Použití migrace aplikací SLUŽBY AD FS (Preview) k přesunu aplikací AD FS do Microsoft Entra ID

V tomto článku se dozvíte, jak migrovat aplikace Active Directory Federation Services (AD FS) (AD FS) do Microsoft Entra ID pomocí migrace aplikací služby AD FS.

Migrace aplikací služby AD FS poskytuje IT Správa prostředí s asistencí pro migraci aplikací předávající strany služby AD FS ze služby AD FS do Microsoft Entra ID. Průvodce poskytuje jednotné prostředí pro zjišťování, vyhodnocování a konfiguraci nové aplikace Microsoft Entra. Poskytuje konfiguraci jedním kliknutím pro základní adresy URL SAML, mapování deklarací identity a přiřazení uživatelů pro integraci aplikace s Microsoft Entra ID.

Nástroj pro migraci aplikací služby AD FS je navržený tak, aby poskytoval kompletní podporu pro migraci místních aplikací SLUŽBY AD FS do Microsoft Entra ID.

S migrací aplikací SLUŽBY AD FS můžete:

• Vyhodnoťte aktivity přihlašování aplikací předávající strany služby AD FS, které vám pomůžou identifikovat využití a dopad daných aplikací.
• Analýza proveditelnosti migrace AD FS do Microsoft Entra, která vám pomůže identifikovat blokátory migrace nebo akce potřebné k migraci jejich aplikací na platformu Microsoft Entra.
• Nakonfigurujte novou aplikaci Microsoft Entra pomocí procesu migrace aplikace jedním kliknutím, který automaticky nakonfiguruje novou aplikaci Microsoft Entra pro danou aplikaci AD FS.

Požadavky

Použití migrace aplikace SLUŽBY AD FS:

• Aby bylo možné přistupovat k aplikacím, musí vaše organizace v současné době používat službu AD FS.
• Máte licenci Microsoft Entra ID P1 nebo P2.
• Měli byste mít přiřazenou jednu z následujících rolí:
  • Správce cloudové aplikace
  • Správce aplikace
  • Globální čtenář (přístup jen pro čtení)
  • Čtenář sestav (přístup jen pro čtení)
• Microsoft Entra Připojení by se měl nainstalovat do místních prostředí společně s agenty stavu služby Ad FS služby Microsoft Entra Připojení Health.
  • Microsoft Entra Připojení
  • Agenti Microsoft Entra Připojení Heath AD FS

Existuje několik důvodů, proč neuvidíte všechny aplikace, které očekáváte po instalaci agentů Microsoft Entra Připojení Health pro SLUŽBU AD FS:

• Řídicí panel migrace aplikací služby AD FS zobrazuje jenom aplikace služby AD FS, které mají přihlášení uživatele za posledních 30 dnů.
• Aplikace předávající strany související se službou AD FS od Microsoftu nejsou na řídicím panelu dostupné.

Zobrazení řídicího panelu migrace aplikací služby AD FS v Microsoft Entra ID

Řídicí panel migrace aplikací služby AD FS je k dispozici v Centru pro správu Microsoft Entra v části Generování sestav využití a přehledů . Průvodce obsahuje dva vstupní body:

V části Podnikové aplikace :

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím> identit.>
3. V části Využití a Přehledy vyberte migraci aplikací služby AD FS, abyste mohli získat přístup k řídicímu panelu migrace aplikací služby AD FS.

V části Monitorování a stav :

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k> podnikovým aplikacím pro monitorování identit a stav.>
3. V části Spravovat vyberte Využití a Přehledy a pak vyberte migraci aplikací služby AD FS, abyste mohli získat přístup k řídicímu panelu migrace aplikací služby AD FS.

Na řídicím panelu migrace aplikací služby AD FS se zobrazuje seznam všech aplikací přijímající strany služby AD FS, které v posledních 30 dnech aktivně měly přihlašovací provoz.

Řídicí panel má filtr rozsahu kalendářních dat. Filtr umožňuje vybrat všechny aktivní aplikace předávající strany služby AD FS podle vybraného časového rozsahu. Filtr podporuje posledních 1 den, 7 dní a 30 dnů.

Existují tři karty, které poskytují úplný seznam aplikací, konfigurovatelné aplikace a dříve nakonfigurované aplikace. Na tomto řídicím panelu uvidíte přehled celkového průběhu práce migrace.

Na řídicím panelu jsou tři karty:

• Všechny aplikace – zobrazuje seznam všech aplikací, které jsou zjištěny z místního prostředí.
• Připraveno k migraci – zobrazuje seznam všech aplikací, které mají stav migrace Ready nebo Needs zkontrolovat .
• Připraveno ke konfiguraci – zobrazuje seznam všech aplikací Microsoft Entra, které byly dříve migrovány pomocí průvodce migrací aplikací služby AD FS.

Stav migrace aplikace

Agenti služby Microsoft Entra Připojení a Microsoft Entra Připojení Health pro službu AD FS čtou konfigurace aplikací předávající strany a protokoly auditu přihlašování. Tato data o jednotlivých aplikacích služby AD FS se analyzují a určují, jestli je možné aplikaci migrovat tak, jak je, nebo jestli je potřeba provést další kontrolu. Na základě výsledku této analýzy je stav migrace pro danou aplikaci označený jako jeden z následujících stavů:

• Připraveno k migraci znamená, že konfigurace aplikace AD FS je plně podporovaná v Microsoft Entra ID a dá se migrovat tak, jak je.
• Je potřeba zkontrolovat , že některá nastavení aplikace se dají migrovat na ID Microsoft Entra, ale musíte zkontrolovat nastavení, která se nedají migrovat tak, jak je. Ty ale nejsou pro migraci zablokované.
• Další požadované kroky znamenají, že MICROSOFT Entra ID nepodporuje některá nastavení aplikace, takže aplikaci nejde migrovat v aktuálním stavu.

Pojďme se podívat na jednotlivé karty na řídicím panelu migrace aplikací služby AD FS podrobněji.

Karta Všechny aplikace

Na kartě Všechny aplikace se zobrazují všechny aktivní aplikace předávající strany služby AD FS z vybraného rozsahu kalendářních dat. Uživatel může analyzovat dopad jednotlivých aplikací pomocí agregovaných přihlašovacích dat. Můžou také přejít do podokna podrobností pomocí odkazu Stav migrace.

Pokud chcete zobrazit podrobnosti o jednotlivých ověřovacích pravidlech, přečtěte si téma Ověřovací pravidla migrace aplikací služby AD FS.

Výběrem zprávy otevřete další podrobnosti pravidla migrace. Úplný seznam testovaných vlastností najdete v následující tabulce testů konfigurace.

Kontrola výsledků testů pravidel deklarací identity

Pokud jste nakonfigurovali pravidlo deklarace identity pro aplikaci ve službě AD FS, prostředí poskytuje podrobnou analýzu všech pravidel deklarací identity. Uvidíte, která pravidla deklarací identity můžete přesunout na ID Microsoft Entra a která z nich potřebujete další kontrolu.

1. Vyberte aplikaci ze seznamu aplikací na kartě Všechny aplikace a pak vyberte stav ve sloupci Stav migrace a zobrazte podrobnosti o migraci. Zobrazí se souhrn testů konfigurace, které prošly, spolu s potenciálními problémy s migrací.
2. Na stránce s podrobnostmi o pravidle migrace rozbalte výsledky, abyste zobrazili podrobnosti o potenciálních problémech s migrací a získali další pokyny. Podrobný seznam všech otestovaných pravidel deklarací identity najdete v části Testy pravidel deklarací identity v tomto článku.

Následující příklad ukazuje podrobnosti pravidla migrace pro pravidlo IssuanceTransform. Obsahuje seznam konkrétních částí deklarace identity, které je potřeba zkontrolovat a vyřešit před migrací aplikace do Microsoft Entra ID.

Testy pravidel deklarací identity

Následující tabulka obsahuje seznam všech testů pravidel deklarací identity, které se provádějí v aplikacích služby AD FS.

Vlastnost	Popis
UNSUPPORTED_CONDITION_PARAMETER	Příkaz podmínky používá regulární výrazy k vyhodnocení, jestli deklarace identity odpovídá určitému vzoru. Pokud chcete dosáhnout podobné funkce v Microsoft Entra ID, můžete mimo jiné použít předdefinovanou transformaci, jako je IfEmpty(), StartWith(), Contains(). Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.
UNSUPPORTED_CONDITION_CLASS	Příkaz podmínky má několik podmínek, které je potřeba vyhodnotit před spuštěním příkazu vystavení. Microsoft Entra ID může tuto funkci podporovat pomocí transformačních funkcí deklarací identity, kde můžete vyhodnotit více hodnot deklarací identity. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.
UNSUPPORTED_RULE_TYPE	Pravidlo deklarace identity se nepovedlo rozpoznat. Další informace o konfiguraci deklarací identity v Microsoft Entra ID naleznete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.
CONDITION_MATCHES_UNSUPPORTED_ISSUER	Příkaz podmínky používá vystavitele, který není podporován v MICROSOFT Entra ID. Microsoft Entra v současné době neschovává deklarace identity z úložišť jiných než ID služby Active Directory nebo Microsoft Entra. Pokud vám to brání v migraci aplikací do Microsoft Entra ID, dejte nám vědět.
UNSUPPORTED_CONDITION_FUNCTION	Příkaz podmínky používá agregační funkci k vydání nebo přidání jedné deklarace identity bez ohledu na počet shod. V Microsoft Entra ID můžete vyhodnotit atribut uživatele, abyste se rozhodli, jakou hodnotu použít pro deklaraci identity s funkcemi, jako je IfEmpty(), StartWith(), Contains(), mimo jiné. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.
RESTRICTED_CLAIM_ISSUED	Příkaz podmínky používá deklaraci identity, která je omezena v Microsoft Entra ID. Možná budete moct vydat omezenou deklaraci identity, ale nemůžete změnit její zdroj ani použít žádnou transformaci. Další informace naleznete v tématu Přizpůsobení deklarací identity generované v tokenech pro konkrétní aplikaci v Microsoft Entra ID.
EXTERNAL_ATTRIBUTE_STORE	Příkaz vystavení používá úložiště atributů, které se liší od služby Active Directory. Microsoft Entra v současné době neschovává deklarace identity z úložišť jiných než ID služby Active Directory nebo Microsoft Entra. Pokud vám tento výsledek brání v migraci aplikací do Microsoft Entra ID, dejte nám vědět.
UNSUPPORTED_ISSUANCE_CLASS	Příkaz vystavení pomocí příkazu ADD přidá deklarace identity do příchozí sady deklarací identity. V Microsoft Entra ID to lze nakonfigurovat jako více transformací deklarací identity. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.
UNSUPPORTED_ISSUANCE_TRANSFORMATION	Příkaz vystavení používá regulární výrazy k transformaci hodnoty deklarace identity, která se má vygenerovat. Chcete-li dosáhnout podobných funkcí v Microsoft Entra ID, můžete použít předdefinované transformace, jako Extract()je , Trim()a ToLower(). Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.

Karta Připraveno k migraci

Na kartě Připraveno k migraci se zobrazují všechny aplikace, které mají stav migrace jako připraveno nebo které je potřeba zkontrolovat.

Přihlašovací data můžete použít k identifikaci dopadu jednotlivých aplikací a výběru správných aplikací pro migraci. Výběrem odkazu Zahájit migraci zahájíte proces migrace aplikace s asistencí jedním kliknutím.

Karta Připraveno ke konfiguraci

Tato karta zobrazuje seznam všech aplikací Microsoft Entra, které byly dříve migrovány pomocí průvodce migrací aplikací služby AD FS.

Název aplikace je název nové aplikace Microsoft Entra. Identifikátor aplikace je stejný jako identifikátor aplikace předávající strany služby AD FS, který lze použít k zachytování aplikace s prostředím služby AD FS. Odkaz Konfigurovat aplikaci v Microsoft Entra umožňuje přejít na nově nakonfigurovanou aplikaci Microsoft Entra v části Podniková aplikace .

Migrace aplikace ze služby AD FS do Microsoft Entra ID pomocí průvodce migrací aplikací služby AD FS

1. Pokud chcete zahájit migraci aplikace, vyberte odkaz Zahájit migraci aplikace, kterou chcete migrovat, na kartě Připraveno k migraci .
2. Tento odkaz vás přesměruje do části migrace aplikace s asistencí jedním kliknutím v průvodci migrací aplikací služby AD FS. Všechny konfigurace v průvodci se naimportují z místního prostředí služby AD FS.

Než si projdeme podrobnosti o různých kartách v průvodci, je důležité pochopit podporované a nepodporované konfigurace.

Podporované konfigurace

Asistovaná migrace aplikací služby AD FS podporuje následující konfigurace:

• Podporuje pouze konfiguraci aplikace SAML.
• Možnost přizpůsobit nový název aplikace Microsoft Entra.
• Umožňuje uživatelům vybrat libovolnou šablonu aplikace z galerie šablon aplikace.
• Konfigurace základních konfigurací aplikace SAML, tj. identifikátoru a adresy URL odpovědi.
• Konfigurace aplikace Microsoft Entra tak, aby umožňovala všem uživatelům z tenanta.
• Automatické přiřazení skupin k aplikaci Microsoft Entra
• Konfigurace deklarací identity kompatibilní s Microsoft Entra extrahovaná z konfigurací deklarací identity předávající strany služby AD FS

Nepodporované konfigurace:

Migrace aplikací služby AD FS nepodporuje následující konfigurace:

• Konfigurace OIDC (OpenID Připojení), konfigurace OAuth a WS-Fed se nepodporují.
• Automatická konfigurace zásad podmíněného přístupu se nepodporuje, ale uživatel může nakonfigurovat totéž po konfiguraci nové aplikace do svého tenanta.
• Podpisový certifikát se nemigruje z aplikace předávající strany služby AD FS. V průvodci migrací aplikací služby AD FS existují následující karty:

Pojďme se podívat na podrobnosti o jednotlivých kartách v části migrace aplikace s asistencí jedním kliknutím v průvodci migrací aplikací služby AD FS.

Karta Základní informace

• Název aplikace, který je předem vyplněný názvem aplikace předávající strany služby AD FS. Můžete ho použít jako název nové aplikace Microsoft Entra. Název můžete také upravit na libovolnou jinou hodnotu, kterou dáváte přednost.
• Šablona aplikace Vyberte libovolnou šablonu aplikace, která je nejvhodnější pro vaši aplikaci. Tuto možnost můžete přeskočit, pokud nechcete používat žádnou šablonu.

Karta Uživatelé a skupiny

Konfigurace po kliknutí automaticky přiřadí uživatele a skupiny k vaší aplikaci Microsoft Entra, které jsou stejné jako místní konfigurace.

Všechny skupiny se extrahují ze zásad řízení přístupu aplikace předávající strany služby AD FS. Skupiny by se měly synchronizovat s vaším tenantem Microsoft Entra pomocí agentů Microsoft Entra Připojení. V případě, že se skupiny mapují s aplikací předávající strany služby AD FS, ale nesynchronizují se s tenantem Microsoft Entra, tyto skupiny se přeskočí z konfigurace.

Konfigurace asistovaných uživatelů a skupin podporuje následující konfigurace z místního prostředí SLUŽBY AD FS:

• Povolte všem z tenanta.
• Povolit konkrétní skupiny.

Toto jsou uživatelé a skupiny, které můžete zobrazit v průvodci konfigurací. Toto je zobrazení jen pro čtení, v tomto oddílu nemůžete provádět žádné změny.

Karta Konfigurace SAML

Tato karta zobrazuje základní vlastnosti SAML, které se používají pro nastavení jednotného přihlašování aplikace Microsoft Entra. V současné době se mapují pouze požadované vlastnosti, které jsou pouze identifikátory a adresa URL odpovědi.

Tato nastavení se implementují přímo z aplikace předávající strany služby AD FS a na této kartě není možné je změnit. Po konfiguraci aplikace je ale můžete upravit v podokně jediného singingu podnikové aplikace v Centru pro správu Microsoft Entra.

Karta Deklarace identity

Všechny deklarace identity služby AD FS se nepřekládají tak, jak je to s deklaracemi identity Microsoft Entra. Průvodce migrací podporuje pouze konkrétní deklarace identity. Pokud najdete chybějící deklarace identity, můžete je nakonfigurovat v migrované podnikové aplikaci v Centru pro správu Microsoft Entra.

V případě, že aplikace předávající strany AD FS nakonfigurovala nameidentifier , která je podporována v Microsoft Entra ID, pak je nakonfigurovaná jako nameidentifier. user.userprincipalname V opačném případě se použije jako výchozí deklarace identity nameidentifier.

Toto zobrazení je jen pro čtení, tady nemůžete provádět žádné změny.

Karta Další kroky

Tato karta obsahuje informace o dalších krocích nebo kontrolách, které se očekávají na straně uživatele. Následující příklad ukazuje seznam konfigurací pro tuto aplikaci předávající strany SLUŽBY AD FS, které nejsou podporovány v Microsoft Entra ID.

Na této kartě můžete získat přístup k příslušné dokumentaci, abyste mohli prozkoumat a porozumět problémům.

Karta Zkontrolovat a vytvořit

Tato karta zobrazuje souhrn všech konfigurací, které jste viděli z předchozích karet. Můžete ho znovu zkontrolovat. Pokud jste spokojení se všemi konfiguracemi a chcete pokračovat migrací aplikace, vyberte tlačítko Vytvořit a spusťte proces migrace. Tím se nová aplikace migruje do tenanta Microsoft Entra.

Migrace aplikace je v současné době devět kroků, který můžete monitorovat pomocí oznámení. Pracovní postup dokončí následující akce:

• Vytvoří registraci aplikace.
• Vytvoří instanční objekt.
• Nakonfiguruje nastavení SAML.
• Přiřadí uživatelům a skupinám aplikaci.
• Konfigurace deklarací identity

Po dokončení procesu migrace se zobrazí zpráva s oznámením, že migrace aplikace proběhla úspěšně.

Po dokončení migrace aplikace se přesměruje na kartu Připraveno ke konfiguraci , kde se zobrazují všechny dříve migrované aplikace, včetně nejnovějších aplikací, které jste nakonfigurovali.

Kontrola a konfigurace podnikové aplikace

1. Na kartě Připraveno ke konfiguraci můžete pomocí odkazu Konfigurovat aplikaci v Microsoft Entra přejít na nově nakonfigurovanou aplikaci v části Podnikové aplikace. Ve výchozím nastavení přejde na přihlašovací stránku aplikace založenou na SAML.

   

2. Z podokna přihlašování založeného na SAML se všechna nastavení aplikace předávající strany AD FS už použijí na nově migrovanou aplikaci Microsoft Entra. Vlastnosti identifikátoru a adresy URL odpovědi ze základní konfigurace SAML a seznamu deklarací identity na kartách Atributy a deklarace identity v průvodci migrací aplikací služby AD FS jsou stejné jako vlastnosti v podnikové aplikaci.

3. Z podokna Vlastnosti aplikace logo šablony aplikace znamená, že aplikace je propojena s vybranou šablonou aplikace. Na stránce Vlastníci se aktuální uživatel správce přidá jako jeden z vlastníků aplikace.

4. V podokně Uživatelé a skupiny jsou všechny požadované skupiny již přiřazeny k aplikaci.

Po kontrole migrované podnikové aplikace můžete aplikaci aktualizovat podle potřeb vaší firmy. Můžete přidávat nebo aktualizovat deklarace identity, přiřazovat více uživatelů a skupin nebo konfigurovat zásady podmíněného přístupu, abyste povolili podporu vícefaktorového ověřování nebo jiných funkcí podmíněné autorizace.

Vrácení zpět

Konfigurace migrace aplikací služby AD FS jedním kliknutím migruje novou aplikaci do tenanta Microsoft Entra. Migrovaná aplikace ale zůstane neaktivní, dokud do ní nepřesměrujete přihlašovací provoz. Do té doby, pokud chcete vrátit zpět, můžete z tenanta odstranit nově migrovanou aplikaci Microsoft Entra.

Průvodce neposkytuje žádné automatizované čištění. Pokud nechcete pokračovat v nastavování migrované aplikace, musíte aplikaci z tenanta odstranit ručně. Pokyny k odstranění registrace aplikace a odpovídající podnikové aplikace najdete v následujících adresách URL:

• Odstranění registrace aplikace
• Odstranění podnikové aplikace

Rady pro řešení potíží

V sestavě se nezobrazují všechny moje aplikace SLUŽBY AD FS

Pokud jste nainstalovali agenty služby Microsoft Entra Připojení Health pro službu AD FS, ale přesto se vám zobrazí výzva k jeho instalaci nebo v sestavě nevidíte všechny aplikace služby AD FS, může to být, že nemáte aktivní aplikace služby AD FS nebo aplikace AD FS jsou aplikace Microsoftu.

Poznámka:

Migrace aplikací služby AD FS uvádí všechny aplikace SLUŽBY AD FS ve vaší organizaci s aktivními uživateli, kteří se přihlašují jenom za posledních 30 dnů. Sestava nezobrazuje předávající strany související s Microsoftem ve službě AD FS, jako je Office 365. Například předávající strany s názvem urn:federation:MicrosoftOnline, microsoftonlinemicrosoft:winhello:cert:prov:server se nezobrazují v seznamu.

Proč se mi zobrazuje chyba ověření "aplikace se stejným identifikátorem už existuje"?

Každá aplikace v rámci vašeho tenanta by měla mít jedinečný identifikátor aplikace. Pokud se zobrazí tato chybová zpráva, znamená to, že už máte v tenantovi Microsoft Entra jinou aplikaci se stejným identifikátorem. V takovém případě musíte buď aktualizovat existující identifikátor aplikace, nebo aktualizovat identifikátor aplikace předávající strany služby AD FS a počkat na 24 hodin, než se aktualizace projeví.

Další kroky

• Správa aplikací pomocí Microsoft Entra
• Správa přístupu k aplikacím