Überprüfen des Anwendungsaktivitätsberichts
Viele Organisationen verwenden Active Directory-Verbunddienste (AD FS), um Cloudanwendungen einmaliges Anmelden bereitzustellen. Die Migration Ihrer AD FS Anwendungen zu Microsoft Entra ID bietet bedeutende Vorteile für die Authentifizierung, insbesondere im Hinblick auf Kostenverwaltung, Risikomanagement, Produktivität, Compliance und Governance. Es kann jedoch zeitaufwendig sein, zu ermitteln, ob Anwendungen mit Microsoft Entra ID kompatibel sind, und spezifische Migrationsschritte zu identifizieren.
Mit dem AD FS-Anwendungsaktivitätsbericht im Microsoft Entra Admin Center können Sie schnell ermitteln, welche Ihrer Anwendungen zu Microsoft Entra ID migriert werden können. Es werden alle AD FS-Anwendungen im Hinblick auf die Kompatibilität mit Microsoft Entra ID bewertet und auf Probleme überprüft sowie Anleitungen zum Vorbereiten einzelner Anwendungen für die Migration bereitgestellt. Mit dem AD FS-Anwendungsaktivitätsbericht können Sie folgende Aktionen ausführen:
Ermitteln der AD FS-Anwendungen und Planen des Migrationsumfangs. Der AD FS-Anwendungsaktivitätsbericht enthält alle AD FS-Anwendungen in Ihrer Organisation, bei denen in den letzten 30 Tagen aktive Benutzeranmeldungen aufgetreten sind. Der Bericht gibt an, ob eine App für die Migration zu Microsoft Entra ID bereit ist. Er zeigt jedoch keine Microsoft-bezogenen vertrauenden Seiten in AD FS (wie z. B. Office 365) an. Ein Beispiel wäre eine vertrauende Seite mit dem Namen „urn:federation:MicrosoftOnline“.
Priorisieren von Anwendungen für die Migration. Ermitteln Sie die Anzahl der verschiedenen Benutzer, die sich in den letzten 1, 7 oder 30 Tagen bei der Anwendung angemeldet haben, um die Wichtigkeit oder das Risiko der Migration der Anwendung zu ermitteln.
Ausführen von Migrationstests und Beheben von Problemen. Der Berichterstellungsdienst führt automatisch Tests aus, um zu bestimmen, ob eine Anwendung für die Migration bereit ist. Die Ergebnisse werden im AD FS-Anwendungsaktivitätsbericht als Migrationsstatus angezeigt. Wenn die AD FS-Konfiguration nicht mit einer Microsoft Entra-Konfiguration kompatibel ist, erhalten Sie spezifische Anweisungen zum Behandeln der Konfiguration in Microsoft Entra ID.
Die AD FS-Anwendungsaktivitätsdaten sind für Benutzer verfügbar, denen diese Administratorrollen zugewiesen sind: Globaler Administrator, Benutzer mit Leseberechtigung für Berichte, Benutzer mit Leseberechtigung für Sicherheitsfunktionen, Anwendungsadministrator oder Cloudanwendungsadministrator.
Voraussetzungen
- Ihre Organisation muss AD FS aktuell für den Zugriff auf Anwendungen verwenden.
- Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator, Anwendungsadministrator, Globaler Leser oder Besitzer des Dienstprinzipals.
- Microsoft Entra Connect Health muss in Ihrem Microsoft Entra-Mandanten aktiviert sein.
- Die Microsoft Entra ID Connect Health-Instanz für den AD FS-Agent muss installiert sein.
- Erfahren Sie mehr über Microsoft Entra Connect Health.
- Erste Schritte mit dem Einrichten von Microsoft Entra Connect Health und der Installation des AD FS-Agents.
Wichtig
Es gibt mehrere Gründe, aus denen nicht alle erwarteten Anwendungen angezeigt werden, nachdem Sie Microsoft Entra Connect Health installiert haben. Der AD FS-Anwendungsaktivitätsbericht enthält nur vertrauende AD FS-Seiten, bei denen in den letzten 30 Tagen Benutzeranmeldungen aufgetreten sind. Außerdem zeigt der Bericht keine Microsoft-bezogenen vertrauenden Seiten (wie z. B. Office 365) an.
Ermitteln von AD FS-Anwendungen, die migriert werden können
Der AD FS-Anwendungsaktivitätsbericht ist im Microsoft Entra Admin Center im Microsoft Entra ID-Bericht „Nutzung & Erkenntnisse“ verfügbar. Der AD FS-Anwendungsaktivitätsbericht analysiert jede AD FS-Anwendung, um zu bestimmen, ob sie unverändert migriert werden kann, oder ob eine zusätzliche Überprüfung erforderlich ist.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie unter Aktivität die Option Nutzung &Erkenntnisse und dann AD FS-Anwendungsaktivität aus, um eine Liste aller AD FS-Anwendungen in Ihrer Organisation zu öffnen.
Zeigen Sie für jede Anwendung in der AD FS-Anwendungsaktivitätsliste den Migrationsstatus an:
Bereit zum Migrieren bedeutet, dass die AD FS-Anwendungskonfiguration in Microsoft Entra ID vollständig unterstützt wird und unverändert migriert werden kann.
Überprüfung erforderlich bedeutet, dass einige Einstellungen der Anwendung zu Microsoft Entra ID migriert werden können, Sie jedoch die Einstellungen, die nicht unverändert migriert werden können, überprüfen müssen.
Zusätzliche Schritte erforderlich bedeutet, dass Microsoft Entra ID einige Einstellungen der Anwendung nicht unterstützt, sodass die Anwendung nicht im aktuellen Zustand migriert werden kann.
Auswerten der Bereitschaft einer Anwendung für die Migration
Wählen Sie in der AD FS-Anwendungsaktivitätsliste den Status in der Spalte Migrationsstatus aus, um Details zur Migration zu öffnen. Eine Zusammenfassung der bestandenen Konfigurationstests wird zusammen mit möglichen Migrationsproblemen angezeigt.
Wählen Sie eine Meldung aus, um zusätzliche Details zur Migrationsregel zu öffnen. Eine vollständige Liste der getesteten Eigenschaften finden Sie unten in der Tabelle AD FS-Anwendungskonfigurationstests.
AD FS-Anwendungskonfigurationstests
In der folgenden Tabelle sind alle Konfigurationstests aufgeführt, die für AD FS-Anwendungen ausgeführt werden.
| Ergebnis | Bestanden/Warnung/Fehler | Beschreibung |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Für „AdditionalAuthentication“ wurde mindestens eine nicht migrierbare Regel erkannt. |
Bestanden/Warnung | Die vertrauende Seite verfügt über Regeln zum Anfordern der Multi-Faktor-Authentifizierung. Um zu Microsoft Entra ID zu wechseln, übersetzen Sie diese Regeln in Richtlinien für bedingten Zugriff. Wenn Sie eine lokale MFA verwenden, empfehlen wir, dass Sie zu Microsoft Entra-Multi-Faktor-Authentifizierung wechseln. Weitere Informationen zum bedingten Zugriff. |
| Test-ADFSRPAdditionalWSFedEndpoint Für die vertrauende Seite ist „AdditionalWSFedEndpoint“ auf „true“ festgelegt. |
Erfolgreich/Fehler | Die vertrauende Seite in AD FS unterstützt mehrere WS-Fed-Assertionsendpunkte. Derzeit unterstützt Microsoft Entra nur eine. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. |
| Test-ADFSRPAllowedAuthenticationClassReferences Für die vertrauende Seite ist „AllowedAuthenticationClassReferences“ festgelegt. |
Erfolgreich/Fehler | Mit dieser Einstellung in AD FS können Sie angeben, ob die Anwendung so konfiguriert ist, dass nur bestimmte Authentifizierungstypen zugelassen werden. Wir empfehlen, den bedingten Zugriff zu verwenden, um diese Funktion zu erzielen. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. Weitere Informationen über bedingten Zugriff. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Erfolgreich/Fehler | Mit dieser Einstellung in AD FS können Sie angeben, ob die Anwendung so konfiguriert ist, dass SSO-Cookies ignoriert werden und immer eine Authentifizierung angefordert wird. In Microsoft Entra ID können Sie die Authentifizierungssitzung mithilfe von Richtlinien für bedingten Zugriff verwalten, um ein ähnliches Verhalten zu erzielen. Weitere Informationen zum Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. |
| Test-ADFSRPAutoUpdateEnabled Für die vertrauende Seite ist „AutoUpdateEnabled“ auf „true“ festgelegt. |
Bestanden/Warnung | Mit dieser Einstellung in AD FS können Sie angeben, ob AD FS für die automatische Aktualisierung der Anwendung basierend auf Änderungen innerhalb der Verbundmetadaten konfiguriert ist. Microsoft Entra ID unterstützt dies derzeit nicht, sollte die Migration der Anwendung zu Microsoft Entra ID jedoch nicht blockieren. |
| Test-ADFSRPClaimsProviderName Die vertrauende Seite verfügt über mehrere aktivierte ClaimsProviders-Elemente. |
Erfolgreich/Fehler | Diese Einstellung in AD FS ruft die Identitätsanbieter auf, von denen die vertrauende Seite Ansprüche akzeptiert. In Microsoft Entra ID können Sie die externe Zusammenarbeit mithilfe von Microsoft Entra B2B aktivieren. Erfahren Sie mehr über Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Erfolgreich/Fehler | Für die Anwendung sind benutzerdefinierte Delegationsautorisierungsregeln definiert. Dabei handelt es sich um ein WS-Trust-Konzept, das von Microsoft Entra ID unterstützt wird, indem moderne Authentifizierungsprotokolle wie OpenID Connect und OAuth 2.0 verwendet werden. Weitere Informationen über die Microsoft Identity Platform. |
| Test-ADFSRPImpersonationAuthorizationRules | Bestanden/Warnung | Für die Anwendung sind benutzerdefinierte Identitätswechsel-Autorisierungsregeln definiert. Dabei handelt es sich um ein WS-Trust-Konzept, das von Microsoft Entra ID unterstützt wird, indem moderne Authentifizierungsprotokolle wie OpenID Connect und OAuth 2.0 verwendet werden. Weitere Informationen über die Microsoft Identity Platform. |
| Test-ADFSRPIssuanceAuthorizationRules Für „IssuanceAuthorization“ wurde mindestens eine nicht migrierbare Regel erkannt. |
Bestanden/Warnung | Für die Anwendung sind benutzerdefinierte Ausstellungsautorisierungsregeln in AD FS definiert. Microsoft Entra ID unterstützt diese Funktionalität mit bedingtem Microsoft Entra-Zugriff. Weitere Informationen zum bedingten Zugriff. Sie können zudem den Zugriff auf eine Anwendung auf Benutzer oder Gruppen beschränken, die der Anwendung zugeordnet sind. Erfahren Sie mehr über das Zuweisen von Benutzern und Gruppen für den Zugriff auf Anwendungen. |
| Test-ADFSRPIssuanceTransformRules Für „IssuanceTransform“ wurde mindestens eine nicht migrierbare Regel erkannt. |
Bestanden/Warnung | Für die Anwendung sind benutzerdefinierte Ausstellungstransformationsregeln in AD FS definiert. Microsoft Entra ID unterstützt das Anpassen der im Token ausgestellten Ansprüche. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| Test-ADFSRPMonitoringEnabled Für die vertrauende Seite ist „MonitoringEnabled“ auf „true“ festgelegt. |
Bestanden/Warnung | Mit dieser Einstellung in AD FS können Sie angeben, ob AD FS für die automatische Aktualisierung der Anwendung basierend auf Änderungen innerhalb der Verbundmetadaten konfiguriert ist. Microsoft Entra unterstützt dies derzeit nicht, sollte die Migration der Anwendung zu Microsoft Entra ID jedoch nicht blockieren. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Bestanden/Warnung | AD FS lässt eine Zeitabweichung auf Grundlage der „NotBefore“- und „NotOnOrAfter“-Zeiten im SAML-Token zu. Microsoft Entra ID behandelt dies standardmäßig automatisch. |
| Test-ADFSRPRequestMFAFromClaimsProviders Für die vertrauende Seite ist „RequestMFAFromClaimsProviders“ auf „true“ festgelegt. |
Bestanden/Warnung | Diese Einstellung in AD FS bestimmt das Verhalten für MFA, wenn der Benutzer von einem anderen Anspruchsanbieter stammt. In Microsoft Entra ID können Sie die externe Zusammenarbeit mithilfe von Microsoft Entra B2B aktivieren. Dann können Sie Richtlinien für bedingten Zugriff anwenden, um den Gastzugriff zu schützen. Erfahren Sie mehr über Microsoft Entra-B2B und bedingten Zugriff. |
| Test-ADFSRPSignedSamlRequestsRequired Für die vertrauende Seite ist „SignedSamlRequestsRequired“ auf „true“ festgelegt. |
Erfolgreich/Fehler | Die Anwendung wird in AD FS zur Überprüfung der Signatur in der SAML-Anforderung konfiguriert. Microsoft Entra ID akzeptiert eine signierte SAML-Anforderung, doch die Signatur wird nicht überprüft. Microsoft Entra ID verfügt über verschiedene Methoden zum Schutz vor böswilligen Aufrufen. Beispielsweise verwendet Microsoft Entra ID die in der Anwendung konfigurierten Antwort-URLs, um die SAML-Anforderung zu überprüfen. Microsoft Entra ID sendet ein Token nur an für die Anwendung konfigurierte Antwort-URLs. Wenn Sie ein Szenario haben, in dem dieses Ergebnis die Migration blockiert, geben Sie uns Feedback. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Bestanden/Warnung | Die Anwendung ist für eine benutzerdefinierte Tokenlebensdauer konfiguriert. Der AD FS-Standardwert ist eine Stunde. Microsoft Entra ID unterstützt diese Funktion mit bedingtem-Zugriff. Weitere Informationen finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff. |
| Die vertrauende Seite ist so konfiguriert, dass Ansprüche verschlüsselt werden. Dies wird von Microsoft Entra ID unterstützt. | Pass | Mit Microsoft Entra ID können Sie das an die Anwendung gesendete Token verschlüsseln. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung. |
| EncryptedNameIdRequiredCheckResult | Erfolgreich/Fehler | Die Anwendung ist so konfiguriert, dass der NameID-Anspruch im SAML-Token verschlüsselt wird. Mithilfe von Microsoft Entra ID können sie das gesamte Token verschlüsseln, das an die Anwendung gesendet wird. Die Verschlüsselung bestimmter Ansprüche wird noch nicht unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung. |
Prüfen der Ergebnisse von Anspruchsregeltests
Wenn Sie in AD FS eine Anspruchsregel für die Anwendung konfiguriert haben, bietet die Oberfläche eine detaillierte Analyse für alle Anspruchsregeln. Sie können erkennen, welche Anspruchsregeln nach Microsoft Entra ID verschoben werden können und welche noch weiter geprüft werden müssen.
Wählen Sie in der AD FS-Anwendungsaktivitätsliste den Status in der Spalte Migrationsstatus aus, um Details zur Migration zu öffnen. Eine Zusammenfassung der bestandenen Konfigurationstests wird zusammen mit möglichen Migrationsproblemen angezeigt.
Erweitern Sie auf der Seite Details zur Migrationsregel die Ergebnisse, um Details zu möglichen Migrationsproblemen anzuzeigen und weitere Anleitungen zu erhalten. Eine ausführliche Liste aller getesteten Anspruchsregeln finden Sie in der Tabelle Prüfen der Ergebnisse von Anspruchsregeltests weiter unten.
Das folgende Beispiel zeigt Details zur Migrationsregel für die IssuanceTransform-Regel. Es werden die spezifischen Teile des Anspruchs aufgelistet, die überprüft und behandelt werden müssen, bevor Sie die Anwendung zu Microsoft Entra ID migrieren können.
Anspruchsregeltests
In der folgenden Tabelle sind alle Anspruchsregeltests aufgeführt, die für AD FS-Anwendungen ausgeführt werden.
| Eigenschaft | BESCHREIBUNG |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | Die Bedingungsanweisung verwendet reguläre Ausdrücke, um auszuwerten, ob der Anspruch einem bestimmten Muster entspricht. Um eine ähnliche Funktionalität in Microsoft Entra ID zu erzielen, können Sie vordefinierte Transformationen wie u.A. IfEmpty(), StartWith() und Contains() verwenden. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| UNSUPPORTED_CONDITION_CLASS | Die Bedingungsanweisung verfügt über mehrere Bedingungen, die vor dem Ausführen der Ausstellungsanweisung ausgewertet werden müssen. Microsoft Entra ID unterstützt diese Funktionalität möglicherweise mit den Transformationsfunktionen des Anspruchs, in denen Sie mehrere Anspruchswerte auswerten können. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| UNSUPPORTED_RULE_TYPE | Die Anspruchsregel wurde nicht erkannt. Weitere Informationen zum Konfigurieren von Ansprüchen in Microsoft Entra ID finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | Die Bedingungsanweisung verwendet einen Aussteller, der in Microsoft Entra ID nicht unterstützt wird. Derzeit bindet Microsoft Entra keine Ansprüche aus anderen Speichern als Active Directory oder Microsoft Entra ID ein. Wenn dies die Migration von Anwendungen zu Microsoft Entra ID blockiert, geben Sie uns bitte Feedback. |
| UNSUPPORTED_CONDITION_FUNCTION | Die Bedingungsanweisung verwendet eine Aggregatfunktion, um einen einzelnen Anspruch unabhängig von der Anzahl der Übereinstimmungen auszugeben oder hinzuzufügen. In Microsoft Entra ID können Sie das Attribut eines Benutzers u.A. über Funktionen wie IfEmpty(), StartWith() und Contains() auswerten, um zu entscheiden, welcher Wert für den Anspruch verwendet werden soll. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| RESTRICTED_CLAIM_ISSUED | Die Bedingungsanweisung verwendet einen Anspruch, der in Microsoft Entra ID eingeschränkt ist. Möglicherweise können Sie einen eingeschränkten Anspruch ausgeben, aber Sie können die Quelle nicht ändern und keine Transformation anwenden. Weitere Informationen finden Sie unter Anpassen von in Token ausgegebenen Ansprüchen für eine bestimmte App in Microsoft Entra ID. |
| EXTERNAL_ATTRIBUTE_STORE | Die Ausstellungsanweisung verwendet einen anderen Attributspeicher als Active Directory. Derzeit bindet Microsoft Entra keine Ansprüche aus anderen Speichern als Active Directory oder Microsoft Entra ID ein. Wenn dieses Ergebnis die Migration von Anwendungen zu Microsoft Entra ID blockiert, geben Sie uns bitte Feedback. |
| UNSUPPORTED_ISSUANCE_CLASS | Die Ausstellungsanweisung verwendet ADD, um dem eingehenden Anspruchssatz Ansprüche hinzuzufügen. In Microsoft Entra ID kann dies möglicherweise als mehrfache Anspruchstransformationen konfiguriert werden. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | Die Ausstellungsanweisung verwendet reguläre Ausdrücke, um den Wert des Anspruchs zu transformieren, der ausgegeben werden soll. Um eine ähnliche Funktionen in Microsoft Entra ID zu erreichen, können Sie vordefinierte Transformationen wie Extract(), Trim() und ToLower() verwenden. Weitere Informationen finden Sie unter Anpassen von Ansprüchen im SAML-Token für Unternehmensanwendungen. |
Problembehandlung
Im Bericht werden nicht alle meine AD FS-Anwendungen angezeigt.
Wenn Sie Microsoft Entra Connect Health installiert haben, aber die Aufforderung zur Installation weiterhin angezeigt wird, oder wenn nicht alle Ihre AD FS-Anwendungen im Bericht angezeigt werden, verfügen Sie möglicherweise nicht über aktive AD FS-Anwendungen, oder Ihre AD FS-Anwendungen sind Microsoft-Anwendungen.
Der AD FS-Anwendungsaktivitätsbericht enthält alle AD FS-Anwendungen in Ihrer Organisation, bei denen in den letzten 30 Tagen aktive Benutzeranmeldungen aufgetreten sind. Er zeigt jedoch keine Microsoft-bezogenen vertrauenden Seiten in AD FS (wie z. B. Office 365) an. So werden beispielsweise vertrauende Seiten mit den Namen „urn:federation:MicrosoftOnline“, „microsoftonline“ oder „microsoft:winhello:cert:prov:server“ nicht in der Liste angezeigt.