Přehled migrace aplikací služby AD FS
V tomto článku se dozvíte o možnostech průvodce migrací aplikací služby AD FS a o stavu migrace, které jsou k dispozici na řídicím panelu. Dozvíte se také o různých ověřovacích testech, které migrace aplikace generuje pro každou aplikaci, kterou chcete migrovat ze služby AD FS na Microsoft Entra ID.
Průvodce migrací aplikací služby AD FS umožňuje rychle zjistit, které z vašich aplikací je možné migrovat do Microsoft Entra ID. Vyhodnocuje všechny aplikace SLUŽBY AD FS z důvodu kompatibility s ID Microsoft Entra. Také kontroluje všechny problémy, poskytuje pokyny k přípravě jednotlivých aplikací na migraci a konfiguraci nové aplikace Microsoft Entra pomocí prostředí jedním kliknutím.
Pomocí průvodce migrací aplikací služby AD FS můžete:
Seznamte se s aplikacemi SLUŽBY AD FS a oborem migrace – Průvodce migrací aplikací služby AD FS vypíše všechny aplikace SLUŽBY AD FS ve vaší organizaci, které měly aktivní přihlášení uživatele za posledních 30 dnů. Sestava indikuje připravenost aplikací na migraci do Microsoft Entra ID. Sestava nezobrazuje předávající strany související s Microsoftem ve službě AD FS, jako je Office 365. Například předávající strany s názvem
urn:federation:MicrosoftOnline.Určení priorit aplikací pro migraci – Získejte počet jedinečných uživatelů přihlášených k aplikaci za posledních 1, 7 nebo 30 dnů, abyste mohli určit závažnost nebo riziko migrace aplikace.
Spusťte testy migrace a opravte problémy – Služba reporting automaticky spouští testy, aby určila, jestli je aplikace připravená k migraci. Výsledky se zobrazí na řídicím panelu migrace aplikací služby AD FS jako stav migrace. Pokud konfigurace služby AD FS není kompatibilní s konfigurací Microsoft Entra, získáte konkrétní pokyny k řešení konfigurace v Microsoft Entra ID.
Ke konfiguraci nové aplikace Microsoft Entra použijte prostředí pro konfiguraci aplikace jedním kliknutím . To poskytuje prostředí s asistencí pro migraci místních aplikací předávající strany do cloudu. Prostředí migrace používá metadata aplikace předávající strany, která se přímo importují z místního prostředí. Prostředí také poskytuje konfiguraci aplikace SAML jedním kliknutím na platformě Microsoft Entra s některými základními nastaveními SAML, konfiguracemi deklarací identity a přiřazeními skupin.
Poznámka:
Migrace aplikací služby AD FS podporuje pouze aplikace založené na SAML. Nepodporuje aplikace, které používají protokoly, jako jsou OpenID Connect, WS-Fed a OAuth 2.0. Pokud chcete migrovat aplikace, které používají tyto protokoly, přečtěte si téma Použití sestavy aktivit aplikace služby AD FS k identifikaci aplikací, které chcete migrovat. Jakmile identifikujete aplikace, které chcete migrovat, můžete je nakonfigurovat ručně v MICROSOFT Entra ID. Další informace o tom, jak začít s ruční migrací, najdete v tématu Migrace a otestování aplikace.
Stav migrace aplikací služby AD FS
Agenti Microsoft Entra Connect a Microsoft Entra Connect Health pro službu AD FS čtou vaše místní konfigurace aplikací předávající strany a protokoly auditu přihlašování. Tato data o jednotlivých aplikacích služby AD FS se analyzují a určují, jestli je možné je migrovat tak, jak je, nebo jestli je potřeba provést další kontrolu. Na základě výsledku této analýzy se určí stav migrace pro danou aplikaci.
Aplikace jsou rozdělené do následujících stavů migrace:
- Připraveno k migraci znamená, že konfigurace aplikace AD FS je plně podporovaná v Microsoft Entra ID a dá se migrovat tak, jak je.
- Potřeba zkontrolovat znamená, že některá nastavení aplikace se dají migrovat do Microsoft Entra ID, ale musíte zkontrolovat nastavení, která se nedají migrovat tak, jak je.
- Další požadované kroky znamenají, že ID Microsoft Entra nepodporuje některá nastavení aplikace, takže aplikaci nejde migrovat v aktuálním stavu.
Ověřovací testy migrace aplikací služby AD FS
Připravenost aplikace se vyhodnocuje na základě následujících předdefinovaných testů konfigurace aplikací služby AD FS. Testy se spustí automaticky a výsledky se zobrazí na řídicím panelu migrace aplikací služby AD FS jako stav migrace. Pokud konfigurace služby AD FS není kompatibilní s konfigurací Microsoft Entra, získáte konkrétní pokyny k řešení konfigurace v Microsoft Entra ID.
Aktualizace stavu služby AD FS Application Migration Insights
Po aktualizaci aplikace synchronizují aktualizace interní agenti během několika minut. Úlohy přehledů migrace služby AD FS ale zodpovídají za vyhodnocení aktualizací a výpočtu nového stavu migrace. Tyto úlohy se plánují tak, aby běžely každých 24 hodin, což znamená, že se data budou počítat pouze jednou za den v přibližně 00:00 koordinovaného univerzálního času (UTC).
| Výsledek | Pass/Warning/Fail | Popis |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Bylo zjištěno nejméně jedno nemigrovatelné pravidlo pro AdditionalAuthentication. |
Předání/upozornění | Předávající strana má pravidla pro zobrazení výzvy k vícefaktorovém ověřování. Pokud chcete přejít na ID Microsoft Entra, přeložte tato pravidla do zásad podmíněného přístupu. Pokud používáte místní vícefaktorové ověřování, doporučujeme přejít na vícefaktorové ověřování Microsoft Entra. Přečtěte si další informace o podmíněném přístupu. |
| Test-ADFSRPAdditionalWSFedEndpoint Přijímající strana má hodnotu AdditionalWSFedEndpoint nastavenou na hodnotu true. |
Úspěšné nebo neúspěšné | Předávající strana ve službě AD FS umožňuje více koncových bodů kontrolních výrazů WS-Fed. Microsoft Entra v současné době podporuje pouze jednu. Pokud máte scénář, ve kterém tento výsledek blokuje migraci, dejte nám vědět. |
| Test-ADFSRPAllowedAuthenticationClassReferences Přijímající strana nastavila AllowedAuthenticationClassReferences. |
Úspěšné nebo neúspěšné | Toto nastavení ve službě AD FS umožňuje určit, jestli je aplikace nakonfigurovaná tak, aby povolovala pouze určité typy ověřování. K dosažení této funkce doporučujeme použít podmíněný přístup. Pokud máte scénář, ve kterém tento výsledek blokuje migraci, dejte nám vědět. Přečtěte si další informace o podmíněném přístupu. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Úspěšné nebo neúspěšné | Toto nastavení ve službě AD FS umožňuje určit, jestli je aplikace nakonfigurovaná tak, aby ignorovala soubory cookie jednotného přihlašování a vždy zobrazovala výzvu k ověření. V Microsoft Entra ID můžete spravovat relaci ověřování pomocí zásad podmíněného přístupu, abyste dosáhli podobného chování. Přečtěte si další informace o konfiguraci správy relací ověřování pomocí podmíněného přístupu. |
| Test-ADFSRPAutoUpdateEnabled Předávající strana má nastavenou hodnotu AutoUpdateEnabled na hodnotu true |
Předání/upozornění | Toto nastavení ve službě AD FS umožňuje určit, jestli je služba AD FS nakonfigurovaná tak, aby automaticky aktualizovala aplikaci na základě změn v rámci federačních metadat. Microsoft Entra ID tuto funkci dnes nepodporuje, ale nemělo by blokovat migraci aplikace na Microsoft Entra ID. |
| Test-ADFSRPClaimsProviderName Předávající strana má povolených více deklarací identity. |
Úspěšné nebo neúspěšné | Toto nastavení ve službě AD FS volá zprostředkovatele identity, ze kterých přijímající strana přijímá deklarace identity. V Microsoft Entra ID můžete povolit externí spolupráci pomocí Microsoft Entra B2B. Přečtěte si další informace o Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Úspěšné nebo neúspěšné | Aplikace má definovaná vlastní autorizační pravidla delegování. Toto je koncept WS-Trust, který Microsoft Entra ID podporuje pomocí moderních ověřovacích protokolů, jako je OpenID Connect a OAuth 2.0. Přečtěte si další informace o platformě Microsoft Identity Platform. |
| Test-ADFSRPImpersonationAuthorizationRules | Předání/upozornění | Aplikace má definovaná vlastní autorizační pravidla zosobnění. Toto je koncept WS-Trust, který Microsoft Entra ID podporuje pomocí moderních ověřovacích protokolů, jako je OpenID Connect a OAuth 2.0. Přečtěte si další informace o platformě Microsoft Identity Platform. |
| Test-ADFSRPIssuanceAuthorizationRules Bylo zjištěno alespoň jedno nemigrovatelné pravidlo pro vystavováníAuthorizace. |
Předání/upozornění | Aplikace má definovaná vlastní autorizační pravidla vystavování ve službě AD FS. Microsoft Entra ID podporuje tuto funkci s podmíněným přístupem Microsoft Entra. Přečtěte si další informace o podmíněném přístupu. Přístup k aplikaci můžete omezit také podle uživatele nebo skupin přiřazených k aplikaci. Přečtěte si další informace o přiřazování uživatelů a skupin pro přístup k aplikacím. |
| Test-ADFSRPIssuanceTransformRules Bylo zjištěno nejméně jedno nemigrovatelné pravidlo pro vystavenítransformu. |
Předání/upozornění | Aplikace má definovaná vlastní pravidla transformace vystavování ve službě AD FS. Microsoft Entra ID podporuje přizpůsobení deklarací identity vydané v tokenu. Další informace najdete v tématu Přizpůsobení deklarací identity vystavených v tokenu SAML pro podnikové aplikace. |
| Test-ADFSRPMonitoringEnabled Předávající strana má vlastnost MonitoringEnabled nastavenou na hodnotu true. |
Předání/upozornění | Toto nastavení ve službě AD FS umožňuje určit, jestli je služba AD FS nakonfigurovaná tak, aby automaticky aktualizovala aplikaci na základě změn v rámci federačních metadat. Microsoft Entra tuto funkci dnes nepodporuje, ale neměl by blokovat migraci aplikace do Microsoft Entra ID. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Předání/upozornění | Služba AD FS umožňuje časovou nerovnoměrnou distribuci na základě času NotBefore a NotOnOrAfter v tokenu SAML. Id Microsoft Entra toto automaticky zpracovává ve výchozím nastavení. |
| Test-ADFSRPRequestMFAFromClaimsProviders Předávající strana má RequestMFAFromClaimsProviders nastavené na true. |
Předání/upozornění | Toto nastavení ve službě AD FS určuje chování vícefaktorového ověřování, když uživatel pochází z jiného zprostředkovatele deklarací identity. V Microsoft Entra ID můžete povolit externí spolupráci pomocí Microsoft Entra B2B. Zásady podmíněného přístupu pak můžete použít k ochraně přístupu hostů. Přečtěte si další informace o Microsoft Entra B2B a podmíněném přístupu. |
| Test-ADFSRPSignedSamlRequestsRequired Přijímající strana má hodnotu SignedSamlRequestsRequired nastavenou na true |
Úspěšné nebo neúspěšné | Aplikace je ve službě AD FS nakonfigurovaná tak, aby ověřila podpis v požadavku SAML. Microsoft Entra ID přijímá podepsaný požadavek SAML; ale podpis neověří. Microsoft Entra ID má různé metody ochrany před škodlivými voláními. Například ID Microsoft Entra používá adresy URL odpovědí nakonfigurované v aplikaci k ověření požadavku SAML. Id Microsoft Entra odešle token pouze adresám URL odpovědí nakonfigurovaným pro aplikaci. Pokud máte scénář, ve kterém tento výsledek blokuje migraci, dejte nám vědět. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Předání/upozornění | Aplikace je nakonfigurovaná pro vlastní životnost tokenu. Výchozí hodnota služby AD FS je jedna hodina. Microsoft Entra ID podporuje tuto funkci pomocí podmíněného přístupu. Další informace najdete v tématu Konfigurace správy relací ověřování pomocí podmíněného přístupu. |
| Předávající strana je nastavená na šifrování deklarací identity. To podporuje Microsoft Entra ID. | Úspěšné absolvování | Pomocí ID Microsoft Entra můžete token odeslaný do aplikace zašifrovat. Další informace najdete v tématu Konfigurace šifrování tokenu SAML microsoft Entra. |
| EncryptedNameIdRequiredCheckResult | Úspěšné nebo neúspěšné | Aplikace je nakonfigurovaná tak, aby v tokenu SAML zašifrovala deklaraci identity nameID. Pomocí ID Microsoft Entra můžete zašifrovat celý token odeslaný do aplikace. Šifrování konkrétních deklarací identity se zatím nepodporuje. Další informace najdete v tématu Konfigurace šifrování tokenu SAML microsoft Entra. |