Översikt över migrering av AD FS-program
I den här artikeln får du lära dig mer om funktionerna i guiden för AD FS-programmigrering och den migreringsstatus som är tillgänglig på instrumentpanelen. Du får också lära dig de olika valideringstester som programmigreringen genererar för vart och ett av de program som du vill migrera från AD FS till Microsoft Entra-ID.
Med guiden migrering av AD FS-program kan du snabbt identifiera vilka av dina program som kan migreras till Microsoft Entra-ID. Den utvärderar alla AD FS-program för kompatibilitet med Microsoft Entra-ID. Den söker också efter eventuella problem, ger vägledning om hur du förbereder enskilda program för migrering och konfigurerar ett nytt Microsoft Entra-program med ett klick.
Med migreringsguiden för AD FS-program kan du:
Identifiera AD FS-program och omfång för migreringen – Guiden för AD FS-programmigrering visar en lista över alla AD FS-program i din organisation som har haft en aktiv användarinloggning under de senaste 30 dagarna. Rapporten anger en appberedskap för migrering till Microsoft Entra-ID. Rapporten visar inte Microsoft-relaterade förlitande parter i AD FS, till exempel Office 365. Till exempel förlitande parter med namnet
urn:federation:MicrosoftOnline
.Prioritera program för migrering – Få antalet unika användare som loggat in på programmet under de senaste 1, 7 eller 30 dagarna för att avgöra hur kritiskt eller riskfyllt det är att migrera programmet.
Kör migreringstester och åtgärda problem – Rapporttjänsten kör automatiskt tester för att avgöra om ett program är redo att migreras. Resultaten visas på instrumentpanelen för AD FS-programmigrering som migreringsstatus. Om AD FS-konfigurationen inte är kompatibel med en Microsoft Entra-konfiguration får du specifik vägledning om hur du hanterar konfigurationen i Microsoft Entra-ID.
Använd programkonfiguration med ett klick för att konfigurera ett nytt Microsoft Entra-program – Det här ger en guidad upplevelse för att migrera lokala förlitande partprogram till molnet. Migreringsupplevelsen använder det förlitande partsprogrammets metadata som importeras direkt från din lokala miljö. Dessutom ger upplevelsen en konfiguration med ett klick av SAML-programmet på Microsoft Entra-plattformen med några grundläggande SAML-inställningar, anspråkskonfigurationer och grupptilldelningar.
Kommentar
AD FS-programmigrering stöder endast SAML-baserade program. Den stöder inte program som använder protokoll som OpenID Connect, WS-Fed och OAuth 2.0. Om du vill migrera program som använder de här protokollen kan du läsa Använda rapporten AD FS-programaktivitet för att identifiera de program som du vill migrera. När du har identifierat de appar som du vill migrera kan du konfigurera dem manuellt i Microsoft Entra-ID. Mer information om hur du kommer igång med manuell migrering finns i Migrera och testa ditt program.
Status för AD FS-programmigrering
Microsoft Entra Connect- och Microsoft Entra Connect Health-agenterna för AD FS läser dina lokala programkonfigurationer och inloggningsgranskningsloggar. Dessa data om varje AD FS-program analyseras för att avgöra om det kan migreras som det är, eller om ytterligare granskning behövs. Baserat på resultatet av den här analysen bestäms migreringsstatusen för det angivna programmet.
Program kategoriseras i följande migreringsstatusar:
- Klar att migrera innebär att AD FS-programkonfigurationen stöds fullt ut i Microsoft Entra-ID och kan migreras som den är.
- Behovsgranskning innebär att vissa av programmets inställningar kan migreras till Microsoft Entra-ID, men du måste granska de inställningar som inte kan migreras som de är.
- Ytterligare steg som krävs innebär att Microsoft Entra-ID inte stöder vissa av programmets inställningar, så programmet kan inte migreras i dess aktuella tillstånd.
Valideringstester för AD FS-programmigrering
Programberedskap utvärderas baserat på följande fördefinierade AD FS-programkonfigurationstester. Testerna körs automatiskt och resultaten visas på instrumentpanelen för AD FS-programmigrering som migreringsstatus. Om AD FS-konfigurationen inte är kompatibel med en Microsoft Entra-konfiguration får du specifik vägledning om hur du hanterar konfigurationen i Microsoft Entra-ID.
Statusuppdateringar för AD FS-programmigrering
När programmet uppdateras synkroniserar interna agenter uppdateringarna inom några minuter. Ad FS-migreringsinsiktsjobb ansvarar dock för att utvärdera uppdateringarna och beräkna en ny migreringsstatus. Dessa jobb är schemalagda att köras var 24:e timme, vilket innebär att data endast beräknas en gång på en dag, runt 00:00 Utc (Coordinated Universal Time).
Result | Pass/Warning/Fail | beskrivning |
---|---|---|
Test-ADFSRPAdditionalAuthenticationRules Minst en icke-migrerbar regel identifierades för AdditionalAuthentication. |
Pass/Varning | Den förlitande parten har regler för att fråga efter multifaktorautentisering. Om du vill flytta till Microsoft Entra-ID översätter du dessa regler till principer för villkorsstyrd åtkomst. Om du använder en lokal MFA rekommenderar vi att du flyttar till Microsoft Entra multifaktorautentisering. Läs mer om villkorsstyrd åtkomst. |
Test-ADFSRPAdditionalWSFedEndpoint Förlitande part har AdditionalWSFedEndpoint inställt på true. |
Pass/Fail | Den förlitande parten i AD FS tillåter flera WS-Fed-slutpunkter för försäkran. För närvarande stöder Endast Microsoft Entra en. Om du har ett scenario där det här resultatet blockerar migreringen meddelar du oss. |
Test-ADFSRPAllowedAuthenticationClassReferences Förlitande part har angett AllowedAuthenticationClassReferences. |
Pass/Fail | Med den här inställningen i AD FS kan du ange om programmet är konfigurerat för att endast tillåta vissa autentiseringstyper. Vi rekommenderar att du använder villkorlig åtkomst för att uppnå den här funktionen. Om du har ett scenario där det här resultatet blockerar migreringen meddelar du oss. Läs mer om villkorsstyrd åtkomst. |
Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Pass/Fail | Med den här inställningen i AD FS kan du ange om programmet är konfigurerat för att ignorera SSO-cookies och Always Prompt for Authentication. I Microsoft Entra-ID kan du hantera autentiseringssessionen med hjälp av principer för villkorsstyrd åtkomst för att uppnå liknande beteende. Läs mer om hur du konfigurerar autentiseringssessionshantering med villkorsstyrd åtkomst. |
Test-ADFSRPAutoUpdateEnabled Förlitande part har AutoUpdateEnabled inställt på true |
Pass/Varning | Med den här inställningen i AD FS kan du ange om AD FS har konfigurerats för att automatiskt uppdatera programmet baserat på ändringar i federationsmetadata. Microsoft Entra-ID stöder inte detta i dag, men bör inte blockera migreringen av programmet till Microsoft Entra-ID. |
Test-ADFSRPClaimsProviderName Förlitande part har flera ClaimsProviders aktiverat |
Pass/Fail | Den här inställningen i AD FS anropar de identitetsprovidrar som den förlitande parten accepterar anspråk från. I Microsoft Entra-ID kan du aktivera externt samarbete med Microsoft Entra B2B. Läs mer om Microsoft Entra B2B. |
Test-ADFSRPDelegationAuthorizationRules | Pass/Fail | Programmet har definierade regler för anpassad delegeringsauktorisering. Det här är ett WS-Trust-koncept som Microsoft Entra ID stöder med hjälp av moderna autentiseringsprotokoll, till exempel OpenID Connect och OAuth 2.0. Läs mer om Microsofts identitetsplattform. |
Test-ADFSRPImpersonationAuthorizationRules | Pass/Varning | Programmet har definierade regler för anpassad personifieringsauktorisering. Det här är ett WS-Trust-koncept som Microsoft Entra ID stöder med hjälp av moderna autentiseringsprotokoll, till exempel OpenID Connect och OAuth 2.0. Läs mer om Microsofts identitetsplattform. |
Test-ADFSRPIssuanceAuthorizationRules Minst en icke-migrerbar regel identifierades för UtfärdandeAuthorization. |
Pass/Varning | Programmet har anpassade utfärdandeauktoriseringsregler som definierats i AD FS. Microsoft Entra-ID stöder den här funktionen med villkorsstyrd åtkomst i Microsoft Entra. Läs mer om villkorsstyrd åtkomst. Du kan också begränsa åtkomsten till ett program efter användare eller grupper som tilldelats till programmet. Läs mer om hur du tilldelar användare och grupper åtkomst till program. |
Test-ADFSRPIssuanceTransformRules Minst en icke-graterbar regel har identifierats för IssuanceTransform. |
Pass/Varning | Programmet har anpassade regler för utfärdandetransformering som definierats i AD FS. Microsoft Entra-ID stöder anpassning av anspråk som utfärdats i token. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. |
Test-ADFSRPMonitoringEnabled Förlitande part har MonitoringEnabled inställt på true. |
Pass/Varning | Med den här inställningen i AD FS kan du ange om AD FS har konfigurerats för att automatiskt uppdatera programmet baserat på ändringar i federationsmetadata. Microsoft Entra stöder inte detta i dag, men bör inte blockera migreringen av programmet till Microsoft Entra-ID. |
Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Pass/Varning | AD FS tillåter en tidsförskjutning baserat på NotBefore- och NotOnOrAfter-tiderna i SAML-token. Microsoft Entra-ID hanterar detta automatiskt som standard. |
Test-ADFSRPRequestMFAFromClaimsProviders Förlitande part har RequestMFAFromClaimsProviders inställt på true. |
Pass/Varning | Den här inställningen i AD FS avgör beteendet för MFA när användaren kommer från en annan anspråksprovider. I Microsoft Entra-ID kan du aktivera externt samarbete med Microsoft Entra B2B. Sedan kan du använda principer för villkorlig åtkomst för att skydda gäståtkomst. Läs mer om Microsoft Entra B2B och villkorsstyrd åtkomst. |
Test-ADFSRPSignedSamlRequestsRequired Förlitande part har SignSamlRequestsRequired inställt på true |
Pass/Fail | Programmet har konfigurerats i AD FS för att verifiera signaturen i SAML-begäran. Microsoft Entra-ID accepterar en signerad SAML-begäran. Den verifierar dock inte signaturen. Microsoft Entra-ID har olika metoder för att skydda mot skadliga anrop. Microsoft Entra-ID använder till exempel svars-URL:er som konfigurerats i programmet för att verifiera SAML-begäran. Microsoft Entra-ID skickar bara en token till svars-URL:er som konfigurerats för programmet. Om du har ett scenario där det här resultatet blockerar migreringen meddelar du oss. |
Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Pass/Varning | Programmet har konfigurerats för en anpassad tokenlivslängd. AD FS-standardvärdet är en timme. Microsoft Entra ID stöder den här funktionen med villkorlig åtkomst. Mer information finns i Konfigurera autentiseringssessionshantering med villkorsstyrd åtkomst. |
Förlitande part är inställd på att kryptera anspråk. Detta stöds av Microsoft Entra ID | Godkänd | Med Microsoft Entra-ID kan du kryptera token som skickas till programmet. Mer information finns i Konfigurera Microsoft Entra SAML-tokenkryptering. |
EncryptedNameIdRequiredCheckResult | Pass/Fail | Programmet är konfigurerat för att kryptera nameID-anspråket i SAML-token. Med Microsoft Entra-ID kan du kryptera hela token som skickas till programmet. Kryptering av specifika anspråk stöds ännu inte. Mer information finns i Konfigurera Microsoft Entra SAML-tokenkryptering. |