Fas 1: Identifiera och omfångsappar

Programidentifiering och analys är en grundläggande övning för att ge dig en bra start. Du kanske inte vet allt så var beredd på att hantera de okända apparna.

Hitta dina appar

Det första beslutet i migreringsprocessen är vilka appar som ska migreras, vilka om några ska finnas kvar och vilka appar som ska fasas ut. Det finns alltid en möjlighet att inaktuella appar som du inte kommer att använda i din organisation. Det finns flera sätt att hitta appar i din organisation. När du identifierar appar måste du inkludera appar under utveckling och planerade appar. Använd Microsoft Entra-ID för autentisering i alla framtida appar.

Identifiera program med hjälp av ADFS:

• Använd Microsoft Entra Connect Health för ADFS: Om du har en Microsoft Entra ID P1- eller P2-licens rekommenderar vi att du distribuerar Microsoft Entra Connect Health för att analysera appanvändningen i din lokala miljö. Du kan använda ADFS-programrapporten för att identifiera ADFS-program som kan migreras och utvärdera programmets beredskap att migreras.

• Om du inte har Microsoft Entra ID P1- eller P2-licenser rekommenderar vi att du använder ADFS till Microsoft Entra-appmigreringsverktyg baserat på PowerShell. Se lösningsguiden:

Not

Den här videon beskriver både fas 1 och 2 av migreringsprocessen.

Använda andra identitetsprovidrar (IP-adresser)

• Om du för närvarande använder Okta kan du läsa migreringsguiden okta till Microsoft Entra.

• Om du för närvarande använder Ping Federate kan du överväga att använda API:et Ping Administration för att identifiera program.

• Om programmen är integrerade med Active Directory söker du efter tjänstens huvudnamn eller tjänstkonton som kan användas för program.

Använda verktyg för molnidentifiering

I molnmiljön behöver du omfattande synlighet, kontroll över dataresor och avancerad analys för att hitta och bekämpa cyberhot i alla dina molntjänster. Du kan samla in din molnappinventering med hjälp av följande verktyg:

• Cloud Access Security Broker (CASB) – En CASB fungerar vanligtvis tillsammans med brandväggen för att ge insyn i dina anställdas användning av molnprogram och hjälper dig att skydda företagets data mot cybersäkerhetshot. CASB-rapporten kan hjälpa dig att fastställa de mest använda apparna i din organisation och de tidiga målen för migrering till Microsoft Entra-ID.
• Cloud Discovery – Genom att konfigurera Microsoft Defender för molnet-appar får du insyn i molnappens användning och kan identifiera icke-sanktionerade eller skugg-IT-appar.
• Azure Hosted Applications – För appar som är anslutna till Azure-infrastruktur kan du använda API:er och verktyg på dessa system för att börja inventera värdbaserade appar. I Azure-miljön:
  • Använd cmdleten Get-AzureWebsite för att få information om Azure-webbplatser.
  • Använd cmdleten Get-AzureRMWebApp för att få information om dina Azure Web Apps.D
  • Fråga Microsoft Entra ID och leta efter program och tjänstens huvudnamn.

Manuell identifieringsprocess

När du har använt de automatiserade metoderna som beskrivs i den här artikeln har du ett bra grepp om dina program. Du kan dock överväga att göra följande för att säkerställa att du har god täckning i alla användaråtkomstområden:

• Kontakta de olika företagsägarna i din organisation för att hitta de program som används i din organisation.
• Kör ett HTTP-inspektionsverktyg på proxyservern eller analysera proxyloggar för att se var trafiken ofta dirigeras.
• Granska webbloggar från populära företagsportalwebbplatser för att se vilka länkar användarna har mest åtkomst till.
• Kontakta chefer eller andra viktiga affärsmedlemmar för att se till att du har gått igenom de affärskritiska apparna.

Typ av appar som ska migreras

När du har hittat dina appar identifierar du dessa typer av appar i din organisation:

• Appar som använder moderna autentiseringsprotokoll som SAML (Security Assertion Markup Language) eller OpenID Connect (OIDC).
• Appar som använder äldre autentisering, till exempel Kerberos eller NT LAN Manager (NTLM) som du väljer att modernisera.
• Appar som använder äldre autentiseringsprotokoll som du väljer INTE att modernisera
• Nya LoB-appar (Line of Business)

Appar som redan använder modern autentisering

De redan moderniserade apparna är de mest sannolika att flyttas till Microsoft Entra-ID. Dessa appar använder redan moderna autentiseringsprotokoll som SAML eller OIDC och kan konfigureras om för att autentisera med Microsoft Entra-ID.

Vi rekommenderar att du söker efter och lägger till program från Microsoft Entra-appgalleriet. Om du inte hittar dem i galleriet kan du fortfarande registrera ett anpassat program.

Äldre appar som du väljer att modernisera

För äldre appar som du vill modernisera, låser övergången till Microsoft Entra-ID för kärnautentisering och auktorisering upp all kraft och datarikedom som Microsoft Graph och Intelligent Security Graph har att erbjuda.

Vi rekommenderar att du uppdaterar autentiseringsstackens kod för dessa program från det äldre protokollet (till exempel Windows-Integrerad autentisering, Kerberos, HTTP-huvudbaserad autentisering) till ett modernt protokoll (till exempel SAML eller OpenID Connect).

Äldre appar som du väljer INTE att modernisera

För vissa appar som använder äldre autentiseringsprotokoll är det ibland inte rätt att modernisera autentiseringen av affärsskäl. Dessa omfattar följande typer av appar:

• Appar som lagras lokalt av efterlevnads- eller kontrollskäl.
• Appar som är anslutna till en lokal identitet eller federationsprovider som du inte vill ändra.
• Appar som utvecklats med hjälp av lokala autentiseringsstandarder som du inte har några planer på att flytta

Microsoft Entra-ID kan medföra stora fördelar för dessa äldre appar. Du kan aktivera moderna säkerhets- och styrningsfunktioner i Microsoft Entra som Multi-Factor Authentication, villkorlig åtkomst, Microsoft Entra ID Protection, delegerad programåtkomst och åtkomstgranskningar mot dessa appar utan att röra appen alls!

• Börja med att utöka dessa appar till molnet med Microsoft Entra-programproxy.
• Eller utforska användningen av våra SHA-partnerintegreringar (Secure Hybrid Access) som du kanske redan har distribuerat.

Nya LoB-appar (Line of Business)

Du brukar utveckla LoB-appar för din organisations interna användning. Om du har nya appar i pipelinen rekommenderar vi att du använder Microsofts identitetsplattform för att implementera OIDC.

Appar som ska bli inaktuella

Appar utan tydliga ägare och tydligt underhåll och övervakning utgör en säkerhetsrisk för din organisation. Överväg att ta bort program när:

• Deras funktioner är mycket redundanta med andra system
• Det finns ingen företagsägare
• Det finns uppenbarligen ingen användning

Vi rekommenderar att du inte inaktuella program med hög påverkan, affärskritiska program. I sådana fall bör du samarbeta med företagsägare för att fastställa rätt strategi.

Avsluta villkor

Du lyckas i den här fasen med:

• En god förståelse för programmen i omfånget för migrering, de som kräver modernisering, de som ska förbli som de är eller de som du har markerat för utfasning.

Nästa steg

• Fas 2 – Klassificera appar och planera pilot.