フェーズ 1:アプリを検出して範囲を設定する

アプリケーションの検出と分析は、適切な出発点を提供するための基本的な作業です。 すべてを把握していない場合があるため、不明なアプリに対応できるように準備する必要があります。

自分のアプリを特定する

移行プロセスではまず、どのアプリを移行するのか、どれを維持する必要があるのか (存在する場合)、どのアプリを非推奨にするのかを決定します。 組織で使用しないアプリはいつでも非推奨にできます。 組織内にあるアプリを特定する方法はいくつかあります。 アプリの検出時には、必ず開発中および計画段階のアプリを含めるようにしてください。 今後のすべてのアプリでは、認証には Microsoft Entra ID を使用してください。

ADFS を使用してアプリケーションを検出する:

• Microsoft Entra Connect Health for ADFS を使用する: Microsoft Entra ID P1 または P2 ライセンスをお持ちの場合は、Microsoft Entra Connect Health をデプロイして、オンプレミス環境でアプリの使用状況を分析することをおすすめします。 ADFS アプリケーション レポートを使用して、移行可能な ADFS アプリケーションを検出し、移行するアプリケーションの準備状況を評価できます。

• Microsoft Entra ID P1 または P2 ライセンスをお持ちでない場合は、PowerShell をベースとする、ADFS から Microsoft Entra アプリへの移行ツールの使用をおすすめします。 ソリューション ガイドを参照してください:

他の ID プロバイダー (IdP) の使用

• 現在 Okta を使用している場合は、Okta から Microsoft Entra への移行ガイドを参照してください。

• 現在 Ping Federate を使用している場合は、Ping 管理 API を使用してアプリケーションを検出することを検討してください。

• アプリケーションが Active Directory と統合されている場合は、アプリケーションに使用できるサービス プリンシパルまたはサービス アカウントを検索します。

Cloud Discovery ツールの使用

クラウド環境では、ご利用のクラウド サービス全体にわたるサイバー攻撃の脅威を検出し、対処するために、豊富な表示機能、データ送受信の制御、高度な分析が必要です。 次のツールを使用して、クラウド アプリのインベントリを収集できます。

• クラウド アクセス セキュリティ ブローカー (CASB) – CASB は通常、ファイアウォールと共に機能し、従業員のクラウド アプリケーションの使用状況を可視化します。これは、サイバーセキュリティの脅威から企業データを保護するのに役立ちます。 CASB レポートは、組織内で最も使用されているアプリと、Microsoft Entra ID に移行する早期のターゲットを判別するのに役立ちます。
• Cloud Discovery - Microsoft Defender for Cloud Apps を構成して、クラウド アプリの使用状況を把握し、承認されていないまたはシャドウ IT アプリを検出できます。
• Azure でホストされているアプリケーション - Azure インフラストラクチャに接続されているアプリでは、それらのシステム上の API とツールを使用して、ホストされているアプリのインベントリを確認できます。 Azure 環境では、次のことを行います。
  • Get-AzureWebsite コマンドレットを使用して、Azure Web サイトに関する情報を取得する。
  • Get-AzureRMWebApp コマンドレットを使用して、Azure ウェブアプリに関する情報を取得する。
  • Microsoft Entra ID でクエリを実行して、アプリケーションとサービス プリンシパルを検索する。

手動検出プロセス

この記事で説明している自動アプローチを使用すると、自分のアプリケーションを適切に処理できます。 しかし、すべてのユーザー アクセス領域で十分な範囲を確保するために、次のことを検討してください。

• 組織内のさまざまなビジネス所有者に連絡して、組織内で使用されているアプリケーションを特定する。
• プロキシ サーバーで HTTP 検査ツールを実行するか、プロキシ ログを分析して、トラフィックが一般的にルーティングされる場所を確認する。
• 人気のある会社のポータル サイトからの Web ログを調べ、ユーザーが最もアクセスするリンクを確認する。
• 経営幹部やその他の主要なビジネス メンバーに連絡し、ビジネスクリティカルなアプリを確実に対象とする。

移行するアプリの種類

自分のアプリが見つかったら、組織内の次の種類のアプリを特定します。

• Security Assertion Markup Language (SAML) や OpenID Connect (OIDC) などの先進認証プロトコルを使用するアプリ。
• 最新化することを選択した、Kerberos や NT LAN Manager (NTLM) プロトコルなどのレガシ認証を使用するアプリ。
• 最新化しないことを選択したレガシ認証プロトコルを使用しているアプリ
• 新しい基幹業務 (LoB) アプリ

既に先進認証を使用しているアプリ

既に最新化されているアプリは、Microsoft Entra ID に移行される可能性が最も高くなります。 これらのアプリでは、SAML や OIDC などの先進認証プロトコルが既に使用されており、Microsoft Entra ID で認証するように再構成できます。

Microsoft Entra アプリ ギャラリーからアプリケーションを検索して追加することをおすすめします。 ギャラリーに見つからない場合でも、カスタム アプリケーションをオンボードできます。

最新化することを選択したレガシ アプリ

最新化を行うレガシ アプリに対して、コア認証と承認を Microsoft Entra ID に移行すると、Microsoft Graph およびインテリジェント セキュリティ グラフが提供するすべての機能や豊富なデータを利用できるようになります。

これらのアプリケーションについては、レガシ プロトコル (Windows 統合認証、Kerberos、HTTP ヘッダーベースの認証など) から最新のプロトコル (SAML や OpenID Connect など) に認証スタック コードを更新することをおすすめします。

最新化しないことを選択したレガシ アプリ

レガシ認証プロトコルを使用している特定のアプリでは、ビジネス上の理由により、認証の最新化が適切ではない場合があります。 これには、次のようなアプリが挙げられます。

• コンプライアンスまたは制御上の理由により、オンプレミスに保持されているアプリ。
• 変更したくないオンプレミスの ID またはフェデレーション プロバイダーに接続されているアプリ。
• 移動する予定がないオンプレミスの認証標準を使用して開発されたアプリ

これらのレガシ アプリに対し、Microsoft Entra ID は大きな利点をもたらします。 これらのアプリにまったく手を加えることなく、多要素認証、条件付きアクセス、Microsoft Entra ID 保護、委任されたアプリケーション アクセス、アクセス レビューなど、最新の Microsoft Entra のセキュリティとガバナンス機能を有効にすることができます。

• Microsoft Entra アプリケーション プロキシを使用して、これらのアプリをクラウドに拡張することから始めましょう。
• または、既にデプロイされている可能性のある、いずれかのセキュア ハイブリッド アクセス (SHA) パートナー統合の利用をご検討ください。

新しい基幹業務 (LoB) アプリ

LoB アプリは通常、組織の社内使用向けに開発されます。 準備中の新しいアプリがある場合は、Microsoft ID プラットフォームを使用して OIDC を実装することをおすすめします。

非推奨にするアプリ

所有者およびメンテナンスと監視が明確でないアプリは、組織にセキュリティ上のリスクをもたらします。 次の場合は、アプリケーションを非推奨にすることを検討してください。

• 他のシステムと機能が非常に重複している
• ビジネス所有者がいない
• 使用されていないことが明らかである

影響が大きい、ビジネスクリティカルなアプリケーションは非推奨にしないことをおすすめします。 そのような場合は、ビジネス所有者と協力して適切な戦略を決定してください。

終了基準

次のような場合、このフェーズは成功です。

• 移行の範囲内のアプリケーションについて、どれが最新化が必要なアプリケーションで、どれがそのまま維持する必要があるアプリケーションで、どれが非推奨とマークしたアプリケーションであるか、十分に把握している。

次のステップ

• フェーズ 2 - アプリを分類し、パイロットを計画する