Überprüfen des Anwendungsaktivitätsberichts

Viele Organisationen verwenden Active Directory-Verbunddienste (AD FS), um Cloudanwendungen einmaliges Anmelden bereitzustellen. Die Migration Ihrer AD FS Anwendungen zu Microsoft Entra ID bietet bedeutende Vorteile für die Authentifizierung, insbesondere im Hinblick auf Kostenverwaltung, Risikomanagement, Produktivität, Compliance und Governance. Es kann jedoch zeitaufwendig sein, zu ermitteln, ob Anwendungen mit Microsoft Entra ID kompatibel sind, und spezifische Migrationsschritte zu identifizieren.

Mit dem AD FS-Anwendungsaktivitätsbericht im Microsoft Entra Admin Center können Sie schnell ermitteln, welche Ihrer Anwendungen zu Microsoft Entra ID migriert werden können. Es werden alle AD FS-Anwendungen im Hinblick auf die Kompatibilität mit Microsoft Entra ID bewertet und auf Probleme überprüft sowie Anleitungen zum Vorbereiten einzelner Anwendungen für die Migration bereitgestellt. Mit dem AD FS-Anwendungsaktivitätsbericht können Sie folgende Aktionen ausführen:

  • Ermitteln der AD FS-Anwendungen und Planen des Migrationsumfangs. Der AD FS-Anwendungsaktivitätsbericht enthält alle AD FS-Anwendungen in Ihrer Organisation, bei denen in den letzten 30 Tagen aktive Benutzeranmeldungen aufgetreten sind. Der Bericht gibt an, ob eine App für die Migration zu Microsoft Entra ID bereit ist. Er zeigt jedoch keine Microsoft-bezogenen vertrauenden Seiten in AD FS (wie z. B. Office 365) an. Ein Beispiel wäre eine vertrauende Seite mit dem Namen „urn:federation:MicrosoftOnline“.

  • Priorisieren von Anwendungen für die Migration. Ermitteln Sie die Anzahl der verschiedenen Benutzer, die sich in den letzten 1, 7 oder 30 Tagen bei der Anwendung angemeldet haben, um die Wichtigkeit oder das Risiko der Migration der Anwendung zu ermitteln.

  • Ausführen von Migrationstests und Beheben von Problemen. Der Berichterstellungsdienst führt automatisch Tests aus, um zu bestimmen, ob eine Anwendung für die Migration bereit ist. Die Ergebnisse werden im AD FS-Anwendungsaktivitätsbericht als Migrationsstatus angezeigt. Wenn die AD FS-Konfiguration nicht mit einer Microsoft Entra-Konfiguration kompatibel ist, erhalten Sie spezifische Anweisungen zum Behandeln der Konfiguration in Microsoft Entra ID.

Die AD FS-Anwendungsaktivitätsdaten sind für Benutzer verfügbar, denen diese Administratorrollen zugewiesen sind: Globaler Administrator, Benutzer mit Leseberechtigung für Berichte, Benutzer mit Leseberechtigung für Sicherheitsfunktionen, Anwendungsadministrator oder Cloudanwendungsadministrator.

Voraussetzungen

Wichtig

Es gibt mehrere Gründe, aus denen nicht alle erwarteten Anwendungen angezeigt werden, nachdem Sie Microsoft Entra Connect Health installiert haben. Der AD FS-Anwendungsaktivitätsbericht enthält nur vertrauende AD FS-Seiten, bei denen in den letzten 30 Tagen Benutzeranmeldungen aufgetreten sind. Außerdem zeigt der Bericht keine Microsoft-bezogenen vertrauenden Seiten (wie z. B. Office 365) an.

Ermitteln von AD FS-Anwendungen, die migriert werden können

Der AD FS-Anwendungsaktivitätsbericht ist im Microsoft Entra Admin Center im Microsoft Entra ID-Bericht Nutzung & Erkenntnisse verfügbar. Der AD FS-Anwendungsaktivitätsbericht analysiert jede AD FS-Anwendung, um zu bestimmen, ob sie unverändert migriert werden kann, oder ob eine zusätzliche Überprüfung erforderlich ist.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Wählen Sie unter Aktivität die Option Nutzung und Erkenntnisse und dann AD FS-Anwendungsaktivität aus, um eine Liste aller AD FS-Anwendungen in Ihrer Organisation zu öffnen.

    AD FS application activity

  4. Zeigen Sie für jede Anwendung in der AD FS-Anwendungsaktivitätsliste den Migrationsstatus an:

    • Bereit zum Migrieren bedeutet, dass die AD FS-Anwendungskonfiguration in Microsoft Entra ID vollständig unterstützt wird und unverändert migriert werden kann.

    • Überprüfung erforderlich bedeutet, dass einige Einstellungen der Anwendung zu Microsoft Entra ID migriert werden können, Sie jedoch die Einstellungen, die nicht unverändert migriert werden können, überprüfen müssen.

    • Zusätzliche Schritte erforderlich bedeutet, dass Microsoft Entra ID einige Einstellungen der Anwendung nicht unterstützt, sodass die Anwendung nicht im aktuellen Zustand migriert werden kann.

Auswerten der Bereitschaft einer Anwendung für die Migration

  1. Wählen Sie in der AD FS-Anwendungsaktivitätsliste den Status in der Spalte Migrationsstatus aus, um Details zur Migration zu öffnen. Eine Zusammenfassung der bestandenen Konfigurationstests wird zusammen mit möglichen Migrationsproblemen angezeigt.

    Migration details

  2. Wählen Sie eine Meldung aus, um zusätzliche Details zur Migrationsregel zu öffnen. Eine vollständige Liste der getesteten Eigenschaften finden Sie unten in der Tabelle AD FS-Anwendungskonfigurationstests.

    Migration rule details

AD FS-Anwendungskonfigurationstests

In der folgenden Tabelle sind alle Konfigurationstests aufgeführt, die für AD FS-Anwendungen ausgeführt werden.

Ergebnis Bestanden/Warnung/Fehler Beschreibung
Test-ADFSRPAdditionalAuthenticationRules
Für „AdditionalAuthentication“ wurde mindestens eine nicht migrierbare Regel erkannt. 
Bestanden/Warnung Die vertrauende Seite verfügt über Regeln zum Anfordern der Multi-Faktor-Authentifizierung. Um zu Microsoft Entra ID zu wechseln, übersetzen Sie diese Regeln in Richtlinien für bedingten Zugriff. Wenn Sie eine lokale MFA verwenden, empfehlen wir, dass Sie zu Microsoft Entra-Multi-Faktor-Authentifizierung wechseln. Weitere Informationen zum bedingten Zugriff. 
Test-ADFSRPAdditionalWSFedEndpoint
Für die vertrauende Seite ist „AdditionalWSFedEndpoint“ auf „true“ festgelegt. 
Erfolgreich/Fehler Die vertrauende Seite in AD FS unterstützt mehrere WS-Fed-Assertionsendpunkte. Derzeit unterstützt Microsoft Entra nur eine. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. 
Test-ADFSRPAllowedAuthenticationClassReferences
Für die vertrauende Seite ist „AllowedAuthenticationClassReferences“ festgelegt. 
Erfolgreich/Fehler Mit dieser Einstellung in AD FS können Sie angeben, ob die Anwendung so konfiguriert ist, dass nur bestimmte Authentifizierungstypen zugelassen werden. Wir empfehlen, den bedingten Zugriff zu verwenden, um diese Funktion zu erzielen.  Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback.  Weitere Informationen über bedingten Zugriff. 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Erfolgreich/Fehler Mit dieser Einstellung in AD FS können Sie angeben, ob die Anwendung so konfiguriert ist, dass SSO-Cookies ignoriert werden und immer eine Authentifizierung angefordert wird. In Microsoft Entra ID können Sie die Authentifizierungssitzung mithilfe von Richtlinien für bedingten Zugriff verwalten, um ein ähnliches Verhalten zu erzielen. Weitere Informationen zum Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. 
Test-ADFSRPAutoUpdateEnabled
Für die vertrauende Seite ist „AutoUpdateEnabled“ auf „true“ festgelegt.
Bestanden/Warnung Mit dieser Einstellung in AD FS können Sie angeben, ob AD FS für die automatische Aktualisierung der Anwendung basierend auf Änderungen innerhalb der Verbundmetadaten konfiguriert ist. Microsoft Entra ID unterstützt dies derzeit nicht, sollte die Migration der Anwendung zu Microsoft Entra ID jedoch nicht blockieren.  
Test-ADFSRPClaimsProviderName
Die vertrauende Seite verfügt über mehrere aktivierte ClaimsProviders-Elemente.
Erfolgreich/Fehler Diese Einstellung in AD FS ruft die Identitätsanbieter auf, von denen die vertrauende Seite Ansprüche akzeptiert. In Microsoft Entra ID können Sie die externe Zusammenarbeit mithilfe von Microsoft Entra B2B aktivieren. Erfahren Sie mehr über Microsoft Entra B2B. 
Test-ADFSRPDelegationAuthorizationRules Erfolgreich/Fehler Für die Anwendung sind benutzerdefinierte Delegationsautorisierungsregeln definiert. Dabei handelt es sich um ein WS-Trust-Konzept, das von Microsoft Entra ID unterstützt wird, indem moderne Authentifizierungsprotokolle wie OpenID Connect und OAuth 2.0 verwendet werden. Weitere Informationen über die Microsoft Identity Platform. 
Test-ADFSRPImpersonationAuthorizationRules Bestanden/Warnung Für die Anwendung sind benutzerdefinierte Identitätswechsel-Autorisierungsregeln definiert. Dabei handelt es sich um ein WS-Trust-Konzept, das von Microsoft Entra ID unterstützt wird, indem moderne Authentifizierungsprotokolle wie OpenID Connect und OAuth 2.0 verwendet werden. Weitere Informationen über die Microsoft Identity Platform. 
Test-ADFSRPIssuanceAuthorizationRules
Für „IssuanceAuthorization“ wurde mindestens eine nicht migrierbare Regel erkannt. 
Bestanden/Warnung Für die Anwendung sind benutzerdefinierte Ausstellungsautorisierungsregeln in AD FS definiert. Microsoft Entra ID unterstützt diese Funktionalität mit bedingtem Microsoft Entra-Zugriff. Weitere Informationen zum bedingten Zugriff.
Sie können zudem den Zugriff auf eine Anwendung auf Benutzer oder Gruppen beschränken, die der Anwendung zugeordnet sind. Erfahren Sie mehr über das Zuweisen von Benutzern und Gruppen für den Zugriff auf Anwendungen.   
Test-ADFSRPIssuanceTransformRules
Für „IssuanceTransform“ wurde mindestens eine nicht migrierbare Regel erkannt. 
Bestanden/Warnung Für die Anwendung sind benutzerdefinierte Ausstellungstransformationsregeln in AD FS definiert. Microsoft Entra ID unterstützt das Anpassen der im Token ausgestellten Ansprüche. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen.  
Test-ADFSRPMonitoringEnabled
Für die vertrauende Seite ist „MonitoringEnabled“ auf „true“ festgelegt. 
Bestanden/Warnung Mit dieser Einstellung in AD FS können Sie angeben, ob AD FS für die automatische Aktualisierung der Anwendung basierend auf Änderungen innerhalb der Verbundmetadaten konfiguriert ist. Microsoft Entra unterstützt dies derzeit nicht, sollte die Migration der Anwendung zu Microsoft Entra ID jedoch nicht blockieren.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Bestanden/Warnung AD FS lässt eine Zeitabweichung auf Grundlage der „NotBefore“- und „NotOnOrAfter“-Zeiten im SAML-Token zu. Microsoft Entra ID behandelt dies standardmäßig automatisch. 
Test-ADFSRPRequestMFAFromClaimsProviders
Für die vertrauende Seite ist „RequestMFAFromClaimsProviders“ auf „true“ festgelegt. 
Bestanden/Warnung Diese Einstellung in AD FS bestimmt das Verhalten für MFA, wenn der Benutzer von einem anderen Anspruchsanbieter stammt. In Microsoft Entra ID können Sie die externe Zusammenarbeit mithilfe von Microsoft Entra B2B aktivieren. Dann können Sie Richtlinien für bedingten Zugriff anwenden, um den Gastzugriff zu schützen. Erfahren Sie mehr über Microsoft Entra-B2B und bedingten Zugriff. 
Test-ADFSRPSignedSamlRequestsRequired
Für die vertrauende Seite ist „SignedSamlRequestsRequired“ auf „true“ festgelegt.
Erfolgreich/Fehler Die Anwendung wird in AD FS zur Überprüfung der Signatur in der SAML-Anforderung konfiguriert. Microsoft Entra ID akzeptiert eine signierte SAML-Anforderung, doch die Signatur wird nicht überprüft. Microsoft Entra ID verfügt über verschiedene Methoden zum Schutz vor böswilligen Aufrufen. Beispielsweise verwendet Microsoft Entra ID die in der Anwendung konfigurierten Antwort-URLs, um die SAML-Anforderung zu überprüfen. Microsoft Entra ID sendet ein Token nur an für die Anwendung konfigurierte Antwort-URLs. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Bestanden/Warnung Die Anwendung ist für eine benutzerdefinierte Tokenlebensdauer konfiguriert. Der AD FS-Standardwert ist eine Stunde. Microsoft Entra ID unterstützt diese Funktion mit bedingtem-Zugriff. Weitere Informationen finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. 
Die vertrauende Seite ist so konfiguriert, dass Ansprüche verschlüsselt werden. Dies wird von Microsoft Entra ID unterstützt. Pass Mit Microsoft Entra ID können Sie das an die Anwendung gesendete Token verschlüsseln. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung. 
EncryptedNameIdRequiredCheckResult Erfolgreich/Fehler Die Anwendung ist so konfiguriert, dass der NameID-Anspruch im SAML-Token verschlüsselt wird. Mithilfe von Microsoft Entra ID können sie das gesamte Token verschlüsseln, das an die Anwendung gesendet wird. Die Verschlüsselung bestimmter Ansprüche wird noch nicht unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung.

Prüfen der Ergebnisse von Anspruchsregeltests

Wenn Sie in AD FS eine Anspruchsregel für die Anwendung konfiguriert haben, bietet die Oberfläche eine detaillierte Analyse für alle Anspruchsregeln. Sie können erkennen, welche Anspruchsregeln nach Microsoft Entra ID verschoben werden können und welche noch weiter geprüft werden müssen.

  1. Wählen Sie in der AD FS-Anwendungsaktivitätsliste den Status in der Spalte Migrationsstatus aus, um Details zur Migration zu öffnen. Eine Zusammenfassung der bestandenen Konfigurationstests wird zusammen mit möglichen Migrationsproblemen angezeigt.

  2. Erweitern Sie auf der Seite Details zur Migrationsregel die Ergebnisse, um Details zu möglichen Migrationsproblemen anzuzeigen und weitere Anleitungen zu erhalten. Eine ausführliche Liste aller getesteten Anspruchsregeln finden Sie in der Tabelle Prüfen der Ergebnisse von Anspruchsregeltests weiter unten.

    Das folgende Beispiel zeigt Details zur Migrationsregel für die IssuanceTransform-Regel. Es werden die spezifischen Teile des Anspruchs aufgelistet, die überprüft und behandelt werden müssen, bevor Sie die Anwendung zu Microsoft Entra ID migrieren können.

    Migration rule details additional guidance

Anspruchsregeltests

In der folgenden Tabelle sind alle Anspruchsregeltests aufgeführt, die für AD FS-Anwendungen ausgeführt werden.

Eigenschaft BESCHREIBUNG
UNSUPPORTED_CONDITION_PARAMETER Die Bedingungsanweisung verwendet reguläre Ausdrücke, um auszuwerten, ob der Anspruch einem bestimmten Muster entspricht.  Um eine ähnliche Funktionalität in Microsoft Entra ID zu erzielen, können Sie vordefinierte Transformationen wie u.A. IfEmpty(), StartWith() und Contains() verwenden. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. 
UNSUPPORTED_CONDITION_CLASS Die Bedingungsanweisung verfügt über mehrere Bedingungen, die vor dem Ausführen der Ausstellungsanweisung ausgewertet werden müssen. Microsoft Entra ID unterstützt diese Funktionalität möglicherweise mit den Transformationsfunktionen des Anspruchs, in denen Sie mehrere Anspruchswerte auswerten können.  Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. 
UNSUPPORTED_RULE_TYPE Die Anspruchsregel wurde nicht erkannt. Weitere Informationen zum Konfigurieren von Ansprüchen in Microsoft Entra ID finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. 
CONDITION_MATCHES_UNSUPPORTED_ISSUER Die Bedingungsanweisung verwendet einen Aussteller, der in Microsoft Entra ID nicht unterstützt wird. Derzeit bindet Microsoft Entra keine Ansprüche aus anderen Speichern als Active Directory oder Microsoft Entra ID ein. Wenn dies die Migration von Anwendungen zu Microsoft Entra ID blockiert, geben Sie uns bitte Feedback.
UNSUPPORTED_CONDITION_FUNCTION Die Bedingungsanweisung verwendet eine Aggregatfunktion, um einen einzelnen Anspruch unabhängig von der Anzahl der Übereinstimmungen auszugeben oder hinzuzufügen.  In Microsoft Entra ID können Sie das Attribut eines Benutzers u.A. über Funktionen wie IfEmpty(), StartWith() und Contains() auswerten, um zu entscheiden, welcher Wert für den Anspruch verwendet werden soll. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. 
RESTRICTED_CLAIM_ISSUED Die Bedingungsanweisung verwendet einen Anspruch, der in Microsoft Entra ID eingeschränkt ist. Möglicherweise können Sie einen eingeschränkten Anspruch ausgeben, aber Sie können die Quelle nicht ändern und keine Transformation anwenden. Weitere Informationen finden Sie unter Anpassen von in Token ausgegebenen Ansprüchen für eine bestimmte App in Microsoft Entra ID. 
EXTERNAL_ATTRIBUTE_STORE Die Ausstellungsanweisung verwendet einen anderen Attributspeicher als Active Directory. Derzeit bindet Microsoft Entra keine Ansprüche aus anderen Speichern als Active Directory oder Microsoft Entra ID ein. Wenn dieses Ergebnis die Migration von Anwendungen zu Microsoft Entra ID blockiert, geben Sie uns bitte Feedback. 
UNSUPPORTED_ISSUANCE_CLASS Die Ausstellungsanweisung verwendet ADD, um dem eingehenden Anspruchssatz Ansprüche hinzuzufügen. In Microsoft Entra ID kann dies möglicherweise als mehrfache Anspruchstransformationen konfiguriert werden.  Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen.
UNSUPPORTED_ISSUANCE_TRANSFORMATION Die Ausstellungsanweisung verwendet reguläre Ausdrücke, um den Wert des Anspruchs zu transformieren, der ausgegeben werden soll. Um eine ähnliche Funktionen in Microsoft Entra ID zu erreichen, können Sie vordefinierte Transformationen wie Extract(), Trim() und ToLower() verwenden. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. 

Problembehandlung

Im Bericht werden nicht alle meine AD FS-Anwendungen angezeigt.

Wenn Sie Microsoft Entra Connect Health installiert haben, aber die Aufforderung zur Installation weiterhin angezeigt wird, oder wenn nicht alle Ihre AD FS-Anwendungen im Bericht angezeigt werden, verfügen Sie möglicherweise nicht über aktive AD FS-Anwendungen, oder Ihre AD FS-Anwendungen sind Microsoft-Anwendungen.

Der AD FS-Anwendungsaktivitätsbericht enthält alle AD FS-Anwendungen in Ihrer Organisation, bei denen in den letzten 30 Tagen aktive Benutzeranmeldungen aufgetreten sind. Er zeigt jedoch keine Microsoft-bezogenen vertrauenden Seiten in AD FS (wie z. B. Office 365) an. So werden beispielsweise vertrauende Seiten mit den Namen „urn:federation:MicrosoftOnline“, „microsoftonline“ oder „microsoft:winhello:cert:prov:server“ nicht in der Liste angezeigt.

Nächste Schritte