Omówienie migracji aplikacji usług AD FS
Ten artykuł zawiera informacje na temat możliwości kreatora migracji aplikacji usług AD FS i stanu migracji dostępnego na pulpicie nawigacyjnym. Poznasz również różne testy weryfikacyjne generowane przez migrację aplikacji dla każdej aplikacji, które mają zostać zmigrowane z usług AD FS do identyfikatora Entra firmy Microsoft.
Kreator migracji aplikacji usług AD FS umożliwia szybkie określenie, które aplikacje mogą być migrowane do identyfikatora Entra firmy Microsoft. Ocenia wszystkie aplikacje usług AD FS pod kątem zgodności z identyfikatorem Entra firmy Microsoft. Sprawdza również wszelkie problemy, zawiera wskazówki dotyczące przygotowywania poszczególnych aplikacji do migracji i konfigurowania nowej aplikacji Firmy Microsoft Entra przy użyciu środowiska jednym kliknięciem.
Za pomocą kreatora migracji aplikacji usług AD FS można wykonywać następujące czynności:
Odnajdywanie aplikacji usług AD FS i określanie zakresu migracji — kreator migracji aplikacji usług AD FS zawiera listę wszystkich aplikacji usług AD FS w organizacji, które miały aktywne logowanie użytkownika w ciągu ostatnich 30 dni. Raport wskazuje gotowość aplikacji do migracji do identyfikatora Entra firmy Microsoft. Raport nie wyświetla powiązanych z firmą Microsoft jednostek uzależnionych w usługach AD FS, takich jak Office 365. Na przykład jednostki uzależnione o nazwie
urn:federation:MicrosoftOnline
.Określanie priorytetów aplikacji na potrzeby migracji — uzyskaj liczbę unikatowych użytkowników zalogowanych do aplikacji w ciągu ostatnich 1, 7 lub 30 dni, aby ułatwić określenie krytycznej lub ryzyka migracji aplikacji.
Uruchamianie testów migracji i rozwiązywanie problemów — usługa raportowania automatycznie uruchamia testy w celu określenia, czy aplikacja jest gotowa do migracji. Wyniki są wyświetlane na pulpicie nawigacyjnym migracji aplikacji usług AD FS jako stan migracji. Jeśli konfiguracja usług AD FS nie jest zgodna z konfiguracją firmy Microsoft Entra, zapoznaj się ze szczegółowymi wskazówkami dotyczącymi sposobu rozwiązywania problemów z konfiguracją w usłudze Microsoft Entra ID.
Użyj środowiska konfiguracji aplikacji jednym kliknięciem, aby skonfigurować nową aplikację firmy Microsoft Entra — zapewnia to środowisko z przewodnikiem umożliwiające migrowanie lokalnych aplikacji jednostki uzależnionej do chmury. Środowisko migracji używa metadanych aplikacji jednostki uzależnionej, które są bezpośrednio importowane ze środowiska lokalnego. Ponadto środowisko zapewnia konfigurację aplikacji SAML jednym kliknięciem na platformie Microsoft Entra z podstawowymi ustawieniami PROTOKOŁU SAML, konfiguracjami oświadczeń i przypisaniami grup.
Uwaga
Migracja aplikacji usług AD FS obsługuje tylko aplikacje oparte na protokole SAML. Nie obsługuje aplikacji korzystających z protokołów, takich jak OpenID Connect, WS-Fed i OAuth 2.0. Jeśli chcesz migrować aplikacje korzystające z tych protokołów, zobacz Używanie raportu aktywności aplikacji usług AD FS w celu zidentyfikowania aplikacji, które mają zostać zmigrowane. Po zidentyfikowaniu aplikacji, które chcesz migrować, możesz skonfigurować je ręcznie w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji na temat rozpoczynania migracji ręcznej, zobacz Migrowanie i testowanie aplikacji.
Stan migracji aplikacji usług AD FS
Agenci programu Microsoft Entra Connect i Microsoft Entra Connect Health dla usług AD FS odczytują lokalne konfiguracje aplikacji jednostki uzależnionej i dzienniki inspekcji logowania. Te dane dotyczące każdej aplikacji usług AD FS są analizowane w celu określenia, czy można je zmigrować zgodnie z rzeczywistym użyciem, czy też jeśli jest wymagana dodatkowa recenzja. Na podstawie wyniku tej analizy jest określany stan migracji dla danej aplikacji.
Aplikacje są podzielone na następujące stany migracji:
- Gotowość do migracji oznacza, że konfiguracja aplikacji usług AD FS jest w pełni obsługiwana w identyfikatorze Entra firmy Microsoft i może zostać zmigrowana zgodnie z rzeczywistym stanem.
- Przegląd potrzeb oznacza, że niektóre ustawienia aplikacji można migrować do identyfikatora Entra firmy Microsoft, ale należy przejrzeć ustawienia, których nie można migrować zgodnie z rzeczywistym stanem.
- Wymagane dodatkowe kroki oznaczają, że identyfikator Entra firmy Microsoft nie obsługuje niektórych ustawień aplikacji, więc nie można migrować aplikacji w bieżącym stanie.
Testy weryfikacji migracji aplikacji usług AD FS
Gotowość aplikacji jest oceniana na podstawie następujących wstępnie zdefiniowanych testów konfiguracji aplikacji usług AD FS. Testy są uruchamiane automatycznie, a wyniki są wyświetlane na pulpicie nawigacyjnym migracji aplikacji usług AD FS jako stan migracji. Jeśli konfiguracja usług AD FS nie jest zgodna z konfiguracją firmy Microsoft Entra, zapoznaj się ze szczegółowymi wskazówkami dotyczącymi sposobu rozwiązywania problemów z konfiguracją w usłudze Microsoft Entra ID.
Aktualizacje stanu usługi AD FS application migration insights
Po zaktualizowaniu aplikacji agenci wewnętrzni synchronizują aktualizacje w ciągu kilku minut. Jednak zadania szczegółowych informacji o migracji usług AD FS są odpowiedzialne za ocenę aktualizacji i obliczanie nowego stanu migracji. Te zadania są zaplanowane do uruchamiania co 24 godziny, co oznacza, że dane będą obliczane tylko raz w ciągu dnia o około 00:00 Koordynowany czas uniwersalny (UTC).
Result | Przekazywanie/ostrzeżenie/niepowodzenie | opis |
---|---|---|
Test-ADFSRPAdditionalAuthenticationRules Wykryto co najmniej jedną niegragrabną regułę dla elementu AdditionalAuthentication. |
Przekazywanie/ostrzeżenie | Jednostka uzależniona ma reguły monitowania o uwierzytelnianie wieloskładnikowe. Aby przejść do identyfikatora Entra firmy Microsoft, przetłumacz te reguły na zasady dostępu warunkowego. Jeśli używasz lokalnej uwierzytelniania wieloskładnikowego, zalecamy przejście do uwierzytelniania wieloskładnikowego firmy Microsoft. Dowiedz się więcej o dostępie warunkowym. |
Test-ADFSRPAdditionalWSFedEndpoint Jednostka uzależniona ma wartość AdditionalWSFedEndpoint ustawioną na wartość true. |
Przekazywanie/niepowodzenie | Jednostka uzależniona w usługach AD FS umożliwia wiele punktów końcowych asercji WS-Fed. Obecnie firma Microsoft Entra obsługuje tylko jedną. Jeśli masz scenariusz, w którym ten wynik blokuje migrację, daj nam znać. |
Test-ADFSRPAllowedAuthenticationClassReferences Jednostka uzależniona ustawiła wartość AllowedAuthenticationClassReferences. |
Przekazywanie/niepowodzenie | To ustawienie w usługach AD FS umożliwia określenie, czy aplikacja jest skonfigurowana tak, aby zezwalała tylko na określone typy uwierzytelniania. Zalecamy użycie dostępu warunkowego w celu osiągnięcia tej możliwości. Jeśli masz scenariusz, w którym ten wynik blokuje migrację, daj nam znać. Dowiedz się więcej o dostępie warunkowym. |
Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Przekazywanie/niepowodzenie | To ustawienie w usługach AD FS umożliwia określenie, czy aplikacja jest skonfigurowana do ignorowania plików cookie logowania jednokrotnego i Zawsze monituj o uwierzytelnianie. W usłudze Microsoft Entra ID można zarządzać sesją uwierzytelniania przy użyciu zasad dostępu warunkowego w celu osiągnięcia podobnego zachowania. Dowiedz się więcej o konfigurowaniu zarządzania sesjami uwierzytelniania przy użyciu dostępu warunkowego. |
Test-ADFSRPAutoUpdateEnabled Jednostka uzależniona ma wartość AutoUpdateEnabled ustawioną na true |
Przekazywanie/ostrzeżenie | To ustawienie w usługach AD FS umożliwia określenie, czy usługi AD FS są skonfigurowane do automatycznego aktualizowania aplikacji na podstawie zmian w metadanych federacji. Identyfikator Entra firmy Microsoft nie obsługuje tego dzisiaj, ale nie powinien blokować migracji aplikacji do identyfikatora Entra firmy Microsoft. |
Test-ADFSRPClaimsProviderName Jednostka uzależniona ma włączoną wiele oświadczeńProviders |
Przekazywanie/niepowodzenie | To ustawienie w usługach AD FS wywołuje dostawców tożsamości, z których jednostka uzależniona akceptuje oświadczenia. W usłudze Microsoft Entra ID można włączyć współpracę zewnętrzną przy użyciu usługi Microsoft Entra B2B. Dowiedz się więcej o firmie Microsoft Entra B2B. |
Test-ADFSRPDelegationAuthorizationRules | Przekazywanie/niepowodzenie | Aplikacja ma zdefiniowane niestandardowe reguły autoryzacji delegowania. Jest to koncepcja zaufania WS obsługiwana przez firmę Microsoft Entra ID przy użyciu nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect i OAuth 2.0. Dowiedz się więcej o Platforma tożsamości Microsoft. |
Test-ADFSRPImpersonationAuthorizationRules | Przekazywanie/ostrzeżenie | Aplikacja ma zdefiniowane niestandardowe reguły autoryzacji personifikacji. Jest to koncepcja zaufania WS obsługiwana przez firmę Microsoft Entra ID przy użyciu nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect i OAuth 2.0. Dowiedz się więcej o Platforma tożsamości Microsoft. |
Test-ADFSRPIssuanceAuthorizationRules Wykryto co najmniej jedną niegrabną regułę wystawianiaAuthorization. |
Przekazywanie/ostrzeżenie | Aplikacja ma niestandardowe reguły autoryzacji wystawiania zdefiniowane w usługach AD FS. Identyfikator Entra firmy Microsoft obsługuje tę funkcję za pomocą dostępu warunkowego firmy Microsoft Entra. Dowiedz się więcej o dostępie warunkowym. Możesz również ograniczyć dostęp do aplikacji według użytkowników lub grup przypisanych do aplikacji. Dowiedz się więcej o przypisywaniu użytkowników i grup do uzyskiwania dostępu do aplikacji. |
Test-ADFSRPIssuanceTransformRules Wykryto co najmniej jedną niegragrabną regułę wystawianiaTransform. |
Przekazywanie/ostrzeżenie | Aplikacja ma niestandardowe reguły przekształcania wystawiania zdefiniowane w usługach AD FS. Identyfikator Entra firmy Microsoft obsługuje dostosowywanie oświadczeń wystawionych w tokenie. Aby dowiedzieć się więcej, zobacz Dostosowywanie oświadczeń wystawionych w tokenie SAML dla aplikacji dla przedsiębiorstw. |
Test-ADFSRPMonitoringEnabled Jednostka uzależniona ma wartość MonitoringEnabled ustawioną na wartość true. |
Przekazywanie/ostrzeżenie | To ustawienie w usługach AD FS umożliwia określenie, czy usługi AD FS są skonfigurowane do automatycznego aktualizowania aplikacji na podstawie zmian w metadanych federacji. Firma Microsoft Entra nie obsługuje tego dzisiaj, ale nie powinna blokować migracji aplikacji do identyfikatora Entra firmy Microsoft. |
Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Przekazywanie/ostrzeżenie | Usługi AD FS umożliwiają niesymetryczność czasu na podstawie notBefore i NotOnOrAfter razy w tokenie SAML. Identyfikator entra firmy Microsoft automatycznie obsługuje to domyślnie. |
Test-ADFSRPRequestMFAFromClaimsProviders Jednostka uzależniona ma właściwość RequestMFAFromClaimsProviders ustawioną na wartość true. |
Przekazywanie/ostrzeżenie | To ustawienie w usługach AD FS określa zachowanie uwierzytelniania wieloskładnikowego, gdy użytkownik pochodzi z innego dostawcy oświadczeń. W usłudze Microsoft Entra ID można włączyć współpracę zewnętrzną przy użyciu usługi Microsoft Entra B2B. Następnie można zastosować zasady dostępu warunkowego, aby chronić dostęp gościa. Dowiedz się więcej o usłudze Microsoft Entra B2B i dostępie warunkowym. |
Test-ADFSRPSignedSamlRequestsRequired Jednostka uzależniona ma wartość SignedSamlRequestsRequired ustawioną na true |
Przekazywanie/niepowodzenie | Aplikacja jest skonfigurowana w usługach AD FS w celu zweryfikowania podpisu w żądaniu SAML. Identyfikator Entra firmy Microsoft akceptuje podpisane żądanie SAML; jednak nie zweryfikuje podpisu. Identyfikator Entra firmy Microsoft ma różne metody ochrony przed złośliwymi wywołaniami. Na przykład identyfikator Entra firmy Microsoft używa adresów URL odpowiedzi skonfigurowanych w aplikacji do sprawdzania poprawności żądania SAML. Identyfikator Entra firmy Microsoft będzie wysyłać token tylko do adresów URL odpowiedzi skonfigurowanych dla aplikacji. Jeśli masz scenariusz, w którym ten wynik blokuje migrację, daj nam znać. |
Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Przekazywanie/ostrzeżenie | Aplikacja jest skonfigurowana pod kątem niestandardowego okresu istnienia tokenu. Wartość domyślna usług AD FS to jedna godzina. Identyfikator Entra firmy Microsoft obsługuje tę funkcję przy użyciu dostępu warunkowego. Aby dowiedzieć się więcej, zobacz Konfigurowanie zarządzania sesjami uwierzytelniania przy użyciu dostępu warunkowego. |
Jednostka uzależniona jest ustawiona na szyfrowanie oświadczeń. Jest to obsługiwane przez identyfikator Entra firmy Microsoft | Zdane | Za pomocą identyfikatora Entra firmy Microsoft możesz zaszyfrować token wysyłany do aplikacji. Aby dowiedzieć się więcej, zobacz Konfigurowanie szyfrowania tokenów SAML firmy Microsoft. |
EncryptedNameIdRequiredCheckResult | Przekazywanie/niepowodzenie | Aplikacja jest skonfigurowana do szyfrowania oświadczenia nameID w tokenie SAML. Za pomocą identyfikatora Entra firmy Microsoft można zaszyfrować cały token wysyłany do aplikacji. Szyfrowanie określonych oświadczeń nie jest jeszcze obsługiwane. Aby dowiedzieć się więcej, zobacz Konfigurowanie szyfrowania tokenów SAML firmy Microsoft. |