Migrar a autenticação de aplicações para Azure Ative Directory

Sobre este jornal

Este livro branco detalha o planeamento e benefícios de migrar a autenticação da sua aplicação para a Azure AD. É projetado para administradores da Azure e profissionais de identidade.

Quebrando o processo em quatro fases, cada uma com critérios de planeamento e saída detalhados, é projetado para ajudá-lo a planear a sua estratégia de migração e entender como a autenticação AD AD AZure suporta os seus objetivos organizacionais.

Introdução

Hoje em dia, a sua organização requer uma série de aplicações (apps) para que os utilizadores consigam trabalhar. É provável que continue a adicionar, desenvolver ou reformar aplicações todos os dias. Os utilizadores acedem a estas aplicações a partir de uma vasta gama de dispositivos corporativos e pessoais, e locais. Abrem aplicações de muitas formas, incluindo:

  • através de uma página inicial da empresa ou portal

  • marcando nos seus navegadores

  • através de URL de um fornecedor para software como um serviço (SaaS) apps

  • links empurrados diretamente para os desktops ou dispositivos móveis do utilizador através de uma solução móvel de gestão de dispositivos/aplicações (MDM/MAM)

As suas aplicações estão provavelmente a utilizar os seguintes tipos de autenticação:

  • Soluções da federação no local (como Serviços de Federação do Ative Directory (AD FS) (ADFS) e Ping)

  • Diretório Ativo (como Kerberos Auth e Windows-Integrated Auth)

  • Outras soluções de gestão de identidade e acesso (IAM) baseadas na nuvem (como Okta ou Oracle)

  • Infraestruturas web no local (como IIS e Apache)

  • Infraestruturas hospedadas em nuvem (como Azure e AWS)

Para garantir que os utilizadores podem aceder de forma fácil e segura às aplicações, o seu objetivo é ter um único conjunto de controlos de acesso e políticas em todos os seus locais e ambientes em nuvem.

Azure Ative Directory (Azure AD) oferece uma plataforma de identidade universal que fornece às suas pessoas, parceiros e clientes uma única identidade para aceder às aplicações que querem e colaborar em qualquer plataforma e dispositivo.

A diagram of Azure Active Directory connectivity

A Azure AD tem um conjunto completo de capacidades de gestão de identidade. A normalização da autenticação da sua aplicação e a autorização para a Azure AD permite-lhe obter os benefícios que estas capacidades proporcionam.

Você pode encontrar mais recursos migratórios em https://aka.ms/migrateapps

Benefícios da autenticação de aplicações migratórias para a Azure AD

A autenticação da aplicação para a Azure AD irá ajudá-lo a gerir o risco e o custo, aumentar a produtividade e abordar os requisitos de conformidade e governação.

Faça a gestão do risco.

A salvaguarda das suas apps requer que tenha uma visão completa de todos os fatores de risco. Migrar as suas aplicações para Azure AD consolida as suas soluções de segurança. Com ele pode:

Gerir o custo

A sua organização pode ter múltiplas soluções de Gestão de Acesso à Identidade (IAM) no local. Migrar para uma infraestrutura AD Azure é uma oportunidade para reduzir as dependências das licenças IAM (no local ou na nuvem) e nos custos de infraestrutura. Nos casos em que já tenha pago a Azure AD através de licenças de Microsoft 365, não há razão para pagar o custo adicional de outra solução IAM.

Com a Azure AD, pode reduzir os custos de infraestrutura através de:

Aumentar a produtividade

Os benefícios económicos e de segurança levam as organizações a adotar a Azure AD, mas a adoção e conformidade completas são mais prováveis se os utilizadores também beneficiarem. Com a Azure AD, pode:

Abordar a conformidade e a governação

Garantir o cumprimento dos requisitos regulamentares, aplicando políticas de acesso às empresas e monitorizando o acesso dos utilizadores a aplicações e dados associados utilizando ferramentas de auditoria integradas e APIs. Com o Azure AD, pode monitorizar os registos de aplicações através de relatórios que utilizam ferramentas de Monitorização de Incidentes de Segurança e Monitorização de Eventos (SIEM). Pode aceder aos relatórios a partir do portal ou APIs e auditar programaticamente quem tem acesso às suas aplicações e remover o acesso a utilizadores inativos através de comentários de acesso.

Planeie as suas fases de migração e estratégia de projeto

Quando os projetos tecnológicos falham, muitas vezes é devido a expectativas desajustadas, às partes interessadas certas que não estão envolvidas, ou à falta de comunicação. Garanta o seu sucesso planeando o próprio projeto.

As fases da migração

Antes de entrarmos nas ferramentas, deve entender como pensar através do processo de migração. Através de vários workshops diretos ao cliente, recomendamos as seguintes quatro fases:

A diagram of the phases of migration

Reúna a equipa do projeto

A migração de aplicações é um esforço de equipa, e você precisa garantir que você tem todas as posições vitais preenchidas. O apoio dos líderes empresariais seniores é importante. Certifique-se de que envolve o conjunto certo de patrocinadores executivos, decisores empresariais e especialistas em assuntos sujeitos (PME.)

Durante o projeto de migração, uma pessoa pode desempenhar múltiplos papéis, ou várias pessoas cumprem cada papel, dependendo do tamanho e estrutura da sua organização. Você também pode ter uma dependência de outras equipas que desempenham um papel fundamental no seu panorama de segurança.

O quadro seguinte inclui as funções-chave e as suas contribuições:

Função Contributions
Gestor de Projeto Project treinador responsável por orientar o projeto, incluindo:
- ganhar apoio executivo
- trazer as partes interessadas
- gerir horários, documentação e comunicações
Arquiteto de identidade / Administrador de Aplicativo Azure AD São responsáveis pelo seguinte:
- conceber a solução em cooperação com as partes interessadas
- documentar a conceção da solução e os procedimentos operacionais para a entrega à equipa de operações
- gerir os ambientes de pré-produção e de produção
Nas instalações, equipa de operações da AD A organização que gere as diferentes fontes de identidade no local, tais como florestas AD, diretórios LDAP, sistemas de RH, etc.
- executar quaisquer tarefas de reparação necessárias antes de sincronizar
- Fornecer as contas de serviço necessárias para a sincronização
- fornecer acesso à federação de configuração à Azure AD
Gestor de Suporte de TI Um representante da organização de suporte de TI que pode fornecer informações sobre a sustentabilidade desta mudança numa perspetiva de helpdesk.
Proprietário de Segurança Um representante da equipa de segurança que pode garantir que o plano irá cumprir os requisitos de segurança da sua organização.
Proprietários técnicos de aplicação Inclui proprietários técnicos das aplicações e serviços que se integrarão com a Azure AD. Fornecem os atributos de identidade das aplicações que devem incluir no processo de sincronização. Geralmente têm uma relação com representantes do CSV.
Empresa de aplicação Proprietários Colegas representativos que podem fornecer informações sobre a experiência do utilizador e a utilidade desta mudança do ponto de vista de um utilizador e detêm o aspeto de negócio geral da aplicação, que pode incluir a gestão do acesso.
Grupo piloto de utilizadores Os utilizadores que irão testar como parte do seu trabalho diário, a experiência piloto, e fornecer feedback para orientar o resto das implementações.

Planear as comunicações

O envolvimento e comunicação de negócios eficazes é a chave para o sucesso. É importante dar às partes interessadas e aos utilizadores finais uma via para obter informações e manter-se informados sobre as atualizações dos horários. Educar todos sobre o valor da migração, quais são os prazos esperados, e como planear qualquer perturbação temporária do negócio. Use várias avenidas, tais como sessões de briefing, e-mails, reuniões um-para-um, banners e câmaras municipais.

Com base na estratégia de comunicação que escolheu para a app, talvez queira lembrar aos utilizadores o tempo de inatividade pendente. Deve também verificar se não existem alterações recentes ou impactos empresariais que exijam adiar a implementação.

Na tabela seguinte encontrará a comunicação mínima sugerida para manter as suas partes interessadas informadas:

Fases de plano e estratégia de projeto:

Comunicação Audiência
Sensibilização e valor empresarial/técnico do projeto Todos, exceto utilizadores finais
Solicitação para aplicativos-piloto - Proprietários de negócios de aplicativos
- Proprietários técnicos de aplicativos
- Equipa de Arquitetos e Identidade

Fase 1- Descobrir e Âmbito:

Comunicação Audiência
- Solicitação para informação sobre pedidos
- Resultado do exercício de scoping
- Proprietários técnicos de aplicativos
- Proprietários de negócios de aplicativos

Fase 2- Classifique as aplicações e planeie o piloto:

Comunicação Audiência
- Resultado das classificações e o que isso significa para o calendário de migração
- Calendário preliminar de migração
- Proprietários técnicos de aplicativos
- Proprietários de negócios de aplicativos

Fase 3 - Planear a migração e os testes:

Comunicação Audiência
- Resultado dos testes de migração de aplicações - Proprietários técnicos de aplicativos
- Proprietários de negócios de aplicativos
- Notificação de que a migração está a chegar e explicação das experiências resultantes do utilizador final.
- Tempo de inatividade e comunicações completas, incluindo o que devem fazer agora, feedback e como obter ajuda
- Utilizadores finais (e todos os outros)

Fase 4 - Gerir e obter insights:

Comunicação Audiência
Análise disponível e como aceder - Proprietários técnicos de aplicativos
- Proprietários de negócios de aplicativos

Painel de comunicação dos estados de migração

Comunicar o estado geral do projeto de migração é crucial, pois mostra progresso, e ajuda os proprietários de aplicações cujas apps estão a chegar para a migração para se prepararem para a mudança. Pode montar um painel simples utilizando Power BI ou outras ferramentas de reporte para dar visibilidade ao estado das aplicações durante a migração.

Os estados de migração que você pode considerar usar são os seguintes:

Estados migratórios Plano de ação
Pedido Inicial Encontre a app e contacte o proprietário para mais informações
Avaliação Completa O dono da app avalia os requisitos da aplicação e devolve o questionário da aplicação
Configuração em Progresso Desenvolver as alterações necessárias para gerir a autenticação contra o Azure AD
Configuração de teste bem sucedida Avalie as alterações e autente a app contra o inquilino AZure AD de teste no ambiente de teste
Configuração de produção bem sucedida Alterar as configurações para trabalhar contra o inquilino de produção AD e avaliar a autenticação da app no ambiente de teste
Complete / Assinar Fora Implementar as alterações para a app para o ambiente de produção e executar o contra a produção Azure AD inquilino

Isto irá garantir que os proprietários de aplicações saibam qual é a migração e o calendário de testes da aplicação quando as suas aplicações estão em migração, e quais são os resultados de outras apps que já foram migradas. Também pode considerar fornecer links para a sua base de dados de rastreadores de erros para que os proprietários possam arquivar e ver problemas para apps que estão a ser migradas.

Melhores práticas

Seguem-se as histórias de sucesso do nosso cliente e parceiro, e sugeridas as melhores práticas:

Fase 1: Descubra e alcance apps

A descoberta e análise de aplicações é um exercício fundamental para lhe dar um bom começo. Pode não saber de tudo, por isso esteja preparado para acomodar as aplicações desconhecidas.

Encontre as suas apps

O primeiro ponto de decisão numa migração de aplicações é quais as aplicações para migrar, que se algumas devem permanecer, e quais as aplicações para depreciar. Há sempre a oportunidade de depreciar as aplicações que não utilizará na sua organização. Existem várias formas de encontrar aplicativos na sua organização. Ao descobrir apps, certifique-se de que está a incluir aplicações em desenvolvimento e planeadas. Utilize o Azure AD para autenticação em todas as aplicações futuras.

Utilizar Serviços de Federação do Ative Directory (AD FS) (AD FS) para recolher um inventário de aplicações correto:

  • Utilizar o Azure AD Connect Health. Se tiver uma licença Azure AD Premium, recomendamos a implementação do Azure AD Ligação Health para analisar o uso da aplicação no seu ambiente no local. Pode utilizar o relatório de candidatura da ADFS (pré-visualização) para descobrir aplicações ADFS que podem ser migradas e avaliar a prontidão da aplicação a migrar. Depois de completar a sua migração, implemente o Cloud Discovery que lhe permite monitorizar continuamente o Shadow IT na sua organização assim que estiver na nuvem.

  • Análise de registo de AD FS. Se não tiver licenças Azure AD Premium, recomendamos a utilização das ferramentas de migração de aplicações ADFS para Azure Com base no PowerShell.. Consulte o guia de solução:

Aplicativos migratórios de Serviços de Federação do Ative Directory (AD FS) (AD FS) para Azure AD.

Utilizando outros fornecedores de identidade (IdPs)

Para outros fornecedores de identidade (como Okta ou Ping), pode utilizar as suas ferramentas para exportar o inventário de aplicações. Pode considerar os princípios de serviço registados no Ative Directory que correspondem às aplicações web da sua organização.

Usando ferramentas de descoberta de nuvem

No ambiente nublado, você precisa de visibilidade rica, controle sobre viagens de dados, e análise sofisticada para encontrar e combater ameaças cibernéticas em todos os seus serviços na nuvem. Pode recolher o seu inventário de aplicativos em nuvem utilizando as seguintes ferramentas:

  • Cloud Access Security Broker (CASB) – Um CASB normalmente funciona ao lado da sua firewall para fornecer visibilidade no uso da aplicação em nuvem dos seus colaboradores e ajuda-o a proteger os seus dados corporativos de ameaças à cibersegurança. O relatório CASB pode ajudá-lo a determinar as aplicações mais usadas na sua organização, e os primeiros alvos para migrar para Azure AD.

  • Cloud Discovery - Ao configurar o Cloud Discovery, ganha visibilidade no uso da aplicação em nuvem e pode descobrir aplicações não higides ou Shadow IT.

  • APIs - Para aplicações ligadas à infraestrutura em nuvem, pode utilizar as APIs e ferramentas nesses sistemas para começar a fazer um inventário de aplicações hospedadas. No ambiente Azure:

    • Use o cmdlet Get-AzureWebsite para obter informações sobre os websites da Azure.

    • Utilize o cmdlet Get-AzureRMWebApp para obter informações sobre o seu Azure Aplicações Web. D

    • Pode encontrar todas as aplicações em execução no Microsoft IIS a partir da linha de comando Windows utilizando AppCmd.exe.

    • Utilize aplicações e diretores de serviço para obter informações sobre uma aplicação e instância de aplicações num diretório em Azure AD.

Utilização de processos manuais

Depois de ter tomado as abordagens automatizadas acima descritas, terá uma boa pega nas suas aplicações. No entanto, poderá considerar fazer o seguinte para garantir que tem uma boa cobertura em todas as áreas de acesso ao utilizador:

  • Contacte os vários empresários da sua organização para encontrar as aplicações em uso na sua organização.

  • Executar uma ferramenta de inspeção HTTP no seu servidor proxy, ou analisar registos de procuração, para ver onde o tráfego é normalmente encaminhado.

  • Reveja os blogs dos sites populares do portal da empresa para ver quais as ligações que os utilizadores mais acedem.

  • Contacte executivos ou outros membros do negócio chave para garantir que cobriu as aplicações críticas ao negócio.

Tipo de aplicativos para migrar

Assim que encontrar as suas aplicações, irá identificar este tipo de aplicações na sua organização:

  • Aplicativos que já utilizam protocolos de autenticação moderna

  • Aplicativos que usam protocolos de autenticação legado que escolhe para modernizar

  • Aplicativos que usam protocolos de autenticação legado que escolhe não para modernizar

  • Novas aplicações da Linha de Negócios (LoB)

Aplicativos que já usam a autenticação moderna

As aplicações já modernizadas são as mais prováveis de serem transferidas para a Azure AD. Estas aplicações já utilizam protocolos de autenticação modernos (como SAML ou OpenID Ligação) e podem ser reconfiguradas para autenticar com Azure AD.

Além das escolhas na galeria de aplicações AZure AD, estas podem ser aplicações que já existem na sua organização ou em quaisquer aplicações de terceiros de um fornecedor que não faça parte da galeria AZure AD (aplicações não-galeria).

Aplicativos legados que escolhes modernizar

Para aplicações antigas que pretende modernizar, mudar-se para Azure AD para autenticação e autorização de núcleo desbloqueia toda a riqueza de energia e dados que o Microsoft Graph e a Intelligent Security Graph ter para oferecer.

Recomendamos a atualização do código da pilha de autenticação para estas aplicações a partir do protocolo legado (como Windows-Integrated Autenticação, Delegação Constrangida kerberos, autenticação baseada em cabeçalhos HTTP) para um protocolo moderno (como LIGAÇÃO SAML ou OpenID).

Aplicativos legados que escolhes NÃO modernizar

Para certas aplicações que utilizam protocolos de autenticação legado, por vezes modernizar a sua autenticação não é a coisa certa a fazer por razões comerciais. Estes incluem os seguintes tipos de aplicações:

  • Aplicações mantidas no local por razões de conformidade ou controlo.

  • Aplicações ligadas a uma identidade no local ou provedor de federação que não quer alterar.

  • Aplicações desenvolvidas usando padrões de autenticação no local que você não tem planos para mover

O Azure AD pode trazer grandes benefícios para estas aplicações antigas, uma vez que pode permitir funcionalidades modernas de segurança e governação da AD AZure, como a Autenticação Multi-Factor, Acesso Condicional, Proteção de Identidade, Acesso delegado de aplicações e Comentários de Acesso contra estas aplicações sem tocar na app!

Comece por estender estas aplicações para a nuvem com o Azure AD Proxy de Aplicações utilizando meios simples de autenticação (como o Cofre de Palavras-Passe) para fazer com que os seus utilizadores migram rapidamente, ou através de integrações dos nossos parceiros com controladores de entrega de aplicações que já possa ter implementado.

Novas aplicações da Linha de Negócios (LoB)

Normalmente desenvolve aplicativos LoB para uso interno da sua organização. Se tiver novas aplicações no pipeline, recomendamos que utilize a Plataforma de Identidade da Microsoft para implementar Ligação OpenID.

Aplicativos para depreciar

Aplicações sem proprietários claros e manutenção e monitorização claras apresentam um risco de segurança para a sua organização. Considere depreciar as aplicações quando:

  • a sua funcionalidade é altamente redundante com outros sistemas • não há nenhum empresário

  • não há claramente uso.

Recomendamos que não prerende aplicações de alto impacto, críticas ao negócio. Nesses casos, trabalhe com empresários para determinar a estratégia certa.

Critérios de saída

Você tem sucesso nesta fase com:

  • Uma boa compreensão dos sistemas em questão para a sua migração (que pode reformar-se depois de se mudar para Azure AD)

  • Uma lista de aplicações que inclui:

    • Que sistemas essas aplicações se conectam
    • De onde e em que dispositivos os utilizadores acedem a eles
    • Se serão migrados, precotados ou ligados a Azure AD Ligação.

Nota

Você pode baixar a Tabela de Descoberta de Aplicações para gravar as aplicações que pretende migrar para a autenticação AD Azure, e aquelas que pretende sair mas gerir usando Azure AD Ligação.

Fase 2: Classificar apps e planear piloto

Classificar a migração das suas apps é um exercício importante. Nem todas as aplicações precisam de ser migradas e transitadas ao mesmo tempo. Uma vez recolhidas informações sobre cada uma das aplicações, pode racionalizar quais as aplicações que devem ser migradas primeiro e que podem demorar mais tempo.

Classificar aplicações em âmbito

Uma maneira de pensar sobre isso é ao longo dos eixos da criticalidade, uso e tempo de vida do negócio, cada um dos quais depende de múltiplos fatores.

Importância crítica para a empresa

A criticidade do negócio assumirá diferentes dimensões para cada negócio, mas as duas medidas que deve considerar são funcionalidades e funcionalidades e perfis de utilizador. Atribua às aplicações com uma funcionalidade única um valor de ponto mais elevado do que aqueles com funcionalidades redundantes ou obsoletas.

A diagram of the spectrums of Features & Functionality and User Profiles

Utilização

As aplicações com números de utilização elevados devem receber um valor mais elevado do que as aplicações com baixo uso. Atribua um valor mais elevado a apps com utilizadores externos, executivos ou de equipa de segurança. Para cada app no seu portfólio de migração, complete estas avaliações.

A diagram of the spectrums of User Volume and User Breadth

Uma vez determinados valores para a criticidade e utilização do negócio, pode então determinar o tempo de vida útil da aplicação e criar uma matriz de prioridade. Veja uma dessas matrizes abaixo:

A triangle diagram showing the relationships between Usage, Expected Lifespan, and Business Criticality

Priorizar aplicativos para migração

Pode optar por iniciar a migração da aplicação com as aplicações de menor prioridade ou com as aplicações de maior prioridade com base nas necessidades da sua organização.

Num cenário em que poderá não ter experiência a usar os serviços Azure AD e Identidade, considere primeiro transferir as suas aplicações de menor prioridade para a Azure AD. Isto irá minimizar o impacto do seu negócio, e você pode construir impulso. Depois de ter mudado estas aplicações com sucesso e ter ganho a confiança das partes interessadas, pode continuar a migrar as outras apps.

Se não houver uma prioridade clara, deve considerar mover as aplicações que estão na Galeria AD Azure em primeiro lugar e apoiar vários fornecedores de identidade (ADFS ou Okta) porque são mais fáceis de integrar. É provável que estas aplicações sejam as aplicações mais prioritárias da sua organização. Para ajudar a integrar as suas aplicações SaaS com a Azure AD, desenvolvemos uma coleção de tutoriais que o acompanham através da configuração.

Quando tiver um prazo para migrar as apps, estas aplicações de maior prioridade terão a maior carga de trabalho. Pode eventualmente selecionar as aplicações de menor prioridade, uma vez que não alteram o custo, mesmo que tenha alterado o prazo. Mesmo que tenha que renovar a licença, será por uma pequena quantia.

Além desta classificação e dependendo da urgência da sua migração, poderá também considerar a criação de um calendário de migração no âmbito do qual os proprietários de aplicações devem envolver-se para que as suas apps sejam migradas. No final deste processo, deverá ter uma lista de todas as aplicações em baldes prioritários para migração.

Documente as suas aplicações

Primeiro, comece por recolher detalhes importantes sobre as suas aplicações. A Folha de Descoberta de Aplicações irá ajudá-lo a tomar as suas decisões de migração rapidamente e obter uma recomendação para o seu grupo empresarial em pouco tempo.

A informação que é importante para tomar a sua decisão de migração inclui:

  • Nome da app – o que é esta app conhecida como para o negócio?

  • Tipo de aplicação – é uma aplicação SaaS de terceiros? Uma aplicação web personalizada? Uma API?

  • Criticidade do negócio – é a sua elevada criticidade? Baixo? Ou algures no meio?

  • Volume de acesso ao utilizador – todos acedem a esta aplicação ou apenas a algumas pessoas?

  • Tempo de vida planeado – quanto tempo vai existir esta aplicação? Menos de seis meses? Mais de dois anos?

  • Fornecedor de identidade atual – qual é o IdP primário para esta aplicação? Ou depende do armazenamento local?

  • Método de autenticação – a aplicação autentica-se utilizando padrões abertos?

  • Se planeia atualizar o código da aplicação – a aplicação está planeada ou em desenvolvimento ativo?

  • Se pretende manter a aplicação no local – pretende manter a aplicação no seu datacenter a longo prazo?

  • Se a aplicação depende de outras apps ou APIs – a app atualmente chama para outras apps ou APIs?

  • Se a aplicação está na galeria AD AD – a aplicação já está integrada na Galeria AD AZure?

Outros dados que o ajudarão mais tarde, mas que não precisa de tomar uma decisão de migração imediata inclui:

  • URL da app – onde é que os utilizadores vão aceder à aplicação?

  • Descrição da aplicação – o que é uma breve descrição do que a aplicação faz?

  • Dono de app – quem no negócio é o principal POC para a app?

  • Comentários gerais ou notas – qualquer outra informação geral sobre a app ou propriedade do negócio

Uma vez classificado a sua aplicação e documentou os detalhes, então certifique-se de ganhar a compra do proprietário do negócio para a sua estratégia de migração planeada.

Planeie um piloto

As aplicações(s) que seleciona para o piloto devem representar os principais requisitos de identidade e segurança da sua organização, e deve ter uma entrada clara dos proprietários da aplicação. Os pilotos normalmente funcionam num ambiente de teste separado. Consulte as melhores práticas para pilotos na página de planos de implantação.

Não se esqueça dos seus parceiros externos. Certifique-se de que participam em horários de migração e testes. Finalmente, certifique-se de que eles têm uma maneira de aceder ao seu helpdesk se houver problemas de rutura.

Plano de limitações

Embora algumas aplicações sejam fáceis de migrar, outras podem demorar mais tempo devido a vários servidores ou instâncias. Por exemplo, a migração do SharePoint pode demorar mais tempo devido ao sinal personalizado nas páginas.

Muitos fornecedores de aplicações SaaS cobram por alterar a ligação SSO. Verifique com eles e planeie isto.

A Azure AD também tem limites de serviço e restrições que deve estar ciente.

Assinatura do proprietário da app

Aplicações críticas e universalmente utilizadas podem precisar de um grupo de utilizadores piloto para testar a aplicação na fase piloto. Depois de ter testado uma aplicação no ambiente pré-produção ou piloto, certifique-se de que os donos de negócios de aplicações assinam o desempenho antes da migração da app e de todos os utilizadores para a utilização de Azure AD para autenticação.

Planeie a postura de segurança

Antes de iniciar o processo de migração, tenha tempo para considerar plenamente a postura de segurança que deseja desenvolver para o seu sistema de identidade corporativa. Isto baseia-se na recolha destes valiosos conjuntos de informações: identidades, dispositivos e locais que estão a aceder aos seus dados.

Identidades e dados

A maioria das organizações tem requisitos específicos sobre identidades e proteção de dados que variam de acordo com o segmento da indústria e por funções de trabalho dentro das organizações. Consulte as configurações de acesso à identidade e ao dispositivo para as nossas recomendações, incluindo um conjunto prescrito de políticas de acesso condicional e capacidades relacionadas.

Pode utilizar esta informação para proteger o acesso a todos os serviços integrados com a Azure AD. Estas recomendações estão alinhadas com o Microsoft Secure Score e a pontuação de identidade no Azure AD. A classificação ajuda a:

  • Medir objetivamente a sua postura de segurança de identidade

  • Planear melhorias de segurança de identidade

  • Analisar o sucesso das suas melhorias

Isto também o ajudará a implementar os cinco passos para garantir a sua infraestrutura de identidade. Use a orientação como ponto de partida para a sua organização e ajuste as políticas para satisfazer os requisitos específicos da sua organização.

Quem está a aceder aos seus dados?

Existem duas categorias principais de utilizadores das suas apps e recursos que a Azure AD suporta:

  • Interno: Colaboradores, empreiteiros e fornecedores que têm contas dentro do seu fornecedor de identidade. Isto pode precisar de mais pivôs com regras diferentes para gestores ou lideranças contra outros funcionários.

  • Externo: Fornecedores, fornecedores, distribuidores ou outros parceiros de negócio que interagem com a sua organização no curso regular de negócios com a colaboração Azure AD B2B.

Pode definir grupos para estes utilizadores e povoar estes grupos de diversas formas. Pode escolher que um administrador deve adicionar manualmente membros a um grupo, ou pode permitir a adesão ao grupo selfservice. Podem ser estabelecidas regras que adicionem automaticamente os membros em grupos com base nos critérios especificados utilizando grupos dinâmicos.

Os utilizadores externos também podem consultar os clientes. Azure AD B2C, um produto separado suporta a autenticação do cliente. No entanto, está fora do âmbito deste trabalho.

Dispositivo/localização utilizado para aceder a dados

O dispositivo e a localização que um utilizador utiliza para aceder a uma aplicação também são importantes. Os dispositivos fisicamente ligados à sua rede corporativa são mais seguros. As ligações de fora da rede sobre a VPN podem necessitar de escrutínio.

A diagram showing the relationship between User Location and Data Access

Com estes aspetos de recursos, utilizador e dispositivo em mente, pode optar por utilizar as capacidades de Acesso Condicional AD Azure . O acesso condicional vai além das permissões do utilizador: baseia-se numa combinação de fatores, como a identidade de um utilizador ou grupo, a rede a que o utilizador está ligado, o dispositivo e a aplicação que estão a utilizar, e o tipo de dados a que estão a tentar aceder. O acesso concedido ao utilizador adapta-se a este conjunto mais alargado de condições.

Critérios de saída

Tem sucesso nesta fase quando:

  • Conheça as suas apps

    • Documente totalmente as aplicações que pretende migrar
    • Priorizaram aplicações baseadas na criticidade do negócio, no volume de utilização e no tempo de vida
  • Selecione aplicativos que representam os seus requisitos para um piloto

  • Compra do empresário à sua priorização e estratégia

  • Compreenda as suas necessidades de postura de segurança e como implementá-las

Fase 3: Planear a migração e os testes

Uma vez adquirido o buy-in de negócios, o próximo passo é começar a migrar estas aplicações para a autenticação AZure AD.

Ferramentas e orientações de migração

Utilize as ferramentas e orientações abaixo para seguir os passos precisos necessários para migrar as suas aplicações para Azure AD:

Após a migração, pode optar por enviar comunicações informando os utilizadores da implementação bem sucedida e lembrá-los de quaisquer novos passos que precisem de tomar.

Testes de plano

Durante o processo de migração, a sua aplicação pode já ter um ambiente de teste utilizado durante as implementações regulares. Pode continuar a utilizar este ambiente para testes de migração. Se um ambiente de teste não estiver disponível atualmente, poderá ser capaz de configurar um utilizando Serviço de Aplicações do Azure ou Azure Máquinas Virtuais, dependendo da arquitetura da aplicação. Pode optar por configurar um inquilino Azure AD de teste separado para usar à medida que desenvolve as configurações da sua aplicação. Este inquilino começará em estado limpo e não será configurado para sincronizar com qualquer sistema.

Pode testar cada aplicação iniciando sessão com um utilizador de teste e certificar-se de que todas as funcionalidades são as mesmas que antes da migração. Se determinar durante o teste que os utilizadores terão de atualizar os seus MFA ou SSPRsettings, ou se estiver a adicionar esta funcionalidade durante a migração, certifique-se de que adiciona isso ao seu plano de comunicação do utilizador final. Consulte os modelos de comunicação do utilizador final MFA e SSPR .

Depois de migrar as aplicações, vá ao portal do Azure para testar se a migração foi um sucesso. Siga as instruções abaixo:

  • Selecione Aplicações empresariais > Todas as aplicações e encontre a sua aplicação na lista.

  • Selecione Gerir > Utilizadores e grupos para atribuir pelo menos um utilizador ou grupo à aplicação.

  • Selecione Gerir > o Acesso Condicional. Reveja a sua lista de políticas e certifique-se de que não está a bloquear o acesso à aplicação com uma política de acesso condicional.

Dependendo da configuração da sua aplicação, verifique se o SSO funciona corretamente.

Tipo de autenticação Testar
OAuth / OpenID Ligação Selecione as permissões de aplicações > da Empresa e certifique-se de que consentiu na aplicação a ser usada na sua organização nas definições do utilizador para a sua aplicação.
SAML-based SSO (SSO baseado no SAML) Utilize o botão de Definições de teste SAML encontrado sob o sign-on único.
SSO baseado em palavra-passe Descarregue e instale a extensão de insusição segura do MyApps. Esta extensão ajuda-o a iniciar qualquer uma das aplicações na nuvem da sua organização que o exijam a utilizar um processo SSO.

| Proxy de Aplicações | Certifique-se de que o seu conector está em funcionamento e atribuído à sua aplicação. Visite o guia de resolução de problemas Proxy de Aplicações para obter mais assistência. |

Resolução de problemas

Se tiver problemas, consulte o guia de resolução de problemas das nossas apps para obter ajuda. Você também pode verificar nossos artigos de resolução de problemas, ver Problemas de sessão em aplicações configuradas com base em SAML.

Plano de reversão

Se a sua migração falhar, a melhor estratégia é recuar e testar. Aqui estão os passos que pode tomar para mitigar as questões migratórias:

  • Tire as imagens da configuração existente da sua aplicação. Pode olhar para trás se tiver de reconfigurar a aplicação mais uma vez.

  • Pode também considerar fornecer links para a autenticação do legado, caso existam problemas com a autenticação em nuvem.

  • Antes de concluir a sua migração, não altere a configuração existente com o fornecedor de identidade anterior.

  • Comece por migrar as aplicações que suportam vários IDPs. Se algo correr mal, pode sempre mudar para a configuração do IdP preferido.

  • Certifique-se de que a sua experiência de aplicação tem um botão de Feedback ou ponteiros para os seus problemas de ajuda .

Critérios de saída

Você tem sucesso nesta fase quando tem:

  • Determinado como cada aplicação será migrada

  • Revendo as ferramentas de migração

  • Planeou o seu teste, incluindo ambientes de teste e grupos

  • Reversão planeada

Fase 4: Gestão de planos e insights

Uma vez que as aplicações são migradas, você deve garantir que:

  • Os utilizadores podem aceder e gerir de forma segura

  • Você pode obter os insights adequados sobre o uso e saúde da aplicação

Recomendamos que tome as seguintes ações adequadas à sua organização.

Gerir o acesso à aplicação dos seus utilizadores

Uma vez migradas as aplicações, pode enriquecer a experiência do seu utilizador de várias maneiras

Tornar as aplicações detetáveis

Aponte o seu utilizador para a experiência do MyAppsportal. Aqui, podem aceder a todas as aplicações baseadas na nuvem, aplicações que disponibiliza usando Ligação AZure AD e aplicações que usam Proxy de Aplicações desde que tenham permissões de acesso a essas apps.

Pode orientar os seus utilizadores sobre como descobrir as suas aplicações:

Tornar as aplicações acessíveis

Deixe os utilizadores acederem a aplicações a partir dos seus dispositivos móveis. Os utilizadores podem aceder ao portal MyApps com Intune navegador gerido nos seus dispositivos iOS 7.0 ou posteriores ou Android.

Os utilizadores podem descarregar um navegador gerido por Intune:

Deixe que os utilizadores abram as suas aplicações a partir de uma extensão do navegador.

Os utilizadores podem descarregar a extensão de sign-in secure myApps no Chrome, ou Microsoft Edge e podem lançar aplicações a partir da barra de navegador para:

  • Procurem as suas apps e apareçam as suas aplicações mais recentes

  • Converta automaticamente urls internos que tenha configurado em Proxy de Aplicações para os URLs externos apropriados. Os seus utilizadores podem agora trabalhar com os links que estão familiarizados, independentemente de onde estejam.

Deixe que os utilizadores abram as suas apps a partir de Office.com.

Os utilizadores podem ir a Office.compara procurar as suas apps e fazer com que as suas aplicações mais usadas apareçam para elas desde onde funcionam.

Acesso seguro a aplicações

O Azure AD fornece um local de acesso centralizado para gerir as suas aplicações migratórias. Vá ao portal do Azure e ative as seguintes capacidades:

  • Garantir o acesso do utilizador a aplicações. Ativar políticas de acesso condicional ou proteção de identidade para garantir o acesso do utilizador a aplicações com base no estado do dispositivo, localização e muito mais.

  • Provisão automática. Crie o fornecimento automático de utilizadores com várias aplicações SaaS de terceiros a que os utilizadores precisam de aceder. Além de criar identidades de utilizador, inclui a manutenção e remoção das identidades dos utilizadores como alteração de estado ou de funções.

  • Delegar a gestão de acesso aoutilizador. Conforme apropriado, permita o acesso a aplicações self-service às suas apps e atribua a um aprovador de negócios o acesso a essas aplicações. Utilize a Self-Service Group Management para grupos atribuídos a coleções de apps.

  • Delegado acesso a administrador. utilizando o Diretório Fun para atribuir uma função de administração (como administrador de aplicação, administrador de aplicação cloud ou desenvolvedor de aplicações) ao seu utilizador.

Auditar e obter informações sobre as suas apps

Também pode utilizar o portal do Azure para auditar todas as suas aplicações a partir de um local centralizado,

  • Audite a sua aplicação utilizando aplicações empresariais, auditoria ou aceda às mesmas informações da Azure AD Reporting API para integrar nas suas ferramentas favoritas.

  • Ver as permissões para uma aplicação utilizando aplicações empresariais, permissões para apps que utilizem Ligação OAuth /OpenID.

  • Obtenha informações de inscrição usando aplicações da empresa, iniciar sê-ins. Aceda à mesma informação da Azure AD Reporting API.

  • Visualize o uso da sua aplicação a partir do pacote de conteúdo Power BI Azure AD

Critérios de saída

Tem sucesso nesta fase quando:

  • Fornecer acesso seguro a aplicações aos seus utilizadores

  • Conseguir auditar e obter informações sobre as aplicações migradas

Faça ainda mais com planos de implantação

Os planos de implementação percorrem o valor do negócio, o planeamento, as etapas de implementação e a gestão de soluções Azure AD, incluindo cenários de migração de aplicações. Eles reúnem tudo o que precisas para começar a implantar e obter valor a partir das capacidades AD do Azure. Os guias de implementação incluem conteúdo como as melhores práticas recomendadas pela Microsoft, comunicações de utilizador final, guias de planeamento, etapas de implementação, casos de teste e muito mais.

Muitos planos de implantação estão disponíveis para o seu uso, e estamos sempre a fazer mais!

Contactar o suporte

Visite os seguintes links de suporte para criar ou rastrear bilhetes de apoio e monitorizar a saúde.

Problema de implementação de identidade dependendo do seu Contrato Enterprise com a Microsoft.

  • FastTrack: Se adquiriu licenças de Mobilidade e Segurança Empresarial (EMS) ou Azure AD Premium, poderá receber assistência de implantação do programa FastTrack.

  • Envolver a equipa de Engenharia de Produtos: Se estiver a trabalhar numa grande implementação de clientes com milhões de utilizadores, tem o direito de apoiar a equipa de conta da Microsoft ou o seu Cloud Solutions Architect. Com base na complexidade de implantação do projeto, pode trabalhar diretamente com a equipa de Engenharia de Produtos de Identidade da Azure.

  • Blog Azure AD Identity: Subscreva o blog Azure AD Identity para se manter atualizado com todos os anúncios de produtos mais recentes, mergulhos profundos e informações de roteiro fornecidas diretamente pela equipa de engenharia de identidade.