規劃應用程式移轉至 Microsoft Entra 識別碼
在本文中,您將瞭解 Microsoft Entra ID 的優點,以及如何規劃移轉應用程式驗證。 本文概述規劃和結束準則,以協助您規劃移轉策略,並瞭解 Microsoft Entra 驗證如何支援組織目標。
此程式分成四個階段。 每個階段都包含詳細的規劃和結束準則,可協助您規劃移轉策略,並瞭解 Microsoft Entra 驗證如何支持組織目標。
簡介
今天,您的組織需要許多應用程式,使用者才能完成工作。 您可能會每天繼續新增、開發或淘汰應用程式。 用戶可從各種公司和個人裝置和位置存取這些應用程式。 他們以多種方式開啟應用程式,包括:
- 透過公司首頁或入口網站
- 將我的最愛加入書籤或在瀏覽器中新增我的最愛
- 透過廠商的軟體即服務 URL (SaaS) 應用程式
- 透過行動裝置/應用程式管理(MDM/MAM) 解決方案直接推送至使用者桌面或行動裝置的連結
您的應用程式可能會使用下列型態的驗證:
安全性聲明標記語言 (SAML) 或 OpenID 連線 (OIDC) 透過內部部署或雲端裝載的身分識別與存取管理 (IAM) 解決方案同盟解決方案 (例如 Active Directory 同盟服務 (ADFS)、Okta 或 Ping)
透過 Active Directory 的 Kerberos 或 NTLM
透過 Ping 存取進行標頭型驗證
為了確保使用者可以輕鬆且安全地存取應用程式,您的目標是在內部部署和雲端環境中擁有一組單一訪問控制和原則。
Microsoft Entra ID 提供通用身分識別平臺,為您的員工、合作夥伴和客戶提供單一身分識別,以存取他們想要的應用程式。 平臺會從任何平臺和裝置提升共同作業。
Microsoft Entra ID 具有 完整的身分識別管理功能。 將應用程式驗證和授權標準化為 Microsoft Entra ID,可讓您了解這些功能所提供的優點。
您可以在 找到更多移轉資源 https://aka.ms/migrateapps
規劃移轉階段和專案策略
當技術項目失敗時,通常是因為期望不相符、未參與的權利項目關係人或缺乏溝通。 規劃專案本身,以確保您的成功。
移轉階段
在我們進入工具之前,您應該先瞭解如何思考移轉程式。 透過數個直接到客戶研討會,我們建議下列四個階段:
組合專案小組
應用程式移轉是小組工作,您必須確保已填滿所有重要職位。 資深企業領袖的支援很重要。 請確定您涉及一組正確的執行贊助者、商業決策者和主題專家(SME)。
在移轉項目期間,一個人可能會履行多個角色,或根據貴組織的大小和結構,完成每個角色的多個人員。 您可能也相依於其他在安全性環境中扮演重要角色的小組。
下表包含主要角色及其貢獻:
角色 | 投稿文章 |
---|---|
項目經理 | 負責指導項目的項目教練,包括: - 獲得行政支援 - 引進項目關係人 - 管理排程、文件和通訊 |
Identity Architect / Microsoft Entra App 管理員 istrator | 負責下列工作: - 與項目關係人合作設計解決方案 - 記錄向作業小組移交的解決方案設計和作業程式 - 管理生產階段前和生產環境 |
內部部署AD作業小組 | 管理不同內部部署身分識別來源的組織,例如AD樹系、LDAP目錄、HR系統等。 - 在同步處理之前執行任何所需的補救工作 - 提供同步處理所需的服務帳戶 - 提供設定 Microsoft Entra 識別子同盟的存取權 |
IT 支援管理員 | IT 支援組織的代表,可以從技術服務人員的觀點提供這項變更支援性的輸入。 |
安全性擁有者 | 安全性小組的代表,可確保計劃符合您組織的安全性需求。 |
應用程式技術擁有者 | 包含與 Microsoft Entra ID 整合之應用程式和服務的技術擁有者。 它們會提供應包含在同步處理程式中的應用程式身分識別屬性。 他們通常與 CSV 代表有關聯性。 |
應用程式商務擁有者 | 代表同事,他們可以從用戶的觀點來提供用戶體驗和這項變更的實用性。 此代表也擁有應用程式的整體商務層面,這可能包括管理存取權。 |
用戶試驗群組 | 在日常工作中測試的用戶、試驗體驗,並提供意見反應來引導其餘的部署。 |
方案通訊
有效的業務參與和溝通是成功關鍵。 請務必為項目關係人和使用者提供取得資訊,並隨時掌握排程更新的資訊。 教育每個人移轉的價值、預期的時程表,以及如何規劃任何暫時性業務中斷。 使用多個途徑,例如簡報會議、電子郵件、一對一會議、橫幅和市政廳。
根據您為應用程式選擇的通訊策略,您可能會想要提醒使用者擱置的停機時間。 您也應該確認沒有需要延遲部署的最近變更或業務影響。
在下表中,您會發現建議的最小通訊,讓您的項目關係人保持知情:
規劃階段和專案策略
通訊 | 對象 |
---|---|
項目的認知與業務/技術價值 | 終端使用者以外的所有 |
試驗應用程式的徵用 | - 應用程式企業擁有者 - 應用程式技術擁有者 - 架構設計人員和身分識別小組 |
階段 1- 探索和範圍:
通訊 | 對象 |
---|---|
- 申請資訊請求 - 範圍界定練習的結果 |
- 應用程式技術擁有者 - 應用程式企業擁有者 |
階段 2- 分類應用程式和計劃試驗:
通訊 | 對象 |
---|---|
- 分類的結果,以及移轉排程的意義 - 初步移轉排程 |
- 應用程式技術擁有者 - 應用程式企業擁有者 |
階段 3 – 規劃移轉和測試:
通訊 | 對象 |
---|---|
- 應用程式移轉測試的結果 | - 應用程式技術擁有者 - 應用程式企業擁有者 |
- 即將推出移轉的通知,並說明結果 用戶體驗。 - 停機即將推出並完成通訊,包括內容 他們現在應該執行、意見反應以及如何取得協助 |
- 終端使用者(以及其他所有使用者) |
階段 4 – 管理和取得見解:
通訊 | 對象 |
---|---|
可用的分析和存取方式 | - 應用程式技術擁有者 - 應用程式企業擁有者 |
移轉狀態通訊儀錶板
傳達移轉項目的整體狀態非常重要,因為它會顯示進度,並協助應用程式擁有者進行移轉以準備移動。 您可以使用 Power BI 或其他報告工具來組合簡單的儀錶板,以在移轉期間提供應用程式狀態的可見度。
您可能考慮使用的移轉狀態如下:
移轉狀態 | 行動方案: |
---|---|
初始要求 | 尋找應用程式並連絡擁有者以取得詳細資訊 |
評定完成 | 應用程式擁有者會評估應用程式需求,並傳回應用程式問卷 |
進行中的設定 | 開發管理 Microsoft Entra 識別碼驗證所需的變更 |
測試組態成功 | 評估變更,並在測試環境中針對測試 Microsoft Entra 租使用者驗證應用程式 |
生產設定成功 | 變更設定以針對生產 AD 租用戶運作,並在測試環境中評估應用程式驗證 |
完成/註銷 | 將應用程式的變更部署至生產環境,並針對生產 Microsoft Entra 租使用者執行 |
此階段可確保應用程式擁有者知道應用程式移轉和測試排程何時要移轉。 他們也會知道來自其他已移轉應用程式的結果。 您也可以考慮提供 Bug 追蹤器資料庫的連結,讓擁有者能夠針對要移轉的應用程式提出和檢視問題。