AD FS 应用程序迁移概述(预览版)
通过本文,你将了解 AD FS 应用程序迁移向导的功能及其仪表板上可用的迁移状态。 你还将了解应用程序迁移中为要从 AD FS 迁移到 Microsoft Entra ID 的每个应用程序生成的各种验证测试。
通过 AD FS 应用程序迁移向导,可快速确定哪些应用程序能够迁移到 Microsoft Entra ID。 它会评估每个 AD FS 应用程序是否与 Microsoft Entra ID 兼容。 它还会检查是否存在任何问题,提供有关为每个应用程序作迁移准备和使用一键式体验配置新 Microsoft Entra 应用程序的指导。
使用 AD FS 应用程序迁移向导,可以:
发现 AD FS 应用程序和确定迁移范围 - AD FS 应用程序迁移向导会列出组织中在过去 30 天内发生过有效用户登录的所有 AD FS 应用程序。 该报告指示有关迁移到 Microsoft Entra ID 的应用准备情况。 报表不会显示 AD FS 中的与 Microsoft 相关的信赖方,比如 Office 365。 例如,名为
urn:federation:MicrosoftOnline的信赖方。确定应用程序的迁移优先级 - 获取过去 1 天、7 天或 30 天内登录到应用程序的唯一用户数,以帮助确定迁移应用程序的关键程度或风险。
运行迁移测试并解决问题 - 报表服务会自动运行测试,以确定应用程序是否已准备好进行迁移。 结果会在 AD FS 应用程序迁移仪表板中显示为迁移状态。 如果 AD FS 配置与 Microsoft Entra 配置不兼容,你将获得有关如何处理 Microsoft Entra ID 中的配置的具体指导。
使用一键式应用程序配置体验来配置新的 Microsoft Entra 应用程序 - 这提供了将本地信赖方应用程序迁移到云中的引导式体验。 该迁移体验使用直接从本地环境导入的信赖方应用程序的元数据。 此外,该体验还提供 Microsoft Entra 平台上 SAML 应用程序的一键式配置,其中包含一些基本的 SAML 设置、声明配置和组分配。
注意
AD FS 应用程序迁移仅支持基于 SAML 的应用程序。 它不支持使用 OpenID Connect、WS-Fed 和 OAuth 2.0 等协议的应用程序。 如果要迁移使用这些协议的应用程序,请参阅使用 AD FS 应用程序活动报告来确认要迁移的应用程序。 确认要迁移的应用后,可在 Microsoft Entra ID 中手动配置它们。 有关如何手动迁移的详细信息,请参阅迁移和测试应用程序。
AD FS 应用程序迁移状态
适用于 AD FS 的 Microsoft Entra Connect 和 Microsoft Entra Connect Health 代理读取本地信赖方应用配置和登录审核日志。 分析每个 AD FS 应用程序的此数据,以确定其可以按原样迁移,还是需要其他评审。 根据此分析的结果,可确定给定应用程序的迁移状态。
应用程序有以下迁移状态:
- “已准备好迁移”意味着 Microsoft Entra ID 完全支持 AD FS 应用程序配置,并且可以按原样迁移。
- “需要评审”意味着某些应用程序的设置可以迁移到 Microsoft Entra ID,但需要评审无法按原样迁移的设置。
- “需要额外步骤”意味着 Microsoft Entra ID 不支持某些应用程序设置,因此无法在其当前状态下迁移应用程序。
AD FS 应用程序迁移验证测试
根据以下预定义的 AD FS 应用程序配置测试评估应用程序就绪情况。 测试会自动运行,结果会在 AD FS 应用程序迁移仪表板中显示为迁移状态。 如果 AD FS 配置与 Microsoft Entra 配置不兼容,你将获得有关如何处理 Microsoft Entra ID 中的配置的具体指导。
AD FS 应用程序迁移见解状态更新
更新应用程序后,内部代理会在几分钟内同步更新。 但是,AD FS 迁移见解作业负责评估更新并计算新的迁移状态。 这些作业计划为每 24 小时运行一次,这意味着数据仅在每天 00:00 协调世界时 (UTC) 计算一次。
| Result | 通过/警告/失败 | 说明 |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules 至少检测到 AdditionalAuthentication 的一个不可迁移规则。 |
通过/警告 | 信赖方包含用于提示进行多重身份验证的规则。 要迁移到 Microsoft Entra ID,需将这些规则转换为条件访问策略。 如果你使用的是本地 MFA,则建议迁移到 Microsoft Entra 多重身份验证。 详细了解条件访问。 |
| Test-ADFSRPAdditionalWSFedEndpoint 信赖方的 AdditionalWSFedEndpoint 设置为 true。 |
通过/失败 | AD FS 中的信赖方允许多个 WS-Fed 断言终结点。 Microsoft Entra 目前仅支持一个。 如果这种情况导致你无法进行迁移,请告知我们。 |
| Test-ADFSRPAllowedAuthenticationClassReferences 信赖方已设置 AllowedAuthenticationClassReferences。 |
通过/失败 | 通过 AD FS 中的此设置,你可以指定应用程序是否配置为仅允许某些身份验证类型。 建议使用条件访问来实现此功能。 如果这种情况导致你无法进行迁移,请告知我们。 了解有关条件访问的详细信息。 |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
通过/失败 | 通过 AD FS 中的此设置,你可以指定应用程序是否配置为忽略 SSO Cookie 并始终提示进行身份验证。 在 Microsoft Entra ID 中,可以使用条件访问策略来管理身份验证会话,以实现类似的行为。 详细了解如何使用条件访问配置身份验证会话管理。 |
| Test-ADFSRPAutoUpdateEnabled 信赖方已将 AutoUpdateEnabled 设置为 true |
通过/警告 | AD FS 中的此设置允许你指定是否将 AD FS 配置为基于联合元数据中的更改自动更新应用程序。 Microsoft Entra ID 目前尚不提供此支持,但不应阻止将应用程序迁移到 Microsoft Entra ID。 |
| Test-ADFSRPClaimsProviderName 信赖方启用了多个 ClaimsProviders |
通过/失败 | AD FS 中的此设置将调用信赖方接受声明的标识提供者。 在 Microsoft Entra ID 中,可以使用 Microsoft Entra B2B 启用外部协作。 详细了解 Microsoft Entra B2B。 |
| Test-ADFSRPDelegationAuthorizationRules | 通过/失败 | 应用程序定义了自定义委派授权规则。 这是一个 WS-Trust 概念,Microsoft Entra ID 借助使用新式身份验证协议(例如 OpenID Connect 和 OAuth 2.0)支持这一概念。 了解有关 Microsoft 标识平台的更多信息。 |
| Test-ADFSRPImpersonationAuthorizationRules | 通过/警告 | 应用程序定义了自定义模拟授权规则。 这是一个 WS-Trust 概念,Microsoft Entra ID 借助使用新式身份验证协议(例如 OpenID Connect 和 OAuth 2.0)支持这一概念。 了解有关 Microsoft 标识平台的更多信息。 |
| Test-ADFSRPIssuanceAuthorizationRules 至少检测到 IssuanceAuthorization 的一个不可迁移规则。 |
通过/警告 | 应用程序具有在 AD FS 中定义了自定义颁发授权规则。 Microsoft Entra ID 通过 Microsoft Entra 条件访问支持此功能。 详细了解条件访问。 你还可以通过分配给应用程序的用户或组来限制对应用程序的访问。 详细了解如何分配用户和组以访问应用程序。 |
| Test-ADFSRPIssuanceTransformRules 至少检测到 IssuanceTransform 的一个不可迁移规则。 |
通过/警告 | 应用程序具有在 AD FS 中定义的自定义颁发转换规则。 Microsoft Entra ID 支持自定义令牌中颁发的声明。 要了解详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| Test-ADFSRPMonitoringEnabled 信赖方将 MonitoringEnabled 设置为 true。 |
通过/警告 | AD FS 中的此设置允许你指定是否将 AD FS 配置为基于联合元数据中的更改自动更新应用程序。 Microsoft Entra 目前尚不提供此支持,但不应阻止将应用程序迁移到 Microsoft Entra ID。 |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
通过/警告 | AD FS 根据 SAML 令牌中的 NotBefore 和 NotOnOrAfter 时间允许时间偏差。 默认情况下,Microsoft Entra ID 会自动处理这种情况。 |
| Test-ADFSRPRequestMFAFromClaimsProviders 信赖方将 RequestMFAFromClaimsProviders 设置为 true。 |
通过/警告 | AD FS 中的这项设置确定当用户来自不同声明提供程序时 MFA 的行为。 在 Microsoft Entra ID 中,可以使用 Microsoft Entra B2B 启用外部协作。 然后,你可以应用条件访问策略来保护来宾访问权限。 详细了解 Microsoft Entra B2B 和条件访问。 |
| Test-ADFSRPSignedSamlRequestsRequired 信赖方已将 SignedSamlRequestsRequired 设置为 true |
通过/失败 | 在 AD FS 中配置该应用程序以验证 SAML 请求中的签名。 Microsoft Entra ID 接受签名的 SAML 请求;但它不会验证签名。 Microsoft Entra ID 具有不同的方法来防范恶意调用。 例如,Microsoft Entra ID 使用在应用程序中配置的回复 URL 来验证 SAML 请求。 Microsoft Entra ID 只会将令牌发送到为应用程序配置的回复 URL。 如果这种情况导致你无法进行迁移,请告知我们。 |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
通过/警告 | 应用程序配置为使用自定义令牌生存期。 AD FS 默认值为一小时。 Microsoft Entra ID 利用条件访问支持此功能。 要了解详细信息,请参阅使用条件访问配置身份验证会话管理。 |
| 信赖方设置为加密声明。 Microsoft Entra ID 支持加密声明 | 通过 | 使用 Microsoft Entra ID 可以加密发送到应用程序的令牌。 有关详细信息,请参阅配置 Microsoft Entra SAML 令牌加密。 |
| EncryptedNameIdRequiredCheckResult | 通过/失败 | 应用程序配置为加密 SAML 令牌中的 nameID 声明。 使用 Microsoft Entra ID 可以加密发送到应用程序的整个令牌。 尚不支持加密特定声明。 有关详细信息,请参阅配置 Microsoft Entra SAML 令牌加密。 |