Kontrola sestavy aktivit aplikace
Mnoho organizací používá Active Directory Federation Services (AD FS) (AD FS) k poskytování jednotného přihlašování ke cloudovým aplikacím. Při přesunu aplikací AD FS do Microsoft Entra ID pro ověřování existují významné výhody, zejména pokud jde o správu nákladů, řízení rizik, produktivitu, dodržování předpisů a zásady správného řízení. Znalost aplikací kompatibilních s ID Microsoft Entra a identifikace konkrétních kroků migrace ale může být časově náročná.
Sestava aktivit aplikace SLUŽBY AD FS v Centru pro správu Microsoft Entra umožňuje rychle zjistit, které z vašich aplikací je možné migrovat do Microsoft Entra ID. Vyhodnocuje všechny aplikace SLUŽBY AD FS z důvodu kompatibility s ID Microsoft Entra, kontroluje případné problémy a poskytuje pokyny k přípravě jednotlivých aplikací na migraci. Pomocí sestavy aktivit aplikace SLUŽBY AD FS můžete:
Seznamte se s aplikacemi služby AD FS a rozsahem migrace. Sestava aktivit aplikace SLUŽBY AD FS obsahuje seznam všech aplikací služby AD FS ve vaší organizaci, které měly aktivní přihlášení uživatele za posledních 30 dnů. Sestava indikuje připravenost aplikací na migraci do Microsoft Entra ID. Sestava nezobrazuje předávající strany související s Microsoftem ve službě AD FS, jako je Office 365. Například předávající strany s názvem urn:federation:MicrosoftOnline.
Určete prioritu aplikací pro migraci. Získejte počet jedinečných uživatelů, kteří se přihlásili k aplikaci za posledních 1, 7 nebo 30 dnů, abyste mohli určit závažnost nebo riziko migrace aplikace.
Spusťte testy migrace a opravte problémy. Služba reporting automaticky spouští testy, které určují, jestli je aplikace připravená k migraci. Výsledky se zobrazí v sestavě aktivit aplikace SLUŽBY AD FS jako stav migrace. Pokud konfigurace služby AD FS není kompatibilní s konfigurací Microsoft Entra, získáte konkrétní pokyny k řešení konfigurace v Microsoft Entra ID.
Data aktivit aplikací služby AD FS jsou k dispozici uživatelům, kteří mají přiřazenou některou z těchto rolí správců: globální správce, čtenář sestav, čtenář zabezpečení, správce aplikací nebo správce cloudových aplikací.
Požadavky
- Aby bylo možné přistupovat k aplikacím, musí vaše organizace v současné době používat službu AD FS.
- Jedna z následujících rolí: Globální Správa istrator, Cloud Application Správa istrator, Application Správa istrator, Global Reader nebo vlastník instančního objektu.
- Microsoft Entra Připojení Health musí být povolen ve vašem tenantovi Microsoft Entra.
- Je nutné nainstalovat agenta Microsoft Entra Připojení Health pro službu AD FS.
- Přečtěte si další informace o službě Microsoft Entra Připojení Health.
- Začněte s nastavením služby Microsoft Entra Připojení Health a nainstalujte agenta služby AD FS.
Důležité
Existuje několik důvodů, proč neuvidíte všechny aplikace, které očekáváte po instalaci Microsoft Entra Připojení Health. Sestava aktivit aplikace SLUŽBY AD FS zobrazuje pouze předávající strany služby AD FS s přihlášeními uživatelů za posledních 30 dnů. Sestava také nezobrazí předávající strany související s Microsoftem, jako je Office 365.
Zjišťování aplikací služby AD FS, které je možné migrovat
Sestava aktivit aplikace AD FS je k dispozici v Centru pro správu Microsoft Entra v části Generování sestav využití a přehledů ID Microsoft Entra. Sestava aktivit aplikace SLUŽBY AD FS analyzuje každou aplikaci služby AD FS, aby určila, jestli je možné ji migrovat tak, jak je, nebo jestli je potřeba provést další kontrolu.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
Přejděte k podnikovým aplikacím> identit.>
V části Aktivita vyberte Využití a Přehledy a pak vyberte aktivitu aplikace SLUŽBY AD FS, aby se otevřel seznam všech aplikací SLUŽBY AD FS ve vaší organizaci.
Pro každou aplikaci v seznamu aktivit aplikace SLUŽBY AD FS zobrazte stav migrace:
Připraveno k migraci znamená, že konfigurace aplikace AD FS je plně podporovaná v Microsoft Entra ID a dá se migrovat tak, jak je.
Potřeba zkontrolovat znamená, že některá nastavení aplikace se dají migrovat do Microsoft Entra ID, ale musíte zkontrolovat nastavení, která nejde migrovat tak, jak je.
Další požadované kroky znamenají, že ID Microsoft Entra nepodporuje některá nastavení aplikace, takže aplikaci nejde migrovat v aktuálním stavu.
Vyhodnocení připravenosti aplikace na migraci
V seznamu aktivit aplikace SLUŽBY AD FS vyberte stav ve sloupci Stav migrace a otevřete podrobnosti o migraci. Zobrazí se souhrn testů konfigurace, které prošly, spolu s potenciálními problémy s migrací.
Výběrem zprávy otevřete další podrobnosti pravidla migrace. Úplný seznam testovaných vlastností najdete v tabulce testů konfigurace aplikace AD FS níže.
Testy konfigurace aplikací služby AD FS
V následující tabulce jsou uvedeny všechny testy konfigurace prováděné v aplikacích služby AD FS.
| Výsledek | Pass/Warning/Fail | Popis |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Zjistilo se aspoň jedno nemigrovatelné pravidlo pro AdditionalAuthentication. |
Předání/upozornění | Předávající strana má pravidla pro zobrazení výzvy k vícefaktorovém ověřování. Pokud chcete přejít na ID Microsoft Entra, přeložte tato pravidla do zásad podmíněného přístupu. Pokud používáte místní vícefaktorové ověřování, doporučujeme přejít na vícefaktorové ověřování Microsoft Entra. Přečtěte si další informace o podmíněném přístupu. |
| Test-ADFSRPAdditionalWSFedEndpoint Přijímající strana má hodnotu AdditionalWSFedEndpoint nastavenou na hodnotu true. |
Úspěšné nebo neúspěšné | Předávající strana ve službě AD FS umožňuje více koncových bodů kontrolních výrazů WS-Fed. Microsoft Entra v současné době podporuje pouze jednu. Pokud máte scénář, ve kterém tento výsledek blokuje migraci, dejte nám vědět. |
| Test-ADFSRPAllowedAuthenticationClassReferences Přijímající strana nastavila AllowedAuthenticationClassReferences. |
Úspěšné nebo neúspěšné | Toto nastavení ve službě AD FS umožňuje určit, jestli je aplikace nakonfigurovaná tak, aby povolovala pouze určité typy ověřování. K dosažení této funkce doporučujeme použít podmíněný přístup. Pokud máte scénář, ve kterém tento výsledek blokuje migraci, dejte nám vědět. Přečtěte si další informace o podmíněném přístupu. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Úspěšné nebo neúspěšné | Toto nastavení ve službě AD FS umožňuje určit, jestli je aplikace nakonfigurovaná tak, aby ignorovala soubory cookie jednotného přihlašování a vždy zobrazovala výzvu k ověření. V Microsoft Entra ID můžete spravovat relaci ověřování pomocí zásad podmíněného přístupu, abyste dosáhli podobného chování. Přečtěte si další informace o konfiguraci správy relací ověřování pomocí podmíněného přístupu. |
| Test-ADFSRPAutoUpdateEnabled Předávající strana má nastavenou hodnotu AutoUpdateEnabled na hodnotu true |
Předání/upozornění | Toto nastavení ve službě AD FS umožňuje určit, jestli je služba AD FS nakonfigurovaná tak, aby automaticky aktualizovala aplikaci na základě změn v rámci federačních metadat. Microsoft Entra ID tuto funkci dnes nepodporuje, ale nemělo by blokovat migraci aplikace na Microsoft Entra ID. |
| Test-ADFSRPClaimsProviderName Předávající strana má povolených více deklarací identity. |
Úspěšné nebo neúspěšné | Toto nastavení ve službě AD FS volá zprostředkovatele identity, ze kterých přijímající strana přijímá deklarace identity. V Microsoft Entra ID můžete povolit externí spolupráci pomocí Microsoft Entra B2B. Přečtěte si další informace o Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Úspěšné nebo neúspěšné | Aplikace má definovaná vlastní autorizační pravidla delegování. Toto je koncept WS-Trust, který Microsoft Entra ID podporuje pomocí moderních ověřovacích protokolů, jako je OpenID Připojení a OAuth 2.0. Přečtěte si další informace o platformě Microsoft Identity Platform. |
| Test-ADFSRPImpersonationAuthorizationRules | Předání/upozornění | Aplikace má definovaná vlastní autorizační pravidla zosobnění. Toto je koncept WS-Trust, který Microsoft Entra ID podporuje pomocí moderních ověřovacích protokolů, jako je OpenID Připojení a OAuth 2.0. Přečtěte si další informace o platformě Microsoft Identity Platform. |
| Test-ADFSRPIssuanceAuthorizationRules Bylo zjištěno alespoň jedno nemigrovatelné pravidlo pro vystavováníAuthorizace. |
Předání/upozornění | Aplikace má definovaná vlastní autorizační pravidla vystavování ve službě AD FS. Microsoft Entra ID podporuje tuto funkci s podmíněným přístupem Microsoft Entra. Přečtěte si další informace o podmíněném přístupu. Přístup k aplikaci můžete omezit také podle uživatele nebo skupin přiřazených k aplikaci. Přečtěte si další informace o přiřazování uživatelů a skupin pro přístup k aplikacím. |
| Test-ADFSRPIssuanceTransformRules Bylo zjištěno alespoň jedno nemigrovatelné pravidlo pro vystavenítransformu. |
Předání/upozornění | Aplikace má definovaná vlastní pravidla transformace vystavování ve službě AD FS. Microsoft Entra ID podporuje přizpůsobení deklarací identity vydané v tokenu. Další informace najdete v tématu Přizpůsobení deklarací identity vystavených v tokenu SAML pro podnikové aplikace. |
| Test-ADFSRPMonitoringEnabled Předávající strana má vlastnost MonitoringEnabled nastavenou na hodnotu true. |
Předání/upozornění | Toto nastavení ve službě AD FS umožňuje určit, jestli je služba AD FS nakonfigurovaná tak, aby automaticky aktualizovala aplikaci na základě změn v rámci federačních metadat. Microsoft Entra tuto funkci dnes nepodporuje, ale neměl by blokovat migraci aplikace do Microsoft Entra ID. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Předání/upozornění | Služba AD FS umožňuje časovou nerovnoměrnou distribuci na základě času NotBefore a NotOnOrAfter v tokenu SAML. Id Microsoft Entra toto automaticky zpracovává ve výchozím nastavení. |
| Test-ADFSRPRequestMFAFromClaimsProviders Předávající strana má RequestMFAFromClaimsProviders nastavené na true. |
Předání/upozornění | Toto nastavení ve službě AD FS určuje chování vícefaktorového ověřování, když uživatel pochází z jiného zprostředkovatele deklarací identity. V Microsoft Entra ID můžete povolit externí spolupráci pomocí Microsoft Entra B2B. Zásady podmíněného přístupu pak můžete použít k ochraně přístupu hostů. Přečtěte si další informace o Microsoft Entra B2B a podmíněném přístupu. |
| Test-ADFSRPSignedSamlRequestsRequired Přijímající strana má hodnotu SignedSamlRequestsRequired nastavenou na true |
Úspěšné nebo neúspěšné | Aplikace je ve službě AD FS nakonfigurovaná tak, aby ověřila podpis v požadavku SAML. Microsoft Entra ID přijímá podepsaný požadavek SAML; ale podpis neověří. Microsoft Entra ID má různé metody ochrany před škodlivými voláními. Například ID Microsoft Entra používá adresy URL odpovědí nakonfigurované v aplikaci k ověření požadavku SAML. Id Microsoft Entra odešle token pouze adresám URL odpovědí nakonfigurovaným pro aplikaci. Pokud máte scénář, ve kterém tento výsledek blokuje migraci, dejte nám vědět. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Předání/upozornění | Aplikace je nakonfigurovaná pro vlastní životnost tokenu. Výchozí hodnota služby AD FS je jedna hodina. Microsoft Entra ID podporuje tuto funkci pomocí podmíněného přístupu. Další informace najdete v tématu Konfigurace správy relací ověřování pomocí podmíněného přístupu. |
| Předávající strana je nastavená na šifrování deklarací identity. To podporuje Microsoft Entra ID. | Úspěšné absolvování | Pomocí ID Microsoft Entra můžete token odeslaný do aplikace zašifrovat. Další informace najdete v tématu Konfigurace šifrování tokenu SAML microsoft Entra. |
| EncryptedNameIdRequiredCheckResult | Úspěšné nebo neúspěšné | Aplikace je nakonfigurovaná tak, aby v tokenu SAML zašifrovala deklaraci identity nameID. Pomocí ID Microsoft Entra můžete zašifrovat celý token odeslaný do aplikace. Šifrování konkrétních deklarací identity se zatím nepodporuje. Další informace najdete v tématu Konfigurace šifrování tokenu SAML microsoft Entra. |
Kontrola výsledků testů pravidel deklarací identity
Pokud jste nakonfigurovali pravidlo deklarace identity pro aplikaci ve službě AD FS, prostředí poskytne podrobnou analýzu všech pravidel deklarací identity. Uvidíte, která pravidla deklarací identity je možné přesunout do Microsoft Entra ID a která z nich potřebují další kontrolu.
V seznamu aktivit aplikace SLUŽBY AD FS vyberte stav ve sloupci Stav migrace a otevřete podrobnosti o migraci. Zobrazí se souhrn testů konfigurace, které prošly, spolu s potenciálními problémy s migrací.
Na stránce s podrobnostmi o pravidle migrace rozbalte výsledky, abyste zobrazili podrobnosti o potenciálních problémech s migrací a získali další pokyny. Podrobný seznam všech otestovaných pravidel deklarací najdete v následující tabulce Kontrola výsledků testů pravidel deklarací identity.
Následující příklad ukazuje podrobnosti pravidla migrace pro pravidlo IssuanceTransform. Obsahuje seznam konkrétních částí deklarace identity, které je potřeba zkontrolovat a vyřešit před migrací aplikace do Microsoft Entra ID.
Testy pravidel deklarací identity
Následující tabulka obsahuje seznam všech testů pravidel deklarací identity, které se provádějí v aplikacích služby AD FS.
| Vlastnost | Popis |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | Příkaz podmínky používá regulární výrazy k vyhodnocení, jestli deklarace identity odpovídá určitému vzoru. Pokud chcete dosáhnout podobné funkce v Microsoft Entra ID, můžete použít předdefinované transformace, jako je IfEmpty(), StartWith(), Contains(), mimo jiné. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace. |
| UNSUPPORTED_CONDITION_CLASS | Příkaz podmínky má několik podmínek, které je potřeba vyhodnotit před spuštěním příkazu vystavení. Microsoft Entra ID může tuto funkci podporovat pomocí transformačních funkcí deklarací, kde můžete vyhodnotit více hodnot deklarací identity. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace. |
| UNSUPPORTED_RULE_TYPE | Pravidlo deklarace identity se nepovedlo rozpoznat. Další informace o konfiguraci deklarací identity v Microsoft Entra ID naleznete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace. |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | Příkaz podmínky používá vystavitele, který není podporován v Microsoft Entra ID. Microsoft Entra v současné době neschovává deklarace identity z úložišť jiných než ID služby Active Directory nebo Microsoft Entra. Pokud vám to brání v migraci aplikací do Microsoft Entra ID, dejte nám vědět. |
| UNSUPPORTED_CONDITION_FUNCTION | Příkaz podmínky používá agregační funkci k vydání nebo přidání jedné deklarace identity bez ohledu na počet shod. V Microsoft Entra ID můžete vyhodnotit atribut uživatele, abyste se rozhodli, jakou hodnotu použít pro deklaraci identity s funkcemi, jako je IfEmpty(), StartWith(), Contains(), mimo jiné. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace. |
| RESTRICTED_CLAIM_ISSUED | Příkaz podmínky používá deklaraci identity, která je omezena v Microsoft Entra ID. Možná budete moct vydat omezenou deklaraci identity, ale nemůžete změnit její zdroj ani použít žádnou transformaci. Další informace naleznete v tématu Přizpůsobení deklarací identity generované v tokenech pro konkrétní aplikaci v Microsoft Entra ID. |
| EXTERNAL_ATTRIBUTE_STORE | Příkaz vystavení používá úložiště atributů, které se liší od služby Active Directory. Microsoft Entra v současné době neschovává deklarace identity z úložišť jiných než ID služby Active Directory nebo Microsoft Entra. Pokud vám tento výsledek brání v migraci aplikací do Microsoft Entra ID, dejte nám vědět. |
| UNSUPPORTED_ISSUANCE_CLASS | Příkaz vystavení pomocí příkazu ADD přidá deklarace identity do příchozí sady deklarací identity. V Microsoft Entra ID to může být nakonfigurováno jako více transformací deklarací identity. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace. |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | Příkaz vystavení používá regulární výrazy k transformaci hodnoty deklarace identity, která se má vygenerovat. Chcete-li dosáhnout podobných funkcí v Microsoft Entra ID, můžete použít předdefinované transformace, jako Extract()je , Trim()a ToLower(). Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace. |
Řešení problému
V sestavě se nezobrazují všechny moje aplikace SLUŽBY AD FS
Pokud jste nainstalovali Microsoft Entra Připojení Health, ale přesto se zobrazí výzva k jeho instalaci nebo v sestavě nevidíte všechny aplikace služby AD FS, může to být, že nemáte aktivní aplikace SLUŽBY AD FS nebo aplikace SLUŽBY AD FS jsou aplikace microsoft.
Sestava aktivit aplikací služby AD FS obsahuje seznam všech aplikací služby AD FS ve vaší organizaci s aktivním přihlašováním uživatelů za posledních 30 dnů. Sestava také nezobrazuje předávající strany microsoftu ve službě AD FS, jako je Office 365. Například předávající strany s názvem urn:federation:MicrosoftOnline, microsoftonline, microsoft:winhello:cert:prov:server se v seznamu nezobrazí.