Använda AD FS-programmigrering för att flytta AD FS-appar till Microsoft Entra-ID
I den här artikeln får du lära dig hur du migrerar dina Active Directory Federation Services (AD FS)-program (AD FS) till Microsoft Entra-ID med hjälp av AD FS-programmigreringen.
Ad FS-programmigreringen ger IT-administratörer guidad upplevelse för att migrera PROGRAM för AD FS-förlitande part från AD FS till Microsoft Entra-ID. Guiden ger dig en enhetlig upplevelse för att identifiera, utvärdera och konfigurera nya Microsoft Entra-program. Den innehåller konfiguration med ett klick för grundläggande SAML-URL:er, anspråksmappning och användartilldelningar för att integrera programmet med Microsoft Entra-ID.
AD FS-programmigreringsverktyget är utformat för att ge support från slutpunkt till slutpunkt för att migrera dina lokala AD FS-program till Microsoft Entra-ID.
Med AD FS-programmigrering kan du:
- Utvärdera inloggningsaktiviteter för AD FS-förlitande partprogram, vilket hjälper dig att identifiera användningen och effekten av de angivna programmen.
- Analysera migreringsmöjligheten AD FS till Microsoft Entra som hjälper dig att identifiera migreringsblockerare eller åtgärder som krävs för att migrera deras program till Microsoft Entra-plattformen.
- Konfigurera ett nytt Microsoft Entra-program med en klickningsprocess för programmigrering, som automatiskt konfigurerar ett nytt Microsoft Entra-program för det angivna AD FS-programmet.
Förutsättningar
Så här använder du AD FS-programmigreringen:
- Din organisation måste för närvarande använda AD FS för att få åtkomst till program.
- Du har en Microsoft Entra ID P1- eller P2-licens.
- Du bör ha någon av följande roller tilldelad,
- Molnappadministratör
- Appadministratör
- Global läsare (skrivskyddad åtkomst)
- Rapportläsare (skrivskyddad åtkomst)
- Microsoft Entra Connect bör installeras i de lokala miljöerna tillsammans med Microsoft Entra Connect Health AD FS-hälsoagenter.
Det finns några orsaker till att du inte ser alla program som du förväntar dig när du har installerat Microsoft Entra Connect Health-agenter för AD FS:
- Instrumentpanelen för AD FS-programmigrering visar endast AD FS-program som har användarinloggningar under de senaste 30 dagarna.
- Microsoft-relaterade PROGRAM för AD FS-förlitande part är inte tillgängliga på instrumentpanelen.
Visa instrumentpanelen för AD FS-programmigrering i Microsoft Entra-ID
Instrumentpanelen för AD FS-programmigrering är tillgänglig i administrationscentret för Microsoft Entra under Användnings- och insiktsrapportering . Det finns två startpunkter i guiden:
Från avsnittet Företagsprogram :
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program.>
- Under Användning och insikter väljer du AD FS-programmigrering för att få åtkomst till instrumentpanelen för AD FS-programmigrering.
Från avsnittet Övervakning och hälsa :
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Monitoring &health>Enterprise-program.
- Under Hantera väljer du Användning och insikter och väljer sedan AD FS-programmigrering för att komma åt instrumentpanelen för AD FS-programmigrering.
Instrumentpanelen för AD FS-programmigrering visar listan över alla program för AD FS-förlitande part som aktivt har haft inloggningstrafik under de senaste 30 dagarna.
Instrumentpanelen har datumintervallfiltret. Med filtret kan du välja alla aktiva AD FS-förlitande partprogram enligt det valda tidsintervallet. Filtret stöder de senaste 1 dagarna, 7 dagarna och 30 dagarna.
Det finns tre flikar som ger en fullständig lista över program, konfigurerbara program och tidigare konfigurerade program. På den här instrumentpanelen ser du en översikt över den övergripande förloppet för migreringsarbetet.
De tre flikarna på instrumentpanelen är:
- Alla appar – visar listan över alla program som identifieras från din lokala miljö.
- Redo att migrera – visar en lista över alla program som har statusen Klar eller Behöver granska migrering.
- Redo att konfigurera – visar listan över alla Microsoft Entra-program som tidigare migrerades med hjälp av guiden för AD FS-programmigrering.
Status för programmigrering
Microsoft Entra Connect- och Microsoft Entra Connect Health-agenterna för AD FS läser dina programkonfigurationer för AD FS-förlitande part och inloggningsgranskningsloggar. Dessa data om varje AD FS-program analyseras för att avgöra om programmet kan migreras som det är, eller om ytterligare granskning behövs. Baserat på resultatet av den här analysen anges migreringsstatus för det angivna programmet som en av följande statusar:
- Redo att migrera innebär att AD FS-programkonfigurationen stöds fullt ut i Microsoft Entra-ID och kan migreras som den är.
- Behöver granskning innebär att vissa av programmets inställningar kan migreras till Microsoft Entra-ID, men du måste granska de inställningar som inte kan migreras som de är. De är dock inte blockerare för migreringen.
- Ytterligare steg som krävs innebär att Microsoft Entra-ID inte stöder vissa av programmets inställningar, så programmet kan inte migreras i dess aktuella tillstånd.
Nu ska vi granska varje flik på instrumentpanelen för AD FS-programmigrering i detalj.
Fliken Alla appar
Fliken Alla appar visar alla aktiva AD FS-förlitande partprogram från valt datumintervall. Användaren kan analysera effekten av varje program med hjälp av aggregerade inloggningsdata. De kan också navigera till informationsfönstret med hjälp av länken Migreringsstatus .
Information om varje verifieringsregel finns i Verifieringsregler för AD FS-programmigrering.
Välj ett meddelande om du vill öppna ytterligare information om migreringsregeln. En fullständig lista över de egenskaper som testats finns i följande tabell med konfigurationstester.
Kontrollera resultatet av anspråksregeltester
Om du har konfigurerat en anspråksregel för programmet i AD FS ger upplevelsen en detaljerad analys av alla anspråksregler. Du ser vilka anspråksregler du kan flytta till Microsoft Entra-ID och vilka som behöver granskas ytterligare.
- Välj en app i listan över appar på fliken Alla appar och välj sedan status i kolumnen Migreringsstatus för att visa migreringsinformation. Du ser en sammanfattning av de konfigurationstester som har godkänts, tillsammans med eventuella migreringsproblem.
- På sidan Information om migreringsregel expanderar du resultaten för att visa information om potentiella migreringsproblem och för att få ytterligare vägledning. En detaljerad lista över alla anspråksregler som testats finns i avsnittet om anspråksregeltester i den här artikeln.
I följande exempel visas information om migreringsregeln för regeln IssuanceTransform. Den visar de specifika delar av anspråket som måste granskas och åtgärdas innan du kan migrera programmet till Microsoft Entra-ID.
Anspråksregeltester
I följande tabell visas alla anspråksregeltester som utförs i AD FS-program.
Property | beskrivning |
---|---|
UNSUPPORTED_CONDITION_PARAMETER | Villkorssatsen använder reguljära uttryck för att utvärdera om anspråket matchar ett visst mönster. För att uppnå en liknande funktion i Microsoft Entra-ID kan du använda fördefinierad transformering, till exempel IfEmpty(), StartWith(), Contains(), bland annat. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
UNSUPPORTED_CONDITION_CLASS | Villkorssatsen har flera villkor som måste utvärderas innan du kör utfärdandeutdraget. Microsoft Entra-ID kan stödja den här funktionen med anspråkets transformeringsfunktioner där du kan utvärdera flera anspråksvärden. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
UNSUPPORTED_RULE_TYPE | Anspråksregeln kunde inte identifieras. Mer information om hur du konfigurerar anspråk i Microsoft Entra-ID finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
CONDITION_MATCHES_UNSUPPORTED_ISSUER | Villkorssatsen använder en utfärdare som inte stöds i Microsoft Entra-ID. För närvarande hämtar Inte Microsoft Entra anspråk från butiker som skiljer sig från Active Directory eller Microsoft Entra-ID. Om detta hindrar dig från att migrera program till Microsoft Entra-ID meddelar du oss. |
UNSUPPORTED_CONDITION_FUNCTION | Villkorssatsen använder en aggregeringsfunktion för att utfärda eller lägga till ett enskilt anspråk oavsett antalet matchningar. I Microsoft Entra-ID kan du utvärdera attributet för en användare för att bestämma vilket värde som ska användas för anspråket med funktioner som IfEmpty(), StartWith(), Contains(), bland annat. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
RESTRICTED_CLAIM_ISSUED | Villkorssatsen använder ett anspråk som är begränsat i Microsoft Entra-ID. Du kanske kan utfärda ett begränsat anspråk, men du kan inte ändra dess källa eller tillämpa någon transformering. Mer information finns i Anpassa anspråk som genereras i token för en specifik app i Microsoft Entra-ID. |
EXTERNAL_ATTRIBUTE_STORE | Utfärdande-instruktionen använder ett attributarkiv som skiljer sig från Active Directory. För närvarande hämtar Inte Microsoft Entra anspråk från butiker som skiljer sig från Active Directory eller Microsoft Entra-ID. Om det här resultatet hindrar dig från att migrera program till Microsoft Entra-ID meddelar du oss. |
UNSUPPORTED_ISSUANCE_CLASS | Utfärdandeutdraget använder ADD för att lägga till anspråk i den inkommande anspråksuppsättningen. I Microsoft Entra-ID kan detta konfigureras som flera anspråkstransformeringar. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
UNSUPPORTED_ISSUANCE_TRANSFORMATION | Utfärdandeuttrycket använder reguljära uttryck för att transformera värdet för anspråket som ska genereras. Om du vill uppnå liknande funktioner i Microsoft Entra ID kan du använda fördefinierad transformering som Extract() , Trim() och ToLower() . Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
Fliken Klar att migrera
Fliken Redo att migrera visar alla program som har migreringsstatus som Klar eller Behöver granskas.
Du kan använda inloggningsdata för att identifiera effekten av varje program och välja rätt program för migreringen. Välj Länken Starta migrering för att initiera den assisterade programmigreringsprocessen med ett klick.
Redo att konfigurera fliken
På den här fliken visas en lista över alla Microsoft Entra-program som tidigare migrerats med hjälp av guiden migrering av AD FS-program.
Programnamnet är namnet på det nya Microsoft Entra-programmet. Programidentifierare är samma som för AD FS-förlitande partprogramidentifierare som kan användas för att korrelera programmet med din AD FS-miljö. Med länken Konfigurera program i Microsoft Entra kan du navigera till det nyligen konfigurerade Microsoft Entra-programmet i avsnittet Enterprise-program .
Migrera en app från AD FS till Microsoft Entra-ID med hjälp av migreringsguiden för AD FS-program
- Om du vill initiera programmigreringen väljer du länken Starta migrering för det program som du vill migrera från fliken Klar att migrera .
- Länken omdirigerar dig till avsnittet med assisterad programmigrering med ett klick i guiden AD FS-programmigrering. Alla konfigurationer i guiden importeras från din lokala AD FS-miljö.
Innan vi går igenom informationen om de olika flikarna i guiden är det viktigt att förstå de konfigurationer som stöds och inte stöds.
Konfigurationer som stöds
Den assisterade AD FS-programmigreringen stöder följande konfigurationer:
- Stöder endast SAML-programkonfiguration.
- Alternativet för att anpassa det nya Microsoft Entra-programnamnet.
- Tillåter användare att välja valfri programmall från programmallens pentry.
- Konfiguration av grundläggande SAML-programkonfigurationer, dvs. identifierare och svars-URL.
- Konfiguration av Microsoft Entra-programmet för att tillåta alla användare från klientorganisationen.
- Automatisk tilldelning av grupper till Microsoft Entra-programmet.
- Microsoft Entra-kompatibel anspråkskonfiguration som extraherats från AD FS-förlitande parts anspråkskonfigurationer.
Konfigurationer som inte stöds:
AD FS-programmigreringen stöder inte följande konfigurationer:
- Konfigurationerna OIDC (OpenID Connect), OAuth och WS-Fed stöds inte.
- Automatisk konfiguration av principer för villkorsstyrd åtkomst stöds inte, men användaren kan konfigurera samma efter konfigurationen av det nya programmet i sin klientorganisation.
- Signeringscertifikatet migreras inte från det AD FS-förlitande partprogrammet. Följande flikar finns i guiden för AD FS-programmigrering:
Nu ska vi titta på informationen på varje flik i avsnittet med assisterad programmigrering med ett klick i guiden för AD FS-programmigrering
Fliken Grundläggande
- Programnamn som är förfyllt med AD FS-förlitande partprogramnamn. Du kan använda det som namn på ditt nya Microsoft Entra-program. Du kan också ändra namnet till andra värden som du föredrar.
- Programmall. Välj vilken programmall som passar bäst för ditt program. Du kan hoppa över det här alternativet om du inte vill använda någon mall.
Fliken Användare och grupper
Konfigurationen vid klick tilldelar automatiskt användare och grupper till ditt Microsoft Entra-program som är samma som för din lokala konfiguration.
Alla grupper extraheras från åtkomstkontrollprinciperna för det AD FS-förlitande partprogrammet. Grupper bör synkroniseras till din Microsoft Entra-klientorganisation med hjälp av Microsoft Entra Connect-agenter. Om grupper mappas med AD FS-förlitande partprogram, men inte synkroniseras med Microsoft Entra-klientorganisationen. Dessa grupper hoppas över från konfigurationen.
Konfiguration av assisterade användare och grupper stöder följande konfigurationer från den lokala AD FS-miljön:
- Tillåt alla från klientorganisationen.
- Tillåt specifika grupper.
Det här är de användare och grupper som du kan visa i konfigurationsguiden. Det här är en skrivskyddad vy. Du kan inte göra några ändringar i det här avsnittet.
Fliken SAML-konfigurationer
På den här fliken visas de grundläggande SAML-egenskaperna som används för inställningarna för enkel inloggning i Microsoft Entra-programmet. För närvarande mappas endast nödvändiga egenskaper som endast är identifierare och svars-URL.
De här inställningarna implementeras direkt från ditt AD FS-förlitande partprogram och kan inte ändras från den här fliken. Men när du har konfigurerat programmet kan du ändra dem från administrationscentret för Microsoft Entra i fönstret Enkel sing-on i ditt företagsprogram.
Fliken Anspråk
Alla AD FS-anspråk översätts inte på samma sätt som microsoft Entra-anspråken. Migreringsguiden stöder endast specifika anspråk. Om du hittar eventuella anspråk som saknas kan du konfigurera dem i det migrerade företagsprogrammet i administrationscentret för Microsoft Entra.
Om AD FS-förlitande partprogram har nameidentifier
konfigurerat som stöds i Microsoft Entra-ID konfigureras det sedan som nameidentifier
. Annars user.userprincipalname
används som standardnamnidentifieraranspråk.
Det här är skrivskyddad vy, du kan inte göra några ändringar här.
Fliken Nästa steg
Den här fliken innehåller information om nästa steg eller granskningar som förväntas från användarens sida. I följande exempel visas en lista över konfigurationer för det här AD FS-förlitande partprogrammet, som inte stöds i Microsoft Entra-ID.
På den här fliken kan du komma åt relevant dokumentation för att undersöka och förstå problemen.
Fliken Granska + skapa
Den här fliken visar sammanfattningen av alla konfigurationer som du har sett från föregående flikar. Du kan granska den igen. Om du är nöjd med alla konfigurationer och vill fortsätta med programmigreringen väljer du knappen Skapa för att starta migreringsprocessen. Detta migrerar det nya programmet till din Microsoft Entra-klientorganisation.
Programmigreringen är för närvarande en niostegsprocess som du kan övervaka med hjälp av meddelandena. Arbetsflödet slutför följande åtgärder:
- Skapar en programregistrering
- Skapar ett huvudnamn för tjänsten
- Konfigurerar SAML-inställningar
- Tilldelar användare och grupper till programmet
- Konfigurerar anspråk
När migreringsprocessen är klar visas ett meddelande om att programmigreringen har slutförts.
När programmigreringen är klar omdirigeras du till fliken Redo att konfigurera där alla tidigare migrerade program visas, inklusive de senaste som du har konfigurerat.
Granska och konfigurera företagsprogrammet
Från fliken Redo att konfigurera kan du använda länken Konfigurera program i Microsoft Entra för att navigera till det nyligen konfigurerade programmet under avsnittet "Företagsprogram". Som standard går den till den SAML-baserade inloggningssidan för ditt program.
Från den SAML-baserade inloggningsfönstret tillämpas alla programinställningar för AD FS-förlitande part redan på det nyligen migrerade Microsoft Entra-programmet . Egenskaperna Identifierare och svars-URL från den grundläggande SAML-konfigurationen och listan över anspråk från flikarna Attribut och anspråk i guiden migrering av AD FS-program är desamma som i företagsprogrammet.
I fönstret Egenskaper i programmet innebär logotypen för programmallen att programmet är länkat till den valda programmallen. På sidan Ägare läggs den aktuella administratörsanvändaren till som en av programmets ägare.
Från fönstret Användare och grupper är alla obligatoriska grupper redan tilldelade till programmet.
När du har granskat det migrerade företagsprogrammet kan du uppdatera programmet enligt dina affärsbehov. Du kan lägga till eller uppdatera anspråk, tilldela fler användare och grupper eller konfigurera principer för villkorsstyrd åtkomst för att aktivera stöd för multifaktorautentisering eller andra funktioner för villkorsstyrd auktorisering.
Återställning
Guiden för migrering av AD FS-program med ett klick migrerar det nya programmet till Microsoft Entra-klientorganisationen. Det migrerade programmet förblir dock inaktivt tills du omdirigerar inloggningstrafiken till det. Om du vill återställa tills dess kan du ta bort det nyligen migrerade Microsoft Entra-programmet från din klientorganisation.
Guiden tillhandahåller ingen automatisk rensning. Om du inte vill fortsätta med att konfigurera det migrerade programmet måste du ta bort programmet manuellt från klientorganisationen. Anvisningar om hur du tar bort en programregistrering och dess motsvarande företagsprogram finns i följande URL:er:
Felsökningstips
Det går inte att se alla mina AD FS-program i rapporten
Om du har installerat Microsoft Entra Connect Health-agenter för AD FS men fortfarande ser uppmaningen att installera det eller om du inte ser alla dina AD FS-program i rapporten kan det bero på att du inte har aktiva AD FS-program eller att dina AD FS-program är Microsoft-program.
Kommentar
Ad FS-programmigreringen visar en lista över alla AD FS-program i din organisation med aktiv användare som loggar in under de senaste 30 dagarna.
Rapporten visar inte Microsoft-relaterade förlitande parter i AD FS, till exempel Office 365. Förlitande parter med namnet urn:federation:MicrosoftOnline
, microsoftonline
, microsoft:winhello:cert:prov:server
visas till exempel inte i listan.
Varför visas valideringsfelet "programmet med samma identifierare finns redan"?
Varje program i din klientorganisation bör ha en unik programidentifierare. Om du ser det här felmeddelandet innebär det att du redan har ett annat program med samma identifierare i din Microsoft Entra-klientorganisation. I det här fallet måste du antingen uppdatera den befintliga programidentifieraren eller uppdatera programidentifieraren för AD FS-förlitande part och vänta i 24 timmar för att få uppdateringarna återspeglade.