en gegevensrijkheid die microsoft Graph en Intelligent Security Graph te bieden hebben, worden ontgrendeld.
U wordt aangeraden de verificatiestackcode voor deze toepassingen bij te werken van het verouderde protocol (zoals geïntegreerde Windows-verificatie, Kerberos- en HTTP-headers-verificatie) naar een modern protocol (zoals SAML of OpenID Verbinding maken).
Verouderde apps die u NIET wilt moderniseren
Voor bepaalde apps die gebruikmaken van verouderde verificatieprotocollen, is het soms niet het juiste om hun verificatie te moderniseren om zakelijke redenen. Dit omvat de volgende typen apps:
- Apps die om nalevings- of controleredenen on-premises worden gehouden.
- Apps die zijn verbonden met een on-premises identiteit of federatieprovider die u niet wilt wijzigen.
- Apps die zijn ontwikkeld met behulp van on-premises verificatiestandaarden die u niet wilt verplaatsen.
Microsoft Entra ID kan grote voordelen opleveren voor deze verouderde apps. U kunt moderne beveiligings- en governancefuncties van Microsoft Entra inschakelen, zoals Multi-Factor Authentication, voorwaardelijke toegang, identiteitsbeveiliging, gedelegeerde toepassingstoegang en toegangsbeoordelingen voor deze apps zonder de app aan te raken.
- Begin met het uitbreiden van deze apps naar de cloud met de Microsoft Entra-toepassingsproxy.
- Of verken het gebruik van onze SHA-partnerintegraties (Secure Hybrid Access) die u mogelijk al hebt geïmplementeerd.
Nieuwe LoB-apps (Line-of-Business)
Meestal ontwikkelt u LoB-apps voor intern gebruik door uw organisatie. Als u nieuwe apps in de pijplijn hebt, raden we u aan het Microsoft Identity Platform te gebruiken om OIDC te implementeren.
Apps die moeten worden afgeschaft
Apps zonder duidelijke eigenaren of duidelijk onderhoud en bewaking vormen een beveiligingsrisico voor uw organisatie. Overweeg toepassingen af te schaffen wanneer:
- Hun functionaliteit is zeer redundant met andere systemen
- Er is geen bedrijfseigenaar
- Er is duidelijk geen gebruik
We raden u aan bedrijfskritieke toepassingen met hoge impact niet af te schaffen. In die gevallen moet u samenwerken met bedrijfseigenaren om de juiste strategie te bepalen.
Criteria voor afsluiten
U bent succesvol in deze fase met:
- Een goed begrip van de toepassingen die betrekking hebben op migratie, toepassingen die modernisering vereisen, de toepassingen die naar behoren moeten blijven, of de toepassingen die u hebt gemarkeerd voor afschaffing.
Volgende stappen
- Fase 2: apps classificeren en pilot plannen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor