Az alkalmazástevékenység-jelentés áttekintése
Számos szervezet Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával biztosít egyszeri bejelentkezést a felhőalkalmazásokra. Az AD FS-alkalmazások hitelesítésre való áthelyezése jelentős előnyökkel jár, különösen a költségkezelés, a kockázatkezelés, a hatékonyság, a megfelelőség és a szabályozás terén. Azonban időigényes lehet megérteni, hogy mely alkalmazások kompatibilisek a Microsoft Entra-azonosítóval, és milyen konkrét migrálási lépések azonosítására van szükség.
A Microsoft Entra felügyeleti központban található AD FS-alkalmazástevékenység-jelentés segítségével gyorsan megállapíthatja, hogy mely alkalmazások migrálhatók a Microsoft Entra-azonosítóba. Felméri az összes AD FS-alkalmazást a Microsoft Entra-azonosítóval való kompatibilitás érdekében, ellenőrzi az esetleges problémákat, és útmutatást nyújt az egyes alkalmazások migrálásra való előkészítéséhez. Az AD FS-alkalmazástevékenység-jelentéssel a következőt teheti:
Fedezze fel az AD FS-alkalmazásokat és a migrálás hatókörét. Az AD FS-alkalmazástevékenység-jelentés felsorolja a szervezet összes olyan AD FS-alkalmazását, amely az elmúlt 30 napban aktív felhasználói bejelentkezéssel rendelkezett. A jelentés azt jelzi, hogy az alkalmazások készen áll a Microsoft Entra-azonosítóra való migrálásra. A jelentés nem jeleníti meg a Microsofttal kapcsolatos függő entitásokat az AD FS-ben, például az Office 365-ben. Például az "urn:federation:MicrosoftOnline" nevű függő entitások.
Rangsorolja az alkalmazásokat a migráláshoz. Kérje le azoknak az egyedi felhasználóknak a számát, akik az elmúlt 1, 7 vagy 30 napban bejelentkeztek az alkalmazásba, hogy megállapíthassa az alkalmazás migrálásának kritikusságát vagy kockázatát.
Migrálási tesztek futtatása és a problémák megoldása. A jelentéskészítési szolgáltatás automatikusan futtat teszteket annak megállapításához, hogy egy alkalmazás készen áll-e az áttelepítésre. Az eredmények áttelepítési állapotként jelennek meg az AD FS-alkalmazás tevékenységjelentésében. Ha az AD FS-konfiguráció nem kompatibilis a Microsoft Entra-konfigurációval, konkrét útmutatást kaphat a Konfiguráció kezelése a Microsoft Entra-azonosítóban.
Az AD FS-alkalmazástevékenység adatai a következő rendszergazdai szerepkörök valamelyikével rendelkező felhasználók számára érhetők el: globális rendszergazda, jelentésolvasó, biztonsági olvasó, alkalmazásadminisztrátor vagy felhőalkalmazás-rendszergazda.
Előfeltételek
- A szervezetnek jelenleg AD FS-t kell használnia az alkalmazások eléréséhez.
- Az alábbi szerepkörök egyike: Global Rendszergazda istrator, Cloud Application Rendszergazda istrator, Application Rendszergazda istrator, Global Reader vagy a szolgáltatásnév tulajdonosa.
- A Microsoft Entra Csatlakozás Health-t engedélyezni kell a Microsoft Entra-bérlőben.
- Telepíteni kell a Microsoft Entra Csatlakozás Health for AD FS-ügynököt.
- További információ a Microsoft Entra Csatlakozás Health szolgáltatásról.
- Ismerkedés a Microsoft Entra Csatlakozás Health beállításával és az AD FS-ügynök telepítésével.
Fontos
A Microsoft Entra Csatlakozás Health telepítése után néhány okból nem jelenik meg az összes várt alkalmazás. Az AD FS-alkalmazástevékenység-jelentés csak az elmúlt 30 napban felhasználói bejelentkezéssel rendelkező AD FS-függő entitásokat jelenít meg. Emellett a jelentés nem jeleníti meg a Microsofttal kapcsolatos függő entitásokat, például az Office 365-öt.
Migrálható AD FS-alkalmazások felderítése
Az AD FS-alkalmazástevékenység-jelentés a Microsoft Entra Felügyeleti központban, a Microsoft Entra ID Usage &insights jelentésében érhető el. Az AD FS-alkalmazástevékenység-jelentés elemzi az egyes AD FS-alkalmazásokat annak megállapításához, hogy migrálható-e, vagy további felülvizsgálatra van szükség.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
A Tevékenység területen válassza a Használat &Elemzések, majd az AD FS-alkalmazástevékenység lehetőséget a szervezet összes AD FS-alkalmazásának listájának megnyitásához.
Az AD FS-alkalmazástevékenységek listájában szereplő összes alkalmazás esetében tekintse meg a migrálás állapotát:
A migrálásra való felkészülés azt jelenti, hogy az AD FS-alkalmazáskonfiguráció teljes mértékben támogatott a Microsoft Entra-azonosítóban, és a migrálás is folyamatban van.
A szükséges felülvizsgálat azt jelenti, hogy az alkalmazás egyes beállításai áttelepíthetők a Microsoft Entra-azonosítóba, de át kell tekintenie azokat a beállításokat, amelyeket nem lehet áttelepíteni.
A további szükséges lépések azt jelentik, hogy a Microsoft Entra ID nem támogatja az alkalmazás egyes beállításait, így az alkalmazás nem migrálható a jelenlegi állapotában.
Alkalmazások migrálásra való felkészültségének értékelése
Az AD FS-alkalmazás tevékenységlistájában válassza ki az áttelepítési állapot oszlopban lévő állapotot az áttelepítés részleteinek megnyitásához. Megjelenik az átadott konfigurációs tesztek összegzése, valamint az esetleges migrálási problémák.
Jelöljön ki egy üzenetet a további migrálási szabály részleteinek megnyitásához. A tesztelt tulajdonságok teljes listáját az alábbi AD FS-alkalmazáskonfigurációs teszttáblában találja.
AD FS-alkalmazáskonfigurációs tesztek
Az alábbi táblázat felsorolja az AD FS-alkalmazásokon végzett összes konfigurációs tesztet.
| Eredmény | Pass/Warning/Fail | Leírás |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules A rendszer legalább egy nem migrált szabályt észlelt az AdditionalAuthentication esetében. |
Pass/Warning | A függő entitás olyan szabályokkal rendelkezik, amelyek többtényezős hitelesítést kérnek. A Microsoft Entra-azonosítóra való áttéréshez ezeket a szabályokat lefordíthatja feltételes hozzáférési szabályzatokra. Ha helyszíni MFA-t használ, javasoljuk, hogy lépjen a Microsoft Entra többtényezős hitelesítésre. További információ a feltételes hozzáférésről. |
| Test-ADFSRPAdditionalWSFedEndpoint A függő entitás Az AdditionalWSFedEndpoint értéke igaz. |
Pass/Fail | Az AD FS függő entitása több WS-Fed-érvényesítési végpontot tesz lehetővé. Jelenleg a Microsoft Entra csak egyet támogat. Ha van egy olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudassa velünk. |
| Test-ADFSRPAllowedAuthenticationClassReferences A függő entitás beállította a AllowedAuthenticationClassReferences értéket. |
Pass/Fail | Ezzel az AD FS-beállítással megadhatja, hogy az alkalmazás csak bizonyos hitelesítési típusok engedélyezésére van-e konfigurálva. Javasoljuk, hogy a feltételes hozzáféréssel érje el ezt a képességet. Ha van egy olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudassa velünk. További információ a feltételes hozzáférésről. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Pass/Fail | Ezzel az AD FS-beállítással megadhatja, hogy az alkalmazás úgy van-e konfigurálva, hogy figyelmen kívül hagyja-e az egyszeri bejelentkezéshez használt cookie-kat, és mindig kérje a hitelesítést. A Microsoft Entra ID-ban a hitelesítési munkamenetet feltételes hozzáférési szabályzatokkal kezelheti hasonló viselkedés elérése érdekében. További információ a hitelesítési munkamenet-kezelés feltételes hozzáféréssel való konfigurálásáról. |
| Test-ADFSRPAutoUpdateEnabled A függő entitás automatikusan igaz értékre van állítva |
Pass/Warning | Ezzel az AD FS-beállítással megadhatja, hogy az AD FS konfigurálva van-e az alkalmazás automatikus frissítésére az összevonási metaadatokon belüli változások alapján. A Microsoft Entra ID jelenleg nem támogatja ezt, de nem tilthatja le az alkalmazás Microsoft Entra-azonosítóra való migrálását. |
| Test-ADFSRPClaimsProviderName A függő entitás több jogcímszolgáltatóval rendelkezik engedélyezve |
Pass/Fail | Ez az AD FS-beállítás meghívja azokat az identitásszolgáltatókat, amelyektől a függő entitás jogcímeket fogad el. A Microsoft Entra ID-ban engedélyezheti a külső együttműködést a Microsoft Entra B2B használatával. További információ a Microsoft Entra B2B-ről. |
| Test-ADFSRPDelegationAuthorizationRules | Pass/Fail | Az alkalmazás egyéni delegálási engedélyezési szabályokkal rendelkezik. Ez egy WS-Trust koncepció, amelyet a Microsoft Entra ID támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identitásplatform. |
| Test-ADFSRPImpersonationAuthorizationRules | Pass/Warning | Az alkalmazás egyéni megszemélyesítési engedélyezési szabályokkal rendelkezik. Ez egy WS-Trust koncepció, amelyet a Microsoft Entra ID támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identitásplatform. |
| Test-ADFSRPIssuanceAuthorizationRules A rendszer legalább egy nem migrálási szabályt észlelt az IssuanceAuthorization esetében. |
Pass/Warning | Az alkalmazás egyéni kiállítási engedélyezési szabályokat határoz meg az AD FS-ben. A Microsoft Entra ID támogatja ezt a funkciót a Microsoft Entra feltételes hozzáféréssel. További információ a feltételes hozzáférésről. Az alkalmazáshoz való hozzáférést az alkalmazáshoz rendelt felhasználók vagy csoportok is korlátozhatják. További információ a felhasználók és csoportok alkalmazásokhoz való hozzárendeléséről. |
| Test-ADFSRPIssuanceTransformRules A rendszer legalább egy nem migrálható szabályt észlelt az IssuanceTransform esetében. |
Pass/Warning | Az alkalmazás az AD FS-ben definiált egyéni kiállításátalakítási szabályokkal rendelkezik. A Microsoft Entra ID támogatja a jogkivonatban kibocsátott jogcímek testreszabását. További információ: A vállalati alkalmazások SAML-jogkivonatában kiadott jogcímek testreszabása. |
| Test-ADFSRPMonitoringEnabled A Függő entitás monitorozása igaz értékre van állítva. |
Pass/Warning | Ezzel az AD FS-beállítással megadhatja, hogy az AD FS konfigurálva van-e az alkalmazás automatikus frissítésére az összevonási metaadatokon belüli változások alapján. A Microsoft Entra ma nem támogatja ezt, de nem tilthatja le az alkalmazás Microsoft Entra-azonosítóra való migrálását. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Pass/Warning | Az AD FS a NotBefore és a NotOnOrAfter időpontok alapján időeltéréseket tesz lehetővé az SAML-jogkivonatban. A Microsoft Entra ID alapértelmezés szerint automatikusan kezeli ezt. |
| Test-ADFSRPRequestMFAFromClaimsProviders A függő entitás requestMFAFromClaimsProviders értéke igaz. |
Pass/Warning | Az AD FS-ben ez a beállítás határozza meg az MFA viselkedését, amikor a felhasználó egy másik jogcímszolgáltatótól származik. A Microsoft Entra ID-ban engedélyezheti a külső együttműködést a Microsoft Entra B2B használatával. Ezután feltételes hozzáférési szabályzatokat alkalmazhat a vendéghozzáférés védelmére. További információ a Microsoft Entra B2B-ről és a feltételes hozzáférésről. |
| Test-ADFSRPSignedSamlRequestsRequired A függő entitás SignedSamlRequestsRequired értéke true |
Pass/Fail | Az alkalmazás az AD FS-ben van konfigurálva az SAML-kérelem aláírásának ellenőrzéséhez. A Microsoft Entra ID egy aláírt SAML-kérést fogad el; azonban nem ellenőrzi az aláírást. A Microsoft Entra ID különböző módszerekkel rendelkezik a rosszindulatú hívások elleni védelemhez. A Microsoft Entra ID például az alkalmazásban konfigurált válasz URL-címeket használja az SAML-kérés érvényesítéséhez. A Microsoft Entra ID csak az alkalmazáshoz konfigurált válasz URL-címekhez küld jogkivonatot. Ha van egy olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudassa velünk. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Pass/Warning | Az alkalmazás egyéni jogkivonat-élettartamra van konfigurálva. Az AD FS alapértelmezett értéke egy óra. A Microsoft Entra ID a feltételes hozzáféréssel támogatja ezt a funkciót. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel. |
| A függő entitás a jogcímek titkosítására van beállítva. Ezt a Microsoft Entra ID támogatja | Át | A Microsoft Entra-azonosítóval titkosíthatja az alkalmazásnak küldött jogkivonatot. További információ: Microsoft Entra SAML-tokentitkosítás konfigurálása. |
| EncryptedNameIdRequiredCheckResult | Pass/Fail | Az alkalmazás úgy van konfigurálva, hogy titkosítsa a nameID jogcímet az SAML-jogkivonatban. A Microsoft Entra-azonosítóval titkosíthatja az alkalmazásnak küldött teljes jogkivonatot. Az egyes jogcímek titkosítása még nem támogatott. További információ: Microsoft Entra SAML-tokentitkosítás konfigurálása. |
A jogcímszabály-tesztek eredményeinek ellenőrzése
Ha konfigurált egy jogcímszabályt az alkalmazáshoz az AD FS-ben, a felhasználói felület részletes elemzést biztosít az összes jogcímszabályhoz. Látni fogja, hogy mely jogcímszabályok helyezhetők át a Microsoft Entra-azonosítóra, és melyekre van szükség további felülvizsgálatra.
Az AD FS-alkalmazás tevékenységlistájában válassza ki az áttelepítési állapot oszlopban lévő állapotot az áttelepítés részleteinek megnyitásához. Megjelenik az átadott konfigurációs tesztek összegzése, valamint az esetleges migrálási problémák.
Az Áttelepítési szabály részletei lapon bontsa ki az eredményeket a lehetséges migrálási problémák részleteinek megjelenítéséhez és további útmutatásért. Az összes tesztelt jogcímszabály részletes listáját az alábbi, A jogcímszabály-tesztek eredményeinek ellenőrzése táblában találja.
Az alábbi példa az IssuanceTransform szabály áttelepítési szabályának részleteit mutatja be. Felsorolja azokat a jogcímrészeket, amelyeket felül kell vizsgálni és kezelni kell, mielőtt migrálhatja az alkalmazást a Microsoft Entra-azonosítóra.
Jogcímszabály-tesztek
Az alábbi táblázat felsorolja az AD FS-alkalmazásokban végrehajtott összes jogcímszabály-tesztet.
| Tulajdonság | Leírás |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | A feltételutasítás reguláris kifejezéseket használ annak kiértékelésére, hogy a jogcím megfelel-e egy adott mintának. Ha hasonló funkciót szeretne elérni a Microsoft Entra ID-ban, használhat előre definiált átalakításokat, például ifEmpty(), StartWith(), Contains() elemet. További információ: Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása. |
| UNSUPPORTED_CONDITION_CLASS | A feltételutasítás több feltétellel rendelkezik, amelyeket a kiállítási utasítás futtatása előtt ki kell értékelni. A Microsoft Entra ID a jogcím átalakítási függvényeivel támogathatja ezt a funkciót, ahol több jogcímértéket is kiértékelhet. További információ: Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása. |
| UNSUPPORTED_RULE_TYPE | A jogcímszabály nem ismerhető fel. A jogcímek Microsoft Entra-azonosítóban való konfigurálásáról további információt a vállalati alkalmazások SAML-jogkivonatában kiadott jogcímek testreszabása című témakörben talál. |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | A feltételutasítás olyan kiállítót használ, amely nem támogatott a Microsoft Entra-azonosítóban. A Microsoft Entra jelenleg nem az Active Directorytól vagy a Microsoft Entra-azonosítótól eltérő tárolókból származó jogcímeket származtat. Ha ez megakadályozza az alkalmazások Microsoft Entra-azonosítóba való migrálását, tudassa velünk. |
| UNSUPPORTED_CONDITION_FUNCTION | A feltételutasítás egy összesítő függvény használatával ad ki vagy ad hozzá egyetlen jogcímet az egyezések számától függetlenül. A Microsoft Entra ID-ban kiértékelheti a felhasználó attribútumát, hogy eldöntse, milyen értéket használjon a jogcímhez olyan függvényekkel, mint például az IfEmpty(), a StartWith(), a Contains(), többek között az IfEmpty(), a StartWith(), a Contains(). További információ: Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása. |
| RESTRICTED_CLAIM_ISSUED | A feltételutasítás a Microsoft Entra-azonosítóban korlátozott jogcímet használ. Előfordulhat, hogy korlátozott jogcímet tud kibocsátani, de nem módosíthatja a forrását, és nem alkalmazhat átalakítást. További információ: Egy adott alkalmazás jogkivonataiban kibocsátott jogcímek testreszabása a Microsoft Entra ID-ban. |
| EXTERNAL_ATTRIBUTE_STORE | A kiállítási utasítás az Active Directorytól eltérő attribútumtárolót használ. A Microsoft Entra jelenleg nem az Active Directorytól vagy a Microsoft Entra-azonosítótól eltérő tárolókból származó jogcímeket származtat. Ha ez az eredmény megakadályozza az alkalmazások Microsoft Entra-azonosítóba való migrálását, tudassa velünk. |
| UNSUPPORTED_ISSUANCE_CLASS | A kiállítási utasítás az ADD használatával a bejövő jogcímkészlethez jogcímeket ad hozzá. A Microsoft Entra ID-ban ez több jogcímátalakításként is konfigurálható. További információ: Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása. |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | A kiállítási utasítás reguláris kifejezésekkel alakítja át a kibocsátandó jogcím értékét. Ha hasonló funkciókat szeretne elérni a Microsoft Entra ID-ban, használhat előre definiált átalakítást, például Extract(), Trim()és ToLower(). További információ: Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása. |
Hibaelhárítás
Nem látható az összes AD FS-alkalmazás a jelentésben
Ha telepítette a Microsoft Entra Csatlakozás Health alkalmazást, de továbbra is megjelenik a telepítésre vonatkozó kérés, vagy ha nem látja az összes AD FS-alkalmazást a jelentésben, előfordulhat, hogy nem rendelkezik aktív AD FS-alkalmazásokkal, vagy az AD FS-alkalmazások Microsoft-alkalmazások.
Az AD FS-alkalmazástevékenység-jelentés felsorolja a szervezet összes olyan AD FS-alkalmazását, amelyben aktív felhasználók jelentkeztek be az elmúlt 30 napban. Emellett a jelentés nem jeleníti meg a Microsofttal kapcsolatos függő entitásokat az AD FS-ben, például az Office 365-ben. Az "urn:federation:MicrosoftOnline", "microsoftonline", "microsoft:winhello:cert:prov:server" nevű függő entitások például nem jelennek meg a listában.