共用方式為

第 2 階段:將應用程式分類和規劃試驗

  • 發行項

將應用程式移轉分類是很重要的練習。 並非每個應用程式都需要同時移轉和轉換。 收集每個應用程式的相關資訊之後,您就可以合理知道應先移轉哪些應用程式,且哪些應用程式可能會花費較長的時間。

分類範圍內的應用程式

您可以根據業務關鍵性、使用量和存留期的軸線來思考此方面,每個項目都取決於多個因素。

業務關鍵性

業務關鍵性會為每個業務採用不同的維度,但您應該考量的兩個量值是特性和功能使用者設定檔。 對具有獨特功能的應用程式指派較高的點值,其值應高於具有重複或過時功能的應用程式的值。

此圖表顯示特性和功能及使用者設定檔的涵蓋範圍。

使用方式

使用量較高的應用程式應比使用量低的應用程式獲得更高的值。 對具有外部、主管或安全性小組使用者的應用程式指派較高的值。 針對您移轉組合中的每個應用程式,完成這些評量。

此圖表顯示使用者磁碟區及使用者的涵蓋範圍。

決定業務關鍵性和使用量的值之後,您就可以決定應用程式存留期,並建立優先順序的矩陣。 此圖表顯示矩陣。

此三角形圖表顯示使用量、預期存留期和業務關鍵性的相互關係。

注意

這段影片涵蓋移轉流程的第 1 階段和第 2 階段。

排定應用程式移轉的優先順序

您可以根據組織的需求,選擇以優先順序最低的應用程式或優先順序最高的應用程式來開始遷移應用程式。

若未使用過 Microsoft Entra ID 和身分識別服務的經驗,不妨先將優先順序最低的應用程式移至 Microsoft Entra ID。 此選項可將您的業務衝擊降到最低,並且可以藉此產生動力。 成功移動這些應用程式並獲得專案關係人的信賴之後,您就可以繼續移轉其他應用程式。

如果沒有明確的優先順序,您應考慮先移動位於 Microsoft Entra Gallery 且支援多個身分識別提供者的應用程式,因為這些應用程式比較容易整合。 這些應用程式很可能是您組織中優先順序最高的應用程式。 為了協助您整合 SaaS 應用程式與 Microsoft Entra ID,我們開發了一系列教學課程,可逐步引導您進行設定。

若必須在期限前移轉應用程式,這些優先順序最高的應用程式貯體會是主要的工作負載。 您可以最後再選取優先順序較低的應用程式,因為即使您變更期限,這些應用程式也不會改變成本。

除了此分類和取決於移轉的急迫性外,您還要發佈移轉排程,應用程式擁有者必須加入才能移轉其應用程式。 此程序結束時,在排定優先順序以用於移轉的貯體中,應該會有所有應用程式的清單。

記錄您的應用程式

首先,請先收集您應用程式的重要詳細資料。 應用程式探索工作表可協助您快速制定您的移轉決策,並立即對商務群組提出建議。

制定移轉決策的重要資訊包括:

  • 應用程式名稱 – 公司如何稱呼此應用程式?
  • 應用程式類型 – 是否第三方 SaaS 應用程式? 自訂的企業營運 Web 應用程式? API?
  • 業務關鍵性 – 其關鍵性高嗎? 還是偏低? 或介於兩者之間?
  • 使用者存取量 – 每個人都會存取此應用程式,還是僅限一些人?
  • 使用者存取類型:誰需要存取應用程式 – 員工、商務合作夥伴或客戶,或所有人?
  • 規劃的存留期:可用性有多久? 少於六個月? 超過兩年?
  • 目前的識別提供者 – 此應用程式的主要 IdP 為何? AD FS、Active Directory 或 Ping Federate?
  • 安全性需求:應用程式是否需要 MFA 或者使用者是否需要使用公司網路才能存取應用程式?
  • 驗證方法 – 應用程式是否使用開放式標準進行驗證?
  • 您是否打算更新應用程式程式碼 – 應用程式處於已規劃或開發中狀態?
  • 您是否計劃將應用程式保留在內部部署環境 – 您是否想要將應用程式'長期保留在資料中心內?
  • 應用程式是否相依於其他應用程式或 API –應用程式目前是否會呼叫其他應用程式或 API?
  • 應用程式是否在 Microsoft Entra 資源庫中:應用程式目前是否已經與 Microsoft Entra Gallery整合?

之後對您有幫助,但您不需要立即制定移轉決策的其他資料包括:

  • 應用程式 URL使用者前往哪裡存取應用程式?
  • 應用程式標誌:如果將應用程式移轉至不在 Microsoft Entra 應用程式資源庫中的 Microsoft Entra ID,建議您提供描述性標誌
  • 應用程式描述 – 應用程式用途的簡短描述為何?
  • 應用程式擁有者 – 在公司中,應用程式的主要 POC 是誰?
  • 一般註解或附註 – 任何其他關於應用程式或業務擁有權的一般資訊

將應用程式分類並記錄詳細資料之後,請務必讓業務負責人接受您規劃的移轉策略。

應用程式使用者

Microsoft Entra ID 支援的應用程式和資源使用者有兩個主要類別:

您可以定義這些使用者的群組,並以不同方式將人員加入這些群組。 您可以選擇系統管理員必須手動將成員新增至群組中,或者您可以啟用自助服務組動態成員資格群組。 也可以使用 組動態成員資格群組建立規則,根據指定的準則自動將成員新增至群組。

外部使用者也可能是客戶。 Azure AD B2C是個別的產品,可支援客戶驗證。 不過,這不在本文的討論範圍內。

規劃試驗

您為試驗選取的應用程式應代表您組織的重要身分識別和安全性需求,而且您必須讓應用程式擁有者明確地接受。 試驗通常會在個別的測試環境中執行。

別忘了您的外部合作夥伴。 務必讓他們參與移轉排程和測試。 最後,確定他們在遇到重大問題時,請有方法可以連絡技術服務人員。

規劃限制

有些應用程式很容易移轉,而有些可能會因為有多個伺服器或執行個體而需要較長的時間。 例如,SharePoint 因為是自訂登入頁面的關係,移轉可能需要較長的時間。

許多 SaaS 應用程式廠商可能無法提供自助式方法來重新設定應用程式,而且可能會收取變更 SSO 連線的費用。 請洽詢這些廠商並對限制進行規劃。

應用程式擁有者核准

業務關鍵性和普遍使用的應用程式可能需要一組試驗使用者,以在試驗階段中測試應用程式。 在實際執行前或試驗環境中測試應用程式之後,請確定應用程式業務負責人在移轉應用程式之前,先核准效能。 您也應該確保所有使用者都移轉至實際使用 Microsoft Entra ID 進行驗證。

規劃安全性狀態

在您起始移轉程序之前,請花一些時間徹底考慮您想要為公司身分識別系統開發的安全性狀態。 此方面需要收集以下重要資訊:存取您應用程式和資料的身分識別、裝置和位置。

身分識別與資料

大部分的組織都有特定的身分識別和資料保護需求,這些需求會因產業區塊和組織內的作業功能而有所不同。 如需建議,請參閱身分識別和裝置存取設定。 建議包含一組指定的條件式存取原則和相關功能。

對於與 Microsoft Entra ID 整合的所有服務,您可以使用此資訊來保護其存取權。 這些建議與 Microsoft 安全分數及 Microsoft Entra ID 中的身分識別分數一致。 分數可協助您:

  • 客觀測量您的身分識別安全性態勢
  • 方案身分識別安全性改進項目
  • 檢閱您改進項目的成功

Microsoft 安全分數也可協助您實作保護身分識別基礎結構的五個步驟。 請使用該指引作為您組織的起點,並調整原則以符合您組織的特定需求。

用來存取資料的裝置/位置

使用者用來存取應用程式的裝置和位置也很重要。 實際連線到公司網路的裝置比較安全。 從網路外部透過 VPN 建立的連線可能需要仔細檢查。

顯示使用者位置與資料存取之間關係的圖表。

考慮到資源、使用者和裝置等方面,您可以選擇使用 Microsoft Entra 條件式存取功能。 條件式存取超出使用者權限。 這取決於因素的組合,例如:

  • 使用者或群組的身分識別
  • 使用者所連線的網路
  • 使用者正在使用的裝置和應用程式
  • 使用者嘗試存取的資料類型。

授與使用者的存取權需根據這一組更廣泛的條件來進行調整。

允出準則

若要成功完成此階段,您必須具備下列條件:

  • 已完整記錄您想要移轉的應用程式

  • 已根據業務關鍵性、使用量和存留期來設定應用程式的優先順序

  • 已選取代表您需求的應用程式來進行試驗

  • 業務負責人接受您的優先順序和策略

  • 了解您的安全性態勢需求以及如何加以實行

下一步