阶段 1：发现应用并界定应用范围

应用程序发现和分析是为你提供良好开端的基础实践。 你可能并非所有内容都了解，因此要准备好适应未知的应用。

查找应用

在迁移过程中，首先是决定要迁移哪些应用、应保留哪些应用（如果有）以及要弃用哪些应用。 你始终有机会弃用你将不会在组织中使用的应用。 可通过多种方法在组织中查找应用。 发现应用时，请确保包括正在开发的应用和计划的应用。 在以后的所有应用中，请使用 Microsoft Entra ID 进行身份验证。

使用 ADFS 发现应用程序：

• 对 ADFS 使用 Microsoft Entra Connect Health：如果你有 Microsoft Entra ID P1 或 P2 许可证，建议部署 Microsoft Entra Connect Health 来分析本地环境中的应用使用情况。 可使用 ADFS 应用程序报表，发现可迁移的 ADFS 应用程序并评估要迁移的应用程序的就绪情况。

• 如果没有 Microsoft Entra ID P1 或 P2 许可证，建议使用基于 PowerShell 的 ADFS 到 Microsoft Entra 应用迁移工具。 请参阅解决方案指南：

注意

该视频介绍了迁移过程的第 1 阶段和第 2 阶段。

使用其他标识提供者 (IdP)

• 如果当前使用的是 Okta，请参阅 Okta 到 Microsoft Entra 迁移指南。

• 如果当前使用的是 Ping Federate，请考虑使用 Ping 管理 API 来发现应用程序。

• 如果应用程序与 Active Directory 集成，请搜索可用于应用程序的服务主体或服务帐户。

使用 Cloud Discovery 工具

在云环境中，需要丰富的显示效果、对数据传输的控制和成熟分析服务，用于跨所有云服务发现和防范网络威胁。 可使用以下工具收集云应用清单：

• 云访问安全代理 (CASB) - CASB 通常与防火墙一起工作以提供对员工云应用程序使用情况的可见性，且它有助于保护你的公司数据免受网络安全威胁的影响。 CASB 报表可帮助你确定组织中最常使用的应用，以及迁移到 Microsoft Entra ID 的早期目标。
• Cloud Discovery - 通过配置 Microsoft Defender for Cloud Apps，可了解云应用的使用情况，并且可发现未批准的应用或阴影 IT 应用。
• Azure 托管应用程序 - 对于连接到 Azure 基础结构的应用，可使用这些系统上的 API 和工具开始收集托管应用清单。 在 Azure 环境中：
  • 使用 Get-AzureWebsite cmdlet 获取有关 Azure 网站的信息。
  • 使用 Get-AzureRMWebApp cmdlet 获取有关 Azure Web 应用的信息。
  • 查询 Microsoft Entra ID 来查找应用程序和服务主体。

手动发现过程

采用本文中所述的自动化方法后，你就可以很好地处理你的应用程序了。 但是，你可能会考虑执行以下操作，以确保能够很好地覆盖所有用户访问区域：

• 联系组织中的各个业务所有者，查找组织中正在使用的应用程序。
• 在代理服务器上运行 HTTP 检查工具或分析代理日志，查看流量通常被路由到的位置。
• 查看热门公司门户站点的网络日志，了解用户访问最多的链接。
• 与管理人员或其他关键业务成员联系，确保你已涵盖业务关键应用。

要迁移的应用类型

找到应用后，在组织中标识这些类型的应用：

• 已经使用新式身份验证协议（例如安全断言标记语言 (SAML) 或 OpenID Connect (OIDC) 的应用。
• 使用你选择现代化的旧式身份验证（例如 Kerberos 或 NT LAN Manager (NTLM) 的应用。
• 使用你选择不进行现代化的旧版身份验证协议的应用
• 新的业务线 (LoB) 应用

已使用新式身份验证的应用

已实现现代化的应用最有可能被移动到 Microsoft Entra ID。 这些应用已使用新式身份验证协议（如 SAML 或 OIDC），并可重新进行配置以向 Microsoft Entra ID 进行身份验证。

建议从 Microsoft Entra 应用库搜索和添加应用程序。 如果在库中找不到它们，仍可载入自定义应用程序。

选择进行现代化的旧版应用

对于想要进行现代化的旧版应用，通过移动到 Microsoft Entra ID 进行核心身份验证和授权，可解锁 Microsoft Graph 和 Intelligent Security Graph 提供的所有功能和数据丰富性。

建议将这些应用程序的身份验证堆栈代码从旧版协议（如 Windows 集成身份验证、Kerberos、基于 HTTP 头的身份验证）更新为新式协议（如 SAML 或 OpenID Connect）。

选择不进行现代化的旧版应用

对于某些使用旧版身份验证协议的应用，出于业务原因，有时不应该将其身份验证现代化。 这包括下列类型的应用：

• 出于合规性或控制原因而保存在本地的应用。
• 已连接到你不想更改的本地标识或联合身份验证提供者的应用。
• 使用你没有计划迁移的本地身份验证标准开发的应用

这些旧版应用可从 Microsoft Entra ID 中获益良多。 你可在完全不接触这些应用的情况下，针对这些应用启用新式 Microsoft Entra 安全和治理功能，例如多重身份验证、条件访问、标识保护、委派的应用程序访问和访问评审！

• 首先，使用 Microsoft Entra 应用程序代理将这些应用扩展到云中。
• 或者使用你可能已部署的我们的安全混合访问 (SHA) 合作伙伴集成来浏览。

新的业务线 (LoB) 应用

你通常会开发 LoB 应用供组织内部使用。 如果你在管道中有新的应用，建议使用 Microsoft 标识平台来实现 OIDC。

要弃用的应用

没有明确的所有者以及明确的维护和监视的应用会给组织带来安全风险。 在以下情况下，请考虑弃用应用程序：

• 其功能与其他系统高度冗余
• 没有业务所有者
• 显然没有使用

建议不要弃用可产生重大影响的业务关键应用程序。 在这些情况下，请与业务所有者一起确定正确的策略。

退出条件

如果你满足以下条件，则你在此阶段已经成功：

• 很好地理解迁移范围内的应用程序、需要现代化的应用程序、应保持原样的应用程序或标记要弃用的应用程序。

后续步骤

• 第 2 阶段 - 对应用分类并规划试点。