Rapport van AD FS-toepassingsactiviteit
Veel organisaties gebruiken Active Directory Federation Services (AD FS) voor de eenmalige aanmelding bij cloudtoepassingen. Er zijn aanzienlijke voordelen voor het verplaatsen van uw AD FS-toepassingen naar Microsoft Entra ID voor verificatie, met name wat betreft kostenbeheer, risicobeheer, productiviteit, naleving en governance. Maar begrijpen welke toepassingen compatibel zijn met Microsoft Entra ID en het identificeren van specifieke migratiestappen kunnen tijdrovend zijn.
Met het ad FS-toepassingsactiviteitenrapport in het Microsoft Entra-beheercentrum kunt u snel bepalen welke van uw toepassingen kunnen worden gemigreerd naar Microsoft Entra-id. Het evalueert alle AD FS-toepassingen voor compatibiliteit met Microsoft Entra ID, controleert op eventuele problemen en geeft richtlijnen voor het voorbereiden van afzonderlijke toepassingen voor migratie. Met het AD FS-toepassing activiteitenrapport gebruiken (preview) kunt u:
AD FS-toepassingen en de omvang van uw migratie ontdekken. Het activiteitenrapport van de AD FS-toepassing bevat alle AD FS-toepassingen in uw organisatie met een actieve gebruikersaanmelding in de afgelopen 30 dagen. Het rapport geeft een gereedheid voor apps aan voor migratie naar Microsoft Entra-id. In het rapport worden gerelateerde relying party's van Microsoft niet weergegeven in AD FS, zoals Office 365. Bijvoorbeeld relying party's met de naam urn:federation:MicrosoftOnline.
Prioriteit geven aan toepassingen voor migratie. Haal het aantal unieke gebruikers op dat zich in de afgelopen 1, 7 of 30 dagen heeft aangemeld bij de toepassing om te bepalen wat de noodzaak of het risico van het migreren van de toepassing.
Voer migratietests uit en los problemen op. De Rapportageservice voert automatisch tests uit om te bepalen of een toepassing gereed is om te migreren. De resultaten worden weergegeven in het activiteitenrapport van de AD FS-toepassing als een migratiestatus. Als de AD FS-configuratie niet compatibel is met een Microsoft Entra-configuratie, krijgt u specifieke richtlijnen voor het oplossen van de configuratie in Microsoft Entra-id.
De activiteitsgegevens van de AD FS-toepassing zijn beschikbaar voor gebruikers aan wie een van deze beheerdersrollen is toegewezen: globale beheerder, rapportlezer, beveiligingslezer, toepassingsbeheerder of cloudtoepassingsbeheerder.
Vereisten
- Uw organisatie moet momenteel AD FS gebruiken voor toegang tot toepassingen.
- Een van de volgende rollen: Global Beheer istrator, Cloud Application Beheer istrator, Application Beheer istrator, Global Reader of eigenaar van de service-principal.
- Microsoft Entra Verbinding maken Health moet zijn ingeschakeld in uw Microsoft Entra-tenant.
- De Microsoft Entra Verbinding maken Health voor AD FS-agent moet zijn geïnstalleerd.
- Meer informatie over Microsoft Entra Verbinding maken Health.
- Ga aan de slag met het instellen van Microsoft Entra Verbinding maken Health en installeer de AD FS-agent.
Belangrijk
Er zijn een aantal redenen waarom u niet alle toepassingen ziet die u verwacht nadat u Microsoft Entra Verbinding maken Health hebt geïnstalleerd. Het activiteitenrapport van de AD FS-toepassing toont alleen AD FS relying party's met gebruikersaanmelding in de afgelopen 30 dagen. In het rapport worden gerelateerde relying party's van Microsoft niet weergegeven in AD FS, zoals Office 365.
De AD FS-toepassingen detecteren die kunnen worden gemigreerd
Het activiteitenrapport van de AD FS-toepassing is beschikbaar in het Microsoft Entra-beheercentrum onder Microsoft Entra ID Usage & Insights-rapportage . Het activiteitenrapport van de AD FS-toepassing analyseert elke AD FS-toepassing om te bepalen of deze naar wens kan worden gemigreerd of als er aanvullende beoordeling nodig is.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Selecteer onder Activiteit gebruik en inzichten en selecteer vervolgens AD FS-toepassingsactiviteit om een lijst te openen met alle AD FS-toepassingen in uw organisatie.
Bekijk de migratiestatus voor elke toepassing in de lijst met activiteiten van de AD FS-toepassing:
Gereed om te migreren betekent dat de configuratie van de AD FS-toepassing volledig wordt ondersteund in Microsoft Entra-id en kan worden gemigreerd zoals het is.
Moet worden beoordeeld , betekent dat sommige van de instellingen van de toepassing kunnen worden gemigreerd naar Microsoft Entra-id, maar u moet de instellingen controleren die niet naar behoren kunnen worden gemigreerd.
Extra stappen die vereist zijn , betekent dat Microsoft Entra ID geen ondersteuning biedt voor bepaalde instellingen van de toepassing, zodat de toepassing niet kan worden gemigreerd in de huidige status.
De gereedheid van een toepassing voor migratie evalueren
Selecteer in de lijst met ad FS-toepassingsactiviteiten de status in de kolom Migratiestatus om de migratiedetails te openen. Een samenvatting verschijnt van de geslaagde configuratietests, samen met mogelijke migratieproblemen.
Selecteer een bericht om aanvullende details van de migratieregel te openen. Zie de onderstaande tabel met AD FS-toepassing configuratietests voor een volledige lijst met geteste eigenschappen.
Configuratietests voor AD FS-toepassingen
De volgende tabel bevat alle configuratietests die worden uitgevoerd op AD FS-toepassingen.
| Resultaat | Geslaagd/Waarschuwing/Mislukt | Beschrijving |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Er is ten minste één regel gedetecteerd die niet kan worden gemigreerd voor AdditionalAuthentication. |
Wachtwoord/waarschuwing | De relying party heeft regels om te vragen om meervoudige verificatie. Als u naar Microsoft Entra ID wilt gaan, vertaalt u deze regels in beleid voor voorwaardelijke toegang. Als u een on-premises MFA gebruikt, raden we u aan om over te stappen op Meervoudige Verificatie van Microsoft Entra. Meer informatie over voorwaardelijke toegang. |
| Test-ADFSRPAdditionalWSFedEndpoint De relying party heeft AdditionalWSFedEndpoint ingesteld op true. |
Doorgeven/mislukken | De relying party in AD FS staat meerdere WS-Fed assertie-eindpunten toe. Op dit moment biedt Microsoft Entra alleen ondersteuning voor één. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. |
| Test-ADFSRPAllowedAuthenticationClassReferences De relying party heeft AllowedAuthenticationClassReferences ingesteld. |
Doorgeven/mislukken | Met deze instelling in AD FS kunt u opgeven of de toepassing is geconfigureerd om alleen bepaalde verificatietypen toe te staan. We raden u aan om de voorwaardelijke toegang te gebruiken om deze mogelijkheid te bereiken. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. Meer informatie over voorwaardelijke toegang. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Doorgeven/mislukken | Met deze instelling in AD FS kunt u opgeven of de toepassing is geconfigureerd voor het negeren van SSO-cookies en altijd vragen om verificatie. In Microsoft Entra ID kunt u de verificatiesessie beheren met behulp van beleid voor voorwaardelijke toegang om vergelijkbaar gedrag te bereiken. Meer informatie over het beheer van verificatiesessies met voorwaardelijke toegang configureren. |
| Test-ADFSRPAutoUpdateEnabled Relying Party heeft AutoUpdateEnabled ingesteld op true |
Wachtwoord/waarschuwing | Met deze instelling in AD FS kunt u opgeven of AD FS is geconfigureerd om de toepassing automatisch bij te werken op basis van wijzigingen in de federatie metagegevens. Microsoft Entra ID biedt momenteel geen ondersteuning voor dit probleem, maar mag de migratie van de toepassing naar Microsoft Entra-id niet blokkeren. |
| Test-ADFSRPClaimsProviderName Relying Party heeft meerdere ClaimsProviders ingeschakeld |
Doorgeven/mislukken | Deze instelling in AD FS roept de id-providers aan van waaruit de relying party claims accepteert. In Microsoft Entra ID kunt u externe samenwerking inschakelen met Behulp van Microsoft Entra B2B. Meer informatie over Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Doorgeven/mislukken | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de delegering. Dit is een WS-Trust-concept dat Microsoft Entra ID ondersteunt met behulp van moderne verificatieprotocollen, zoals OpenID Verbinding maken en OAuth 2.0. Meer informatie over het Microsoft Identity Platform. |
| Test-ADFSRPImpersonationAuthorizationRules | Wachtwoord/waarschuwing | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de imitatie. Dit is een WS-Trust-concept dat Microsoft Entra ID ondersteunt met behulp van moderne verificatieprotocollen, zoals OpenID Verbinding maken en OAuth 2.0. Meer informatie over het Microsoft Identity Platform. |
| Test-ADFSRPIssuanceAuthorizationRules Er is ten minste één regel gedetecteerd die niet kan worden gemigreerd voor IssuanceAuthorization. |
Wachtwoord/waarschuwing | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de uitgifte in AD FS. Microsoft Entra ID ondersteunt deze functionaliteit met voorwaardelijke toegang van Microsoft Entra. Meer informatie over voorwaardelijke toegang. U kunt ook de toegang tot een toepassing beperken door gebruikers of groepen die zijn toegewezen aan de toepassing. Meer informatie over het toewijzen van gebruikers en groepen voor toegang tot toepassingen. |
| Test-ADFSRPIssuanceTransformRules Er is ten minste één regel gedetecteerd die niet kan worden gemigreerd voor IssuanceAuthorization. |
Wachtwoord/waarschuwing | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de transformatie in AD FS. Microsoft Entra ID ondersteunt het aanpassen van de claims die zijn uitgegeven in het token. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
| Test-ADFSRPMonitoringEnabled Relying Party heeft MonitoringEnabled ingesteld op true. |
Wachtwoord/waarschuwing | Met deze instelling in AD FS kunt u opgeven of AD FS is geconfigureerd om de toepassing automatisch bij te werken op basis van wijzigingen in de federatie metagegevens. Microsoft Entra biedt momenteel geen ondersteuning voor dit probleem, maar mag de migratie van de toepassing naar Microsoft Entra-id niet blokkeren. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Wachtwoord/waarschuwing | AD FS staat een tijdsverschil toe op basis van de tijdwaarden van NotBefore en NotOnOrAfter in het SAML-token. Microsoft Entra ID verwerkt dit standaard automatisch. |
| Test-ADFSRPRequestMFAFromClaimsProviders Relying Party heeft RequestMFAFromClaimsProviders ingesteld op true. |
Wachtwoord/waarschuwing | Deze instelling in AD FS bepaalt het gedrag voor MFA wanneer de gebruiker afkomstig is van een andere claimprovider. In Microsoft Entra ID kunt u externe samenwerking inschakelen met Behulp van Microsoft Entra B2B. Vervolgens kunt u beleid voor voorwaardelijke toegang toepassen om gasttoegang te beveiligen. Meer informatie over Microsoft Entra B2B en voorwaardelijke toegang. |
| Test-ADFSRPSignedSamlRequestsRequired Relying Party heeft SignedSamlRequestsRequired ingesteld op true |
Doorgeven/mislukken | De toepassing is geconfigureerd in AD FS om de handtekening in de SAML-aanvraag te verifiëren. Microsoft Entra ID accepteert een ondertekende SAML-aanvraag; de handtekening wordt echter niet gecontroleerd. Microsoft Entra ID heeft verschillende methoden om te beschermen tegen schadelijke aanroepen. Microsoft Entra ID gebruikt bijvoorbeeld de antwoord-URL's die in de toepassing zijn geconfigureerd om de SAML-aanvraag te valideren. Microsoft Entra-id verzendt alleen een token naar antwoord-URL's die zijn geconfigureerd voor de toepassing. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Geslaagd/waarschuwing | De toepassing is geconfigureerd voor een aangepaste levensduur van tokens. De standaardwaarde van AD FS is één uur. Microsoft Entra ID ondersteunt deze functionaliteit met behulp van voorwaardelijke toegang. Raadpleeg Beheer van verificatiesessies met voorwaardelijke toegang configureren. |
| Relying Party is ingesteld op het versleutelen van claims. Dit wordt ondersteund door Microsoft Entra-id | Pass | Met Microsoft Entra-id kunt u het token versleutelen dat naar de toepassing wordt verzonden. Zie Microsoft Entra SAML-tokenversleuteling configureren voor meer informatie. |
| EncryptedNameIdRequiredCheckResult | Doorgeven/mislukken | De toepassing is geconfigureerd voor het versleutelen van de nameID-claim in het SAML-token. Met Microsoft Entra-id kunt u het hele token versleutelen dat naar de toepassing wordt verzonden. De versleuteling van specifieke claims wordt nog niet ondersteund. Zie Microsoft Entra SAML-tokenversleuteling configureren voor meer informatie. |
De resultaten van claimregeltests controleren
Als u een claimregel voor de toepassing in AD FS hebt geconfigureerd, biedt de ervaring een gedetailleerde analyse voor alle claimregels. U ziet welke claimregels kunnen worden verplaatst naar Microsoft Entra-id en welke regels verder moeten worden bekeken.
Selecteer in de lijst met ad FS-toepassingsactiviteiten de status in de kolom Migratiestatus om de migratiedetails te openen. Een samenvatting verschijnt van de geslaagde configuratietests, samen met mogelijke migratieproblemen.
Vouw op de pagina Details van de migratieregel de resultaten uit om details over mogelijke migratieproblemen weer te geven en aanvullende richtlijnen te ontvangen. Voor een gedetailleerde lijst met alle geteste claimregels raadpleegt u hieronder Resultaten van de tabel claimregels testen.
In het onderstaande voorbeeld ziet u details van de migratieregel voor de IssuanceTransform-regel. Hierin worden de specifieke onderdelen van de claim vermeld die moeten worden gecontroleerd en aangepakt voordat u de toepassing naar Microsoft Entra-id kunt migreren.
Claimregeltests
De volgende tabel bevat alle configuratieregeltests die worden uitgevoerd op AD FS-toepassingen.
| Eigenschappen | Beschrijving |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | De voorwaarde-instructie gebruikt reguliere expressies om te evalueren of de claim overeenkomt met een bepaald patroon. Als u een vergelijkbare functionaliteit in Microsoft Entra ID wilt bereiken, kunt u onder andere vooraf gedefinieerde transformatie gebruiken, zoals IfEmpty(), StartWith(), Contains(). Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
| UNSUPPORTED_CONDITION_CLASS | De voorwaarde-instructie heeft meerdere voorwaarden die moeten worden geëvalueerd voordat de uitgifte-instructie wordt uitgevoerd. Microsoft Entra ID ondersteunt deze functionaliteit mogelijk met de transformatiefuncties van de claim, waar u meerdere claimwaarden kunt evalueren. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
| UNSUPPORTED_RULE_TYPE | De claimregel kan niet worden herkend. Zie Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie over het configureren van claims in Microsoft Entra-id. |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | De voorwaarde-instructie maakt gebruik van een verlener die niet wordt ondersteund in Microsoft Entra-id. Momenteel worden in Microsoft Entra geen bronclaims uit winkels opgeslagen die anders zijn dan Active Directory of Microsoft Entra-id. Als dit u blokkeert van het migreren van toepassingen naar Microsoft Entra ID, laat het ons dan weten. |
| UNSUPPORTED_CONDITION_FUNCTION | De voorwaarde-instructie gebruikt een samengevoegde functie om één claim uit te geven of toe te voegen, ongeacht het aantal overeenkomsten. In Microsoft Entra ID kunt u het kenmerk van een gebruiker evalueren om te bepalen welke waarde voor de claim moet worden gebruikt met functies zoals IfEmpty(), StartWith(), Contains(), onder andere. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
| RESTRICTED_CLAIM_ISSUED | De voorwaarde-instructie maakt gebruik van een claim die is beperkt in Microsoft Entra-id. Mogelijk kunt u een beperkte claim uitgeven, maar u kunt de bron niet wijzigen of transformaties toepassen. Zie Claims aanpassen die zijn verzonden in tokens voor een specifieke app in Microsoft Entra ID voor meer informatie. |
| EXTERNAL_ATTRIBUTE_STORE | De uitgifte-instructie gebruikt een kenmerkarchief dat anders is dan Active Directory. Momenteel worden in Microsoft Entra geen bronclaims uit winkels opgeslagen die anders zijn dan Active Directory of Microsoft Entra-id. Als dit resultaat u blokkeert van het migreren van toepassingen naar Microsoft Entra ID, laat het ons dan weten. |
| UNSUPPORTED_ISSUANCE_CLASS | De uitgifte-instructie gebruikt ADD om claims toe te voegen aan de binnenkomende claimset. In Microsoft Entra-id kan dit worden geconfigureerd als meerdere claimtransformaties. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | De uitgifte-instructie gebruikt reguliere expressies om de waarde van de claim te transformeren die moet worden verzonden. Als u vergelijkbare functionaliteit in Microsoft Entra ID wilt bereiken, kunt u vooraf gedefinieerde transformatie zoals Extract(), Trim()en ToLower(). Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
Probleemoplossing
Kan niet al mijn AD FS-toepassingen in het rapport zien
Als u Microsoft Entra Verbinding maken Health hebt geïnstalleerd, maar u nog steeds de prompt ziet om deze te installeren of als u niet al uw AD FS-toepassingen in het rapport ziet, kan het zijn dat u geen actieve AD FS-toepassingen hebt of dat uw AD FS-toepassingen microsoft-toepassing zijn.
Het activiteitenrapport van de AD FS-toepassing bevat alle AD FS-toepassingen in uw organisatie met actieve gebruikersaanmeldingen in de afgelopen 30 dagen. In het rapport worden gerelateerde relying party's van Microsoft niet weergegeven in AD FS, zoals Office 365. Relying party's met de naam urn:federation:MicrosoftOnline, 'microsoftonline', 'microsoft:winhello:cert:prov:server' worden bijvoorbeeld niet weergegeven in de lijst.