Fase 1: descoberta e escopo de aplicativos

A descoberta e a análise de aplicativos são um exercício fundamental para um bom começo. Talvez você não saiba tudo, portanto, prepare-se para receber os aplicativos desconhecidos.

Localizar os aplicativos

A primeira decisão no processo de migração é quais aplicativos migrar, quais devem permanecer, se houver, e quais aplicativos devem ser substituídos. Sempre há uma oportunidade de substituir os aplicativos que você não usa na organização. Há várias maneiras de localizar aplicativos na organização. Ao descobrir aplicativos, verifique se você está incluindo aplicativos em desenvolvimento e planejados. Use o Microsoft Entra ID para autenticação em todos os aplicativos futuros.

Descubra os aplicativos usando o ADFS:

• Use Microsoft Entra Connect Health para ADFS: se você tiver uma licença do Microsoft Entra ID P1 ou P2, recomendamos implantar o Microsoft Entra Connect Health para analisar o uso do aplicativo em seu ambiente local. Você pode usar o relatório de aplicativos do ADFS para descobrir os aplicativos do ADFS que podem ser migrados e avaliar a disponibilidade do aplicativo a ser migrado.

• Se você não tiver licenças do Microsoft Entra ID P1 ou P2, recomendamos usar o ADFS para ferramentas de migração de aplicativo do Microsoft Entra com base no PowerShell. Veja o guia da solução:

Usar outros IdPs (provedores de identidade)

• Se estiver usando o Okta no momento, consulte nosso Guia de migração do Okta para o Microsoft Entra.

• Se, no momento, você estiver usando o Ping Federate, considere usar o Ping Administrative API para descobrir aplicativos.

• Se os aplicativos estiverem integrados ao Active Directory, procure entidades de serviço ou contas de serviço que possam ser usadas pelos aplicativos.

Usar as ferramentas de descoberta de nuvem

No ambiente de nuvem, você precisa de visibilidade avançada, controle sobre a viagem de dados e análise avançada para identificar e combater ameaças cibernéticas em todos os serviços de nuvem. Você pode montar o inventário de aplicativos de nuvem usando as seguintes ferramentas:

• CASB (Agente de Segurança de Acesso à Nuvem) – Normalmente, um CASB funciona juntamente com o firewall para fornecer visibilidade do uso de aplicativos de nuvem dos funcionários e ajuda a proteger os dados corporativos contra ameaças de segurança cibernética. O relatório de CASB pode ajudar a determinar os aplicativos mais usados na organização e os destinos iniciais para migrar para o Microsoft Entra ID.
• Cloud Discovery – Ao configurar o Microsoft Defender for Cloud Apps, você obterá visibilidade do uso de aplicativos de nuvem e poderá descobrir os aplicativos de Shadow IT ou não sancionados.
• Aplicativos Hospedados do Azure - Para aplicativos conectados à infraestrutura do Azure, use as APIs e ferramentas desses sistemas para começar a fazer um inventário dos aplicativos hospedados. No ambiente do Azure:
  • Use o cmdlet Get-AzureWebsite para obter informações sobre os sites do Azure.
  • Use o cmdlet Get-AzureRMWebApp para obter informações sobre os aplicativos Web do Azure.
  • Consulte Microsoft Entra ID procurando por aplicativos e entidades de serviço.

Processo de descoberta manual

Depois de usar as abordagens automatizadas descritas nesse artigo, você terá um bom controle sobre seus aplicativos. No entanto, você pode considerar fazer o seguinte para garantir que tem uma boa cobertura em todas as áreas de acesso do usuário:

• Entre em contato com os vários proprietários de negócios na organização para encontrar os aplicativos em uso na organização.
• Execute uma ferramenta de inspeção HTTP no servidor proxy ou analise os logs de proxy para ver onde o tráfego é roteado normalmente.
• Examine os weblogs dos sites populares do portal da empresa para ver quais links os usuários mais acessam.
• Entre em contato com os executivos ou outros membros importantes da empresa para garantir que você incluiu os aplicativos comercialmente críticos.

Tipo de aplicativos a serem migrados

Depois de localizar os aplicativos, identifique estes tipos de aplicativos na organização:

• Aplicativos que usam protocolos de autenticação modernos, como SAML (Security Assertion Markup Language) e OIDC (OpenID Connect).
• Aplicativos que usam a autenticação herdada, como Kerberos ou NTLM (NT LAN Manager) que você escolher modernizar.
• Aplicativos que usam protocolos de autenticação herdados, que você prefere NÃO modernizar
• Novos aplicativos de LoB (Linha de Negócios)

Aplicativos que já usam autenticação moderna

Os aplicativos já modernizados são os mais prováveis de serem migrados para o Microsoft Entra ID. Esses aplicativos já usam protocolos de autenticação modernos (como SAML ou OIDC) e podem ser reconfigurados para autenticar com o Microsoft Entra ID.

Recomendamos que você pesquise e adicione aplicativos da galeria de aplicativos do Microsoft Entra. Se você não encontrá-los na galeria, ainda poderá integrar um aplicativo personalizado.

Aplicativos herdados que você prefere modernizar

Para aplicativos herdados que você deseja modernizar, migrar para o Microsoft Entra ID para autenticação e autorização de núcleo desbloqueia toda a influência e a abundância de dados que o Microsoft Graph e o Gráfico de Segurança Inteligente têm a oferecer.

É recomendável atualizar o código de pilha de autenticação para esses aplicativos no protocolo herdado (como Autenticação Integrada do Windows, Kerberos, autenticação baseada em Cabeçalhos HTTP) para um protocolo moderno (como SAML ou OpenID Connect).

Aplicativos herdados que você prefere NÃO modernizar

Para determinados aplicativos que usam protocolos de autenticação herdados, às vezes, modernizar a autenticação não é a coisa certa a fazer por motivos comerciais. Eles incluem os seguintes tipos de aplicativo:

• Aplicativos mantidos no local para fins de conformidade ou controle.
• Aplicativos conectados a uma identidade local ou provedor de federação que você não deseja alterar.
• Aplicativos desenvolvidos usando padrões de autenticação locais, que você não tem planos de migração

O Microsoft Entra ID pode trazer grandes benefícios para esses aplicativos herdados. Você pode habilitar os recursos modernos de segurança e governança do Microsoft Entra ID, como Autenticação multifator, Acesso condicional, Microsoft Entra ID Protection, Acesso de aplicativo delegado e Avaliações de acesso nesses aplicativos sem tocar no aplicativo!

• Comece estendendo esses aplicativos para a nuvem com o proxy de aplicativo do Microsoft Entra.
• Ou explore usando uma de nossas integrações de parceiros SHA (Acesso Híbrido Seguro) que talvez você já tenha implantado.

Novos aplicativos de LoB (Linha de Negócios)

Normalmente, você desenvolve aplicativos de LoB para uso interno da organização. Se você tiver novos aplicativos em andamento, recomendamos usar a Plataforma de Identidade da Microsoft para implementar o OIDC.

Aplicativos a serem substituídos

Aplicativos sem proprietários concretos e manutenção e monitoramento evidentes apresentam um risco de segurança para a organização. Substitua os aplicativos quando:

• Sua funcionalidade é altamente redundante com outros sistemas
• Não há proprietário comercial
• Claramente não há uso

É recomendável que você não substitua os aplicativos de alto impacto críticos para os negócios. Nesses casos, colabore com os proprietários de negócios para determinar a estratégia certa.

Critérios de saída

Pra ser bem-sucedido nessa fase é preciso:

• Um bom reconhecimento dos aplicativos no escopo da migração, daqueles que requerem modernização, daqueles que devem permanecer como estão ou daqueles que você marcou para substituição.

Próximas etapas

• Fase 2 - Classificar os aplicativos e o piloto do plano.