Analyser le rapport d’activité des applications
De nombreuses organisations utilisent les services de fédération Active Directory (AD FS) pour fournir une authentification unique aux applications clou. Il est avantageux de transférer vos applications AD FS vers Microsoft Entra ID pour l’authentification, notamment en termes de gestion des coûts, de gestion des risques, de productivité, de conformité et de gouvernance. Toutefois, comprendre quelles applications sont compatibles avec Microsoft Entra ID et identifier des étapes de migration spécifiques peut prendre beaucoup de temps.
Le rapport d’activité des applications AD FS dans le centre d’administration Entra vous permet d’identifier rapidement les applications capables de migrer vers Microsoft Entra ID. Il évalue la compatibilité de toutes les applications AD FS avec Microsoft Entra ID, recherche tout problème éventuel et fournit des instructions sur la préparation d’applications individuelles pour la migration. Le rapport d’activité des applications AD FS vous offre les possibilités suivantes :
Découvrir des applications AD FS et définir l’ampleur de votre migration. Le rapport d'activité des applications AD FS répertorie toutes les applications AD FS de votre organisation qui ont fait l'objet d'une connexion utilisateur active au cours des 30 derniers jours. Le rapport indique que les applications sont prêtes pour la migration vers Microsoft Entra ID. Le rapport n'affiche pas dans AD FS les parties de confiance liées à Microsoft telles qu'Office 365. Par exemple, les parties de confiance portant le nom « urn:federation:MicrosoftOnline ».
Hiérarchiser les applications pour la migration. Obtenez le nombre d’utilisateurs uniques qui se sont connectés à l’application au cours des 1, 7 ou 30 derniers jours afin de déterminer la criticité ou le risque de la migration de l’application.
Exécuter des tests de migration et résoudre des problèmes. Le service de génération de rapports exécute automatiquement des tests pour déterminer si une application est prête pour la migration. Les résultats sont affichés dans le rapport d’activité des applications AD FS en tant qu’état de la migration. Si la configuration AD FS n'est pas compatible avec une configuration Microsoft Entra, des conseils spécifiques vous sont donnés pour la configuration dans Microsoft Entra ID.
Les données d’activité des applications AD FS sont disponibles pour les utilisateurs auxquels est attribué l’un des rôles d’administrateur suivants : administrateur général, lecteur de rapports, lecteur de sécurité, administrateur d’application ou administrateur d’application cloud.
Prérequis
- Votre entreprise doit utiliser actuellement AD FS pour accéder aux applications.
- Un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application, Lecteur général ou propriétaire du principal de service.
- Microsoft Entra Connect Health doit être activé dans votre locataire Microsoft Entra.
- L’agent Microsoft Entra Connect Health pour AD FS doit être installé.
- En savoir plus sur Microsoft Entra Connect Health.
- Prise en main de la configuration de Microsoft Entra Connect Health et installation de l’agent AD FS.
Important
Diverses raisons expliquent pourquoi toutes les applications attendues n'apparaissent pas après l'installation d'Microsoft Entra Connect Health. Le rapport d'activité des applications AD FS affiche uniquement les parties de confiance AD FS qui se sont connectées au cours des 30 derniers jours. De plus, le rapport n'affiche pas les parties de confiance liées à Microsoft telles qu'Office 365.
Découvrir les applications AD FS pouvant être migrées
Le rapport d’activité des applications AD FS est disponible sur le centre d’administration Microsoft Entra, sous les rapports Utilisation et insights de Microsoft Entra ID. Le rapport d’activité des applications AD FS analyse chaque application AD FS pour déterminer si elle peut être migrée telle quelle, ou si un examen supplémentaire est nécessaire.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise.
Sous Activité, sélectionnez Utilisation et insights, puis Activité des applications AD FS pour ouvrir la liste de toutes les applications AD FS au sein de votre organisation.
Pour chaque application figurant dans la liste d’activités des applications AD FS, affichez l’État de la migration :
Prêt pour la migration signifie que la configuration de l’application AD FS est entièrement prise en charge dans Microsoft Entra ID et peut être migrée telle quelle.
Révision nécessaire signifie que certains paramètres de l’application peuvent être migrés vers Microsoft Entra ID, mais que vous devez examiner les paramètres qui ne peuvent pas être migrés tels quels.
Étapes supplémentaires nécessaires signifie que Microsoft Entra ID ne prend pas en charge certains paramètres de l’application, de sorte que l’ application ne peut pas être migrée dans son état actuel.
Évaluer l’état de préparation d’une application pour la migration
Dans la liste d’activités des applications AD FS, sélectionnez l’état dans la colonne État de la migration pour ouvrir les détails de la migration. Vous voyez un résumé des tests de configuration réussis, ainsi que tout problème de migration potentiel.
Sélectionnez un message pour ouvrir les détails supplémentaires de la règle de migration. Pour obtenir la liste complète des propriétés testées, voir le tableau Tests de configuration d’application AD FS ci-dessous.
Tests de configuration d’application AD FS
Le tableau suivant répertorie tous les tests de configuration effectués sur les applications AD FS.
| Résultats | Réussite/Avertissement/Échec | Description |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Au moins une règle non migrable a été détectée pour l’authentification supplémentaire. |
Réussite/Avertissement | La partie de confiance a des règles pour demander une authentification multifacteur. Pour passer à Microsoft Entra ID, convertissez ces règles en stratégies d’accès conditionnel. Si vous utilisez une authentification MFA locale, nous vous recommandons de passer à l’authentification multifacteur Microsoft Entra. En savoir plus sur l’accès conditionnel. |
| Test-ADFSRPAdditionalWSFedEndpoint La partie de confiance a la valeur AdditionalWSFedEndpoint définie sur true. |
Réussite/Échec | La partie de confiance dans AD FS autorise plusieurs points de terminaison d’assertion WS-Fed. Actuellement, une seule est prise en charge par Microsoft Entra. Si vous êtes dans une situation où cela bloque la migration, faites-le nous savoir. |
| Test-ADFSRPAllowedAuthenticationClassReferences La partie de confiance a défini AllowedAuthenticationClassReferences. |
Réussite/Échec | Ce paramètre dans AD FS vous permet de spécifier si l’application est configurée pour autoriser uniquement certains types d’authentification. Nous vous recommandons d’utiliser l’accès conditionnel pour accéder à cette fonctionnalité. Si vous êtes dans une situation où cela bloque la migration, faites-le nous savoir. En savoir plus sur l’accès conditionnel. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Réussite/Échec | Ce paramètre dans AD FS vous permet de spécifier si l’application est configurée pour ignorer les cookies SSO et Toujours demander l’authentification. Dans Microsoft Entra ID, vous pouvez gérer la session d’authentification à l’aide de stratégies d’accès conditionnel pour obtenir un comportement similaire. En savoir plus sur la configuration de la gestion de session d’authentification avec l’accès conditionnel. |
| Test-ADFSRPAutoUpdateEnabled La partie de confiance a la valeur AutoUpdateEnabled définie sur true |
Réussite/Avertissement | Ce paramètre dans AD FS vous permet de spécifier si AD FS est configuré pour mettre à jour automatiquement l’application en fonction des changements apportés aux métadonnées de fédération. Si Microsoft Entra ID ne prend pas en charge ce paramètre actuellement, il ne devrait pas bloquer la migration de l’application vers Microsoft Entra ID. |
| Test-ADFSRPClaimsProviderName La partie de confiance dispose de plusieurs ClaimsProviders activés |
Réussite/Échec | Ce paramètre dans AD FS appelle les fournisseurs d’identité à partir desquels la partie de confiance accepte les revendications. Dans Microsoft Entra ID, vous pouvez activer la collaboration externe à l’aide de Microsoft Entra B2B. En savoir plus sur Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Réussite/Échec | Des règles d’autorisation de délégation personnalisées sont définies pour l’application. Il s’agit d’un concept WS-Trust pris en charge par Microsoft Entra ID à l’aide de protocoles d’authentification modernes, par exemple OpenID Connect et OAuth 2.0. En savoir plus sur la plateforme d’identités Microsoft |
| Test-ADFSRPImpersonationAuthorizationRules | Réussite/Avertissement | Des règles d’autorisation de délégation d’emprunt d’identité personnalisées sont définies pour l’application. Il s’agit d’un concept WS-Trust pris en charge par Microsoft Entra ID à l’aide de protocoles d’authentification modernes, par exemple OpenID Connect et OAuth 2.0. En savoir plus sur la plateforme d’identités Microsoft |
| Test-ADFSRPIssuanceAuthorizationRules Au moins une règle non migrable a été détectée pour IssuanceAuthorization. |
Réussite/Avertissement | Des règles d’autorisation d’émission personnalisées sont définies pour l’application dans AD FS. Microsoft Entra ID prend en charge cette fonctionnalité avec l’accès conditionnel Microsoft Entra. En savoir plus sur l’accès conditionnel. Vous pouvez également restreindre l’accès à une application en fonction des utilisateurs ou des groupes affectés à celle-ci. En savoir plus sur l’affectation de l’accès aux applications à des utilisateurs et des groupes. |
| Test-ADFSRPIssuanceTransformRules Au moins une règle non migrable a été détectée pour IssuanceTransform. |
Réussite/Avertissement | Des règles de transformation d’émission personnalisées sont définies pour l’application dans AD FS. Microsoft Entra ID prend en charge la personnalisation des revendications émises dans le jeton. Pour plus d’informations, consultez Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
| Test-ADFSRPMonitoringEnabled La partie de confiance a la valeur MonitoringEnabled définie sur true. |
Réussite/Avertissement | Ce paramètre dans AD FS vous permet de spécifier si AD FS est configuré pour mettre à jour automatiquement l’application en fonction des changements apportés aux métadonnées de fédération. Si Microsoft Entra ne prend pas en charge ce paramètre actuellement, il ne devrait pas bloquer la migration de l’application vers Microsoft Entra ID. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Réussite/Avertissement | AD FS autorise une asymétrie temporelle basé sur les heures NotBefore et NotOnOrAfter dans le jeton SAML. Microsoft Entra ID le gère automatiquement par défaut. |
| Test-ADFSRPRequestMFAFromClaimsProviders La partie de confiance a la valeur RequestMFAFromClaimsProviders définie sur true. |
Réussite/Avertissement | Ce paramètre dans AD FS détermine le comportement de l’authentification MFA quand l’utilisateur provient d’un autre fournisseur de revendications. Dans Microsoft Entra ID, vous pouvez activer la collaboration externe à l’aide de Microsoft Entra B2B. Vous pouvez ensuite appliquer des stratégies d’accès conditionnel pour protéger l’accès invité. En savoir plus sur Microsoft Entra B2B et l’accès conditionnel. |
| Test-ADFSRPSignedSamlRequestsRequired La partie de confiance a la valeur SignedSamlRequestsRequired définie sur true |
Réussite/Échec | L’application est configurée dans AD FS pour vérifier la signature de la demande SAML. Microsoft Entra ID accepte une demande SAML signée. Toutefois, il ne vérifie pas la signature. Microsoft Entra ID dispose de différentes méthodes de protection contre les appels malveillants. Par exemple, Microsoft Entra ID utilise les URL de réponse configurées dans l’application pour valider la demande SAML. Microsoft Entra ID envoie uniquement un jeton aux URL de réponse configurées pour l’application. Si vous êtes dans une situation où cela bloque la migration, faites-le nous savoir. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Réussite/Avertissement | L’application est configurée pour une durée de vie de jeton personnalisée. La valeur par défaut pour AD FS est une heure. Microsoft Entra ID prend en charge cette fonctionnalité avec un accès conditionnel. Pour plus d’informations, voir Configurer la gestion de session d’authentification avec l’accès conditionnel. |
| La partie de confiance est configurée pour chiffrer les revendications. Ceci est pris en charge par Microsoft Entra ID. | Réussite | Avec Microsoft Entra ID, vous pouvez chiffrer le jeton envoyé à l’application. Pour en savoir plus, consultez Configurer le chiffrement des jetons SAML Microsoft Entra. |
| EncryptedNameIdRequiredCheckResult | Réussite/Échec | L’application est configurée pour chiffrer la revendication nameID dans le jeton SAML. Avec Microsoft Entra ID, vous pouvez chiffrer l’intégralité du jeton envoyé à l’application. Le chiffrement de revendications spécifiques n’est pas encore pris en charge. Pour en savoir plus, consultez Configurer le chiffrement des jetons SAML Microsoft Entra. |
Vérifier les résultats des tests de règle de revendication
Si vous avez configuré une règle de revendication pour l’application dans AD FS, l’expérience fournit une analyse précise pour toutes les règles de revendication. Vous verrez les règles de revendication qui peuvent être déplacées vers Microsoft Entra ID et celles qui nécessitent un examen plus approfondi.
Dans la liste d’activités des applications AD FS, sélectionnez l’état dans la colonne État de la migration pour ouvrir les détails de la migration. Vous voyez un résumé des tests de configuration réussis, ainsi que tout problème de migration potentiel.
Sur la page Détails de la règle de migration, développez les résultats pour afficher des informations détaillées sur les problèmes de migration potentiels et obtenir des conseils supplémentaires. Pour obtenir une liste détaillée de toutes les règles de revendication testées, voir le tableau Vérifier les résultats des tests de règle de revendication ci-dessous.
L’exemple ci-dessous montre les détails de la règle de migration IssuanceTransform. Il répertorie les parties spécifiques de la revendication qui doivent être examinées et traitées avant de pouvoir migrer l’application vers Microsoft Entra ID.
Tests de règle de revendication
Le tableau suivant répertorie tous les tests de règle de revendication effectués sur les applications AD FS.
| Propriété | Description |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | L’instruction de condition utilise des expressions régulières pour évaluer si la revendication correspond à un modèle donné. Pour obtenir une fonctionnalité similaire dans Microsoft Entra ID, vous pouvez utiliser une transformation prédéfinie telle que IfEmpty(), StartWith(), Contains() ou autre. Pour plus d’informations, voir Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
| UNSUPPORTED_CONDITION_CLASS | L’instruction de condition comprend plusieurs conditions qui doivent être évaluées avant d’exécuter l’instruction d’émission. Microsoft Entra ID peut prendre en charge cette fonctionnalité avec les fonctions de transformation de la revendication dans lesquelles vous pouvez évaluer plusieurs valeurs de revendication. Pour plus d’informations, voir Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
| UNSUPPORTED_RULE_TYPE | La règle de revendication n’a pas pu être reconnue. Pour plus d’informations sur la configuration des revendications dans Microsoft Entra ID, voir Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | L’instruction de condition utilise un émetteur qui n’est pas pris en charge dans Microsoft Entra ID. Actuellement, Microsoft Entra ne reçoit pas de revendications de magasins autres qu’Active Directory ou Microsoft Entra ID. Si cela vous empêche de migrer des applications vers Microsoft Entra ID, faites-le nous savoir. |
| UNSUPPORTED_CONDITION_FUNCTION | L’instruction de condition utilise une fonction d’agrégation pour émettre ou ajouter une revendication, quel que soit le nombre de correspondances. Dans Microsoft Entra ID, vous pouvez évaluer l’attribut d’un utilisateur afin de déterminer la valeur à utiliser pour la revendication avec des fonctions telles que IfEmpty(), StartWith() et Contains() entre autres. Pour plus d’informations, voir Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
| RESTRICTED_CLAIM_ISSUED | L’instruction de condition utilise une revendication restreinte dans Microsoft Entra ID. Vous pouvez peut-être émettre une revendication restreinte, mais vous ne pouvez pas en modifier la source ou lui appliquer une transformation. Pour plus d’informations, voir Personnaliser des revendications émises dans des jetons pour une application spécifique dans Microsoft Entra ID. |
| EXTERNAL_ATTRIBUTE_STORE | La déclaration d’émission utilise un magasin d’attributs différent d’Active Directory. Actuellement, Microsoft Entra ne reçoit pas de revendications de magasins autres qu’Active Directory ou Microsoft Entra ID. Si cela vous empêche de migrer des applications vers Azure AD, faites-le nous savoir. |
| UNSUPPORTED_ISSUANCE_CLASS | La déclaration d’émission utilise ADD pour ajouter des revendications à l’ensemble de revendications entrantes. Dans Microsoft Entra ID, vous pouvez le configurer en tant que transformations de revendications multiples. Pour plus d’informations, voir Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | La déclaration d’émission utilise des expressions régulières pour transformer la valeur de la revendication à émettre. Pour obtenir une fonctionnalité similaire dans Microsoft Entra ID, vous pouvez utiliser une transformation prédéfinie telle que Extract(), Trim(), et ToLower(). Pour plus d’informations, voir Personnaliser des revendications émises dans le jeton SAML pour des applications d’entreprise. |
Dépannage
Le rapport n'affiche pas toutes mes applications AD FS
Si vous avez installé le service Microsoft Entra Connect Health mais que l'invite d'installation de celui-ci apparaît toujours ou que le rapport n'affiche pas toutes vos applications AD FS, il se peut que vous n'ayez pas d'applications AD FS actives ou que vos applications AD FS soient des applications Microsoft.
Le rapport d'activité des applications AD FS répertorie toutes les applications AD FS de votre organisation qui ont fait l'objet d'une connexion utilisateur active au cours des 30 derniers jours. En outre, le rapport n'affiche pas dans AD FS les parties de confiance liées à Microsoft telles qu'Office 365. Par exemple, les parties de confiance portant le nom « urn:federation:MicrosoftOnline », « microsoftonline » ou « microsoft:winhello:cert:prov:server » n'apparaissent pas dans la liste.