Перенос проверки подлинности приложения в Azure Active Directory

Об этом документе

В этом документе подробно описывается планирование и преимущества переноса проверки подлинности приложения в Azure AD. Он предназначен для администраторов и специалистов по идентификации Azure.

Разбить процесс на четыре этапа, каждый с подробным критерием планирования и выхода, он поможет спланировать стратегию миграции и понять, как проверка подлинности Azure AD поддерживает ваши цели Организации.

Введение

В настоящее время Организация требует от приложений (приложений), чтобы пользователи могли приступить к работе. Скорее всего, вы продолжаете добавлять, разрабатывать и выменять приложения каждый день. Пользователи получают доступ к этим приложениям из широкого спектра корпоративных и персональных устройств и расположений. Они могут открывать приложения различными способами, в том числе:

  • через домашнюю страницу или портал компании

  • с помощью закладок в браузерах

  • через URL-адрес поставщика для приложений SaaS (программное обеспечение как услуга)

  • ссылки, отправленные непосредственно на настольные компьютеры пользователей или мобильные устройства с помощью решения для управления мобильными устройствами и приложениями (MDM/MAM)

Приложения, скорее всего, используют следующие типы проверки подлинности:

  • Локальные решения Федерации (например, службы федерации Active Directory (AD FS) (ADFS) и проверка связи)

  • Active Directory (например, проверка подлинности Kerberos и проверка подлинности Windows-Integrated)

  • Другие решения для управления удостоверениями и доступом (IAM) на основе облака (например, Okta или Oracle)

  • Локальная веб-инфраструктура (например, IIS и Apache);

  • Облачная инфраструктура, размещенная в облаке (например, Azure и AWS);

Чтобы пользователи могли легко и безопасно получать доступ к приложениям, ваша цель состоит в наличии единого набора элементов управления доступом и политик в локальных и облачных средах.

Azure Active Directory (Azure AD) предлагает универсальную платформу идентификации, которая предоставляет своим сотрудникам, партнерам и клиентам единое удостоверение для доступа к нужным приложениям и их совместной работы с любой платформой и устройством.

Схема подключения Azure Active Directory

В Azure AD есть полный набор возможностей управления удостоверениями. Стандартизация проверки подлинности и авторизации приложения в Azure AD позволяет получить преимущества, предоставляемые этими возможностями.

Дополнительные материалы по миграции можно найти по адресу https://aka.ms/migrateapps

Преимущества миграции проверки подлинности приложения в Azure AD

Перемещение проверки подлинности приложения в Azure AD поможет вам управлять рисками и затратами, повысить производительность и требования к соответствию и управлению.

Управление рисками.

Защита приложений требует полного просмотра всех факторов риска. Перенос приложений в Azure AD объединяет решения по обеспечению безопасности. С ним можно:

Управление затратами

В Организации может существовать несколько решений управления доступом для идентификации (IAM). Переход на одну инфраструктуру Azure AD — это возможность снизить зависимости от связанных с IAM-лицензиями (локально или в облаке) и затрат на инфраструктуру. В тех случаях, когда вы уже платите за Azure AD с помощью лицензий Microsoft 365, нет необходимости платить дополнительные затраты на другое решение IAM.

С помощью Azure AD можно сократить затраты на инфраструктуру, выполнив следующие действия.

Повышение производительности

Экономичность и преимущества безопасности позволяют организациям использовать Azure AD, но полное внедрение и соответствие более вероятно, если у пользователей тоже есть преимущество. С помощью Azure AD вы можете:

Соответствие и управление адресами

Обеспечение соответствия нормативным требованиям путем применения политик корпоративного доступа и мониторинга доступа пользователей к приложениям и связанным данным с помощью интегрированных средств аудита и интерфейсов API. С помощью Azure AD можно отслеживать входы в приложения с помощью отчетов, использующих средства отслеживания инцидентов и событий безопасности (SIEM). Вы можете получить доступ к отчетам с помощью портала или API-интерфейсов, а также программными средствами аудита, которые имеют доступ к приложениям, и для удаления доступа неактивных пользователей с помощью проверок доступа.

Планирование этапов миграции и стратегии проекта

При сбое технологических проектов часто возникает несоответствие ожидания, невовлеченные заинтересованные лица или недостаток взаимодействия. Обеспечьте успешное выполнение, планируя сам проект.

Этапы миграции

Прежде чем приступить к работе со средствами, необходимо понять, как думать процесс миграции. С помощью нескольких семинаров "прямой-к-клиенту" Мы рекомендуем выполнить следующие четыре этапа:

Диаграмма этапов миграции

Формирование группы проекта

Миграция приложений — это усилия группы, и необходимо убедиться, что все важные положения заполнены. Поддержка от старших лидеров бизнеса важна. Убедитесь, что вы участвуете в работе с верным набором руководителей, бизнес-решений и специалистов по вопросам (экспертов).

Во время проекта миграции один пользователь может выполнить несколько ролей, или несколько сотрудников выполняют каждую роль в зависимости от размера и структуры вашей организации. Кроме того, у вас может быть зависимость от других команд, которые играют ключевую роль в вашей ландшафте безопасности.

В следующей таблице приведены ключевые роли и их вклады.

Роль Активность
Project Manager Проектная учетная запись для глобального идентификатора проекта, включая:
— Получите техническую поддержку
-Перенесите заинтересованных лиц
— Управление расписаниями, документацией и связью
Архитектор удостоверений и администратор Azure AD App Они отвечают за следующее:
— проектирование решения в сотрудничество с заинтересованными лицами
— Документирование проектирования и операционных процедур решения для передачи группе эксплуатации
— Управление подготовительными и рабочими средами;
Группа локальных операций AD Организация, управляющая разными локальными источниками удостоверений, такими как леса AD, каталоги LDAP, системы отдела кадров и т. д.
— выполнение любых задач по исправлению, необходимых перед синхронизацией
— Укажите учетные записи служб, необходимые для синхронизации.
— предоставление доступа для настройки Федерации в Azure AD;
Диспетчер технической поддержки Представитель организации, обеспечивающей техническую поддержку, который может предоставить входные данные о поддержке этого изменения с точки зрения службы технической поддержки.
Владелец безопасности Участник группы безопасности, который может обеспечить соответствие плана требованиям безопасности вашей организации.
Технические владельцы приложений Включает в себя технические владельцы приложений и служб, которые будут интегрироваться с Azure AD. Они предоставляют атрибуты идентификации приложений, которые должны включаться в процесс синхронизации. Они обычно имеют отношение с представителями CSV.
Владельцы бизнес-приложений Репрезентативные коллеги, которые могут предоставить входные данные о работе пользователя и полезность этого изменения с точки зрения пользователя и принадлежат общему бизнес-аспекту приложения, который может включать в себя управление доступом.
Пилотная группа пользователей Пользователи, которые будут тестироваться как часть своей ежедневной работы, пилотного процесса и предлагают отзывы для всех остальных развертываний.

Планирование обмена данными

Эффективное бизнес-взаимодействие и обмен данными являются ключом к успешному выполнению. Важно предоставить заинтересованным лицам и конечным пользователям возможность получать информацию и получать сведения о расписании обновлений. Расскажите всем о значении миграции, ожидаемых временных шкалах и о том, как спланировать временное нарушение бизнеса. Используйте несколько способов, таких как сеансы информационных сообщений, сообщения электронной почты, встречи "один к одному", баннеры и товнхаллс.

В зависимости от стратегии обмена данными, выбранной для приложения, может потребоваться напомнить пользователям о незавершенном простоем. Также следует убедиться, что нет недавних изменений или бизнес-факторов, требующих отложить развертывание.

В следующей таблице приведены минимальные предлагаемые коммуникации, которые помогут вам информировать ваших заинтересованных лиц:

Этапы плана и стратегия проекта:

Связь Аудитория
Осведомленность и бизнес/технические ценности проекта Все, кроме конечных пользователей
Запрос пилотных приложений — Владельцы бизнес-приложений
— Технические владельцы приложений
— Группа архитекторов и удостоверений

Этап 1. обнаружение и область действия:

Связь Аудитория
— Запрос сведений о приложении
— Результат упражнения «определение области»
— Технические владельцы приложений
— Владельцы бизнес-приложений

Этап 2. Классификация приложений и пилотное планирование:

Связь Аудитория
— Результат классификации и то, что означает расписание миграции.
— Предварительное расписание миграции
— Технические владельцы приложений
— Владельцы бизнес-приложений

Этап 3 — Планирование миграции и тестирования.

Связь Аудитория
— Результат тестирования миграции приложений — Технические владельцы приложений
— Владельцы бизнес-приложений
— Уведомление о поступающей миграции и объяснение результатов работы конечных пользователей.
— Поступающие и законченные простои, включая сведения, которые должны быть выполнены, Отзывы и способы получения справки
— Конечные пользователи (и все остальные);

Этап 4. Управление и получение аналитических сведений:

Связь Аудитория
Доступная Аналитика и доступ — Технические владельцы приложений
— Владельцы бизнес-приложений

Панель мониторинга связи состояний миграции

Обмен данными с общим состоянием проекта миграции имеет решающее значение, так как он показывает ход выполнения и помогает владельцам приложений, приложения которых доходят до миграции для подготовки к перемещению. Вы можете объединить простую панель мониторинга с помощью Power BI или других средств создания отчетов, чтобы предоставить представление о состоянии приложений во время миграции.

Ниже перечислены состояния миграции, которые можно использовать.

Состояния миграции План действий
Первоначальный запрос Найдите приложение и обратитесь к владельцу за дополнительными сведениями
Оценка завершена Владелец приложения оценивает требования приложения и возвращает анкету приложения
Выполняется настройка Разработка изменений, необходимых для управления проверкой подлинности в Azure AD
Тестовая конфигурация успешно выполнена Оценка изменений и проверка подлинности приложения в тестовом клиенте Azure AD в тестовой среде
Рабочая конфигурация успешно выполнена Изменение конфигураций для работы в рабочем клиенте AD и оценка проверки подлинности приложения в тестовой среде
Завершение и выход Разверните изменения для приложения в рабочей среде и выполните его в рабочем клиенте Azure AD.

Это обеспечит владельцам приложений, что такое расписание миграции и тестирования приложений, если их приложения предназначены для миграции, а также результаты из других приложений, которые уже были перенесены. Вы также можете предоставить ссылки на базу данных средства записи ошибок для владельцев, чтобы иметь возможность создавать файлы и просматривать проблемы для переносимых приложений.

Рекомендации

Ниже приведены истории успеха клиента и партнера, а также предлагаются рекомендации.

Этап 1. обнаружение и определение области приложений

Обнаружение и анализ приложений — это фундаментальное упражнение, позволяющее получить хорошее начало. Вы можете не быть уверены, что все готово для размещения неизвестных приложений.

Поиск приложений

Первая точка принятия решений в переносе приложений заключается в том, какие приложения следует перенести, что, если оно должно остаться, и какие приложения следует использовать. Вы всегда сможете объявить о нерекомендуемых приложениях, которые не будут использоваться в вашей организации. Существует несколько способов поиска приложений в Организации. При обнаружении приложений убедитесь, что вы включаете приложения, предназначенные для разработки и планирования. Используйте Azure AD для проверки подлинности во всех будущих приложениях.

Использование службы федерации Active Directory (AD FS) (AD FS) для сбора правильных данных инвентаризации приложений:

  • Использование Azure AD Connect Health. Если у вас есть лицензия Azure AD Premium, мы рекомендуем развернуть Azure AD Connect Health , чтобы проанализировать использование приложения в локальной среде. Вы можете использовать отчет приложения ADFS (Предварительная версия) для обнаружения приложений ADFS, которые можно перенести, и оценить готовность переносимого приложения. После завершения миграции разверните Cloud Discovery , которая позволяет постоянно отслеживать теневые ИТ в вашей организации после того, как вы находитесь в облаке.

  • AD FS синтаксический анализ журнала. Если у вас нет лицензий Azure AD Premium, мы рекомендуем использовать ADFS для средств миграции приложений Azure AD на основе PowerShell. См. руководство по решению:

Перенос приложений из службы федерации Active Directory (AD FS) (AD FS) в Azure AD.

Использование других поставщиков удостоверений (поставщиков удостоверений)

Для других поставщиков удостоверений (например, Okta или ping) можно использовать свои средства для экспорта инвентаризации приложений. Вы можете рассмотреть принципы обслуживания, зарегистрированные на Active Directory, которые соответствуют веб-приложениям в вашей организации.

Использование средств облачного обнаружения

В облачной среде вам нужна широкая видимость, контроль над командировкой данных и сложная аналитика для поиска и борьбы с кибератак угрозами во всех облачных службах. Инвентаризацию облачных приложений можно собрать с помощью следующих средств:

  • Брокер Cloud Access Security (КАСБ) — КАСБ обычно работает вместе с брандмауэром, чтобы предоставить сведения об использовании облачных приложений сотрудников и помочь защитить корпоративные данные от угроз кибербезопасности. Отчет КАСБ поможет определить наиболее используемые приложения в Организации, а также ранние целевые объекты для перехода на Azure AD.

  • Cloud Discovery . настроив Cloud Discovery, вы получаете представление об использовании облачных приложений и можете обнаруживать несанкционированные или теневые ИТ-приложения.

  • API — для приложений, подключенных к облачной инфраструктуре, вы можете использовать API и средства в этих системах, чтобы начать инвентаризацию размещенных приложений. В среде Azure:

    • Используйте командлет Get-AzureWebsite , чтобы получить сведения о веб-сайтах Azure.

    • Используйте командлет Get-AzureRMWebApp , чтобы получить сведения о веб-приложениях Azure. D

    • Все приложения, запущенные в Microsoft IIS, можно найти в командной строке Windows с помощью AppCmd.exe.

    • Используйте приложения и субъекты-службы , чтобы получить сведения о приложении и экземпляре приложения в каталоге в Azure AD.

Использование ручных процессов

После выполнения описанных выше автоматизированных подходов вы получите хороший обработчик для ваших приложений. Однако вы можете выполнить следующие действия, чтобы обеспечить хорошее покрытие для всех областей доступа пользователей:

  • Чтобы найти приложения, используемые в Организации, обратитесь к различным владельцам компании в Организации.

  • Запустите средство проверки HTTP на прокси-сервере или Проанализируйте журналы прокси-сервера, чтобы увидеть, как часто направляются трафик.

  • Просмотрите блогов с популярных сайтов корпоративного портала, чтобы узнать, какие ссылки пользователи обращают к большинству пользователей.

  • Свяжитесь с руководителями или другими ключевыми бизнес-участниками, чтобы убедиться, что вы охвачены критически важными для бизнеса приложениями.

Тип переносимых приложений

Найдя приложения, вы сможете определить эти типы приложений в Организации:

  • Приложения, использующие современные протоколы проверки подлинности, уже

  • Приложения, использующие устаревшие протоколы проверки подлинности, которые вы выбрали для модернизировать

  • Приложения, использующие устаревшие протоколы проверки подлинности, которые вы решили не модернизировать

  • Новые бизнес-приложения (LoB)

Приложения, использующие современные проверки подлинности, уже

Уже современные приложения, скорее всего, будут перемещены в Azure AD. Эти приложения уже используют современные протоколы проверки подлинности (например, SAML или OpenID Connect Connect) и могут быть перенастроены для проверки подлинности в Azure AD.

Помимо выбора в коллекции приложений Azure AD, это могут быть приложения, которые уже существуют в вашей организации или какие-либо сторонние приложения от поставщика, который не входит в коллекцию Azure AD (приложения, не относящиеся кколлекции).

Устаревшие приложения, которые вы выбрали для модернизировать

Для устаревших приложений, которые вы хотите модернизировать, перемещение в Azure AD для основной проверки подлинности и авторизации разблокирует все возможности и полноту данных, предоставляемые Microsoft Graph и Intelligent Security Graph .

Мы рекомендуем Обновить код стека проверки подлинности для этих приложений из устаревшего протокола (например, Windows-Integrated Authentication, ограниченное делегирование Kerberos, проверка подлинности на основе HTTP-заголовков) на современный протокол (например, SAML или OpenID Connect Connect).

Устаревшие приложения, которые вы решили не модернизировать

В некоторых приложениях, использующих устаревшие протоколы проверки подлинности, иногда модернизации их проверку подлинности не так хорошо, как это необходимо для бизнес-целей. К ним относятся следующие типы приложений:

  • Приложения, которые хранятся локально для обеспечения соответствия или управления.

  • Приложения, подключенные к локальному удостоверению или поставщику Федерации, которые вы не хотите изменять.

  • Приложения, разработанные с использованием локальных стандартов проверки подлинности, которые не планируется перемещать

Azure AD может предоставить преимущества этим старым приложениям, так как вы можете включить современные функции безопасности и управления Azure AD, такие как многофакторная идентификация, Условный доступ, Защита идентификации, делегированный доступ к приложениями проверки доступа к этим приложениям, не затрагивая приложение.

Начните с расширения этих приложений в облако с помощью прокси приложения Azure AD, используя простые средства проверки подлинности (например, хранилище паролей) для быстрой миграции пользователей или через интеграцию партнеров с контроллерами доставки приложений, которые могли быть развернуты.

Новые бизнес-приложения (LoB)

Обычно бизнес-приложения разрабатываются для внутреннего использования в вашей организации. Если в конвейере есть новые приложения, мы рекомендуем использовать платформу Microsoft Identity Platform для реализации OpenID Connect Connect.

Устаревшие приложения

Приложения без четких владельцев и четкое обслуживание и мониторинг представляют угрозу безопасности для вашей организации. Рекомендуется использовать устаревшие приложения в следующих случаях:

  • их функциональные возможности очень избыточны с другими системами • не существует владельца компании .

  • явное использование не используется.

Рекомендуется не использовать устаревшие, критически важные для бизнеса приложения. В таких случаях следует работать с владельцами компании, чтобы определить правильную стратегию.

Условия выхода

На этом этапе вы успешно используете:

  • Хорошее понимание систем в области действия миграции (которую можно снять с учета после перемещения в Azure AD).

  • Список приложений, включающих:

    • Какие системы подключаются к этим приложениям
    • Откуда и на каких устройствах пользователи обращаются к ним
    • Будут ли они перенесены, не рекомендуются или подключены с Azure AD Connect.

Примечание

Вы можете скачать лист обнаружения приложений , чтобы записать приложения, которые необходимо перенести в проверку подлинности Azure AD, и те, которые вы хотите оставить, но управлять ими с помощью Azure AD Connect.

Этап 2. Классификация приложений и пилотное планирование

Классификация миграции приложений является важным упражнением. Не все приложения должны быть перенесены и переведены в одно и то же время. После сбора сведений о каждом из приложений можно рационализировать, какие приложения должны быть перенесены первыми и что может занять некоторое время.

Классификация приложений в области

Один из способов подумать об этом заключается в том, что они являются осями критически важности, использования и срока существования бизнеса, каждый из которых зависит от нескольких факторов.

Важность для бизнеса

Критически важность для бизнеса повлияет на различные измерения для каждого бизнеса, но эти две меры следует рассмотреть — функции, функции и Профили пользователей. Назначьте приложениям уникальные функции с более высоким значением точки, чем с избыточной или устаревшей функциональностью.

Схема спектра функций & функциональности и профилей пользователей

Использование

Приложения с номерами с высоким уровнем использования должны быть больше, чем приложения с низким уровнем использования. Назначение более высокого значения приложениям с внешними, руководителями и пользователями группы безопасности. Выполните эти оценки для каждого приложения в портфеле миграции.

Схема спектра пользовательских громкости и объема пользователя

После определения значений для критически важности и использования бизнеса можно определить время существования приложения и создать матрицу приоритета. См. одну из следующих матриц:

Схема треугольника, показывающая связи между использованием, ожидаемым сроком существования и критическим бизнесом

Определение приоритета приложений для миграции

Вы можете начать миграцию приложений с помощью приложений с наименьшим приоритетом или приложений с наивысшим приоритетом в зависимости от потребностей вашей организации.

В случае отсутствия опыта использования Azure AD и служб удостоверений рекомендуется сначала переместить приложения с низким приоритетом в Azure AD. Это позволит снизить влияние на бизнес, а также создать время. После успешного перемещения этих приложений и получения уверенности заинтересованного лица можно продолжить миграцию других приложений.

Если нет четкого приоритета, следует рассмотреть возможность перемещения приложений из коллекции Azure AD в первую очередь и поддержку нескольких поставщиков удостоверений (ADFS или Okta), поскольку их легче интегрировать. Скорее всего, эти приложения являются приложениями с наивысшим приоритетом в вашей организации. Для интеграции приложений SaaS с Azure AD мы разработали набор руководств , которые помогут вам выполнить настройку.

При наличии крайнего срока для миграции приложений этот контейнер приложений с наивысшим приоритетом будет выполнять основную рабочую нагрузку. В конечном итоге можно выбрать приложения с более низким приоритетом, так как они не изменяют стоимость, даже если вы переместили крайний срок. Даже если вам необходимо продлить лицензию, он будет небольшим количеством.

Помимо этой классификации и в зависимости от срочности миграции, можно также рассмотреть возможность создания расписания миграции , в пределах которого владельцы приложений должны приноситься к переносу приложений. В конце этого процесса у вас должен быть список всех приложений в контейнерах с приоритетами для миграции.

Документирование приложений

Сначала начните с сбора основных сведений о приложениях. Лист "Обнаружение приложений" поможет быстро принять решения о миграции и получить рекомендацию для вашей бизнес-группы в любое время.

Сведения, важные для принятия решения о миграции, включают:

  • Имя приложения — что такое приложение известно для бизнеса?

  • Тип приложения — это стороннее приложение SaaS? Пользовательское бизнес-приложение? API?

  • Важность для бизнеса — высокая важность? Низшую? Или где-то между?

  • Громкость доступа пользователей — делает все доступ к этому приложению или лишь некоторым другим людям?

  • Запланированный срок существования приложения? Менее шести месяцев? Более двух лет?

  • Текущий поставщик удостоверений — Какова основная IDP для этого приложения? Или использует локальное хранилище?

  • Метод проверки подлинности — выполняет ли приложение проверку подлинности с помощью открытых стандартов?

  • Планируется ли обновление кода приложения — это приложение под плановой или активной разработкой?

  • Планируется ли локальное развертывание приложения — вы хотите, чтобы приложение оставалось в вашем центре обработки данных в долгосрочной перспективе?

  • Зависит ли приложение от других приложений или интерфейсов API : приложение в данный момент вызывает другие приложения или API?

  • Входит ли приложение в коллекцию Azure AD — приложение, которое сейчас уже интегрировано с коллекцией Azure AD?

Другие данные, которые помогут вам позже, но не нужно принимать решение о немедленной миграции:

  • URL-адрес приложения — где пользователи могут перейти к приложению?

  • Описание приложения — краткое описание того, что делает приложение?

  • Владелец приложения — является ли предприятие основным для проверки концепции приложения?

  • Общие комментарии или примечания — любые другие общие сведения о владельце приложения или Организации

После того как вы разклассифицирует приложение и запланировали подробные сведения, не забудьте приобретать бизнес-владельца приобрести стратегию плановой миграции.

Планирование пилотного проекта

Приложения, выбранные для пилотной программы, должны представлять требования к удостоверениям и безопасности для вашей организации, а также быть в наличии четких приобретенных владельцев приложений. Пилотные проекты обычно выполняются в отдельной тестовой среде. См. рекомендации по пилотным испытаниям на странице планы развертывания.

Не забывайте о внешних партнерах. Убедитесь, что они участвуют в планировании миграции и тестировании. Наконец, убедитесь, что у них есть способ доступа к службе технической поддержки, если возникли проблемы.

Планирование ограничений

Хотя некоторые приложения легко перенести, другие могут занимать больше времени из-за нескольких серверов или экземпляров. Например, миграция SharePoint может занимать больше времени из-за пользовательских страниц входа.

Во многих поставщиках приложений SaaS взимается плата за изменение подключения единого входа. Проверьте их с помощью и запланируйте это.

Кроме того, в Azure AD предусмотрены ограничения службы и ограничения , которые следует учитывать.

Регистрация владельца приложения

Для приложений, критических для бизнеса и универсальных, может потребоваться группа пилотных пользователей для тестирования приложения на этапе пилотного развертывания. После тестирования приложения в подготовительной или пилотной среде убедитесь, что владельцы приложений подключаются к производительности до переноса приложения и всех пользователей в рабочую среду Azure AD для проверки подлинности.

Планирование уровня безопасности

Прежде чем начать процесс миграции, уделите время, чтобы полностью оценить уровень безопасности, который вы хотите разрабатывать для корпоративной системы идентификации. Это основано на сборе этих ценных сведений: удостоверений, устройств и расположений, которые обращаются к данным.

Удостоверения и данные

Большинству организаций предъявляются особые требования к удостоверениям и защите данных, зависящие от сегмента отрасли и функций заданий в организациях. Сведения о конфигурациях доступа к удостоверениям и устройствам для наших рекомендаций, включая предписанный набор политик условного доступа и связанные с ним возможности, см. здесь.

Эти сведения можно использовать для защиты доступа ко всем службам, интегрированным с Azure AD. Эти рекомендации согласованы с рейтингом Microsoft Secure и рейтингом удостоверений в Azure AD. Оценка поможет вам:

  • объективно определить уровень безопасности удостоверений;

  • спланировать улучшения безопасности;

  • оценить успешность внесенных улучшений.

Это также поможет вам реализовать пять шагов для обеспечения безопасности инфраструктуры идентификации. Используйте рекомендации в качестве отправной точки для Организации и настройте политики в соответствии с конкретными требованиями Организации.

Кто получает доступ к данным?

Существует две основные категории пользователей ваших приложений и ресурсов, которые поддерживает Azure AD:

  • Внутренний: Сотрудники, подрядчики и поставщики, имеющие учетные записи в вашем поставщике удостоверений. Для этого может потребоваться дальнейшая сводка с разными правилами для руководителей или лидерства и других сотрудников.

  • Внешний: Поставщики, поставщики, дистрибьюторы или другие бизнес-партнеры, взаимодействующие с вашей организацией в рамках обычного бизнеса с помощью службы совместной работы Azure AD B2B.

Вы можете определить группы для этих пользователей и заполнять эти группы различными способами. Вы можете выбрать, что администратор должен вручную добавить членов в группу или включить членство в группе сайтов самообслуживания. Можно установить правила, которые автоматически добавляют элементы в группы на основе заданных критериев с помощью динамических групп.

Внешние пользователи также могут ссылаться на клиентов. Azure AD B2C, отдельный продукт поддерживает проверку подлинности клиента. Однако он выходит за рамки данного документа.

Устройство или расположение, используемые для доступа к данным

Также важны устройство и расположение, которое пользователь использует для доступа к приложению. Устройства, физически подключенные к корпоративной сети, являются более безопасными. Для подключений извне сети через VPN может потребоваться тщательность.

Схема, показывающая связь между расположением пользователя и доступом к данным

Учитывая эти аспекты ресурсов, пользователей и устройств, вы можете использовать возможности условного доступа Azure AD . Условный доступ выходит за пределы разрешений пользователя: он основан на сочетании факторов, таких как удостоверение пользователя или группы, сеть, к которой подключен пользователь, устройство и приложение, которые они используют, а также тип данных, к которым они пытаются получить доступ. Доступ, предоставленный пользователю, адаптируется к этому расширенному набору условий.

Условия выхода

На этом этапе вы успешно выполните следующие действия:

  • Знакомство с вашими приложениями

    • Полностью задокументированы приложения, которые вы собираетесь перенести.
    • Постановка приоритетных приложений на основе критически важности бизнеса, объема использования и срока существования
  • Выбрали приложения, представляющие ваши требования для пилотного развертывания

  • Организация, ответственная за приобретение своих приоритетов и стратегии

  • Понимание требований к безопасности и способов их реализации

Этап 3. Планирование миграции и тестирования

Когда вы получите бизнес-покупку, переходите к переносу этих приложений на проверку подлинности Azure AD.

Средства и рекомендации по миграции

Воспользуйтесь инструментами и инструкциями ниже, чтобы выполнить точные действия по переносу приложений в Azure AD.

После миграции вы можете отсылать сообщения, уведомляющие пользователей об успешном развертывании, и напомнить о новых шагах, которые необходимо выполнить.

Планирование тестирования

Во время процесса миграции приложение может уже иметь тестовую среду, используемую во время обычных развертываний. Вы можете продолжать использовать эту среду для тестирования миграции. Если тестовая среда в настоящее время недоступна, вы можете настроить ее с помощью службы приложений Azure или виртуальных машин Azure в зависимости от архитектуры приложения. Вы можете настроить отдельный тестовый клиент Azure AD для использования при разработке конфигураций приложений. Этот клиент будет запущен в чистом состоянии и не будет настроен для синхронизации с какой-либо системой.

Чтобы протестировать каждое приложение, войдите в систему с помощью тестового пользователя и убедитесь, что все функциональные возможности одинаковы до миграции. Если во время тестирования вы определили, что пользователям потребуется обновить свои параметры MFA или SSPRили вы добавляете эти функции во время миграции, обязательно добавьте его в план взаимодействия конечных пользователей. См. раздел MFA и шаблоны связи для конечных пользователей SSPR .

После переноса приложений перейдите в портал Azure , чтобы проверить успешность миграции. Выполните приведенные далее инструкции.

  • Выберите корпоративные приложения > все приложения и найдите свое приложение в списке.

  • Выберите пункт Управление > пользователями и группами , чтобы назначить приложению хотя бы одного пользователя или группу.

  • Выберите Управление > условным доступом. Проверьте список политик и убедитесь, что вы не блокируете доступ к приложению с помощью политики условного доступа.

В зависимости от настройки приложения убедитесь, что единый вход работает правильно.

Authentication type (Тип проверки подлинности) Тестирование
Подключение OAuth или OpenID Connect Выберите > разрешения для корпоративных приложений и убедитесь, что вы предслали ваше приложение для использования в вашей организации в параметрах пользователя для вашего приложения.
Единый вход на основе SAML Используйте кнопку Проверка параметров SAML в разделе единый вход.
Единый вход на основе пароля Скачайте и установите расширение для безопасного входа в MyApps. Это расширение позволяет запускать любые облачные приложения вашей организации, требующие использования единого входа.

| Прокси приложения | Убедитесь, что соединитель работает и назначен вашему приложению. За дополнительной помощью обратитесь к руководству по устранению неполадок прокси приложения . |

Диагностика

При возникновении проблем ознакомьтесь с руководством по устранению неполадок приложений , чтобы получить помощь. Вы также можете ознакомиться с нашими статьями по устранению неполадок. см. статью проблемы при входе в настроенные приложения единого входа на основе SAML.

Планирование отката

В случае сбоя миграции лучше всего выполнить откат и тестирование. Ниже приведены действия, которые можно предпринять для устранения проблем с миграцией.

  • Создание снимков экрана существующей конфигурации приложения. Если необходимо снова настроить приложение, вы можете просмотреть его снова.

  • Вы также можете предоставить ссылки на устаревшую проверку подлинности, если возникли проблемы с проверкой подлинности в облаке.

  • Прежде чем завершить миграцию, не изменяйте существующую конфигурацию с помощью более раннего поставщика удостоверений.

  • Начните с миграции приложений, поддерживающих несколько поставщиков удостоверений. Если что-то пойдет не так, вы всегда можете перейти на предпочитаемую конфигурацию IdP.

  • Убедитесь, что у вашего приложения есть кнопка отзыва или ссылки на проблемы службы поддержки .

Условия выхода

На этом этапе вы успешно выполните следующие действия:

  • Определено, как будут перенесены все приложения

  • Проверены средства миграции

  • Планирование тестирования, включая тестовые среды и группы

  • Запланированный откат

Этап 4. Управление планами и аналитика

После переноса приложений необходимо убедиться в том, что:

  • Пользователи могут безопасно получать доступ и управлять

  • Вы можете получить соответствующее представление об использовании и работоспособности приложений.

Рекомендуется предпринять следующие действия в соответствии с вашей организацией.

Управляйте доступом пользователей к приложениям

После переноса приложений вы можете расширить возможности работы пользователей различными способами.

Сделать приложения доступными для обнаружения

Наведите на себя пользователя на портале MyApps. Здесь они могут получить доступ ко всем облачным приложениям, приложениям, предоставляемым с помощью Azure AD Connect, а приложения, использующие прокси приложения , имеют разрешения на доступ к этим приложениям.

Вы можете помочь пользователям узнать, как обнаруживать свои приложения:

Сделать приложения доступными

Разрешить пользователям доступ к приложениям с мобильных устройств. Пользователи могут получить доступ к порталу MyApps с помощью браузера, управляемого Intune, на устройствах iOS 7,0 или более поздней версии или Android .

Пользователи могут загрузить браузер, управляемый Intune:

Разрешить пользователям открывать свои приложения с помощью расширения браузера.

Пользователи могут загрузить расширение "безопасное" приложение для входа в Chrome, Firefox или Microsoft ребро и может запускать приложения прямо из панели браузера, чтобы:

  • Поиск своих приложений и отображение наиболее часто используемых приложений

  • Автоматически преобразуйте внутренние URL-адреса , настроенные в прокси приложения , на соответствующие внешние URL-адреса. Теперь пользователи могут работать со ссылками, которыми они знакомы, независимо от того, где они находятся.

Разрешить пользователям открывать свои приложения из Office.com.

Пользователи могут переходить по адресу Office.com для поиска своих приложений и использовать их наиболее часто используемые приложения для них прямо из того места, где они работают.

Безопасный доступ к приложениям

Azure AD предоставляет централизованное расположение для управления перенесенными приложениями. Перейдите к портал Azure и включите следующие возможности:

  • Обеспечьте безопасный доступ пользователей к приложениям. Включение политик условного доступаили защиты идентификациидля безопасного доступа пользователей к приложениям в зависимости от состояния устройства, расположения и других возможностей.

  • Автоматическая подготовка. Настройте автоматическую подготовку пользователей с помощью различных сторонних приложений SaaS, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, оно включает в себя обслуживание и удаление удостоверений пользователей по мере изменения состояния или ролей.

  • Делегирование управления доступом пользователей . При необходимости включите самостоятельный доступ к приложениям для приложений и назначьте утверждающего для утверждения доступа к этим приложениям. Использование самостоятельного управлениягруппами для групп, назначенных коллекциям приложений.

  • Делегирование административного доступа. использование роли каталога для назначения пользователю роли администратора (например, администратора приложения, администратора облачных приложений или разработчика приложения).

Аудит и получение ценных сведений о приложениях

Вы также можете использовать портал Azure для аудита всех приложений в централизованном расположении,

  • Проведите Аудит приложения с помощью * * корпоративных приложений, аудита или доступа к той же информации из API отчетов Azure AD , чтобы интегрировать их в избранные инструменты.

  • Просмотр разрешений для приложения с помощью корпоративных приложений, разрешений для приложений с помощью OAuth/OpenID Connect Connect.

  • Получение подробных сведений о входе с помощью корпоративных приложений, входов в систему. Получите доступ к тем же сведениям из API отчетов Azure AD.

  • Визуализация использования приложения из пакета содержимого Azure AD Power BI

Условия выхода

На этом этапе вы успешно выполните следующие действия:

  • Предоставление пользователям безопасного доступа к приложениям

  • Управление аудитом и получение ценных сведений о перенесенных приложениях

Проделать еще больше с помощью планов развертывания

Планы развертывания описывают ценность бизнеса, планирование, этапы реализации и управление решениями Azure AD, включая сценарии миграции приложений. Они объединяют все, что необходимо для начала развертывания и получения ценности из возможностей Azure AD. Руководства по развертыванию включают в себя такие материалы, как рекомендуемые корпорацией Майкрософт рекомендации, взаимодействие с конечными пользователями, руководства по планированию, этапы реализации, тестовые случаи и многое другое.

Многие планы развертывания доступны для использования, и мы всегда делаем больше!

Обращение в службу поддержки

Посетите следующие справочные ссылки, чтобы создать или отслеживать запрос в службу поддержки и отслеживать работоспособность.

Проблемы с развертыванием удостоверений в зависимости от Соглашение Enterprise с корпорацией Майкрософт.

  • FastTrack. Если вы приобрели лицензии Enterprise Mobility и Security (EMS) или Azure AD Premium, вы имеете право на получение помощи по развертыванию из программы FastTrack.

  • Привлекайте команды разработчиков продукта: Если вы работаете над развертыванием крупного клиента с миллионами пользователей, вам будет предоставлено право поддержки от учетная запись Майкрософт команды или архитектора облачных решений. Основываясь на сложности развертывания проекта, вы можете работать непосредственно с группой разработчиков продуктов Azure Identity.

  • Блог по удостоверениям Azure AD: Подпишитесь на блог удостоверений Azure AD , чтобы оставаться в курсе последних объявлений о продуктах, глубоких подробно и сведений о планах, предоставленных группой разработчиков удостоверений напрямую.