Visão geral da migração de aplicativos do AD FS
Neste artigo, você aprenderá sobre os recursos do assistente de migração de aplicativos do AD FS e o status da migração disponível em seu painel. Você também aprende os vários testes de validação que a migração de aplicativo gera para cada um dos aplicativos que você deseja migrar do AD FS para o Microsoft Entra ID.
O assistente de migração de aplicativos do AD FS permite identificar rapidamente quais dos seus aplicativos podem ser migrados para o Microsoft Entra ID. Ele avalia todos os aplicativos AD FS quanto à compatibilidade com o Microsoft Entra ID. Ele também verifica se há problemas, fornece orientação sobre como preparar aplicativos individuais para migração e configurar o novo aplicativo Microsoft Entra usando a experiência de um clique.
Com o assistente de migração de aplicativos do AD FS, você pode:
Descubra os aplicativos do AD FS e defina o escopo da migração - O assistente de migração de aplicativos do AD FS lista todos os aplicativos do AD FS em sua organização que tiveram um logon de usuário ativo nos últimos 30 dias. O relatório indica uma preparação de aplicativos para migração para o Microsoft Entra ID. O relatório não exibe partes confiáveis relacionadas à Microsoft no AD FS, como o Office 365. Por exemplo, as partes confiáveis com o nome
urn:federation:MicrosoftOnline
.Priorizar aplicativos para migração - Obtenha o número de usuários exclusivos conectados ao aplicativo nos últimos 1, 7 ou 30 dias para ajudar a determinar a importância ou o risco da migração do aplicativo.
Executar testes de migração e corrigir problemas - O serviço de relatório executa automaticamente testes para determinar se um aplicativo está pronto para migrar. Os resultados são exibidos no painel de migração de aplicativos do AD FS como um status de migração. Se a configuração do AD FS não for compatível com uma configuração do Microsoft Entra, você receberá orientações específicas sobre como lidar com a configuração na ID do Microsoft Entra.
Use a experiência de configuração de aplicativo com um clique para configurar o novo aplicativo Microsoft Entra - Isso fornece uma experiência guiada para migrar aplicativos de terceira parte confiável locais para a nuvem. A experiência de migração usa os metadados do aplicativo de terceira parte confiável que são importados diretamente do seu ambiente local. Além disso, a experiência fornece uma configuração de um clique do aplicativo SAML na plataforma Microsoft Entra com algumas configurações básicas de SAML, configurações de declarações e atribuições de grupos.
Nota
A migração de aplicativos do AD FS oferece suporte apenas a aplicativos baseados em SAML. Ele não suporta aplicativos que usam protocolos como OpenID Connect, WS-Fed e OAuth 2.0. Se você quiser migrar aplicativos que usam esses protocolos, consulte Usar o relatório de atividade do aplicativo AD FS para identificar os aplicativos que deseja migrar. Depois de identificar os aplicativos que deseja migrar, você pode configurá-los manualmente no Microsoft Entra ID. Para obter mais informações sobre como começar a migração manual, consulte Migrar e testar seu aplicativo.
Status de migração do aplicativo AD FS
Os agentes Microsoft Entra Connect e Microsoft Entra Connect Health para AD FS lêem as configurações do aplicativo de terceira parte confiável local e os logs de auditoria de entrada. Esses dados sobre cada aplicativo do AD FS são analisados para determinar se ele pode ser migrado como está ou se é necessária uma revisão adicional. Com base no resultado desta análise, determina-se o estado de migração para uma determinada aplicação.
Os aplicativos são categorizados nos seguintes status de migração:
- Pronto para migrar significa que a configuração do aplicativo AD FS é totalmente suportada no Microsoft Entra ID e pode ser migrada no estado em que se encontra.
- Precisa de revisão significa que algumas das configurações do aplicativo podem ser migradas para o Microsoft Entra ID, mas você precisa revisar as configurações que não podem ser migradas no estado em que se encontram.
- Etapas adicionais necessárias significam que o Microsoft Entra ID não suporta algumas das configurações do aplicativo, portanto, o aplicativo não pode ser migrado em seu estado atual.
Testes de validação de migração de aplicativos do AD FS
A prontidão do aplicativo é avaliada com base nos seguintes testes predefinidos de configuração do aplicativo AD FS. Os testes são executados automaticamente e os resultados são exibidos no painel de migração de aplicativos do AD FS como um status de migração. Se a configuração do AD FS não for compatível com uma configuração do Microsoft Entra, você receberá orientações específicas sobre como lidar com a configuração na ID do Microsoft Entra.
Atualizações de status das informações de migração de aplicativos do AD FS
Quando o aplicativo é atualizado, os agentes internos sincronizam as atualizações em poucos minutos. No entanto, os trabalhos de insights de migração do AD FS são responsáveis por avaliar as atualizações e calcular um novo status de migração. Esses trabalhos estão programados para serem executados a cada 24 horas, o que significa que os dados serão computados apenas uma vez por dia, por volta das 00:00 Tempo Universal Coordenado (UTC).
Result | Aprovado/Aviso/Reprovado | Description |
---|---|---|
Test-ADFSRPAdditionalAuthenticationRules Pelo menos uma regra não migrável foi detetada para AdditionalAuthentication. |
Passe/Aviso | A terceira parte confiável tem regras para solicitar a autenticação multifator. Para mover para o Microsoft Entra ID, traduza essas regras em políticas de Acesso Condicional. Se você estiver usando uma MFA local, recomendamos que mude para a autenticação multifator do Microsoft Entra. Saiba mais sobre o Acesso Condicional. |
Test-ADFSRPAdditionalWSFedEndpoint A terceira parte confiável tem AdditionalWSFedEndpoint definido como true. |
Aprovado/Reprovado | A terceira parte confiável no AD FS permite vários pontos de extremidade de asserção WS-Fed. Atualmente, o Microsoft Entra-suporta apenas um. Se você tiver um cenário em que esse resultado está bloqueando a migração, informe-nos. |
Test-ADFSRPAllowedAuthenticationClassReferences A Terceira Parte Confiável definiu AllowedAuthenticationClassReferences. |
Aprovado/Reprovado | Essa configuração no AD FS permite especificar se o aplicativo está configurado para permitir apenas determinados tipos de autenticação. Recomendamos o uso do Acesso Condicional para obter esse recurso. Se você tiver um cenário em que esse resultado está bloqueando a migração, informe-nos. Saiba mais sobre o Acesso Condicional. |
Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Aprovado/Reprovado | Essa configuração no AD FS permite especificar se o aplicativo está configurado para ignorar cookies SSO e Sempre Solicitar Autenticação. No Microsoft Entra ID, você pode gerenciar a sessão de autenticação usando políticas de acesso condicional para obter um comportamento semelhante. Saiba mais sobre como configurar o gerenciamento de sessão de autenticação com Acesso Condicional. |
Test-ADFSRPAutoUpdateEnabled A Terceira Parte Confiável tem AutoUpdateEnabled definido como true |
Passe/Aviso | Essa configuração no AD FS permite especificar se o AD FS está configurado para atualizar automaticamente o aplicativo com base nas alterações nos metadados de federação. O Microsoft Entra ID não oferece suporte a isso hoje, mas não deve bloquear a migração do aplicativo para o Microsoft Entra ID. |
Test-ADFSRPClaimsProviderName A Terceira Parte Confiável tem vários ClaimsProviders habilitados |
Aprovado/Reprovado | Essa configuração no AD FS chama os provedores de identidade dos quais a terceira parte confiável está aceitando declarações. No Microsoft Entra ID, você pode habilitar a colaboração externa usando o Microsoft Entra B2B. Saiba mais sobre o Microsoft Entra B2B. |
Test-ADFSRPDelegationAuthorizationRules | Aprovado/Reprovado | O aplicativo tem regras de autorização de delegação personalizadas definidas. Este é um conceito WS-Trust que o Microsoft Entra ID suporta usando protocolos de autenticação modernos, como OpenID Connect e OAuth 2.0. Saiba mais sobre a plataforma de identidade da Microsoft. |
Test-ADFSRPImpersonationAuthorizationRules | Passe/Aviso | O aplicativo tem regras de autorização de representação personalizadas definidas. Este é um conceito WS-Trust que o Microsoft Entra ID suporta usando protocolos de autenticação modernos, como OpenID Connect e OAuth 2.0. Saiba mais sobre a plataforma de identidade da Microsoft. |
Test-ADFSRPIssuanceAuthorizationRules Pelo menos uma regra não migrável foi detetada para IssuanceAuthorization. |
Passe/Aviso | O aplicativo tem regras de autorização de emissão personalizadas definidas no AD FS. O Microsoft Entra ID suporta esta funcionalidade com o Microsoft Entra Conditional Access. Saiba mais sobre o Acesso Condicional. Você também pode restringir o acesso a um aplicativo por usuário ou grupos atribuídos ao aplicativo. Saiba mais sobre como atribuir usuários e grupos para acessar aplicativos. |
Test-ADFSRPIssuanceTransformRules Pelo menos uma regra não migrável foi detetada para IssuanceTransform. |
Passe/Aviso | O aplicativo tem regras de transformação de emissão personalizadas definidas no AD FS. O Microsoft Entra ID oferece suporte à personalização das declarações emitidas no token. Para saber mais, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos. |
Test-ADFSRPMonitoringEnabled A Terceira Parte Confiável tem MonitoringEnabled definido como true. |
Passe/Aviso | Essa configuração no AD FS permite especificar se o AD FS está configurado para atualizar automaticamente o aplicativo com base nas alterações nos metadados de federação. O Microsoft Entra não suporta isso hoje, mas não deve bloquear a migração do aplicativo para o Microsoft Entra ID. |
Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Passe/Aviso | O AD FS permite uma distorção de tempo com base nos tempos NotBefore e NotOnOrAfter no token SAML. O Microsoft Entra ID lida automaticamente com isso por padrão. |
Test-ADFSRPRequestMFAFromClaimsProviders A Terceira Parte Confiável tem RequestMFAFromClaimsProviders definido como true. |
Passe/Aviso | Essa configuração no AD FS determina o comportamento para MFA quando o usuário vem de um provedor de declarações diferente. No Microsoft Entra ID, você pode habilitar a colaboração externa usando o Microsoft Entra B2B. Em seguida, você pode aplicar políticas de Acesso Condicional para proteger o acesso de convidado. Saiba mais sobre o Microsoft Entra B2B e Acesso Condicional. |
Test-ADFSRPSignedSamlRequestsRequired A Terceira Parte Confiável tem SignedSamlRequestsRequired definido como true |
Aprovado/Reprovado | O aplicativo é configurado no AD FS para verificar a assinatura na solicitação SAML. O Microsoft Entra ID aceita uma solicitação SAML assinada; no entanto, não verificará a assinatura. O Microsoft Entra ID tem diferentes métodos para proteger contra chamadas maliciosas. Por exemplo, o Microsoft Entra ID usa as URLs de resposta configuradas no aplicativo para validar a solicitação SAML. O Microsoft Entra ID enviará apenas um token para URLs de resposta configuradas para o aplicativo. Se você tiver um cenário em que esse resultado está bloqueando a migração, informe-nos. |
Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Passe/Aviso | O aplicativo é configurado para um tempo de vida de token personalizado. O padrão do AD FS é uma hora. O Microsoft Entra ID suporta esta funcionalidade utilizando o Acesso Condicional. Para saber mais, consulte Configurar o gerenciamento de sessão de autenticação com acesso condicional. |
A Terceira Parte Confiável está definida para criptografar declarações. Isso é suportado pelo Microsoft Entra ID | Aprovação | Com o Microsoft Entra ID, você pode criptografar o token enviado para o aplicativo. Para saber mais, consulte Configurar a criptografia de token SAML do Microsoft Entra. |
EncryptedNameIdRequiredCheckResult | Aprovado/Reprovado | O aplicativo é configurado para criptografar a declaração nameID no token SAML. Com o Microsoft Entra ID, você pode criptografar todo o token enviado para o aplicativo. A criptografia de declarações específicas ainda não é suportada. Para saber mais, consulte Configurar a criptografia de token SAML do Microsoft Entra. |