Vue d’ensemble de la migration d’application AD FS (préversion)
Dans cet article, vous allez découvrir les fonctionnalités de l’Assistant Migration d’application AD FS et l’état de migration disponible sur son tableau de bord. Vous découvrirez également les différents tests de validation générés par la migration d’application pour chacune des applications que vous souhaitez migrer d’AD FS vers Microsoft Entra ID.
L’Assistant Migration d’application AD FS vous permet d’identifier rapidement les applications capables de migrer vers Microsoft Entra ID. Il évalue toutes les applications AD FS pour déterminer si elles sont compatibles avec Microsoft Entra ID. Il recherche également les problèmes et fournit des conseils sur la préparation d’applications individuelles pour la migration et la configuration d’une nouvelle application Microsoft Entra en un seul clic.
Avec l’Assistant Migration d’application AD FS, vous pouvez :
Découvrir les applications AD FS et définir l’étendue de votre migration : l’Assistant Migration d’application AD FS liste toutes les applications AD FS de votre organisation auxquelles une connexion utilisateur a été établie au cours des 30 derniers jours. Le rapport indique que les applications sont prêtes pour la migration vers Microsoft Entra ID. Le rapport n'affiche pas dans AD FS les parties de confiance liées à Microsoft telles qu'Office 365. Par exemple, les parties de confiance portant le nom
urn:federation:MicrosoftOnline
.Classer par ordre de priorité les applications pour la migration : obtenez le nombre d’utilisateurs uniques qui se sont connectés à l’application au cours des 1, 7 ou 30 derniers jours afin de déterminer la criticité ou le risque de la migration de l’application.
Exécuter des tests de migration et résoudre des problèmes : le service de génération de rapports exécute automatiquement des tests pour déterminer si une application est prête pour la migration. Les résultats sont affichés dans le tableau de bord de migration d’application AD FS sous la forme d’un état de la migration. Si la configuration AD FS n’est pas compatible avec une configuration Microsoft Entra, des conseils spécifiques vous sont donnés pour traiter la configuration dans Microsoft Entra ID.
Utiliser l’expérience de configuration d’application en un clic pour configurer une nouvelle application Microsoft Entra : bénéficiez d’une expérience guidée pour migrer des applications par partie de confiance locales vers le cloud. L’expérience de migration utilise les métadonnées de l’application par partie de confiance qui sont directement importées à partir de votre environnement local. L’expérience permet également de configurer en un clic une application SAML sur la plateforme Microsoft Entra avec des paramètres SAML, des configurations de revendications et des affectations de groupes de base.
Remarque
La migration d’applications AD FS prend uniquement en charge les applications basées sur SAML. Elle ne prend pas en charge les applications qui utilisent des protocoles comme OpenID Connect, WS-Fed et OAuth 2.0. Si vous souhaitez migrer des applications utilisant ces protocoles, consultez Utiliser le rapport d’activité d’application AD FS pour identifier les applications que vous souhaitez migrer. Après avoir identifié les applications à migrer, vous pouvez les configurer manuellement dans Microsoft Entra ID. Pour plus d’informations sur la migration manuelle, consultez Migrer et tester votre application.
État de migration d’application AD FS
Les agents Microsoft Entra Connect et Microsoft Entra Connect Health pour AD FS lisent les journaux d’audit de connexion et les configurations de vos applications par partie de confiance locales. Ces données sur chaque application AD FS sont analysées pour déterminer si l’application peut être migrée telle quelle ou si une révision supplémentaire est nécessaire. En fonction du résultat de cette analyse, l’état de migration est déterminé pour l’application donnée.
Les applications sont classées selon les états de migration suivants :
- Prêt pour la migration signifie que la configuration de l’application AD FS est entièrement prise en charge dans Microsoft Entra ID et peut être migrée telle quelle.
- Révision nécessaire signifie que certains paramètres de l’application peuvent être migrés vers Microsoft Entra ID, mais que vous devez passer en revue les paramètres qui ne peuvent pas être migrés tels quels.
- Étapes supplémentaires nécessaires signifie que Microsoft Entra ID ne prend pas en charge certains paramètres de l’application, de sorte que l’application ne peut pas être migrée dans son état actuel.
Tests de validation de migration d’applications AD FS
Le degré de préparation d’une application est évaluée en fonction de tests de configuration d’application AD FS prédéfinis. Les tests sont exécutés automatiquement et les résultats sont affichés dans le tableau de bord de migration d’application AD FS sous la forme d’un État de la migration. Si la configuration AD FS n’est pas compatible avec une configuration Microsoft Entra, des conseils spécifiques vous sont donnés pour traiter la configuration dans Microsoft Entra ID.
Mises à jour de l’état des insights de migration de l’application AD FS
Quand l’application est mise à jour, des agents internes synchronisent les mises à jour en quelques minutes. Toutefois, les travaux des insights de migration AD FS sont chargés d’évaluer les mises à jour et de calculer un nouvel état de migration. Ces travaux sont planifiés pour s’exécuter toutes les 24 heures, ce qui signifie que les données sont calculées une seule fois par jour, à environ 00:00 UTC (Temps universel coordonné).
Result | Réussite/Avertissement/Échec | Description |
---|---|---|
Test-ADFSRPAdditionalAuthenticationRules Au moins une règle ne pouvant pas être migrée a été détectée pour AdditionalAuthentication. |
Réussite/Avertissement | La partie de confiance a des règles pour demander une authentification multifacteur. Pour passer à Microsoft Entra ID, convertissez ces règles en stratégies d’accès conditionnel. Si vous utilisez une authentification MFA locale, nous vous recommandons de passer à l’authentification multifacteur Microsoft Entra. En savoir plus sur l’accès conditionnel. |
Test-ADFSRPAdditionalWSFedEndpoint La partie de confiance a la valeur AdditionalWSFedEndpoint définie sur true. |
Réussite/Échec | La partie de confiance dans AD FS autorise plusieurs points de terminaison d’assertion WS-Fed. Actuellement, une seule est prise en charge par Microsoft Entra. Si vous êtes dans une situation où cela bloque la migration, faites-le nous savoir. |
Test-ADFSRPAllowedAuthenticationClassReferences La partie de confiance a défini AllowedAuthenticationClassReferences. |
Réussite/Échec | Ce paramètre dans AD FS vous permet de spécifier si l’application est configurée pour autoriser uniquement certains types d’authentification. Nous vous recommandons d’utiliser l’accès conditionnel pour accéder à cette fonctionnalité. Si vous êtes dans une situation où cela bloque la migration, faites-le nous savoir. En savoir plus sur l’accès conditionnel. |
Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Réussite/Échec | Ce paramètre dans AD FS vous permet de spécifier si l’application est configurée pour ignorer les cookies SSO et Toujours demander l’authentification. Dans Microsoft Entra ID, vous pouvez gérer la session d’authentification à l’aide de stratégies d’accès conditionnel pour obtenir un comportement similaire. En savoir plus sur la configuration de la gestion de session d’authentification avec l’accès conditionnel. |
Test-ADFSRPAutoUpdateEnabled La partie de confiance a la valeur AutoUpdateEnabled définie sur true |
Réussite/Avertissement | Ce paramètre dans AD FS vous permet de spécifier si AD FS est configuré pour mettre à jour automatiquement l’application en fonction des changements apportés aux métadonnées de fédération. Microsoft Entra ID ne le prend pas en charge actuellement, mais cela ne devrait pas bloquer la migration de l’application vers Microsoft Entra ID. |
Test-ADFSRPClaimsProviderName La partie de confiance dispose de plusieurs ClaimsProviders activés |
Réussite/Échec | Ce paramètre dans AD FS appelle les fournisseurs d’identité à partir desquels la partie de confiance accepte les revendications. Dans Microsoft Entra ID, vous pouvez activer la collaboration externe à l’aide de Microsoft Entra B2B. En savoir plus sur Microsoft Entra B2B. |
Test-ADFSRPDelegationAuthorizationRules | Réussite/Échec | Des règles d’autorisation de délégation personnalisées sont définies pour l’application. Il s’agit d’un concept WS-Trust pris en charge par Microsoft Entra ID à l’aide de protocoles d’authentification modernes, par exemple OpenID Connect et OAuth 2.0. En savoir plus sur la plateforme d’identités Microsoft |
Test-ADFSRPImpersonationAuthorizationRules | Réussite/Avertissement | Des règles d’autorisation de délégation d’emprunt d’identité personnalisées sont définies pour l’application. Il s’agit d’un concept WS-Trust pris en charge par Microsoft Entra ID à l’aide de protocoles d’authentification modernes, par exemple OpenID Connect et OAuth 2.0. En savoir plus sur la plateforme d’identités Microsoft |
Test-ADFSRPIssuanceAuthorizationRules Au moins une règle ne pouvant pas être migrée a été détectée pour IssuanceAuthorization. |
Réussite/Avertissement | Des règles d’autorisation d’émission personnalisées sont définies pour l’application dans AD FS. Microsoft Entra ID prend en charge cette fonctionnalité avec l’accès conditionnel Microsoft Entra. En savoir plus sur l’accès conditionnel. Vous pouvez également restreindre l’accès à une application en fonction des utilisateurs ou des groupes affectés à celle-ci. En savoir plus sur l’affectation de l’accès aux applications à des utilisateurs et des groupes. |
Test-ADFSRPIssuanceTransformRules Au moins une règle ne pouvant pas être migrée a été détectée pour IssuanceTransform. |
Réussite/Avertissement | Des règles de transformation d’émission personnalisées sont définies pour l’application dans AD FS. Microsoft Entra ID prend en charge la personnalisation des revendications émises dans le jeton. Pour plus d’informations, consultez Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
Test-ADFSRPMonitoringEnabled La partie de confiance a la valeur MonitoringEnabled définie sur true. |
Réussite/Avertissement | Ce paramètre dans AD FS vous permet de spécifier si AD FS est configuré pour mettre à jour automatiquement l’application en fonction des changements apportés aux métadonnées de fédération. Microsoft Entra ne le prend pas en charge actuellement, mais cela ne devrait pas bloquer la migration de l’application vers Microsoft Entra ID. |
Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Réussite/Avertissement | AD FS autorise une asymétrie temporelle basé sur les heures NotBefore et NotOnOrAfter dans le jeton SAML. Microsoft Entra ID le gère automatiquement par défaut. |
Test-ADFSRPRequestMFAFromClaimsProviders La partie de confiance a la valeur RequestMFAFromClaimsProviders définie sur true. |
Réussite/Avertissement | Ce paramètre dans AD FS détermine le comportement de l’authentification MFA quand l’utilisateur provient d’un autre fournisseur de revendications. Dans Microsoft Entra ID, vous pouvez activer la collaboration externe à l’aide de Microsoft Entra B2B. Vous pouvez ensuite appliquer des stratégies d’accès conditionnel pour protéger l’accès invité. En savoir plus sur Microsoft Entra B2B et l’accès conditionnel. |
Test-ADFSRPSignedSamlRequestsRequired La partie de confiance a la valeur SignedSamlRequestsRequired définie sur true |
Réussite/Échec | L’application est configurée dans AD FS pour vérifier la signature de la demande SAML. Microsoft Entra ID accepte une demande SAML signée. Toutefois, il ne vérifie pas la signature. Microsoft Entra ID dispose de différentes méthodes de protection contre les appels malveillants. Par exemple, Microsoft Entra ID utilise les URL de réponse configurées dans l’application pour valider la demande SAML. Microsoft Entra ID envoie uniquement un jeton aux URL de réponse configurées pour l’application. Si vous êtes dans une situation où cela bloque la migration, faites-le nous savoir. |
Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Réussite/Avertissement | L’application est configurée pour une durée de vie de jeton personnalisée. La valeur par défaut pour AD FS est une heure. Microsoft Entra ID prend en charge cette fonctionnalité avec un accès conditionnel. Pour plus d’informations, voir Configurer la gestion de session d’authentification avec l’accès conditionnel. |
La partie de confiance est configurée pour chiffrer les revendications. Elle est prise en charge par Microsoft Entra ID | Réussite | Avec Microsoft Entra ID, vous pouvez chiffrer le jeton envoyé à l’application. Pour en savoir plus, consultez Configurer le chiffrement des jetons SAML Microsoft Entra. |
EncryptedNameIdRequiredCheckResult | Réussite/Échec | L’application est configurée pour chiffrer la revendication nameID dans le jeton SAML. Avec Microsoft Entra ID, vous pouvez chiffrer l’intégralité du jeton envoyé à l’application. Le chiffrement de revendications spécifiques n’est pas encore pris en charge. Pour en savoir plus, consultez Configurer le chiffrement des jetons SAML Microsoft Entra. |