Visão geral da migração de aplicativos do AD FS
Neste artigo, você aprenderá sobre os recursos do assistente de migração de aplicativos do AD FS e o status de migração disponível em seu painel. Você também aprenderá sobre os vários testes de validação gerados pela migração de aplicativos para cada um dos aplicativos que você deseja migrar do AD FS para o Microsoft Entra ID.
O assistente de migração de aplicativos do AD FS permite identificar rapidamente quais aplicativos são capazes de ser migrados para o Microsoft Entra ID. Ele avalia todos os aplicativos do AD FS para compatibilidade com o Microsoft Entra ID. Ele também verifica se há problemas e fornece orientação sobre como preparar aplicativos individuais para migração e configurar o novo aplicativo do Microsoft Entra usando a experiência de um clique.
Com o assistente de migração de aplicativo do AD FS, você pode:
Descubra aplicativos do AD FS e defina o escopo da migração – o assistente de migração de aplicativos do AD FS lista todos os aplicativos do AD FS em sua organização que tiveram uma entrada de usuário ativa nos últimos 30 dias. O relatório indica que os aplicativos estão prontos para a migração para o Microsoft Entra ID. O relatório não exibe terceiras partes confiáveis relacionadas à Microsoft no AD FS, como o Office 365. Por exemplo, terceiras partes confiáveis com nome
urn:federation:MicrosoftOnline
.Priorizar aplicativos para migração - Obtenha o número de usuários exclusivos conectados ao aplicativo nos últimos 1, 7 ou 30 dias para ajudar a determinar a criticidade ou o risco de migrar o aplicativo.
Executar testes de migração e corrigir problemas – o serviço de relatório executa automaticamente testes para determinar se um aplicativo está pronto para migrar. Os resultados são exibidos no painel de migração de aplicativos do AD FS como um status de migração. Se a configuração do AD FS não for compatível com uma configuração do Microsoft Entra, você receberá orientações específicas sobre como lidar com a configuração no Microsoft Entra ID.
Use a experiência de configuração de aplicativo com um clique para configurar o novo aplicativo do Microsoft Entra – isso fornece uma experiência guiada para migrar aplicativos de terceiras partes confiáveis locais para a nuvem. A experiência de migração usa os metadados do aplicativo de terceira parte confiável que são importados diretamente do seu ambiente local. Além disso, a experiência fornece uma configuração de um clique do aplicativo SAML na plataforma Microsoft Entra com algumas configurações básicas do SAML, configurações de declarações e atribuições de grupos.
Observação
A migração de aplicativo do AD FS dá suporte apenas a aplicativos baseados em SAML. Ela não dá suporte a aplicativos que usam protocolos como OpenID Connect, WS-Fed e OAuth 2.0. Se você quiser migrar aplicativos que usam esses protocolos, confira Usar o relatório de atividade de aplicativo do AD FS para identificar os aplicativos que você deseja migrar. Depois de identificar os aplicativos que deseja migrar, você pode configurá-los manualmente no Microsoft Entra ID. Para obter mais informações sobre como começar a migração manual, confira Migrar e testar seu aplicativo.
Status de migração de aplicativo do AD FS
Os agentes do Microsoft Entra Connect e do Microsoft Entra Connect Health para AD FS leem as configurações de aplicativos de terceira parte confiável local e os logs de auditoria de entrada. Esses dados sobre cada aplicativo do AD FS são analisados para determinar se ele pode ser migrado no estado em que se encontra ou se uma revisão adicional é necessária. Com base no resultado dessa análise, o status de migração para o aplicativo específico é determinado.
Os aplicativos são categorizados nos seguintes status de migração:
- Pronto para migrar significa que a configuração do aplicativo AD FS é totalmente compatível com o Microsoft Entra ID e pode ser migrada no estado em que se encontra.
- Necessita revisão significa que algumas das configurações do aplicativo podem ser migradas para o Microsoft Entra ID, mas você precisa examinar as configurações que não podem ser migradas como estão.
- Etapas adicionais necessárias significa que o Microsoft Entra ID não dá suporte a algumas das configurações do aplicativo, portanto, o aplicativo não pode ser migrado em seu estado atual.
Testes de validação de migração de aplicativo do AD FS
A preparação do aplicativo é avaliada com base nos seguintes testes predefinidos de configuração de aplicativo do AD FS. Os testes são executados automaticamente e os resultados são exibidos no painel de migração de aplicativos do AD FS como um status de migração. Se a configuração do AD FS não for compatível com uma configuração do Microsoft Entra, você receberá orientações específicas sobre como lidar com a configuração no Microsoft Entra ID.
Atualizações de status de insights de migração de aplicativos do AD FS
Quando o aplicativo é atualizado, agentes internos sincronizam as atualizações em poucos minutos. No entanto, os trabalhos de insights de migração do AD FS são responsáveis por avaliar as atualizações e calcular um novo status de migração. Esses trabalhos são agendados para serem executados a cada 24 horas, o que significa que os dados serão computados apenas uma vez por dia, por volta das 00:00 UTC (Tempo Universal Coordenado).
Resultado | Aprovado/Aviso/Reprovado | Descrição |
---|---|---|
Test-ADFSRPAdditionalAuthenticationRules Pelo menos uma regra não migrável foi detectada para AdditionalAuthentication. |
Aprovado/Aviso | A parte confiável tem regras para solicitar a autenticação multifator. Para migrar para o Microsoft Entra ID, converta essas regras em políticas de acesso condicional. Se você estiver usando uma MFA no local, recomendamos que mude para a autenticação multifator do Microsoft Entra. Saiba mais sobre acesso condicional. |
Test-ADFSRPAdditionalWSFedEndpoint A terceira parte confiável tem AdditionalWSFedEndpoint definido como true. |
Aprovado/Reprovado | A terceira parte confiável no AD FS permite vários pontos de extremidade de declaração do WS-Fed. Atualmente, somente Microsoft Entra dá suporte a um. Se você tiver um cenário em que esse resultado está bloqueando a migração, informe-nos. |
Test-ADFSRPAllowedAuthenticationClassReferences A terceira parte confiável definiu AllowedAuthenticationClassReferences. |
Aprovado/Reprovado | Essa configuração no AD FS permite que você especifique se o aplicativo está configurado para permitir apenas determinados tipos de autenticação. Recomendamos usar o Acesso condicional para obter essa capacidade. Se você tiver um cenário em que esse resultado está bloqueando a migração, informe-nos. Saiba mais sobre Acesso condicional. |
Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Aprovado/Reprovado | Essa configuração no AD FS permite que você especifique se o aplicativo está configurado para ignorar cookies de SSO e Sempre solicitar autenticação. No Microsoft Entra ID, você pode gerenciar a sessão de autenticação usando políticas de acesso condicional para obter um comportamento semelhante. Saiba mais sobre como configurar o gerenciamento de sessão de autenticação com Acesso condicional. |
Test-ADFSRPAutoUpdateEnabled A terceira parte confiável tem AutoUpdateEnabled definido como true |
Aprovado/Aviso | Essa configuração no AD FS permite que você especifique se o AD FS está configurado para atualizar automaticamente o aplicativo com base nas alterações nos metadados da federação. O Microsoft Entra ID não dá suporte a isso hoje, mas não deve bloquear a migração do aplicativo para o Microsoft Entra ID. |
Test-ADFSRPClaimsProviderName A terceira parte confiável tem vários ClaimsProviders habilitados |
Aprovado/Reprovado | Essa configuração no AD FS chama os provedores de identidade dos quais a terceira parte confiável está aceitando declarações. Em Microsoft Entra ID, você pode habilitar a colaboração externa usando Microsoft Entra B2B. Saiba mais sobre o Microsoft Entra B2B. |
Test-ADFSRPDelegationAuthorizationRules | Aprovado/Reprovado | O aplicativo tem regras de autorização de delegação personalizadas definidas. Esse é um conceito WS-Trust que o Microsoft Entra ID suporta usando protocolos de autenticação modernos, como o OpenID Connect e o OAuth 2.0. Saiba mais sobre a plataforma de identidade da Microsoft. |
Test-ADFSRPImpersonationAuthorizationRules | Aprovado/Aviso | O aplicativo tem regras de autorização de representação personalizadas definidas. Esse é um conceito WS-Trust que o Microsoft Entra ID suporta usando protocolos de autenticação modernos, como o OpenID Connect e o OAuth 2.0. Saiba mais sobre a plataforma de identidade da Microsoft. |
Test-ADFSRPIssuanceAuthorizationRules Pelo menos uma regra não migrável foi detectada para IssuanceAuthorization. |
Aprovação/Aviso | O aplicativo tem regras de autorização de emissão personalizadas definidas no AD FS. O Microsoft Entra ID suporta essa funcionalidade com o Microsoft Entra Conditional Access. Saiba mais sobre acesso condicional. Você também pode restringir o acesso a um aplicativo por usuário ou grupos atribuídos ao aplicativo. Saiba mais sobre como atribuir usuários e grupos para acessar aplicativos. |
Test-ADFSRPIssuanceTransformRules Pelo menos uma regra não migrável foi detectada para IssuanceTransform. |
Aprovação/Aviso | O aplicativo tem regras de transformação de emissão personalizadas definidas no AD FS. O Microsoft Entra ID oferece suporte à personalização das reivindicações emitidas no token. Para saber mais, consulte Personalizar declarações emitidas no token SAML para aplicativos empresariais. |
Test-ADFSRPMonitoringEnabled A terceira parte confiável tem MonitoringEnabled definido como true. |
Aprovado/Aviso | Essa configuração no AD FS permite que você especifique se o AD FS está configurado para atualizar automaticamente o aplicativo com base nas alterações nos metadados da federação. O Microsoft Entra não dá suporte a isso hoje, mas não deve bloquear a migração do aplicativo para o Microsoft Entra ID. |
Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Aprovado/Aviso | O AD FS permite uma distorção de tempo com base nos tempos NotBefore e NotOnOrAfter no token SAML. Microsoft Entra ID manipula automaticamente isso por padrão. |
Test-ADFSRPRequestMFAFromClaimsProviders A terceira parte confiável tem RequestMFAFromClaimsProviders definido como true. |
Aprovado/Aviso | Essa configuração no AD FS determina o comportamento para a MFA quando o usuário vem de um provedor de declarações diferente. Em Microsoft Entra ID, você pode habilitar a colaboração externa usando Microsoft Entra B2B. Em seguida, você pode aplicar políticas de Acesso condicional para proteger o acesso de convidado. Saiba mais sobre o Microsoft Entra B2B e o acesso condicional. |
Test-ADFSRPSignedSamlRequestsRequired A terceira parte confiável tem SignedSamlRequestsRequired definido como true |
Aprovado/Reprovado | O aplicativo é configurado no AD FS para verificar a assinatura na solicitação SAML. O Microsoft Entra ID aceita uma solicitação SAML assinada; no entanto, ele não verificará a assinatura. O Microsoft Entra ID tem diferentes métodos de proteção contra chamadas maliciosas. Por exemplo, o Microsoft Entra ID usa os URLs de resposta configurados no aplicativo para validar a solicitação SAML. O Microsoft Entra ID só enviará um token para URLs de resposta configurados para o aplicativo. Se você tiver um cenário em que esse resultado está bloqueando a migração, informe-nos. |
Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Aprovado/Aviso | O aplicativo está configurado para um tempo de vida de token personalizado. O padrão do AD FS é uma hora. Microsoft Entra ID dá suporte a essa funcionalidade usando o Acesso Condicional. Para saber mais, consulte Configurar o gerenciamento da sessão de autenticação com Acesso condicional. |
A terceira parte confiável está definida para criptografar declarações. Isso é compatível com Microsoft Entra ID | Aprovado | Com o Microsoft Entra ID, você pode criptografar o token enviado ao aplicativo. Para saber mais, confira Configurar Microsoft Entra criptografia de token SAML. |
EncryptedNameIdRequiredCheckResult | Aprovado/Reprovado | O aplicativo está configurado para criptografar a declaração nameID no token SAML. Com o Microsoft Entra ID, você pode criptografar todo o token enviado ao aplicativo. A criptografia de declarações específicas ainda não tem suporte. Para saber mais, confira Configurar Microsoft Entra criptografia de token SAML. |