查看应用程序活动报告

许多组织使用 Active Directory 联合身份验证服务 (AD FS) 来提供云应用程序的单一登录。 将 AD FS 应用程序迁移到 Microsoft Entra ID 进行身份验证有很大的优势,特别是在成本管理、风险管理、生产力、合规性和监管方面。 但了解哪些应用程序与 Microsoft Entra ID 兼容以及确定具体的迁移步骤可能会非常耗时。

利用 Microsoft Entra 管理中心中的 AD FS 应用程序活动报告,你可以快速确定哪些应用程序能够迁移到 Microsoft Entra ID。 该报告可评估所有 AD FS 应用程序与 Microsoft Entra ID 的兼容性,检查是否有任何问题,并提供有关准备要迁移的单个应用程序的指南。 通过 AD FS 应用程序活动报告,你可以:

  • 发现 AD FS 应用程序并确定迁移范围。 AD FS 应用程序活动报表列出在过去 30 天内组织中具有活跃用户登录的所有 AD FS 应用程序。 该报告指示有关迁移到 Microsoft Entra ID 的应用准备情况。 报表不会显示 AD FS 中的与 Microsoft 相关的信赖方,比如 Office 365。 例如,名为“urn:federation:MicrosoftOnline”的信赖方。

  • 确定要迁移的这些应用程序的优先级。 获取过去 1 天、7 天或 30 天内登录到应用程序的唯一用户数,以帮助确定迁移应用程序的关键程度或风险。

  • 运行迁移测试并解决问题。 报表服务会自动运行测试,以确定应用程序是否已准备好进行迁移。 结果在 AD FS 应用程序活动报表中显示为迁移状态。 如果 AD FS 配置与 Microsoft Entra 配置不兼容,你将获得有关如何处理 Microsoft Entra ID 中的配置的具体指导。

AD FS 应用程序活动数据适用于获得下列任意管理角色的用户:全局管理员、报表读者、安全读者、应用程序管理员或云应用程序管理员。

先决条件

重要

安装 Microsoft Entra Connect Health 后,有几个原因会导致你看不到预期的所有应用程序。 AD FS 应用程序活动报表仅显示在过去 30 天内有用户登录的 AD FS 信赖方。 此外,这个报表不会显示与 Microsoft 相关的信赖方,如 Office 365。

发现可以迁移的 AD FS 应用程序

AD FS 应用程序活动报告在 Microsoft Entra 管理中心的 Microsoft Entra ID“使用情况和见解”报告下提供。 AD FS 应用程序活动报表会分析每个 AD FS 应用程序,以确定是否可以按原样迁移,还是需要进行进一步审阅。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”。

  3. 在“活动”下,选择“使用与见解”,然后选择“AD FS 应用程序活动”以打开组织中所有 AD FS 应用程序的列表。

    AD FS application activity

  4. 对于 AD FS 应用程序活动列表中的每个应用程序,请查看“迁移状态”:

    • “已准备好迁移”意味着 Microsoft Entra ID 完全支持 AD FS 应用程序配置,并且可以按原样迁移。

    • “需要审查”意味着某些应用程序的设置可以迁移到 Microsoft Entra ID,但需要审查无法按原样迁移的设置。

    • “需要额外步骤”意味着 Microsoft Entra ID 不支持某些应用程序设置,因此无法在其当前状态下迁移应用程序。

评估要迁移的应用程序的准备情况

  1. 在 AD FS 应用程序活动列表中,选择“迁移状态”列中的状态以打开迁移详细信息。 你会看到已通过的配置测试的摘要,以及任何潜在的迁移问题。

    Migration details

  2. 选择消息以打开其他迁移规则详细信息。 有关已测试属性的完整列表,请参阅下面的 AD FS 应用程序配置测试表。

    Migration rule details

AD FS 应用程序配置测试

下表列出了针对 AD FS 应用程序执行的所有配置测试。

结果 通过/警告/失败 说明
Test-ADFSRPAdditionalAuthenticationRules
至少检测到 AdditionalAuthentication 的一个不可迁移规则。 
通过/警告 信赖方包含用于提示进行多重身份验证的规则。 要迁移到 Microsoft Entra ID,需将这些规则转换为条件访问策略。 如果你使用的是本地 MFA,则建议迁移到 Microsoft Entra 多重身份验证。 详细了解条件访问。 
Test-ADFSRPAdditionalWSFedEndpoint
信赖方的 AdditionalWSFedEndpoint 设置为 true。 
通过/失败 AD FS 中的信赖方允许多个 WS-Fed 断言终结点。 Microsoft Entra 目前仅支持一个。 如果这种情况导致你无法进行迁移,请告知我们。 
Test-ADFSRPAllowedAuthenticationClassReferences
信赖方已设置 AllowedAuthenticationClassReferences。 
通过/失败 通过 AD FS 中的此设置,你可以指定应用程序是否配置为仅允许某些身份验证类型。 建议使用条件访问来实现此功能。  如果这种情况导致你无法进行迁移,请告知我们。  了解有关条件访问的详细信息。 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
通过/失败 通过 AD FS 中的此设置,你可以指定应用程序是否配置为忽略 SSO Cookie 并始终提示进行身份验证。 在 Microsoft Entra ID 中,可以使用条件访问策略来管理身份验证会话,以实现类似的行为。 详细了解如何使用条件访问配置身份验证会话管理。 
Test-ADFSRPAutoUpdateEnabled
信赖方已将 AutoUpdateEnabled 设置为 true
通过/警告 AD FS 中的此设置允许你指定是否将 AD FS 配置为基于联合元数据中的更改自动更新应用程序。 Microsoft Entra ID 目前尚不提供此支持,但不应阻止将应用程序迁移到 Microsoft Entra ID。  
Test-ADFSRPClaimsProviderName
信赖方启用了多个 ClaimsProviders
通过/失败 AD FS 中的此设置将调用信赖方接受声明的标识提供者。 在 Microsoft Entra ID 中,可以使用 Microsoft Entra B2B 启用外部协作。 详细了解 Microsoft Entra B2B。 
Test-ADFSRPDelegationAuthorizationRules 通过/失败 应用程序定义了自定义委派授权规则。 这是一个 WS-Trust 概念,Microsoft Entra ID 借助使用新式身份验证协议(例如 OpenID Connect 和 OAuth 2.0)支持这一概念。 了解有关 Microsoft 标识平台的更多信息。 
Test-ADFSRPImpersonationAuthorizationRules 通过/警告 应用程序定义了自定义模拟授权规则。 这是一个 WS-Trust 概念,Microsoft Entra ID 借助使用新式身份验证协议(例如 OpenID Connect 和 OAuth 2.0)支持这一概念。 了解有关 Microsoft 标识平台的更多信息。 
Test-ADFSRPIssuanceAuthorizationRules
至少检测到 IssuanceAuthorization 的一个不可迁移规则。 
通过/警告 应用程序具有在 AD FS 中定义了自定义颁发授权规则。 Microsoft Entra ID 通过 Microsoft Entra 条件访问支持此功能。 详细了解条件访问
你还可以通过分配给应用程序的用户或组来限制对应用程序的访问。 详细了解如何分配用户和组以访问应用程序。   
Test-ADFSRPIssuanceTransformRules
至少检测到 IssuanceTransform 的一个不可迁移规则。 
通过/警告 应用程序具有在 AD FS 中定义的自定义颁发转换规则。 Microsoft Entra ID 支持自定义令牌中颁发的声明。 要了解详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。  
Test-ADFSRPMonitoringEnabled
信赖方将 MonitoringEnabled 设置为 true。 
通过/警告 AD FS 中的此设置允许你指定是否将 AD FS 配置为基于联合元数据中的更改自动更新应用程序。 Microsoft Entra 目前尚不提供此支持,但不应阻止将应用程序迁移到 Microsoft Entra ID。  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
通过/警告 AD FS 根据 SAML 令牌中的 NotBefore 和 NotOnOrAfter 时间允许时间偏差。 默认情况下,Microsoft Entra ID 会自动处理这种情况。 
Test-ADFSRPRequestMFAFromClaimsProviders
信赖方将 RequestMFAFromClaimsProviders 设置为 true。 
通过/警告 AD FS 中的这项设置确定当用户来自不同声明提供程序时 MFA 的行为。 在 Microsoft Entra ID 中,可以使用 Microsoft Entra B2B 启用外部协作。 然后,你可以应用条件访问策略来保护来宾访问权限。 详细了解 Microsoft Entra B2B条件访问。 
Test-ADFSRPSignedSamlRequestsRequired
信赖方已将 SignedSamlRequestsRequired 设置为 true
通过/失败 在 AD FS 中配置该应用程序以验证 SAML 请求中的签名。 Microsoft Entra ID 接受签名的 SAML 请求;但它不会验证签名。 Microsoft Entra ID 具有不同的方法来防范恶意调用。 例如,Microsoft Entra ID 使用在应用程序中配置的回复 URL 来验证 SAML 请求。 Microsoft Entra ID 只会将令牌发送到为应用程序配置的回复 URL。 如果这种情况导致你无法进行迁移,请告知我们。 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
通过/警告 应用程序配置为使用自定义令牌生存期。 AD FS 默认值为一小时。 Microsoft Entra ID 利用条件访问支持此功能。 要了解详细信息,请参阅使用条件访问配置身份验证会话管理。 
信赖方设置为加密声明。 Microsoft Entra ID 支持加密声明 通过 使用 Microsoft Entra ID 可以加密发送到应用程序的令牌。 有关详细信息,请参阅配置 Microsoft Entra SAML 令牌加密。 
EncryptedNameIdRequiredCheckResult 通过/失败 应用程序配置为加密 SAML 令牌中的 nameID 声明。 使用 Microsoft Entra ID 可以加密发送到应用程序的整个令牌。 尚不支持加密特定声明。 有关详细信息,请参阅配置 Microsoft Entra SAML 令牌加密

检查声明规则测试的结果

如果已为 AD FS 中的应用程序配置了声明规则,则体验将为所有声明规则提供精细分析。 你将看到哪些声明规则可以迁移到 Microsoft Entra ID,以及哪些声明规则需要进一步审阅。

  1. 在 AD FS 应用程序活动列表中,选择“迁移状态”列中的状态以打开迁移详细信息。 你会看到已通过的配置测试的摘要,以及任何潜在的迁移问题。

  2. 在“迁移规则详细信息”页上,展开结果以显示有关潜在迁移问题的详细信息,并获取其他指导。 有关已测试的所有声明规则的详细列表,请参阅下面的查看声明规则测试结果表。

    下面的示例显示了 IssuanceTransform 规则的迁移规则详细信息。 这个示例列出了在能够将应用程序迁移到 Microsoft Entra ID 之前需要审阅和解决声明的哪些具体部分。

    Migration rule details additional guidance

声明规则测试

下表列出了对 AD FS 应用程序执行的所有声明规则测试。

属性 说明
UNSUPPORTED_CONDITION_PARAMETER 条件语句使用正则表达式来计算声明是否与特定模式匹配。  要在 Microsoft Entra ID 中实现类似的功能,可以使用预定义的转换,如 IfEmpty()、StartWith()、Contains() 等等。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 
UNSUPPORTED_CONDITION_CLASS 条件语句包含多个需要在运行颁发语句之前计算的条件。 Microsoft Entra ID 可以通过声明的转换函数(可在其中计算多个声明值)支持此功能。  有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 
UNSUPPORTED_RULE_TYPE 无法识别声明规则。 有关如何在 Microsoft Entra ID 中配置链的详细信息,请参阅为业应用程序自定义 SAML 令牌中颁发的声明。 
CONDITION_MATCHES_UNSUPPORTED_ISSUER 条件语句使用 Microsoft Entra ID 不支持的证书颁发者。 目前,Microsoft Entra 不能从 Active Directory 或 Microsoft Entra ID 以外的存储中获取声明。 如果这个问题导致你无法迁移到 Microsoft Entra ID,请告知我们
UNSUPPORTED_CONDITION_FUNCTION 条件语句使用聚合函数发出或添加单个声明,无论匹配项的数目如何。  在 Microsoft Entra ID 中,你可以使用  IfEmpty()、StartWith()、Contains() 等函数来计算用户的属性,以确定要用于声明的值。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 
RESTRICTED_CLAIM_ISSUED 条件语句使用 Microsoft Entra ID 中限制的声明。 你可以颁发受限声明,但不能修改其源,也不能应用任何转换。 有关详细信息,请参阅自定义令牌中为 Microsoft Entra ID 特定应用发出的声明。 
EXTERNAL_ATTRIBUTE_STORE 颁发语句使用不同于 Active Directory 的属性存储。 目前,Microsoft Entra 不能从 Active Directory 或 Microsoft Entra ID 以外的存储中获取声明。 如果此结果导致你无法迁移到 Microsoft Entra ID,请告知我们。 
UNSUPPORTED_ISSUANCE_CLASS 颁发语句使用 ADD 向传入声明集添加声明。 在 Microsoft Entra ID 中,这可能配置为多个声明转换。  有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明
UNSUPPORTED_ISSUANCE_TRANSFORMATION 此颁发语句使用正则表达式来转换要发出的声明的值。 要在 Microsoft Entra ID 中实现类似的功能,可以使用预定义的转换,例如 Extract()Trim()ToLower()。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 

故障排除

在报表中没有看到我的所有 AD FS 应用程序

如果你已安装 Microsoft Entra Connect Health,但仍看到安装提示,或在报表中无法看到所有 AD FS 应用程序,则可能是你的 AD FS 应用程序未处于活动状态,或者你的 AD FS 应用程序是 Microsoft 应用程序。

AD FS 应用程序活动报表列出了组织中过去 30 天内具有活动用户登录的所有 AD FS 应用程序。 此外,报表不会显示 AD FS 中的与 Microsoft 相关的信赖方,比如 Office 365。 例如,名为“urn:federation:MicrosoftOnline”、“microsoftonline”、“microsoft:winhello:cert:prov:server”的信赖方不会显示在列表中。

后续步骤