Faza 1. Odnajdywanie i określanie zakresu aplikacji

Odnajdywanie i analiza aplikacji to podstawowe ćwiczenie, które daje dobry początek. Możesz nie znać wszystkiego, więc być przygotowanym do obsługi nieznanych aplikacji.

Znajdowanie aplikacji

Pierwszą decyzją w procesie migracji jest to, które aplikacje mają zostać zmigrowane, które jeśli istnieją, i które aplikacje mają zostać wycofane. Zawsze istnieje możliwość wycofania aplikacji, których nie będziesz używać w organizacji. Istnieje kilka sposobów znajdowania aplikacji w organizacji. Podczas odnajdywania aplikacji upewnij się, że uwzględniasz aplikacje programistyczne i planowane. Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania we wszystkich przyszłych aplikacjach.

Odnajdywanie aplikacji przy użyciu usług ADFS:

• Użyj programu Microsoft Entra Connect Health dla usług ADFS: jeśli masz licencję Microsoft Entra ID P1 lub P2, zalecamy wdrożenie programu Microsoft Entra Connect Health w celu przeanalizowania użycia aplikacji w środowisku lokalnym. Raport aplikacji usług ADFS umożliwia odnajdywanie aplikacji usług AD FS, które można migrować i oceniać gotowość aplikacji do migracji.

• Jeśli nie masz licencji microsoft Entra ID P1 lub P2, zalecamy użycie usług ADFS do narzędzi migracji aplikacji Entra firmy Microsoft w oparciu o program PowerShell. Zapoznaj się z przewodnikiem po rozwiązaniu:

Nuta

W tym filmie wideo omówiono zarówno fazę 1, jak i 2 procesu migracji.

Korzystanie z innych dostawców tożsamości (IDP)

• Jeśli obecnie używasz usługi Okta, zapoznaj się z naszym przewodnikiem po migracji usługi Okta do firmy Microsoft Entra.

• Jeśli obecnie używasz narzędzia Ping Federate, rozważ użycie interfejsu API administracyjnego polecenia Ping do odnajdywania aplikacji.

• Jeśli aplikacje są zintegrowane z usługą Active Directory, wyszukaj jednostki usługi lub konta usług, które mogą być używane dla aplikacji.

Korzystanie z narzędzi do odnajdywania w chmurze

W środowisku chmury potrzebna jest bogata widoczność, kontrola nad podróżami danych i zaawansowana analiza w celu znajdowania i zwalczania zagrożeń cybernetycznych we wszystkich usługach w chmurze. Spis aplikacji w chmurze można zebrać przy użyciu następujących narzędzi:

• Cloud Access Security Broker (CASB) — usługa CASB zwykle współpracuje z zaporą, aby zapewnić wgląd w użycie aplikacji w chmurze pracowników i pomaga chronić dane firmowe przed zagrożeniami bezpieczeństwa cybernetycznego. Raport CASB może ułatwić określenie najczęściej używanych aplikacji w organizacji oraz wczesnych celów migracji do identyfikatora Entra firmy Microsoft.
• Cloud Discovery — konfigurując aplikacje Microsoft Defender dla Chmury, uzyskujesz wgląd w użycie aplikacji w chmurze i możesz odnajdywać niezaakceptowane lub niezatwierdzone aplikacje IT.
• Aplikacje hostowane na platformie Azure — w przypadku aplikacji połączonych z infrastrukturą platformy Azure możesz użyć interfejsów API i narzędzi w tych systemach, aby rozpocząć tworzenie spisu hostowanych aplikacji. W środowisku platformy Azure:
  • Użyj polecenia cmdlet Get-AzureWebsite, aby uzyskać informacje o witrynach internetowych platformy Azure.
  • Użyj polecenia cmdlet Get-AzureRMWebApp, aby uzyskać informacje o usłudze Azure Web Apps.D
  • Wykonywanie zapytań dotyczących identyfikatora Entra firmy Microsoft w poszukiwaniu aplikacji i jednostek usługi.

Proces ręcznego odnajdywania

Po dokonaniu zautomatyzowanych metod opisanych w tym artykule masz dobrą obsługę aplikacji. Możesz jednak rozważyć wykonanie następujących czynności, aby upewnić się, że masz dobre pokrycie we wszystkich obszarach dostępu użytkowników:

• Skontaktuj się z różnymi właścicielami firm w organizacji, aby znaleźć aplikacje używane w organizacji.
• Uruchom narzędzie inspekcji HTTP na serwerze proxy lub przeanalizuj dzienniki serwera proxy, aby sprawdzić, gdzie ruch jest często kierowany.
• Przejrzyj dzienniki internetowe z popularnych witryn portali firmy, aby zobaczyć, do jakich linków użytkownicy uzyskują największy dostęp.
• Skontaktuj się z kierownictwem lub innymi kluczowymi członkami biznesowymi, aby upewnić się, że zostały omówione aplikacje krytyczne dla działania firmy.

Typ aplikacji do migracji

Po znalezieniu aplikacji zidentyfikujesz te typy aplikacji w organizacji:

• Aplikacje korzystające z nowoczesnych protokołów uwierzytelniania, takich jak Security Assertion Markup Language (SAML) lub OpenID Connect (OIDC).
• Aplikacje korzystające ze starszego uwierzytelniania, takiego jak Kerberos lub NT LAN Manager (NTLM) wybrane do modernizacji.
• Aplikacje korzystające ze starszych protokołów uwierzytelniania, które nie są modernizowane
• Nowe aplikacje biznesowe (LoB)

Aplikacje korzystające już z nowoczesnego uwierzytelniania

Już zmodernizowane aplikacje najprawdopodobniej zostaną przeniesione do identyfikatora Entra firmy Microsoft. Te aplikacje używają już nowoczesnych protokołów uwierzytelniania, takich jak SAML lub OIDC i można je ponownie skonfigurować w celu uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft.

Zalecamy wyszukiwanie i dodawanie aplikacji z galerii aplikacji Microsoft Entra. Jeśli nie znajdziesz ich w galerii, nadal możesz dołączyć aplikację niestandardową.

Starsze aplikacje, które chcesz zmodernizować

W przypadku starszych aplikacji, które chcesz zmodernizować, przejście do usługi Microsoft Entra ID na potrzeby uwierzytelniania podstawowego i autoryzacji umożliwia odblokowanie wszystkich możliwości i bogatych danych oferowanych przez program Microsoft Graph i usługę Intelligent Security Graph.

Zalecamy zaktualizowanie kodu stosu uwierzytelniania dla tych aplikacji ze starszego protokołu (takiego jak uwierzytelnianie zintegrowane z systemem Windows, kerberos, uwierzytelnianie oparte na nagłówkach HTTP) do nowoczesnego protokołu (takiego jak SAML lub OpenID Connect).

Starsze aplikacje, które nie są modernizowane

W przypadku niektórych aplikacji korzystających ze starszych protokołów uwierzytelniania czasami modernizacja ich uwierzytelniania nie jest właściwą rzeczą do zrobienia ze względów biznesowych. Należą do nich następujące typy aplikacji:

• Aplikacje przechowywane lokalnie ze względów zgodności lub kontroli.
• Aplikacje połączone z lokalną tożsamością lub dostawcą federacyjnym, którego nie chcesz zmieniać.
• Aplikacje opracowane przy użyciu lokalnych standardów uwierzytelniania, które nie mają planów przeniesienia

Identyfikator Entra firmy Microsoft może przynieść ogromne korzyści tym starszym aplikacjom. Możesz włączyć nowoczesne funkcje zabezpieczeń i ładu firmy Microsoft, takie jak Multi-Factor Authentication, dostęp warunkowy, Ochrona tożsamości Microsoft Entra, delegowany dostęp do aplikacji i przeglądy dostępu do tych aplikacji bez dotykania aplikacji w ogóle!

• Zacznij od rozszerzenia tych aplikacji do chmury przy użyciu serwera proxy aplikacji Firmy Microsoft Entra.
• Możesz też zapoznać się z użyciem integracji partnerów secure hybrid access (SHA), które mogły już zostać wdrożone.

Nowe aplikacje biznesowe (LoB)

Zazwyczaj aplikacje loB są opracowywane na potrzeby użytku wewnętrznego organizacji. Jeśli masz nowe aplikacje w potoku, zalecamy użycie Platforma tożsamości Microsoft do zaimplementowania OIDC.

Aplikacje do wycofania

Aplikacje bez jasnych właścicieli i jasnej konserwacji i monitorowania stanowią zagrożenie bezpieczeństwa organizacji. Rozważ wycofanie aplikacji, gdy:

• Ich funkcjonalność jest wysoce nadmiarowa w przypadku innych systemów
• Nie ma właściciela firmy
• Wyraźnie nie ma użycia

Zalecamy, aby aplikacje o znaczeniu krytycznym dla działania firmy nie przestarzały. W takich przypadkach skontaktuj się z właścicielami firm, aby określić właściwą strategię.

Kryteria zakończenia

W tej fazie pomyślnie wykonasz następujące zadania:

• Dobre zrozumienie aplikacji w zakresie migracji, tych, które wymagają modernizacji, tych, które powinny pozostać w takim samym charakterze, lub tych, które zostały oznaczone do wycofania.

Następne kroki

• Faza 2 — klasyfikowanie aplikacji i planowanie pilotażowe.