Этап 1. Обнаружение приложений и определение их области действия

Обнаружение и анализ приложений — это фундаментальное упражнение, которое дает вам хороший старт. Возможно, вы чего-то не знаете, поэтому нужно подготовиться к размещению неизвестных приложений.

Поиск приложений

Первое решение в процессе миграции заключается в том, какие приложения следует перенести, какие из них должны остаться и какие приложения следует устареть. Всегда есть возможность нерекомендуемые приложения, которые вы не будете использовать в организации. Приложения можно искать в организации несколькими способами. При обнаружении приложений убедитесь, что вы включаете в разработку и запланированные приложения. Используйте идентификатор Microsoft Entra для проверки подлинности во всех будущих приложениях.

Обнаружение приложений с помощью ADFS:

• Использование Microsoft Entra Connect Health для ADFS. Если у вас есть лицензия Microsoft Entra P1 или P2, рекомендуется развернуть Microsoft Entra Connect Health для анализа использования приложения в локальной среде. Отчет о приложении ADFS можно использовать для обнаружения приложений ADFS, которые можно перенести, и оценки готовности приложения к переносу.

• Если у вас нет лицензий Microsoft Entra ИД P1 или P2, рекомендуется использовать ADFS для Microsoft Entra средств миграции приложений на основе PowerShell. См. руководство по решению:

Примечание

В этом видео рассматриваются этапы 1 и 2 процесса миграции.

Использование других поставщиков удостоверений

• Если вы используете Okta, ознакомьтесь с руководством по миграции okta Microsoft Entra.

• Если в настоящее время вы используете Ping Federate, рассмотрите возможность использования api Ping Administrative API для обнаружения приложений.

• Если приложения интегрированы с Active Directory, найдите субъекты-службы или учетные записи служб, которые могут использоваться для приложений.

Использование облачных средств обнаружения

В облачной среде требуются широкие возможности для выявления, контроль над перемещением данных и сложная аналитика для поиска киберугроз и борьбы с ними во всех облачных службах. Данные инвентаризации облачных приложений можно собрать с помощью следующих средств:

• Брокер безопасного доступа в облако (CASB). Обычно CASB вместе с брандмауэром предоставляет сведения об использовании облачных приложений сотрудниками и помогает защитить корпоративные данные от угроз кибербезопасности. Отчет CASB поможет вам определить наиболее часто используемые приложения в вашей организации и ранние целевые показатели для миграции на Microsoft Entra id.
• Cloud Discovery. Настроив Microsoft Defender for Cloud Apps, вы получаете представление об использовании облачных приложений и можете обнаруживать несанкционированные или теневые ИТ-приложения.
• Размещенные приложения Azure . Для приложений, подключенных к инфраструктуре Azure, можно использовать API и средства в этих системах, чтобы начать инвентаризацию размещенных приложений. В среде Azure можно сделать следующее:
  • Используйте командлет Get-AzureWebsite, чтобы получить сведения о веб-сайтах Azure.
  • Используйте командлет Get-AzureRMWebApp, чтобы получить сведения о веб-приложения Azure. D
  • Запрос идентификатора Microsoft Entra в поисках приложений и субъектов-служб.

Процесс обнаружения вручную

После использования автоматизированных подходов, описанных в этой статье, вы получите хорошую обработку приложений. Однако вы можете выполнить следующие действия, чтобы полнее охватить все области доступа пользователей.

• Чтобы найти приложения, используемые в организации, обратитесь к владельцам различных бизнес-процессов в организации.
• Запустите средство проверки HTTP на прокси-сервере или проанализируйте журналы прокси-сервера, чтобы узнать, куда чаще всего направляется трафик.
• Просмотрите веб-журналы популярных сайтов корпоративного портала, чтобы узнать, по каким ссылкам пользователи переходят чаще всего.
• Обратитесь к руководителям или другим ключевым бизнес-членам, чтобы убедиться, что вы охватили критически важные для бизнеса приложения.

Тип переносимых приложений

После поиска приложений вы определите следующие типы приложений в вашей организации:

• Приложения, использующие современные протоколы проверки подлинности, такие как SAML или OpenID Connect (OIDC).
• Приложения, использующие устаревшую проверку подлинности, например Kerberos или NT LAN Manager (NTLM), которые вы выбрали для модернизации.
• приложения, использующие устаревшие протоколы проверки подлинности, которые вы НЕ собираетесь модернизировать;
• новые бизнес-приложения.

Приложения, уже использующие современную проверку подлинности

Уже модернизированные приложения, скорее всего, будут перемещены в Microsoft Entra идентификатор. Эти приложения уже используют современные протоколы проверки подлинности, такие как SAML или OIDC, и их можно перенастроить для проверки подлинности с помощью Microsoft Entra идентификатора.

Рекомендуется искать и добавлять приложения из коллекции приложений Microsoft Entra. Если вы не найдете их в коллекции, вы по-прежнему можете подключить пользовательское приложение.

Выбранные для модернизации устаревшие приложения

Для устаревших приложений, которые требуется модернизировать, переход на идентификатор Microsoft Entra для основной проверки подлинности и авторизации разблокирует все возможности и возможности данных, которые могут предложить Microsoft Graph и Intelligent Security Graph.

Рекомендуется обновить код стека проверки подлинности для этих приложений с устаревшего протокола (например, проверки подлинности Windows-Integrated, Kerberos, проверки подлинности на основе заголовков HTTP) до современного протокола (например, SAML или OpenID Connect).

Устаревшие приложения, НЕ выбранные для модернизации

Для некоторых приложений, использующих устаревшие протоколы проверки подлинности, иногда модернизация проверки подлинности не подходит для бизнеса. Это касается приложений следующих типов:

• приложения, которые хранятся локально для обеспечения соответствия или соблюдения принципов управления;
• Приложения, подключенные к локальному поставщику удостоверений или федерации, которые вы не хотите изменять.
• приложения, разработанные с использованием локальных стандартов проверки подлинности, которые не планируется перемещать.

Microsoft Entra идентификатор может принести большие преимущества для этих устаревших приложений. Вы можете включить современные Microsoft Entra функции безопасности и управления, такие как многофакторная идентификация, условный доступ, защита идентификации, делегированный доступ к приложениям и проверки доступа, для этих приложений, не касаясь приложения.

• Начните с расширения этих приложений в облако с помощью Microsoft Entra прокси приложения.
• Вы также можете ознакомиться с использованием интеграции с нашими партнерами по безопасному гибридному доступу (SHA), которые вы, возможно, уже развернули.

Новые бизнес-приложения

Обычно бизнес-приложения разрабатываются для внутреннего использования в организации. Если в конвейере есть новые приложения, мы рекомендуем использовать платформа удостоверений Майкрософт для реализации OIDC.

Приложения, от которых следует отказаться

Приложения без четко установленных владельцев, а также процедур обслуживания и мониторинга представляют угрозу безопасности для вашей организации. Рекомендуется отказаться от приложений, если:

• Их функциональные возможности очень избыточны в других системах
• Нет владельца бизнеса
• Явно нет использования

От критически важных для бизнеса приложений рекомендуется не отказываться. В таких случаях следует обратиться к владельцам бизнес-функций, чтобы определить правильную стратегию.

Условия выхода

На этом этапе вы успешно выполните следующие действия:

• Хорошее представление о приложениях в область для миграции, тех, которые требуют модернизации, тех, которые должны оставаться "как есть" или тех, которые вы пометили для устаревания.

Дальнейшие действия

• Этап 2. Классификация приложений и планирование пилотного проекта.