Usar migração de aplicativo do AD FS para mover aplicativos do AD FS para o Microsoft Entra ID
Neste artigo, você aprenderá a migrar seus aplicativos do AD FS (Serviços de Federação do Active Directory) para o Microsoft Entra ID usando a migração de aplicativo do AD FS.
A migração de aplicativos do AD FS fornece aos administradores de TI uma experiência guiada para migrar aplicativos de terceira parte confiável do AD FS do AD FS para o Microsoft Entra ID. O assistente oferece uma experiência unificada para descobrir, avaliar e configurar o novo aplicativo do Microsoft Entra. Ele fornece uma configuração de um clique para URLs básicas de SAML, mapeamento de declarações e atribuições de usuário para integrar o aplicativo ao Microsoft Entra ID.
A ferramenta de migração de aplicativo do AD FS foi projetada para dar suporte de ponta a ponta para migrar seus aplicativos do AD FS locais para o Microsoft Entra ID.
Com a migração de aplicativos do AD FS, você pode:
- Avaliar as atividades de entrada dos aplicativos de terceira parte confiável do AD FS, o que ajuda a identificar o uso e o impacto dos aplicativos especificados.
- Analisar a viabilidade da migração do AD FS para o Microsoft Entra, o que ajuda a identificar bloqueadores de migração ou as ações necessárias para migrar seus aplicativos para a plataforma do Microsoft Entra.
- Configurar o novo aplicativo do Microsoft Entra usando um processo de migração de aplicativo com um clique, que configura automaticamente um novo aplicativo do Microsoft Entra para o aplicativo AD FS especificado.
Pré-requisitos
Para usar a migração de aplicativo do AD FS:
- Para acessar os aplicativos, sua organização deve estar usando o AD FS.
- Você deve ter uma licença P1 ou P2 do Microsoft Entra ID.
- Você deve ter uma das seguintes funções atribuídas,
- Administrador de Aplicativos de Nuvem
- Administrador de aplicativos
- Leitor Global (acesso somente leitura)
- Leitor de Relatório (acesso somente leitura)
- O Microsoft Entra Connect deve ser instalado nos ambientes locais, juntamente com os agentes de integridade do AD FS de do Microsoft Entra Connect Health.
Há alguns motivos pelos quais você não verá todos os aplicativos esperados depois de instalar os agentes do Microsoft Entra Connect Health para o AD FS:
- O painel de migração dos aplicativos do AD FS mostra apenas aplicativos do AD FS que têm logons de usuário nos últimos 30 dias.
- Os aplicativos de terceira parte confiável do AD FS relacionados à Microsoft não estão disponíveis no painel.
Exibir o painel de migração de aplicativos do AD FS no Microsoft Entra ID
O painel de migração de aplicativos do AD FS está disponível no centro de administração do Microsoft Entra no relatório de Uso e insights . Há dois pontos de entrada para o assistente:
Na seção Aplicativos empresariais:
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.
- Navegue até Identidade>Aplicativos>Aplicativos Empresariais.
- Em Uso e Insights, selecione Migração de aplicativos do AD FS para acessar o painel de migração de aplicativos do AD FS.
Na seção Monitoramento e integridade:
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.
- Navegue até Identidade>Monitoramento e integridade>Aplicativos empresariais.
- Em Gerenciar, selecione Uso e Insights e selecione Migração de aplicativos do AD FS para acessar o painel de migração de aplicativos do AD FS.
O painel de migração de aplicativos do AD FS mostra a lista de todos os aplicativos de terceira parte confiável do AD FS que tiveram tráfego de entrada ativamente nos últimos 30 dias.
O painel tem o filtro de intervalo de datas. O filtro permite que você selecione todo o aplicativo de terceira parte confiável do AD FS ativo de acordo com o intervalo de tempo selecionado. O filtro dá suporte ao período de 1 dia, 7 dias e 30 dias.
Há três guias que fornecem a lista completa de aplicativos, aplicativos configuráveis e aplicativos configurados anteriormente. Neste painel, você terá uma visão geral de todo o progresso do trabalho de migração.
As três guias no painel são:
- Todos os aplicativos – mostra a lista de todos os aplicativos descobertos em seu ambiente local.
- Pronto para migrar – mostra a lista de todos os aplicativos que têm o status de migração Pronto ou Precisa de revisão.
- Pronto para configurar – mostra a lista de todos os aplicativos do Microsoft Entra que foram migrados anteriormente usando o assistente de migração de aplicativos do AD FS.
Status de migração do aplicativo
Os agentes do Microsoft Entra Connect e do Microsoft Entra Connect Health para AD FS leem as configurações de aplicativos de terceira parte confiável do AD FS e os logs de auditoria de entrada. Esses dados sobre cada aplicativo do AD FS são analisados para determinar se o aplicativo pode ser migrado no estado em que se encontra ou se uma revisão adicional é necessária. Com base no resultado dessa análise, o status de migração para o aplicativo especificado é indicado como um dos seguintes status:
- Pronto para migrar significa que a configuração do aplicativo AD FS é totalmente compatível com o Microsoft Entra ID e pode ser migrada no estado em que se encontra.
- Necessita revisão significa que algumas das configurações do aplicativo podem ser migradas para o Microsoft Entra ID, mas você precisa examinar as configurações que não podem ser migradas da forma como estão. No entanto, eles não são bloqueadores para a migração.
- Etapas adicionais necessárias significa que o Microsoft Entra ID não dá suporte a algumas das configurações do aplicativo, portanto, o aplicativo não pode ser migrado em seu estado atual.
Vamos examinar cada guia no painel de migração de aplicativos do AD FS com mais detalhes.
Guia Todos os aplicativos
A guia Todos os aplicativos mostra todos os aplicativos de terceira parte confiável do AD FS ativos do intervalo de datas selecionado. O usuário pode analisar o impacto de cada aplicativo usando os dados de entrada agregados. Eles também podem navegar até o painel de detalhes usando o link de Status de migração.
Para exibir detalhes sobre cada regra de validação, consulte as regras de validação de migração de aplicativos do AD FS.
Selecione uma mensagem para abrir detalhes adicionais da regra de migração. Para obter uma lista completa das propriedades testadas, consulte a tabela de testes de configuração a seguir.
Verificar os resultados dos testes da regra de declaração
Se você tiver configurado uma regra de declaração para o aplicativo no AD FS, a experiência fornece uma análise granular de todas as regras de declaração. Você verá quais regras de declaração pode mover para o Microsoft Entra ID e quais precisam de revisão adicional.
- Selecione um aplicativo na lista de aplicativos na guia Todos os aplicativos e selecione o status na coluna Status de migração para exibir os detalhes da migração. Você vê um resumo dos testes de configuração aprovados, juntamente com quaisquer possíveis problemas de migração.
- Na página Detalhes da regra de migração, expanda os resultados para exibir detalhes sobre possíveis problemas de migração e obter diretrizes adicionais. Para obter uma lista detalhada de todas as regras de declaração testadas, consulte a seção de testes de regra de declaração neste artigo.
O exemplo a seguir mostra os detalhes da regra de migração para a regra IssuanceTransform. Ele lista as partes específicas da reivindicação que precisam ser revisadas e resolvidas antes que você possa migrar o aplicativo para o Microsoft Entra ID.
Testes da regra de declaração
A tabela a seguir lista todos os testes da regra de declaração que são executados nos aplicativos do AD FS.
Propriedade | Descrição |
---|---|
UNSUPPORTED_CONDITION_PARAMETER | A instrução condition usa expressões regulares para avaliar se a declaração corresponde a um determinado padrão. Para obter uma funcionalidade semelhante no Microsoft Entra ID, você pode usar transformações predefinidas, como IfEmpty(), StartWith(), Contains(), entre outras. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos empresariais. |
UNSUPPORTED_CONDITION_CLASS | A instrução condition tem várias condições que precisam ser avaliadas antes da execução da instrução de emissão. O Microsoft Entra ID pode dar suporte a essa funcionalidade com as funções de transformação da declaração, nas quais você pode avaliar vários valores de declaração. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos empresariais. |
UNSUPPORTED_RULE_TYPE | Não foi possível reconhecer a regra de declaração. Para obter mais informações sobre como configurar reivindicações no Microsoft Entra ID, consulte Personalizar reivindicações emitidas no token SAML para aplicativos corporativos. |
CONDITION_MATCHES_UNSUPPORTED_ISSUER | A instrução condition usa um emissor que não tem suporte no Microsoft Entra ID. Atualmente, Microsoft Entra não origina declarações de repositórios diferentes que o Active Directory ou Microsoft Entra ID. Se isso o estiver impedindo de migrar aplicativos para o Microsoft Entra ID, informe-nos. |
UNSUPPORTED_CONDITION_FUNCTION | A instrução condition usa uma função de agregação para emitir ou adicionar uma única declaração, independentemente do número de correspondências. No Microsoft Entra ID, você pode avaliar o atributo de um usuário para decidir qual valor usar para a reivindicação com funções como IfEmpty(), StartWith(), Contains(), entre outras. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos empresariais. |
RESTRICTED_CLAIM_ISSUED | A instrução de condição usa uma declaração que é restrita no Microsoft Entra ID. Você pode emitir uma declaração restrita, mas não pode modificar sua origem ou aplicar qualquer transformação. Para obter mais informações, consulte Personalizar reivindicações emitidas em tokens para um aplicativo específico no Microsoft Entra ID. |
EXTERNAL_ATTRIBUTE_STORE | A instrução de emissão usa um armazenamento de atributos diferente do Active Directory. Atualmente, Microsoft Entra não origina declarações de repositórios diferentes que o Active Directory ou Microsoft Entra ID. Se esse resultado o estiver impedindo de migrar aplicativos para o Microsoft Entra ID, informe-nos. |
UNSUPPORTED_ISSUANCE_CLASS | A instrução de emissão usa ADD para adicionar declarações ao conjunto de declarações de entrada. No Microsoft Entra ID, isso pode ser configurado como várias transformações de declarações. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos empresariais. |
UNSUPPORTED_ISSUANCE_TRANSFORMATION | A instrução de emissão usa expressões regulares para transformar o valor da declaração a ser emitida. Para obter funcionalidade semelhante no Microsoft Entra ID, você pode usar a transformação predefinida, como Extract() , Trim() e ToLower() . Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos empresariais. |
Guia Pronto para migrar
A guia Pronto para migrar mostra todos os aplicativos que têm o status de migração como Pronto ou Precisa de revisão.
Você pode usar os dados de entrada para identificar o impacto de cada aplicativo e selecionar os aplicativos certos para a migração. Selecione o link Iniciar migração para iniciar o processo de migração assistida de aplicativo com um clique.
Guia Pronto para configurar
Esta guia mostra a lista de todos os aplicativos do Microsoft Entra que foram migrados anteriormente usando o assistente de migração de aplicativos do AD FS.
O Nome do aplicativo é o nome do novo aplicativo do Microsoft Entra. O Identificador do aplicativo é o mesmo do identificador de aplicativo de terceira parte confiável do AD FS que pode ser usado para correlacionar o aplicativo com seu ambiente do AD FS. O link Configurar aplicativo no Microsoft Entra permite que você navegue até o aplicativo do Microsoft Entra recém-configurado na seção Aplicativo empresarial.
Migrar um aplicativo do AD FS para o Microsoft Entra ID usando o assistente de migração de aplicativo do AD FS
- Para iniciar a migração do aplicativo, selecione o link Iniciar migração para o aplicativo que você deseja migrar da guia Pronto para migrar.
- O link redireciona você para a seção de migração assistida de aplicativo com um clique do assistente de migração de aplicativos do AD FS. Todas as configurações no assistente são importadas do ambiente do AD FS local.
Antes de examinarmos os detalhes das várias guias no assistente, é importante entender as configurações que possuem suporte e as que não possuem.
Configurações com suporte
A migração assistida de aplicativos do AD FS dá suporte às seguintes configurações:
- Dá suporte apenas à configuração de aplicativo SAML.
- A opção para personalizar o novo nome do aplicativo do Microsoft Entra.
- Permite que os usuários selecionem qualquer modelo de aplicativo na galeria de modelos de aplicativo.
- A configuração das configurações básicas do aplicativo SAML, ou seja, o identificador e a URL de resposta.
- A configuração do aplicativo do Microsoft Entra para permitir todos os usuários do locatário.
- A atribuição automática de grupos para o aplicativo Microsoft Entra.
- A configuração de declarações compatíveis com o Microsoft Entra extraída das configurações de declarações de terceira parte confiável do AD FS.
Configurações não compatíveis:
A migração de aplicativo do AD FS não dá suporte às seguintes configurações:
- Não há suporte para configurações OIDC (OpenID Connect), OAuth e WS-Fed.
- Não há suporte à configuração automática de políticas de acesso condicional. No entanto, o usuário pode configurá-la após a configuração do novo aplicativo em seu locatário.
- O certificado de autenticação não é migrado do aplicativo de terceira parte confiável do AD FS. As seguintes guias existem no assistente de migração de aplicativos do AD FS:
Vamos examinar os detalhes de cada guia na seção de migração de aplicativo assistida com um clique do assistente de migração de aplicativos do AD FS
Guia Básico
- Nome do aplicativo previamente preenchido com o nome do aplicativo de terceira parte confiável do AD FS. Você pode usá-lo como o nome do novo aplicativo do Microsoft Entra. Você também pode modificar o nome para qualquer outro valor que preferir.
- Modelo de aplicativo. Selecione qualquer modelo de aplicativo mais adequado para seu aplicativo. Você pode ignorar essa opção se não quiser usar nenhum modelo.
Guia Usuário e grupos
A “configuração ao clicar” atribui automaticamente os usuários e grupos ao aplicativo do Microsoft Entra que são iguais à configuração local.
Todos os grupos são extraídos das políticas de controle de acesso do aplicativo de terceira parte confiável do AD FS. Os grupos devem ser sincronizados em seu locatário do Microsoft Entra usando agentes do Microsoft Entra Connect. Caso os grupos sejam mapeados com o aplicativo de terceira parte confiável do AD FS, mas não sejam sincronizados com o locatário do Microsoft Entra. Esses grupos são ignorados da configuração.
A configuração de usuários e grupos assistidos dá suporte às seguintes configurações do ambiente do AD FS local:
- Permissão a todos do locatário.
- Permissão a grupos específicos.
Esses são os usuários e grupos que você pode exibir no assistente de configuração. Esta é uma exibição somente leitura. Você não pode fazer nenhuma alteração nesta seção.
Guia Configurações de SAML
Esta guia mostra as propriedades básicas do SAML que são usadas para as configurações de logon único do aplicativo do Microsoft Entra. Atualmente, somente as propriedades necessárias são mapeadas, que são somente a URL de resposta e o identificador.
Essas configurações são implementadas diretamente do aplicativo de terceira parte confiável do AD FS e não podem ser modificadas nessa guia. No entanto, depois de configurar o aplicativo, você pode modificá-los do painel de logon único do centro de administração do Microsoft Entra do seu aplicativo empresarial.
Guia Declarações
Todas as declarações do AD FS não são traduzidas diretamente para as declarações do Microsoft Entra. O assistente de migração dá suporte apenas a declarações específicas. Se você encontrar quaisquer declarações ausentes, poderá configurá-las no aplicativo empresarial migrado no centro de administração do Microsoft Entra.
No caso, o aplicativo de terceira parte confiável do AD FS tem nameidentifier
configurado, o que tem suporte no Microsoft Entra ID, então ele será configurado como nameidentifier
. Caso contrário, user.userprincipalname
será usado como declaração padrão de nameidentifier.
Este é o modo de exibição somente leitura. Você não pode fazer nenhuma alteração aqui.
Guia Próximas etapas
Essa guia fornece informações sobre as próximas etapas ou revisões esperadas do lado do usuário. O exemplo a seguir mostra a lista de configurações para este aplicativo de terceira parte confiável do AD FS, que não tem suporte no Microsoft Entra ID.
Nessa guia, você pode acessar a documentação relevante para investigar e entender os problemas.
Guia Examinar + criar
Esta guia mostra o resumo de todas as configurações que você viu nas guias anteriores. Você pode revisá-la mais uma vez. Se você estiver satisfeito com todas as configurações e quiser prosseguir com a migração de aplicativos, selecione o botão Criar para iniciar o processo de migração. Isso migra o novo aplicativo para o locatário do Microsoft Entra.
Atualmente, a migração de aplicativos é um processo de nove etapas que você pode monitorar usando as notificações. O fluxo de trabalho conclui as seguintes ações:
- Cria um registro de aplicativo
- Cria uma entidade de serviço
- Define as configurações do SAML
- Atribui usuários e grupos ao aplicativo
- Configura declarações
Depois que o processo de migração for concluído, você verá uma mensagem de notificação que mostra: A migração do aplicativo foi bem-sucedida.
Na conclusão da migração do aplicativo, você é redirecionado para a guia Pronto para configurar, onde todos os aplicativos migrados anteriormente são mostrados, incluindo os mais recentes que você configurou.
Revisar e configurar o aplicativo empresarial
Na guia Pronto para configurar, você pode usar o link Configurar aplicativo no Microsoft Entra para navegar até o aplicativo recém-configurado na seção "Aplicativos empresariais". Por padrão, ele vai para a página de Logon baseado em SAML do seu aplicativo.
No painel Logon baseado em SAML, todas as configurações de aplicativo de terceira parte confiável do AD FS já são aplicadas ao aplicativo do Microsoft Entra recém-migrado. As propriedades Identificador e URL de resposta da Configuração Básica de SAML e a lista de declarações das guias Atributos e Declarações do assistente de migração de aplicativos do AD FS são iguais às do aplicativo empresarial.
No painel Propriedades do aplicativo, o logotipo do modelo de aplicativo implica que o aplicativo está vinculado ao modelo de aplicativo selecionado. Na página Proprietários, o usuário administrador atual é adicionado como um dos proprietários do aplicativo.
No painel Usuários e grupos, todos os grupos necessários já estão atribuídos ao aplicativo.
Depois de examinar o aplicativo empresarial migrado, você pode atualizar o aplicativo de acordo com suas necessidades comerciais. Você pode adicionar ou atualizar declarações, atribuir mais usuários e grupos ou configurar políticas de acesso condicional para habilitar o suporte à autenticação multifator ou outros recursos de autorização condicional.
Reversão
A configuração de um clique do assistente de migração de aplicativo do AD FS migra o novo aplicativo para o locatário do Microsoft Entra. No entanto, o aplicativo migrado permanece inativo até que você redirecione o tráfego de entrada para ele. Até lá, se você quiser reverter, poderá excluir o aplicativo do Microsoft Entra recém-migrado do seu locatário.
O assistente não fornece nenhuma limpeza automatizada. Caso não deseje continuar com a configuração do aplicativo migrado, você precisará excluir manualmente o aplicativo do seu locatário. Para obter instruções sobre como excluir um registro de aplicativo e seu aplicativo empresarial correspondente, consulte as seguintes URLs:
Dicas de solução de problemas
Não é possível ver todos os meus aplicativos do AD FS no relatório
Se você instalou agentes do Microsoft Entra Connect Health para o AD FS, mas ainda vê o prompt para instalá-lo ou não vê todos os seus aplicativos AD FS no relatório, pode ser que você não tenha aplicativos AD FS ativos ou que seus aplicativos AD FS sejam da Microsoft.
Observação
A migração de aplicativos do AD FS lista todos os aplicativos do AD FS na sua organização que tiveram um logon de usuário ativo somente nos últimos 30 dias.
O relatório não exibe terceiras partes confiáveis relacionadas à Microsoft no AD FS, como o Office 365. Por exemplo, as partes confiáveis com nome urn:federation:MicrosoftOnline
, microsoftonline
e microsoft:winhello:cert:prov:server
não aparecem na lista.
Por que estou vendo o erro de validação "já existe aplicativo com o mesmo identificador"?
Cada aplicativo em seu locatário deve ter um identificador de aplicativo exclusivo. Se você vir essa mensagem de erro, isso significa que você já tem outro aplicativo com o mesmo identificador em seu locatário do Microsoft Entra. Nesse caso, você precisa atualizar o identificador de aplicativo existente ou atualizar o identificador de aplicativo de terceira parte confiável do AD FS e aguardar 24 horas para que as atualizações tenham efeito.