次の方法で共有


AD FS アプリケーションの移行 (プレビュー) の概要

この記事では、AD FS アプリケーション移行ウィザードの機能と、そのダッシュボードに表示される移行の状態について説明します。 また、AD FS から Microsoft Entra ID に移行する各アプリケーションにおいて、アプリケーションの移行で生じるさまざまな検証テストについても説明します。

AD FS アプリケーション移行ウィザードでは、どのアプリケーションを Microsoft Entra ID に移行できるのかをすばやく特定できます。 あらゆる AD FS アプリケーションで Microsoft Entra ID との互換性を評価します。 また、問題がないか確認し、個々のアプリケーションでの移行に向けた準備と、ワンクリック エクスペリエンスを使用した新しい Microsoft Entra アプリケーションの構成についてのガイダンスも提供します。

AD FS アプリケーションの移行では、次のことができます。

  • AD FS アプリケーションを検出して、移行のスコープを設定する - AD FS アプリケーション移行ウィザードには、過去 30 日間にアクティブなユーザー サインインが行われた組織内のすべての AD FS アプリケーションが一覧表示されます。 レポートには、アプリケーションの Microsoft Entra ID への移行の準備状況が示されます。 レポートには、Office 365 など、AD FS 内の Microsoft 関連の証明書利用者は表示されません。 たとえば、urn:federation:MicrosoftOnline という名前を持つ証明書利用者です。

  • 移行するアプリケーションに優先順位を付ける - 過去 1、7、30 日間にアプリケーションにサインインした一意のユーザー数を取得して、アプリケーションの移行の重要度またはリスクを判断するために役立てます。

  • 移行テストを実行して問題を修正する - アプリケーションを移行する準備ができているかどうかを判断するために、レポート サービスで自動的にテストを実行します。 結果は、AD FS アプリケーションの移行ダッシュボードに移行の状態として表示されます。 AD FS 構成に Microsoft Entra 構成との互換性がない場合は、構成に対処する方法についての具体的なガイダンスが Microsoft Entra ID に示されます。

  • ワンクリックのアプリケーション構成エクスペリエンスを使用して、新しい Microsoft Entra アプリケーションを構成する - これにより、オンプレミスの証明書利用者アプリケーションをクラウドに移行するためのガイド付きエクスペリエンスが提供されます。 移行エクスペリエンスでは、オンプレミス環境から直接インポートされる証明書利用者アプリケーションのメタデータを使用します。 また、このエクスペリエンスでは、いくつかの基本的な SAML 設定、要求の構成、グループの割り当てを使用して、Microsoft Entra プラットフォーム上の SAML アプリケーションをワンクリックで構成できます。

Note

AD FS アプリケーションの移行では、SAML ベースのアプリケーションのみがサポートされます。 OpenID Connect、WS-Fed、OAuth 2.0 などのプロトコルを使用するアプリケーションはサポートされていません。 これらのプロトコルを使用するアプリケーションを移行する場合は、「AD FS アプリケーション アクティビティ レポートの使用」を参照して、移行するアプリケーションを特定します。 移行するアプリケーションを特定したら、Microsoft Entra ID で手動で構成できます。 手動での移行を開始する方法の詳細については、「アプリケーションの移行とテスト」を参照してください。

AD FS アプリケーションの移行の状態

Microsoft Entra Connect および AD FS 用の Microsoft Entra Connect Health エージェントでは、オンプレミスの証明書利用者アプリケーションの構成とサインイン監査ログを読み取ります。 各 AD FS アプリケーションに関するこうしたデータが分析されて、そのまま移行できるかどうか、または追加の確認が必要かどうかが判断されます。 この分析の結果に基づいて、特定のアプリケーションにおける移行の状態が判断されます。

アプリケーションは、次の移行の状態に分類されます。

  • [移行準備完了] は、AD FS アプリケーション構成が Microsoft Entra ID で完全にサポートされており、そのままの状態で移行できることを意味します。
  • [確認が必要です] は、アプリケーションの設定の一部は Microsoft Entra ID に移行できますが、そのままでは移行できない設定を確認する必要があることを意味します。
  • [追加の手順が必要です] は、アプリケーションの設定の一部が Microsoft Entra ID でサポートされていないため、現在の状態ではアプリケーションを移行できないことを意味します。

AD FS アプリケーションの移行の検証テスト

アプリケーションの準備状況は、次の定義済みの AD FS アプリケーション構成テストに基づいて評価されます。 テストは自動的に実行され、結果は AD FS アプリケーション移行ダッシュボードに移行の状態として表示されます。 AD FS 構成に Microsoft Entra 構成との互換性がない場合は、構成に対処する方法についての具体的なガイダンスが Microsoft Entra ID に示されます。

AD FS アプリケーション移行の分析情報の状態の更新

アプリケーションが更新されると、内部エージェントは数分以内に更新プログラムを同期します。 ただし、AD FS 移行分析情報ジョブは、更新プログラムを評価し、新しい移行状態を計算する役割を担います。 これらのジョブは 24 時間ごとに実行されるようにスケジュールされています。つまり、データは 1 日に 1 回だけ、協定世界時 (UTC) の 00:00 頃に計算されます。

結果 合格/警告/不合格 説明
Test-ADFSRPAdditionalAuthenticationRules
AdditionalAuthentication について、移行できない規則が 1 つ以上検出されました。
合格/警告 証明書利用者には、多要素認証を要求するための規則があります。 Microsoft Entra ID に移行するには、これらの規則を条件付きアクセス ポリシーに変換します。 オンプレミス MFA を使用している場合は、Microsoft Entra 多要素認証に移行することをお勧めします。 条件付きアクセスの詳細を確認してください
Test-ADFSRPAdditionalWSFedEndpoint
Relying party has AdditionalWSFedEndpoint set to true. (証明書利用者の AdditionalWSFedEndpoint が true に設定されている)。
合格/不合格 AD FS の証明書利用者で、複数の WS-Fed アサーション エンドポイントが許可されています。 現在、Microsoft Entra では 1 つのみがサポートされています。 この結果によって移行が妨げられている場合は、ご連絡ください
Test-ADFSRPAllowedAuthenticationClassReferences
Relying Party has set AllowedAuthenticationClassReferences. (証明書利用者で AllowedAuthenticationClassReferences が設定されている)。
合格/不合格 AD FS のこの設定では、特定の認証の種類のみを許可するようアプリケーションを構成するかどうかを指定します。 この機能を実現するには、条件付きアクセスを使用することをお勧めします。 この結果によって移行が妨げられている場合は、ご連絡ください条件付きアクセスの詳細についてご確認ください
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
合格/不合格 AD FS のこの設定では、SSO Cookie を無視して "認証のためのプロンプトを毎回表示する" ようアプリケーションが構成されているかどうかを指定します。 Microsoft Entra ID では、条件付きアクセス ポリシーを使用して認証セッションを管理し、同様の動作を実現することができます。 条件付きアクセスを使用して認証セッション管理を構成する方法を確認してください。
Test-ADFSRPAutoUpdateEnabled
Relying Party has AutoUpdateEnabled set to true (証明書利用者で AutoUpdateEnabled が true に設定されている)
合格/警告 AD FS のこの設定では、フェデレーション メタデータ内の変更に基づいてアプリケーションを自動的に更新するよう AD FS を構成するかどうかを指定します。 これは現在 Microsoft Entra ID でサポートされていませんが、Microsoft Entra ID へのアプリケーションの移行を妨げることはありません。
Test-ADFSRPClaimsProviderName
Relying Party has multiple ClaimsProviders enabled (証明書利用者で複数の ClaimsProviders が有効にされている)
合格/不合格 AD FS のこの設定は、どの ID プロバイダーからの要求を証明書利用者が受け入れているかを示します。 Microsoft Entra ID では、Microsoft Entra B2B を使用して外部コラボレーションを有効にすることができます。 Microsoft Entra B2B の詳細情報
Test-ADFSRPDelegationAuthorizationRules 合格/不合格 アプリケーションで、カスタム委任承認規則が定義されています。 これは、OpenID Connect や OAuth 2.0 などの最新の認証プロトコルを使用して Microsoft Entra ID でサポートされている WS-Trust の概念です。 Microsoft ID プラットフォームの詳細をご確認ください
Test-ADFSRPImpersonationAuthorizationRules 合格/警告 アプリケーションで、カスタム偽装承認規則が定義されています。 これは、OpenID Connect や OAuth 2.0 などの最新の認証プロトコルを使用して Microsoft Entra ID でサポートされている WS-Trust の概念です。 Microsoft ID プラットフォームの詳細をご確認ください
Test-ADFSRPIssuanceAuthorizationRules
IssuanceAuthorization について、移行できない規則が 1 つ以上検出されました。
合格/警告 アプリケーションで、AD FS にカスタム発行承認規則が定義されています。 Microsoft Entra ID では、Microsoft Entra 条件付きアクセスによりこの機能がサポートされています。 条件付きアクセスの詳細を確認してください
アプリケーションに割り当てられたユーザーまたはグループによってアプリケーションへのアクセスを制限することもできます。 アプリケーションにアクセスするユーザーとグループの割り当ての詳細についてご確認ください
Test-ADFSRPIssuanceTransformRules
IssuanceTransform について、移行できない規則が 1 つ以上検出されました。
合格/警告 アプリケーションで、AD FS にカスタム発行変換規則が定義されています。 Microsoft Entra ID では、トークンで発行された要求のカスタマイズがサポートされています。 詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。
Test-ADFSRPMonitoringEnabled
Relying Party has MonitoringEnabled set to true. (証明書利用者で MonitoringEnabled が true に設定されている)。
合格/警告 AD FS のこの設定では、フェデレーション メタデータ内の変更に基づいてアプリケーションを自動的に更新するよう AD FS を構成するかどうかを指定します。 これは現在 Microsoft Entra でサポートされていませんが、Microsoft Entra ID へのアプリケーションの移行を妨げることはありません。
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
合格/警告 AD FS では、SAML トークン内の NotBefore および NotOnOrAfter の時間に基づいて時間のずれが許可されます。 Microsoft Entra ID では、これは既定で自動的に処理されます。
Test-ADFSRPRequestMFAFromClaimsProviders
Relying Party has RequestMFAFromClaimsProviders set to true. (証明書利用者で RequestMFAFromClaimsProviders が true に設定されている)。
合格/警告 AD FS のこの設定は、別の要求プロバイダーからのユーザーであるときの MFA の動作を決定します。 Microsoft Entra ID では、Microsoft Entra B2B を使用して外部コラボレーションを有効にすることができます。 次に、条件付きアクセス ポリシーを適用して、ゲスト アクセスを保護することができます。 Microsoft Entra B2B条件付きアクセスの詳細を確認してください。
Test-ADFSRPSignedSamlRequestsRequired
Relying Party has SignedSamlRequestsRequired set to true (証明書利用者で SignedSamlRequestsRequired が true に設定されている)
合格/不合格 アプリケーションは、SAML 要求の署名を検証するよう AD FS で構成されています。 Microsoft Entra ID では、署名された SAML 要求は受け入れられますが、署名は検証されません。 Microsoft Entra ID には、悪意のある呼び出しから保護するためのさまざまな方法があります。 たとえば、Microsoft Entra ID では、アプリケーションで構成された応答 URL を使用して SAML 要求が検証されます。 Microsoft Entra ID によってトークンが送信されるのは、アプリケーション用に構成された応答 URL のみです。 この結果によって移行が妨げられている場合は、ご連絡ください
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
合格/警告 アプリケーションでカスタム トークンの有効期間が構成されています。 AD FS での既定値は 1 時間です。 Microsoft Entra ID では、条件付きアクセスを使用してこの機能がサポートされています。 詳細については、「条件付きアクセスを使用して認証セッション管理を構成する」を参照してください。
Relying Party is set to encrypt claims. (証明書利用者が、要求を暗号化するよう設定されている)。 これは、Microsoft Entra ID でサポートされています パス Microsoft Entra ID を使用すると、アプリケーションに送信されるトークンを暗号化できます。 詳細については、「Microsoft Entra の SAML トークン暗号化を構成する」を参照してください。
EncryptedNameIdRequiredCheckResult 合格/不合格 アプリケーションは、SAML トークン内の nameID 要求を暗号化するよう構成されています。 Microsoft Entra ID を使用すると、アプリケーションに送信されるトークン全体を暗号化できます。 特定の要求の暗号化がまだサポートされていません。 詳細については、「Microsoft Entra の SAML トークン暗号化を構成する」を参照してください。

次のステップ