Alkalmazáshitelesítés áttelepítése a Azure Active Directory

A tanulmányról

Ez a tanulmány az alkalmazáshitelesítés Azure AD-be való áttelepítésének tervezését és előnyeit részletezi. Azure-rendszergazdák és identitás-szakemberek számára készült.

A folyamat négy fázisra való lebontása részletes tervezési és kilépési feltételekkel, úgy lett kialakítva, hogy segítsen megtervezni a migrálási stratégiát, és megérteni, hogy az Azure AD-hitelesítés hogyan támogatja a szervezeti célokat.

Bevezetés

Napjainkban a szervezetnek nagyon sok alkalmazásra (alkalmazásra) van szüksége a felhasználóknak a munka munkához. Az alkalmazásokat valószínűleg minden nap hozzáadja, fejleszti vagy kivezeti. A felhasználók számos vállalati és személyes eszközről és helyről férnek hozzá ezekhez az alkalmazásokhoz. Számos módon nyitnak meg alkalmazásokat, például:

  • a vállalat kezdőlapján vagy portálján keresztül

  • a böngészőjük könyvjelzőinek használatával

  • szolgáltatott szoftver (SaaS) alkalmazások szállítói URL-címével

  • a felhasználók asztalára vagy mobileszközére mobileszköz-kezelési (MDM/MAM) megoldással közvetlenül lekért hivatkozások

Az alkalmazások valószínűleg a következő hitelesítési típusokat használják:

  • Helyszíni összevonási megoldások (például Active Directory összevonási szolgáltatások (AD FS) (ADFS) és Ping)

  • Active Directory (például Kerberos Auth és Windows-Integrated Auth)

  • Egyéb felhőalapú identitás- és hozzáférés-kezelési (IAM) megoldások (például Okta vagy Oracle)

  • Helyszíni webes infrastruktúra (például IIS és Apache)

  • Felhőben üzemeltetett infrastruktúra (például Az Azure és az AWS)

Annak biztosítása érdekében, hogy a felhasználók könnyedén és biztonságosan férnek hozzá az alkalmazásokhoz, a cél az, hogy egyetlen hozzáférés-vezérléssel és szabályzatokkal rendelkezik a helyszíni és a felhőalapú környezetekben.

Azure Active Directory (Azure AD) egy univerzális identitásplatformot kínál, amely egyetlen identitást biztosít a felhasználók, partnerek és ügyfelek számára a kívánt alkalmazások eléréséhez, és bármilyen platformról és eszközről együttműködhet.

A kapcsolat Azure Active Directory diagramja

Az Azure AD teljes körű identitáskezelési képességekkel rendelkezik. Az alkalmazás hitelesítésének és az Azure AD-beli engedélyezésnek a szabványosításával kihozhatja a képességek által nyújtott előnyöket.

További migrálási erőforrásokat itt talál: https://aka.ms/migrateapps

Az alkalmazáshitelesítés Azure AD-be való áttelepítésének előnyei

Az alkalmazáshitelesítés Azure AD-be való áthelyezésével kezelheti a kockázatokat és a költségeket, növelheti a hatékonyságot, valamint megfelelhet a megfelelőségi és irányítási követelményeknek.

A kockázatok kezelése

Az alkalmazások védelme érdekében teljes körűen meg kell tekintenie az összes kockázati tényezőt. Az alkalmazások Azure AD-be való áttelepítése egyesíti a biztonsági megoldásokat. A következőt használhatja:

  • Az alkalmazásokhoz és a kapcsolódó vállalati adatokhoz való biztonságos felhasználói hozzáférés javítása feltételes hozzáférési szabályzatokkal, többtényezőshitelesítéssel és valós idejű kockázatalapú identitásvédelmi technológiákkal.

  • Az emelt szintű felhasználók környezethez való hozzáférésének védelme a rendszergazdai hozzáféréssel.

  • Az Azure AD több-bérlős, földrajzi eloszlású,magas rendelkezésre állású kialakítása a legkritikusabb üzleti igényeknek megfelelően.

  • Az esetleg már üzembe helyezett biztonságos hibrid hozzáférési partnerintegrációink egyikével megvédheti örökölt alkalmazásait.

Költségek kezelése

Előfordulhat, hogy a szervezet több identitás-hozzáférés-kezelési (IAM) megoldással is rendelkezik. Az egyik Azure AD-infrastruktúrára való miggálás lehetőséget nyújt az IAM-licencekkel (helyszíni vagy felhőbeli) függőségek és az infrastruktúra költségeinek csökkentésére. Ha lehetséges, hogy már fizetett az Azure AD-Microsoft 365-licencekkel, nincs ok egy másik IAM-megoldás további költségeinek kifizetésre.

Az Azure AD-val a következővel csökkentheti az infrastruktúra költségeit:

A hatékonyság növelése

A gazdasági és biztonsági előnyök miatt a szervezeteknek is be kell vezetnie az Azure AD-t, de a teljes körű alkalmazás és megfelelőség nagyobb valószínűséggel érhető el, ha a felhasználók számára is előnyös. Az Azure AD-val a következő funkciókat használhatja:

A megfelelőség és az irányítás kezelése

Az integrált naplózási eszközök és API-k használatával biztosíthatja a jogszabályi követelményeknek való megfelelőséget a vállalati hozzáférési szabályzatok betartatásával és az alkalmazásokhoz és a kapcsolódó adatokhoz való felhasználói hozzáférés figyelése révén. Az Azure AD-val biztonsági incidens- és eseményfigyelési (SIEM) eszközöket (SIEM)eszközök használatával figyelheti az alkalmazások bejelentkezéseit. A jelentéseket a portálról vagy API-kból is elérheti, és programozott módon naplózhatja, hogy ki fér hozzá az alkalmazásokhoz, és hozzáférési felülvizsgálatokkal eltávolíthatja az inaktív felhasználók hozzáférését.

A migrálási fázisok és a projektstratégia megterve

Ha a technológiai projektek meghiúsulnak, azt gyakran az eltérésekkel szembeni elvárások, a megfelelő érdekelt felek nem vesznek részt, vagy a kommunikáció hiánya miatt. A projekt megtervezésével győződjön meg a sikerről.

A migrálás fázisai

Mielőtt belefogunk az eszközökbe, tisztában kell lennie a migrálási folyamat végigfogatásán. Számos, az ügyfelekhez való közvetlen kapcsolattal kapcsolatos workshopon keresztül a következő négy fázist javasoljuk:

A migrálás fázisai diagramja

A projektcsapat összeállítása

Az alkalmazás migrálása csapatmunka, és gondoskodnia kell arról, hogy minden fontos pozíció meg legyen töltve. Fontos a vezető üzleti vezetők támogatása. Győződjön meg arról, hogy a megfelelő vezető szponzorokat, üzleti döntéshozókat és témaszakértőket (SRE-ket) bevonja.

A migrálási projekt során egy személy több szerepkört is betölthet, vagy több személy is betöltheti az egyes szerepköröket a szervezet méretétől és szerkezetétől függően. Előfordulhat, hogy más olyan csapatoktól is függ, amelyek kulcsfontosságú szerepet játszanak a biztonsági környezetben.

Az alábbi táblázat a főbb szerepköröket és azok hozzájárulását tartalmazza:

Szerepkör Közreműködések
Projektvezető Project a projekt vezetése során, beleértve a következőket:
– vezetői támogatás szerzése
– az érdekelt felek bebevonásával
– ütemezések, dokumentáció és kommunikáció kezelése
Identitástervező /Azure AD alkalmazás rendszergazda Ezek a következőkért felelősek:
– a megoldás megtervezése az érdekelt felekkel együttműködésben
– dokumentálja a megoldás tervezési és üzemeltetési eljárásait az üzemeltetési csapatnak való átosztáshoz
– az üzem előtti és az éles környezetek kezelése
Helyszíni AD-üzemeltetési csapat A különböző helyszíni identitásforrásokat, például AD-erdőket, LDAP-címtárokat, HR-rendszereket stb. kezelő szervezet.
– a szinkronizálás előtt szükséges szervizelési feladatok végrehajtása
– Adja meg a szinkronizáláshoz szükséges szolgáltatásfiókokat
– hozzáférés beállítása az Azure AD-hez való összevonás konfiguráláshoz
IT Support Manager Az it-támogatási szervezet egy olyan képviselőjét, aki segítséget nyújthat a változás támogatási szolgálat szempontjából nyújtott támogatásához.
Biztonsági tulajdonos A biztonsági csapat egy tagja, aki gondoskodik arról, hogy a terv megfeleljen a szervezet biztonsági követelményeinek.
Alkalmazás technikai tulajdonosai Tartalmazza az Azure AD-val integrálható alkalmazások és szolgáltatások műszaki tulajdonosait. Ezek biztosítják az alkalmazások identitásattribútumait, amelyeknek bele kell foglalniuk a szinkronizálási folyamatba. Általában kapcsolatban vannak a CSV-képviselőkkel.
Alkalmazás üzleti tulajdonosai Reprezentatív munkatársak, akik a felhasználó szemszögéből meg tudnak adni adatokat a felhasználói élményről és a változás hasznosságról, és az alkalmazás általános üzleti aspektusával rendelkeznek, amely magában foglalhatja a hozzáférések felügyeletét is.
Felhasználók próbacsoportja Azok a felhasználók, akik a mindennapi munkájuk és a próbaélményük részeként tesztelnek, és visszajelzést adnak a többi üzembe helyezéshez.

A kommunikáció tervezése

A siker kulcsa a hatékony üzleti együttműködés és kommunikáció. Fontos, hogy az érdekelt felek és a végfelhasználók számára elérhető legyen az információhoz való lehetőség, és hogy folyamatosan értesülni tudhassanak az ütemezési frissítésekről. Tájékoztassa mindenkit a migrálás értékéről, a várható ütemtervről és az ideiglenes üzletkimaradások tervezéséről. Többféle utat is használhat, például eligazítási munkameneteket, e-maileket, egy-az-egyhez értekezleteket, szalagcímeket és városokat.

Az alkalmazáshoz választott kommunikációs stratégia alapján lehet, hogy emlékeztetni szeretné a felhasználókat a függőben lévő állásidőre. Azt is ellenőrizze, hogy nincsenek-e a közelmúltban olyan változások vagy üzleti hatások, amelyek az üzembe helyezés elhalasztását igénylik.

Az alábbi táblázatban megtalálja a minimális javasolt kommunikációt, hogy az érdekelt felek értesülni tudjanak az alábbiakról:

Tervfázisok és projektstratégia:

Kommunikáció Célközönség
A projekt tudatossága és üzleti/műszaki értéke A végfelhasználók kivételével minden
Próbaalkalmazások bekérése - Alkalmazás üzleti tulajdonosai
- Alkalmazás technikai tulajdonosai
– Tervezők és identitásokért feleskedő csapat

1. fázis – Felderítés és hatókör:

Kommunikáció Célközönség
– Alkalmazásinformációk kérése
– A hatókör-hatóköri gyakorlat eredménye
- Alkalmazás technikai tulajdonosai
- Alkalmazás üzleti tulajdonosai

2. fázis – Alkalmazások besorolása és próbatervek:

Kommunikáció Célközönség
- Besorolások eredménye, és ez mit jelent a migrálási ütemezéshez
- Előzetes migrálási ütemezés
- Alkalmazás technikai tulajdonosai
- Alkalmazás üzleti tulajdonosai

3. fázis – A migrálás és a tesztelés megtervelése:

Kommunikáció Célközönség
- Az alkalmazás migrálási tesztelésének eredménye - Alkalmazás technikai tulajdonosai
- Alkalmazás üzleti tulajdonosai
– Értesítés a migrálásról, és az eredményül kapott végfelhasználói élmény magyarázata.
- Állásidő közeledik, és teljes körű kommunikáció, beleértve azt is, hogy mit kell tenniük, visszajelzést adni, és segítségre van szüksége
- Végfelhasználók (és minden más)

4. fázis – Elemzések kezelése és betekintés:

Kommunikáció Célközönség
Rendelkezésre álló elemzések és hozzáférés - Alkalmazás technikai tulajdonosai
- Alkalmazás üzleti tulajdonosai

Migrálási államok kommunikációs irányítópultja

A migrálási projekt általános állapotának kommunikálása létfontosságú, mivel előrehaladást mutat, és segít az alkalmazástulajdonosoknak, akiknek az alkalmazásai hamarosan a migrálásra készülnek, felkészülnek az áthelyezésre. A migrálás során egy egyszerű irányítópultot Power BI vagy más jelentéskészítő eszközökkel, hogy betekintést nyújtson az alkalmazások állapotába.

A következő áttelepítési államokat érdemes használnia:

Migrálási államok Műveletterv
Kezdeti kérés Keresse meg az alkalmazást, és további információért forduljon a tulajdonoshoz
Értékelés kész Az alkalmazás tulajdonosa kiértékeli az alkalmazás követelményeit, és visszaküldi az alkalmazás kérdőívét
Konfigurálás folyamatban Az Azure AD-hitelesítés kezeléséhez szükséges módosítások fejlesztése
A konfiguráció tesztelése sikeres Értékelje ki a módosításokat, és hitelesítse az alkalmazást a tesztkörnyezetben használt Azure AD-bérlő tesztkörnyezetében
Az éles konfiguráció sikeres Módosítsa úgy a konfigurációkat, hogy azok az éles AD-bérlőn is működnek, és mérje fel az alkalmazáshitelesítést a tesztkörnyezetben
Teljes / Kijelentkezés Az alkalmazás módosításainak üzembe helyezése az éles környezetben, és a végrehajtása az éles Azure AD-bérlőn

Ez biztosítja, hogy az alkalmazástulajdonosok tudják, mik az alkalmazások migrálásának és tesztelésének ütemezései, és hogy milyen eredményeket fognak elérni a már migrált alkalmazások. Érdemes lehet hivatkozásokat is használnia a hibakövető adatbázisra, hogy a tulajdonosok be tudják- és megtekinteni a migrált alkalmazások problémáit.

Ajánlott eljárások

Az alábbiakban az ügyfél és a partner sikertörténeteit és ajánlott eljárásait íme:

  • Öt tipp a migrálási folyamat javításához Azure Active Directory a Patriot Consulting partnerhálózatunk tagja, amely arra összpontosít, hogy segítsen az ügyfeleknek a Microsoft-felhőmegoldások biztonságos üzembe helyezésében.

  • Dolgozzon ki egy kockázatkezelési stratégiát az Azure AD-alkalmazások migrálásához az Edgile partnerrel, amely az IAM- és kockázatkezelési megoldásokkal foglalkozik.

1. fázis: Alkalmazások felderítése és hatóköre

Az alkalmazásfelderítés és -elemzés egy alapvető gyakorlat, amely jó kezdést tesz lehetővé. Lehet, hogy nem tud mindent, ezért készüljön fel az ismeretlen alkalmazások elhelyezésére.

Az alkalmazások megkeresi

Az alkalmazások migrálásának első döntési pontja az, hogy mely alkalmazásokat kell migrálni, melyeknek meg kell maradniuk, és melyek elavultnak kell maradniuk. A szervezetben nem használt alkalmazásokat mindig ki lehet használni. A szervezetben többféleképpen is megkereshet alkalmazásokat. Az alkalmazások felderítése közben győződjön meg arról, hogy a fejlesztés alatt áll és a tervezett alkalmazásokat is tartalmazza. Az Azure AD-t minden jövőbeli alkalmazásban használja hitelesítésre.

A Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával gyűjtse össze a megfelelő alkalmazásleltárat:

  • Használja az Azure AD Connect Health eszközt. Ha rendelkezik prémium szintű Azure AD licenccel, javasoljuk, hogy az Azure AD Csatlakozás Health üzembe helyezését használja az alkalmazás helyszíni környezetben való használatának elemzéséhez. Az ADFS-alkalmazásjelentés (előzetes verzió) segítségével felderítheti az áttelepíthető ADFS-alkalmazásokat, és kiértékelheti az áttelepíteni szükséges alkalmazás készenlétét. A migrálás befejezése után olyan Cloud Discovery, amely lehetővé teszi, hogy folyamatosan figyelje az árnyék-it-árnyék-figyelőt a szervezetben a felhőben.

  • AD FS naplókban való parsing . Ha nem rendelkezik licenccel prémium szintű Azure AD, javasoljuk, hogy a PowerShellenalapuló ADFS-alkalmazásáttelepítési eszközöket használja. . Tekintse meg a megoldási útmutatót:

Alkalmazások áttelepítése a Active Directory összevonási szolgáltatások (AD FS) (AD FS) az Azure AD-be.

Más identitásszolgáltatók (IDP-k) használata

Más identitásszolgáltatók (például az Okta vagy a Ping) esetében az eszközeik használatával exportálhatja az alkalmazásleltárt. Érdemes lehet megfontolni a szervezetben lévő webalkalmazások Active Directory regisztrált szolgáltatási alapelveket.

Felhőfelderítési eszközök használata

A felhőalapú környezetben fejlett rálátásra, az adatok utazásának szabályozására és kifinomult elemzésekre van szüksége az összes felhőszolgáltatás kiber veszélyének megkeresése és elleni védelem érdekében. A felhőalkalmazások leltárát a következő eszközökkel gyűjtheti össze:

  • Cloud Access Security Broker (CASB)– A CASB általában a tűzfal mellett működik, hogy betekintést nyújtson az alkalmazottak felhőalapú alkalmazáshasználatába, és segít megvédeni a vállalati adatokat a kiberbiztonsági fenyegetésektől. A CASB-jelentés segítségével meghatározhatja a szervezetben leggyakrabban használt alkalmazásokat, valamint az Azure AD-be való mirate korai célokat.

  • Cloud Discovery – A Cloud Discovery segítségévelbetekintést nyerhet a felhőalkalmazások használatára, és felderítheti a nem megfelelő vagy árnyék-it-alkalmazásokat.

  • API-k – A felhőalapú infrastruktúrához csatlakoztatott alkalmazások esetében az ilyen rendszerek API-it és eszközeit használva megkezdheti az üzemeltetett alkalmazások leltárának leltározását. Az Azure-környezetben:

Manuális folyamatok használata

A fent ismertetett automatizált megközelítések alkalmazása után jól fogja kezelni az alkalmazásokat. Érdemes lehet azonban a következőket tenni, hogy minden felhasználói hozzáférési területen megfelelő lefedettség legyen elérhető:

  • Lépjen kapcsolatba a szervezet különböző üzleti tulajdonosaival, és keresse meg a szervezetben használt alkalmazásokat.

  • Futtatassa a HTTP-ellenőrzési eszközt a proxykiszolgálón, vagy elemezze a proxynaplókat, hogy lássa, hol van általában irányítva a forgalom.

  • Tekintse át a népszerű vállalati portál webhelyein található weblogokat, hogy lássa, milyen hivatkozásokhoz férnek hozzá a leggyakrabban a felhasználók.

  • A vezetők vagy más kulcsfontosságú üzleti tagok segítségével biztosíthatja, hogy az üzlet szempontjából kritikus fontosságú alkalmazásokat is lefedje.

Az átemelni szükséges alkalmazások típusa

Ha megtalálja az alkalmazásokat, a következő típusú alkalmazásokat fogja azonosítani a szervezetben:

  • Már modern hitelesítési protokollokat felhasználó alkalmazások

  • A modernizáláshoz régi hitelesítési protokollokat felhasználó alkalmazások

  • Örökölt hitelesítési protokollokat felhasználó alkalmazások, amelyek modernizálását NEM választja

  • Új üzletági (LoB)-alkalmazások

Már modern hitelesítést felhasználó alkalmazások

A már modernizált alkalmazások a legnagyobb valószínűséggel lesznek áthelyezve az Azure AD-be. Ezek az alkalmazások már modern hitelesítési protokollokat használnak (például SAML vagy OpenID Csatlakozás), és újrakonfigurálhatóak az Azure AD-val való hitelesítéshez.

Az Azure AD alkalmazás-katalógusban található lehetőségek mellett ezek olyan alkalmazások is, amelyek már léteznek a szervezetben, vagy olyan szállítótól származó, harmadik féltől származó alkalmazások, amelyek nem tagjai az Azure AD-katalógusnak (nem katalógusbelialkalmazások).

A modernizáláshoz választott örökölt alkalmazások

A modernizálni kívánt régebbi alkalmazások esetében az alapvető hitelesítés és engedélyezés érdekében az Azure AD-be való áthelyezéssel a Microsoft Graph és az Intelligent Security Graph által kínált összes hatékonyságot és adatgazdagságot felszabadíthatja.

Javasoljuk, hogy frissítse ezen alkalmazások hitelesítési veremkódját az örökölt protokollról (például Windows-Integrated-hitelesítés, Kerberos által korlátozott delegálás, HTTP-fejlécalapú hitelesítés) egy modern protokollra (például SAML- vagy OpenID-Csatlakozás).

Örökölt alkalmazások, amelyek modernizálását NEM választja

Egyes, örökölt hitelesítési protokollokat használó alkalmazások esetében a hitelesítés modernizálása üzleti okokból néha nem megfelelő. Ezek közé tartoznak a következő típusú alkalmazások:

  • Az alkalmazások megfelelőségi vagy ellenőrzési okokból vannak a helyszínen.

  • Helyszíni identitáshoz vagy összevonási szolgáltatóhoz csatlakoztatott alkalmazások, amelyeken nem szeretne változtatni.

  • Helyszíni hitelesítési szabványok használatával fejlesztett alkalmazások, amelyek áthelyezését nem tervezi

Az Azure AD nagyszerű előnyökkel jár ezeknek a régebbi alkalmazásoknak, mivel anélkül engedélyezheti az Azure AD modern biztonsági és cégirányítási funkcióit, mint a Multi-Factor Authentication,a feltételes hozzáférés,az Identity Protection,a delegált alkalmazás-hozzáférés és a hozzáférési felülvizsgálatok az alkalmazásokon anélkül, hogy az alkalmazásra lenne szükség.

Első lépésként kiterjesztheti ezeket az alkalmazásokat a felhőbe az Azure AD alkalmazásproxy-val egyszerű hitelesítési módszerrel (például Jelszótartó használatával), hogy a felhasználókat gyorsan migrálják, vagy a már üzembe helyezett alkalmazásküldetési vezérlők partnerintegrációi révén.

Új üzletági (LoB)-alkalmazások

LoB-alkalmazásokat általában a szervezet házon belül való használatra fejleszt. Ha új alkalmazások vannak folyamatban, javasoljuk, hogy az OpenID-t a Microsoft Identity Platform használatával Csatlakozás.

Elavult alkalmazások

Az egyértelmű tulajdonos nélküli alkalmazások, valamint az egyértelmű karbantartás és monitorozás biztonsági kockázatot jelent a szervezet számára. Vegye fontolóra az alkalmazások elavultként való elavultságát, ha:

  • a funkciójuk nagymértékben redundáns más rendszerekkel • nincs üzlettulajdonos

  • egyértelműen nincs használat.

Javasoljuk, hogy ne elavultsa a nagy hatású, üzleti fontosságú alkalmazásokat. Ilyen esetekben a vállalat tulajdonosaival együtt kell meghatározni a megfelelő stratégiát.

Kilépési feltételek

Ebben a fázisban a következő műveletekkel lehet sikeres:

  • A migrálás hatókörében (az Azure AD-be való migrálás után kivezetheti a rendszert)

  • Az alábbi alkalmazásokat tartalmazó lista:

    • Milyen rendszerekhez csatlakoznak ezek az alkalmazások?
    • Honnan és milyen eszközökön férnek hozzájuk a felhasználók
    • Migrálják, elavultják vagy csatlakoztatják őket az Azure AD-Csatlakozás.

Megjegyzés

Az Alkalmazásfelderítési munkalap letöltésével rögzítheti az Azure AD-hitelesítésre áttérni kívánt alkalmazásokat, valamint azokat, amelyek elhagyása mellett az Azure AD-Csatlakozás.

2. fázis: Alkalmazások besorolása és próbatervek

Az alkalmazások migrálásának besorolása fontos gyakorlat. Nem minden alkalmazást kell egyszerre migrálni és áttelepíteni. Miután összegyűjtötte az egyes alkalmazásokkal kapcsolatos adatokat, észszerűsítheti, hogy mely alkalmazásokat kell először migrálni, és ez több időt is vegyen át.

Hatókörbe tartozó alkalmazások besorolása

Ennek egyik módja az üzleti kritikusság, a használat és az élettartam tengelye, amelyek több tényezőtől függenek.

Üzleti kritikusság

Az üzleti kritikusság minden vállalkozás esetében különböző dimenziókat fog figyelembe venni, de a két megfontolt intézkedés a funkciók, funkciók és felhasználói profilok. A redundáns vagy elavult funkciókkal nem rendelkezik, így az egyedi funkciókkal és alkalmazásokkal magasabb pontértéket rendelhet hozzá.

Funkciók és felhasználói profilok & diagramja

Használat

A magas kihasználtságú alkalmazásoknak magasabb értéket kell kapniuk, mint az alacsony kihasználtságú alkalmazásoknak. Magasabb érték hozzárendelése külső, vezetői vagy biztonsági csapat felhasználóit használó alkalmazásokhoz. A migrálási portfólióban található összes alkalmazáshoz töltse ki ezeket az értékeléseket.

A felhasználói mennyiség és a felhasználói szélességek spektrumát ábrázoló diagram

Miután meghatározta az üzleti kritikusság és használat értékeit, meghatározhatja az alkalmazás élettartamát, és létrehozhat egy prioritási mátrixot. Alább egy ilyen mátrixot láthat:

Háromszögdiagram a használat, a várható élettartam és az üzleti kritikusság közötti kapcsolatokról

Alkalmazások rangsorolása migráláshoz

Dönthet úgy, hogy az alkalmazás migrálását a legalacsonyabb prioritású alkalmazásokkal vagy a szervezet igényeitől függően a legmagasabb prioritású alkalmazásokkal kezdi.

Ha nem rendelkezik tapasztalattal az Azure AD és az Identitásszolgáltatások használata terén, fontolja meg a legalacsonyabb prioritású alkalmazások Azure AD-be való áthelyezését. Ez minimálisra csökkenti az üzletre gyakorolt hatást, és ön is építhet. Miután sikeresen áthelyezte ezeket az alkalmazásokat, és magabiztosan bízik meg az érintett felekben, folytathatja a többi alkalmazás áttelepítését.

Ha nincs egyértelmű prioritás, érdemes először az Azure AD-katalógusban található alkalmazásokat átköltöztetni, és támogatni több identitásszolgáltatót (ADFS vagy Okta), mert azok könnyebben integrálhatók. Valószínű, hogy ezek az alkalmazások a legmagasabb prioritású alkalmazások a szervezetben. Az SaaS-alkalmazások Az Azure AD-be való integrálásának segítée érdekében kifejlesztettünk egy oktatóanyag-gyűjteményt, amely végigveszi a konfiguráláson.

Ha van egy határidő az alkalmazások áttelepítésére, akkor ez a legmagasabb prioritású alkalmazások gyűjtő veszi át a nagyobb számítási feladatot. Végül kiválaszthatja az alacsonyabb prioritású alkalmazásokat, mivel azok nem módosítják a költségeket annak ellenére, hogy áthelyezte a határidő lejártakor. Még ha meg is kell újítania a licencet, az csak kis mennyiségben lesz érvényes.

Ezen besorolás mellett és a migrálás sürgősségétől függően érdemes lehet olyan migrálási ütemezést is beütemeket összeadni, amelyeken belül az alkalmazástulajdonosoknak kapcsolatba kell lépniük az alkalmazásaik migrálását. A folyamat végén meg kell lennie az összes olyan alkalmazás listájának, amely rangsorolásos gyűjtőkben található a migráláshoz.

Az alkalmazások dokumentálása

Először is gyűjti össze az alkalmazások legfontosabb adatait. Az Alkalmazásfelderítésmunkalap segít gyorsan meghozni a migrálási döntéseket, és rövid idő alatt javaslatot tesz az üzleti csoportnak.

A migrálási döntés meghozatala során fontos információk a következőket tartalmazzák:

  • Alkalmazás neve – mit nevezünk az alkalmazásnak a vállalat számára?

  • Alkalmazástípus – Külső SaaS-alkalmazásról van-e még ilyen? Egy egyéni üzletági webalkalmazást? API-t?

  • Üzleti kritikusság – magas kritikussága van? Alacsony? Vagy valahol a kettő között?

  • Felhasználói hozzáférés mennyisége – mindenki hozzáfér ehhez az alkalmazáshoz, vagy csak néhány ember?

  • Tervezett élettartam – mennyi ideig lesz ez az alkalmazás? Kevesebb mint hat hónap? Több mint két év?

  • Aktuális identitásszolgáltató – mi az alkalmazás elsődleges identitásszolgáltatója? Vagy helyi tárolóra támaszkodik?

  • Hitelesítési módszer – nyílt szabványok használatával hitelesíti az alkalmazást?

  • Akár frissíteni tervezi az alkalmazás kódját, akár tervezett, akár aktív fejlesztés alatt áll?

  • Akár a helyszínen szeretné megtartani az alkalmazást, akár hosszú távon is az adatközpontban szeretné tartani?

  • Függ-e az alkalmazás más alkalmazásoktól vagy API-któl – az alkalmazás jelenleg más alkalmazásokba vagy API-kba hív meg?

  • Azt határozza meg, hogy az alkalmazás az Azure AD-katalógusban található-e – az alkalmazás jelenleg már integrálva van az Azure AD-katalógussal?

Egyéb olyan adatok, amelyek később segítségére lesznek, de nem kell azonnali migrálási döntést hoznia, többek között az alábbi adatokat tartalmazzák:

  • Alkalmazás URL-címe – Hol férhetnek hozzá a felhasználók az alkalmazáshoz?

  • Alkalmazás leírása – mit jelent az alkalmazás rövid leírása?

  • Alkalmazástulajdonos – a vállalaton belül ki az alkalmazás fő poC-je?

  • Általános megjegyzések vagy megjegyzések – az alkalmazással vagy az üzlet tulajdonosával kapcsolatos egyéb általános információk

Miután besorolta az alkalmazást, és dokumentálta a részleteket, mindenképpen vásároljon az üzlet tulajdonosaként a tervezett migrálási stratégiához.

Próbaterv

A próbaalkalmazás(nak) a szervezet fő identitási és biztonsági követelményeit kell képviselnie, és egyértelműen meg kell kapnia az alkalmazástulajdonosoktól a részvételt. A próbakörnyezetek általában külön tesztkörnyezetben futnak. Tekintse meg a próbatervekkel kapcsolatos ajánlott eljárásokat az üzembehely helyezési tervek oldalán.

Ne feledkezzünk meg a külső partnerekről. Győződjön meg arról, hogy részt vesznek a migrálási ütemezésben és a tesztelésben. Végül ellenőrizze, hogy van-e módjuk hozzáférni az ön súgójához, ha problémákat okozhatnak.

Korlátozások megterve

Bár egyes alkalmazásokat könnyű átemelni, más alkalmazások több kiszolgáló vagy példány miatt hosszabb időt is igénybe vehetnek. Az egyéni bejelentkezési SharePoint miatt például a migrálás hosszabb időt is igénybe vehet.

Számos SaaS-alkalmazásgyártó díjat számol fel az SSO-kapcsolat módosításáért. Ellenőrizze őket, és tervezze meg ezt.

Az Azure AD szolgáltatáskorlátokkal és -korlátozásokkal is rendelkezik, amelyekről tudnia kell.

Alkalmazástulajdonosi kijelentkezás

Az üzletileg kritikus és általánosan használt alkalmazásokhoz próbafelhasználók egy csoportjára lehet szükség az alkalmazás próbaszakaszban való teszteléséhez. Miután tesztelt egy alkalmazást az éles üzem előtti vagy a próbakörnyezetben, győződjön meg arról, hogy az alkalmazás üzleti tulajdonosai az alkalmazás migrálását megelőzően a teljesítményt, valamint az összes felhasználót az Azure AD éles környezetben való hitelesítésre való használatára jelentkeztetik.

A biztonsági rendszer megterve

A migrálási folyamat kezdeményezése előtt gondolja át teljes mértékben a biztonsági rendszert, amit a vállalati identitásrendszerhez szeretne fejleszteni. Ennek alapja a következő értékes információk összegyűjtése: Az adatokhoz hozzáférő identitások, eszközök és helyek.

Identitások és adatok

A legtöbb szervezet rendelkezik olyan, az identitásokkal és adatvédelemmel kapcsolatos követelményekkel, amelyek iparági szegmensenként és a szervezeteken belüli munkakörök szerint változnak. A javaslatainkért tekintse meg az identitás- és eszköz-hozzáférési konfigurációkat, beleértve a feltételes hozzáférési szabályzatok és a kapcsolódó képességek előírt készletét.

Ezzel az információval megvédheti az Azure AD-val integrált összes szolgáltatáshoz való hozzáférést. Ezek a javaslatok összhangban vannak a Microsoft biztonsági pontszámával és az Azure AD identitáspontszámával. A pontszám az alábbiakban nyújt segítséget:

  • Az identitásbiztonsági rendszer objektív felmérése

  • Identitásbiztonsági fejlesztések tervezése

  • A fejlesztések hatásának felmérése

Ez segít megvalósítani az identitás-infrastruktúra biztonságossá tétele érdekében szükséges öt lépést is. Az útmutatást kiindulópontként használhatja a szervezet számára, és módosíthatja a szabályzatokat a szervezet konkrét követelményeinek megfelelően.

Who fér hozzá az adataihoz?

Az Azure AD által támogatott alkalmazások és erőforrások felhasználóinak két fő kategóriája van:

  • Belső: Az identitásszolgáltatón belül fiókokkal rendelkező alkalmazottak, alvállalkozók és szállítók. Ehhez a vezetők vagy a vezetőség és más alkalmazottak szabályainak további kimutatásaira lehet szükség.

  • Külső: Az Azure AD B2B együttműködés rendszeres üzletében a vállalatával együttműködő szállítók, szállítók, forgalmazók vagy egyéb üzleti partnerek.

Csoportok definiálhatók ezekhez a felhasználókhoz, és ezeket a csoportokat sokféleképpen feltöltheti. Dönthet úgy, hogy a rendszergazdának manuálisan kell tagokat hozzáadnia egy csoporthoz, vagy engedélyezheti az önkiszolgáló csoporttagságot. Szabályokat lehet létrehozni, amelyek automatikusan hozzáadnak tagokat a csoportokhoz a megadott feltételek alapján, dinamikus csoportok használatával.

Külső felhasználók is hivatkozhatnak az ügyfelekre. Azure AD B2Ctermék támogatja az ügyfél-hitelesítést. Ez azonban a tanulmány hatókörét nem terjed ki.

Az adatok eléréséhez használt eszköz/hely

Az alkalmazás eléréséhez használt eszköz és hely is fontos. A vállalati hálózathoz fizikailag csatlakozó eszközök biztonságosabbak. A hálózaton kívülről, VPN-en keresztüli kapcsolatok vizsgálatra lehet szükség.

Diagram a felhasználói hely és az adatelérés közötti kapcsolatról

Az erőforrások, a felhasználók és az eszközök ezen aspektusait szem előtt tartva dönthet úgy, hogy az Azure AD feltételes hozzáférési funkcióit használja. A feltételes hozzáférés túlmutat a felhasználói engedélyeken: olyan tényezők kombinációján alapul, mint például egy felhasználó vagy csoport identitása, a hálózat, amelyhez a felhasználó csatlakozik, az eszköz és az alkalmazás, amit használ, valamint az elérni próbált adatok típusán. A felhasználónak biztosított hozzáférés alkalmazkodik ehhez a szélesebb feltételkészlethez.

Kilépési feltételek

Ebben a fázisban a következő sikeres:

  • Az alkalmazások használata

    • Teljes körűen dokumentálta az átemelni kívánt alkalmazásokat
    • Az alkalmazások rangsorolása az üzleti kritikusság, a használat mennyisége és az élettartam alapján
  • Kiválasztotta azokat az alkalmazásokat, amelyek megfelelnek a próba követelményeinek

  • Üzleti tulajdonosi vásárlás a rangsoroláshoz és a stratégiához

  • A biztonsági igények és azok megvalósítása

3. fázis: A migrálás és a tesztelés megtervelése

Miután vállalati vásárlásra tett szert, a következő lépés ezeknek az alkalmazásoknak az Azure AD-hitelesítésre való mi telepítése.

Migrálási eszközök és útmutatók

Az alábbi eszközökkel és útmutatóval pontosan kövesse az alkalmazások Azure AD-be való áttelepítéséhez szükséges lépéseket:

  • Általános migrálási útmutató – Az Azure AD-alkalmazások migrálási eszközkészletében elérhető tanulmány, eszközök, e-mail-sablonok és alkalmazások kérdőívével felfedezheti, besorolhatja és migrálhatja az alkalmazásokat.

  • SaaS-alkalmazások – Több száz SaaS-alkalmazás oktatóanyagának listáját és a teljes Azure AD SSO üzembe helyezési tervet itt láthatja, amely végigveszi a teljes folyamatot.

  • Helyszínen futó alkalmazások – Megismerheti az Azure AD-alkalmazásproxy és használhatja a teljes Azure AD alkalmazásproxy üzembe helyezési tervet a gyors üzembe helyezéshez.

  • Fejlesztés alatt áll alkalmazások – Olvassa el a részletes integrációs és regisztrációs útmutatót.

A migrálás után dönthet úgy, hogy kommunikációt küld a felhasználóknak a sikeres üzembe helyezésről, és emlékezteti őket az esetlegesen szükséges új lépésekre.

Tesztelés megtervelése

A migrálás során előfordulhat, hogy az alkalmazás már rendelkezik tesztkörnyezettel a rendszeres üzembe helyezések során. Ezt a környezetet továbbra is használhatja migrálási teszteléshez. Ha egy tesztkörnyezet jelenleg nem érhető el, az alkalmazás architektúrája alapján Azure App Service vagy az Azure Virtual Machines használatával állíthat be egyet. Dönthet úgy, hogy külön Teszt Azure AD-bérlőt hoz létre az alkalmazáskonfigurációk fejlesztése során. Ez a bérlő tiszta állapotban indul el, és nem lesz konfigurálva a rendszerrel való szinkronizálásra.

Az egyes alkalmazásokat tesztelheti úgy, hogy bejelentkezik egy tesztfelhasználóval, és a migrálás előtt minden funkció azonos lesz. Ha a tesztelés során úgy dönt, hogy a felhasználóknak frissíteniük kell az MFA- vagy SSPR-beállításokat,vagy ezt a funkciót a migrálás során adja hozzá a végfelhasználói kommunikációs tervhez. Lásd: MFA és SSPR végfelhasználói kommunikációs sablonok.

Miután migrálta az alkalmazásokat, a Azure Portal, hogy a migrálás sikeres volt-e. Kövesse az alábbi utasításokat:

  • Válassza a Vállalati alkalmazások Minden alkalmazás > lehetőséget, és keresse meg az alkalmazást a listából.

  • Válassza a Felhasználók és csoportok kezelése > lehetőséget, ha legalább egy felhasználót vagy csoportot szeretne hozzárendelni az alkalmazáshoz.

  • Válassza a Feltételes hozzáférés kezelése > lehetőséget. Tekintse át a szabályzatok listáját, és győződjön meg arról, hogy feltételes hozzáférési szabályzatokkal nem blokkolja az alkalmazáshoz való hozzáférést.

Az alkalmazás konfigurálásától függően ellenőrizze, hogy az SSO megfelelően működik-e.

Hitelesítéstípus Tesztelés
OAuth/OpenID Csatlakozás Válassza a Vállalati alkalmazások > Engedélyek lehetőséget, és győződjön meg arról, hogy hozzájárult az alkalmazásnak a szervezetben való, az alkalmazás felhasználói beállításaiban való használatával.
SAML-alapú egyszeri bejelentkezés Használja az Egyszeri bejelentkezés alatt Gépház SAML-teszt gombot.
Jelszóalapú SSO Töltse le és telepítse a MyApps biztonságos bejelentkezési bővítményt. Ez a bővítmény segít elindítani a szervezet bármely olyan felhőalkalmazását, amely egy SSO-folyamat használatát igényli.

| alkalmazásproxy | Győződjön meg arról, hogy az összekötő fut, és hozzá van rendelve az alkalmazáshoz. További segítségért alkalmazásproxy hibaelhárítási útmutatót. |

Hibaelhárítás

Ha problémákba merül fel, segítségért tekintse meg az alkalmazások hibaelhárítási útmutatóját. Tekintse meg a hibaelhárítással kapcsolatos cikkeket is: Problémák az SAML-alapú egyszeri bejelentkezéshez konfigurált alkalmazásokba való bejelentkezéssel.

Visszaállítás megterve

Ha a migrálás sikertelen, a legjobb stratégia a visszaállítás és a tesztelés. A migrálási problémák elhárításához a következő lépéseket használhatja:

  • Képernyőképek készítése az alkalmazás meglévő konfigurációról. Ha újra kell konfigurálnia az alkalmazást, vissza is vissza tud nézni.

  • Érdemes lehet az örökölt hitelesítésre mutató hivatkozásokat is megszabadolni, ha probléma adva a felhőalapú hitelesítéssel.

  • A migrálás befejezése előtt ne módosítsa a meglévő konfigurációt a korábbi identitásszolgáltatónál.

  • Elsőnek a több ip-t támogató alkalmazások áttelepítését kell elkezdenie. Ha valami hiba történik, mindig módosíthatja az előnyben részesített internetszolgáltató konfigurációját.

  • Győződjön meg arról, hogy az alkalmazás felhasználói élménye rendelkezik Visszajelzés gombbal vagy a segítségével kapcsolatos problémákra mutató mutatókval.

Kilépési feltételek

Ebben a fázisban az a siker, ha:

  • Meghatározta, hogy az egyes alkalmazások migrálva lesznek

  • Áttekintve a migrálási eszközöket

  • Megtervezte a tesztelést, beleértve a tesztkörnyezeteket és csoportokat

  • Tervezett visszaállítás

4. fázis: Tervezéskezelés és elemzések

Az alkalmazások áttelepítése után gondoskodnia kell a következőről:

  • A felhasználók biztonságosan férhetnek hozzá és kezelhet

  • Megfelelő használati és alkalmazás-állapotelemzéseket kaphat

Javasoljuk, hogy a szervezetének megfelelően a következő műveleteket kell követnie.

A felhasználók alkalmazás-hozzáférésének kezelése

Miután migrálta az alkalmazásokat, számos módon bővítheti a felhasználói élményt

Az alkalmazások felderíthetővé tehetők

Mutasson a felhasználónak a MyApps portálfelületre. Itt hozzáférhetnek az összes felhőalapú alkalmazáshoz, az Ön által az Azure AD Csatlakozáshasználatával elérhetővé tenni, és az alkalmazásproxy-t használó alkalmazásokhoz, feltéve, hogy rendelkezik engedélyekkel az alkalmazások eléréséhez.

Útmutatást kaphat a felhasználók számára az alkalmazások felfedezéséhez:

Alkalmazások elérhetővé tétele

Lehetővé teszi, hogy a felhasználók a mobileszközükről férnek hozzá az alkalmazásokhoz. A felhasználók az Intune által felügyelt böngészővel férhetnek hozzá a MyApps portálhoz iOS 7.0-s vagy újabb vagy androidos eszközeiken.

A felhasználók letölthetik az Intune által felügyelt böngészőt:

Lehetővé teszi, hogy a felhasználók böngészőbővítményből nyissék meg az alkalmazásokat.

A felhasználók letölthetik a MyApps biztonságos bejelentkezési bővítményt a Chrome-ba, vagy Microsoft Edge alkalmazást, és közvetlenül a böngészősávjukról elindítva a következő célokat biztosítják:

  • Keresse meg az alkalmazásokat, és jelenjenek meg a legutóbb használt alkalmazások

  • Automatikusan konvertálja a belső URL-címeket, amelyek a alkalmazásproxy a megfelelő külső URL-címekké. A felhasználók mostantól dolgozhatnak a már ismert hivatkozásokkal, függetlenül attól, hogy hol vannak.

Lehetővé teszi, hogy a felhasználók a Office.com webhelyről nyissék meg az alkalmazásokat.

A felhasználók a Office.com webhelyen kereshetik meg az alkalmazásokat, és a legutóbb használt alkalmazásaik közvetlenül a munkahelyükről jelennek meg számukra.

Biztonságos alkalmazás-hozzáférés

Az Azure AD központosított hozzáférési helyet biztosít a migrált alkalmazások kezeléséhez. A Azure Portal és engedélyezze a következő képességeket:

  • Biztonságos felhasználói hozzáférés az alkalmazásokhoz. A feltételes hozzáférési szabályzatok vagyaz Identity Protectionengedélyezésével biztosíthatja a felhasználók hozzáférését az alkalmazásokhoz az eszköz állapota, helye és egyéb adatok alapján.

  • Automatikus kiépítés. A felhasználók automatikus építésének beállítása különböző külső SaaS-alkalmazásokkal, amelyekhez a felhasználóknak hozzá kell férni. A felhasználói identitások létrehozása mellett az állapot vagy a szerepkörök változásának megfelelő felhasználói identitások karbantartását és eltávolítását is magában foglalja.

  • Felhasználói hozzáférés-kezelés delegálható. Szükség esetén engedélyezze az önkiszolgáló alkalmazás-hozzáférést az alkalmazásokhoz, és rendeljen hozzá egy üzleti jóváhagyót az alkalmazásokhoz való hozzáférés jóváhagyásához. Az önkiszolgáló csoportkezeléstaz alkalmazásgyűjteményhez rendelt csoportokhoz használhatja.

  • Rendszergazdai hozzáférés delegálva. a Címtárszerepk szerepkör használatával hozzárendelhet egy rendszergazdai szerepkört (alkalmazás-rendszergazda, felhőalapú alkalmazás-rendszergazda vagy alkalmazásfejlesztőt) a felhasználóhoz.

Naplózás és elemzések az alkalmazásokról

A központi helyről Azure Portal összes alkalmazás naplózását is használhatja.

  • Az alkalmazás naplózása vállalati alkalmazásokkal, naplózás vagy az Azure AD Reporting API ugyanazon információinak elérése a kedvenc eszközeibe való integrálás érdekében.

  • Megtekintheti egy alkalmazás engedélyeinek megtekintéséhez a Vállalati alkalmazások, az OAuth/OpenID-hitelesítést használó Csatlakozás.

  • A vállalati alkalmazások és bejelentkezések használatával kaphat bejelentkezési elemzéseket. Ugyanezeket az adatokat az Azure AD Reporting API-ból is elérheti.

  • Alkalmazáshasználat vizualizációja az Azure AD-Power BI tartalomcsomagból

Kilépési feltételek

Ebben a fázisban a következő sikeres:

  • Biztonságos alkalmazás-hozzáférés biztosítása a felhasználók számára

  • Kezelés a migrált alkalmazások naplózáshoz és elemzésekhez

Még több alkalmazástelepítési terv

Az üzembehelyezés-tervek az Azure AD-megoldások üzleti értékét, tervezését, implementálásának lépéseit és felügyeletét, beleértve az alkalmazás-migrálási forgatókönyveket is. Az üzembe helyezés elkezdéséhez és az Azure AD-képességekből való kihozáshoz szükséges összes képességet együtt hozzák össze. Az üzembe helyezési útmutatók olyan tartalmakat tartalmaznak, mint például a Microsoft ajánlott eljárásai, a végfelhasználói kommunikáció, a tervezési útmutatók, az implementációs lépések, a tesztelési esetek stb.

Számos üzembe helyezési terv áll rendelkezésre az Ön számára, és mi mindig egyre többet készítünk!

Kapcsolatfelvétel a támogatási szolgáltatással

A támogatási jegy létrehozásához vagy nyomon követéséhez és az állapot figyelése érdekében látogasson el az alábbi támogatási hivatkozásokra.

  • Azure ügyfélszolgálata: A portált Microsoft ügyfélszolgálata, és bármely Azure-hoz megnyithat egy jegyet

Identitás üzembe helyezési problémája attól függően, hogy milyen Nagyvállalati Szerződés Microsofttal.

  • FastTrack: Ha Nagyvállalati mobilitási és biztonsági (EMS) vagy prémium szintű Azure AD-licenceket vásárolt, akkor jogosult telepítési segítséget kapni a FastTrack programtól.

  • Lépjen kapcsolatba a termékmérnöki csapattal: Ha több millió felhasználóval dolgozik egy nagyobb ügyféltelepítésen, akkor az Microsoft-fiók-csapat vagy a Cloud megoldásarchitektúra-szakértő. A projekt üzembe helyezési összetettsége alapján közvetlenül az Azure Identity termékmérnöki csapatával dolgozhat.

  • Azure AD Identity blog: Iratkozzon fel az Azure AD Identity blogra, hogy naprakész maradjon a termékekkel kapcsolatos legújabb bejelentésekkel, részletes információkkal és az identitásmérnöki csapat által biztosított ütemterv-információkkal.