Az AD FS-alkalmazások migrálásának áttekintése (előzetes verzió)
Ebben a cikkben megismerheti az AD FS-alkalmazás migrálási varázslójának képességeit és az irányítópulton elérhető migrálási állapotot. Megismerheti azokat a különböző érvényesítési teszteket is, amelyeket az alkalmazás áttelepítése hoz létre az AD FS-ből a Microsoft Entra-azonosítóba migrálni kívánt alkalmazásokhoz.
Az AD FS alkalmazásmigrálási varázslójával gyorsan azonosíthatja, hogy mely alkalmazások migrálhatók a Microsoft Entra-azonosítóra. Az összes AD FS-alkalmazást kiértékeli a Microsoft Entra ID-val való kompatibilitás érdekében. Emellett ellenőrzi az esetleges problémákat, útmutatást ad az egyes alkalmazások migrálásra való előkészítéséhez, valamint az új Microsoft Entra-alkalmazások egykattintásos felhasználói felülettel történő konfigurálásához.
Az AD FS-alkalmazás áttelepítési varázslójával a következőket teheti:
Fedezze fel az AD FS-alkalmazásokat és az áttelepítés hatókörét – Az AD FS alkalmazásmigrálási varázsló felsorolja a szervezet összes olyan AD FS-alkalmazását, amely az elmúlt 30 napban aktív felhasználói bejelentkezést kapott. A jelentés azt jelzi, hogy az alkalmazások készen áll a Microsoft Entra-azonosítóra való migrálásra. A jelentés nem jeleníti meg a Microsofttal kapcsolatos függő entitásokat az AD FS-ben, például az Office 365-ben. Például névvel rendelkező függő entitások
urn:federation:MicrosoftOnline.Alkalmazások rangsorolása a migráláshoz – Az alkalmazásba az elmúlt 1, 7 vagy 30 napban bejelentkezett egyedi felhasználók számának lekérése az alkalmazás migrálásának kritikusságának vagy kockázatának meghatározásához.
Migrálási tesztek futtatása és a problémák megoldása – A jelentéskészítési szolgáltatás automatikusan futtat teszteket annak megállapításához, hogy egy alkalmazás készen áll-e az áttelepítésre. Az eredmények migrálási állapotként jelennek meg az AD FS-alkalmazás áttelepítési irányítópultján. Ha az AD FS-konfiguráció nem kompatibilis a Microsoft Entra-konfigurációval, konkrét útmutatást kaphat a Konfiguráció kezelése a Microsoft Entra-azonosítóban.
Egykattintásos alkalmazáskonfigurációs felület használata az új Microsoft Entra-alkalmazás konfigurálásához – Ez interaktív felületet biztosít a helyszíni függő entitásalkalmazások felhőbe való migrálásához. A migrálási felület a függő entitás alkalmazásának a helyszíni környezetből közvetlenül importált metaadatait használja. A felület emellett egy kattintással konfigurálja az SAML-alkalmazást a Microsoft Entra platformon néhány alapvető SAML-beállítással, jogcímkonfigurációval és csoport-hozzárendeléssel.
Feljegyzés
Az AD FS-alkalmazások áttelepítése csak a SAML-alapú alkalmazásokat támogatja. Nem támogatja az olyan protokollokat használó alkalmazásokat, mint az OpenID Csatlakozás, a WS-Fed és az OAuth 2.0. Ha ezeket a protokollokat használó alkalmazásokat szeretne migrálni, tekintse meg az AD FS-alkalmazástevékenység-jelentés használatát az áttelepíteni kívánt alkalmazások azonosításához. Miután azonosította a migrálni kívánt alkalmazásokat, manuálisan konfigurálhatja őket a Microsoft Entra-azonosítóban. További információ a manuális migrálás első lépéseiről: Migrálás és az alkalmazás tesztelése.
Az AD FS-alkalmazás áttelepítési állapota
A Microsoft Entra Csatlakozás és a Microsoft Entra Csatlakozás Health-ügynökök az AD FS-hez beolvassa a helyszíni függő entitások alkalmazáskonfigurációit és bejelentkezési naplóit. A rendszer elemzi az egyes AD FS-alkalmazásokkal kapcsolatos adatokat annak megállapításához, hogy migrálható-e, vagy további felülvizsgálatra van szükség. Az elemzés eredménye alapján a rendszer meghatározza az adott alkalmazás migrálási állapotát.
Az alkalmazások a következő migrálási állapotokra vannak kategorizálva:
- A migrálásra való felkészülés azt jelenti, hogy az AD FS-alkalmazáskonfiguráció teljes mértékben támogatott a Microsoft Entra-azonosítóban, és a migrálás is folyamatban van.
- A szükséges felülvizsgálat azt jelenti, hogy az alkalmazás egyes beállításai áttelepíthetők a Microsoft Entra-azonosítóba, de át kell tekintenie azokat a beállításokat, amelyek nem migrálhatók.
- A további szükséges lépések azt jelentik, hogy a Microsoft Entra ID nem támogatja az alkalmazás egyes beállításait, így az alkalmazás nem migrálható a jelenlegi állapotában.
Az AD FS-alkalmazások migrálásának ellenőrzési tesztjei
Az alkalmazáskészség kiértékelése az előre definiált AD FS-alkalmazáskonfigurációs tesztek alapján történik. A tesztek automatikusan futnak, és az eredmények az AD FS-alkalmazás áttelepítési irányítópultján jelennek meg migrálási állapotként. Ha az AD FS-konfiguráció nem kompatibilis a Microsoft Entra-konfigurációval, konkrét útmutatást kaphat a Konfiguráció kezelése a Microsoft Entra-azonosítóban.
Az AD FS-alkalmazás migrálási megállapításainak állapotfrissítései
Az alkalmazás frissítésekor a belső ügynökök néhány percen belül szinkronizálják a frissítéseket. Az AD FS migration insights-feladatai azonban a frissítések kiértékeléséért és az új migrálási állapot kiszámításáért felelősek. Ezek a feladatok az ütemezés szerint 24 óránként futnak, ami azt jelenti, hogy az adatok csak egyszer lesznek kiszámítva egy nap, körülbelül 00:00-kor az egyezményes világidő (UTC) szerint.
| Eredmény | Pass/Warning/Fail | Leírás |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules A rendszer legalább egy nem nem módosítható szabályt észlelt az AdditionalAuthentication esetében. |
Pass/Warning | A függő entitás olyan szabályokkal rendelkezik, amelyek többtényezős hitelesítést kérnek. A Microsoft Entra-azonosítóra való áttéréshez ezeket a szabályokat lefordíthatja feltételes hozzáférési szabályzatokra. Ha helyszíni MFA-t használ, javasoljuk, hogy lépjen a Microsoft Entra többtényezős hitelesítésre. További információ a feltételes hozzáférésről. |
| Test-ADFSRPAdditionalWSFedEndpoint A függő entitás Az AdditionalWSFedEndpoint értéke igaz. |
Pass/Fail | Az AD FS függő entitása több WS-Fed-érvényesítési végpontot tesz lehetővé. Jelenleg a Microsoft Entra csak egyet támogat. Ha van egy olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudassa velünk. |
| Test-ADFSRPAllowedAuthenticationClassReferences A függő entitás beállította a AllowedAuthenticationClassReferences értéket. |
Pass/Fail | Ezzel az AD FS-beállítással megadhatja, hogy az alkalmazás csak bizonyos hitelesítési típusok engedélyezésére van-e konfigurálva. Javasoljuk, hogy a feltételes hozzáféréssel érje el ezt a képességet. Ha van egy olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudassa velünk. További információ a feltételes hozzáférésről. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Pass/Fail | Ezzel az AD FS-beállítással megadhatja, hogy az alkalmazás úgy van-e konfigurálva, hogy figyelmen kívül hagyja-e az egyszeri bejelentkezéshez használt cookie-kat, és mindig kérje a hitelesítést. A Microsoft Entra ID-ban a hitelesítési munkamenetet feltételes hozzáférési szabályzatokkal kezelheti hasonló viselkedés elérése érdekében. További információ a hitelesítési munkamenet-kezelés feltételes hozzáféréssel való konfigurálásáról. |
| Test-ADFSRPAutoUpdateEnabled A függő entitás automatikusan igaz értékre van állítva |
Pass/Warning | Ezzel az AD FS-beállítással megadhatja, hogy az AD FS konfigurálva van-e az alkalmazás automatikus frissítésére az összevonási metaadatokon belüli változások alapján. A Microsoft Entra ID jelenleg nem támogatja ezt a beállítást, de nem tilthatja le az alkalmazás Microsoft Entra-azonosítóra való migrálását. |
| Test-ADFSRPClaimsProviderName A függő entitás több jogcímszolgáltatóval rendelkezik engedélyezve |
Pass/Fail | Ez az AD FS-beállítás meghívja azokat az identitásszolgáltatókat, amelyektől a függő entitás jogcímeket fogad el. A Microsoft Entra ID-ban engedélyezheti a külső együttműködést a Microsoft Entra B2B használatával. További információ a Microsoft Entra B2B-ről. |
| Test-ADFSRPDelegationAuthorizationRules | Pass/Fail | Az alkalmazás egyéni delegálási engedélyezési szabályokkal rendelkezik. Ez egy WS-Trust koncepció, amelyet a Microsoft Entra ID támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identitásplatform. |
| Test-ADFSRPImpersonationAuthorizationRules | Pass/Warning | Az alkalmazás egyéni megszemélyesítési engedélyezési szabályokkal rendelkezik. Ez egy WS-Trust koncepció, amelyet a Microsoft Entra ID támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identitásplatform. |
| Test-ADFSRPIssuanceAuthorizationRules A rendszer legalább egy nem nem módosítható szabályt észlelt az IssuanceAuthorization esetében. |
Pass/Warning | Az alkalmazás egyéni kiállítási engedélyezési szabályokat határoz meg az AD FS-ben. A Microsoft Entra ID támogatja ezt a funkciót a Microsoft Entra feltételes hozzáféréssel. További információ a feltételes hozzáférésről. Az alkalmazáshoz való hozzáférést az alkalmazáshoz rendelt felhasználók vagy csoportok is korlátozhatják. További információ a felhasználók és csoportok alkalmazásokhoz való hozzárendeléséről. |
| Test-ADFSRPIssuanceTransformRules A rendszer legalább egy nem nem módosítható szabályt észlelt az IssuanceTransform esetében. |
Pass/Warning | Az alkalmazás az AD FS-ben definiált egyéni kiállításátalakítási szabályokkal rendelkezik. A Microsoft Entra ID támogatja a jogkivonatban kibocsátott jogcímek testreszabását. További információ: A vállalati alkalmazások SAML-jogkivonatában kiadott jogcímek testreszabása. |
| Test-ADFSRPMonitoringEnabled A Függő entitás monitorozása igaz értékre van állítva. |
Pass/Warning | Ezzel az AD FS-beállítással megadhatja, hogy az AD FS konfigurálva van-e az alkalmazás automatikus frissítésére az összevonási metaadatokon belüli változások alapján. A Microsoft Entra ezt ma nem támogatja, de nem tilthatja le az alkalmazás Microsoft Entra-azonosítóra való migrálását. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Pass/Warning | Az AD FS a NotBefore és a NotOnOrAfter időpontok alapján időeltéréseket tesz lehetővé az SAML-jogkivonatban. A Microsoft Entra ID alapértelmezés szerint automatikusan kezeli ezt. |
| Test-ADFSRPRequestMFAFromClaimsProviders A függő entitás requestMFAFromClaimsProviders értéke igaz. |
Pass/Warning | Az AD FS-ben ez a beállítás határozza meg az MFA viselkedését, amikor a felhasználó egy másik jogcímszolgáltatótól származik. A Microsoft Entra ID-ban engedélyezheti a külső együttműködést a Microsoft Entra B2B használatával. Ezután feltételes hozzáférési szabályzatokat alkalmazhat a vendéghozzáférés védelmére. További információ a Microsoft Entra B2B-ről és a feltételes hozzáférésről. |
| Test-ADFSRPSignedSamlRequestsRequired A függő entitás SignedSamlRequestsRequired értéke true |
Pass/Fail | Az alkalmazás az AD FS-ben van konfigurálva az SAML-kérelem aláírásának ellenőrzéséhez. A Microsoft Entra ID egy aláírt SAML-kérést fogad el; azonban nem ellenőrzi az aláírást. A Microsoft Entra ID különböző módszerekkel rendelkezik a rosszindulatú hívások elleni védelemhez. A Microsoft Entra ID például az alkalmazásban konfigurált válasz URL-címeket használja az SAML-kérés érvényesítéséhez. A Microsoft Entra ID csak az alkalmazáshoz konfigurált válasz URL-címekhez küld jogkivonatot. Ha van egy olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudassa velünk. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Pass/Warning | Az alkalmazás egyéni jogkivonat-élettartamra van konfigurálva. Az AD FS alapértelmezett értéke egy óra. A Microsoft Entra ID a feltételes hozzáféréssel támogatja ezt a funkciót. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel. |
| A függő entitás a jogcímek titkosítására van beállítva. Ezt a Microsoft Entra ID támogatja | Sikeres | A Microsoft Entra-azonosítóval titkosíthatja az alkalmazásnak küldött jogkivonatot. További információ: Microsoft Entra SAML-tokentitkosítás konfigurálása. |
| EncryptedNameIdRequiredCheckResult | Pass/Fail | Az alkalmazás úgy van konfigurálva, hogy titkosítsa a nameID jogcímet az SAML-jogkivonatban. A Microsoft Entra-azonosítóval titkosíthatja az alkalmazásnak küldött teljes jogkivonatot. Az egyes jogcímek titkosítása még nem támogatott. További információ: Microsoft Entra SAML-tokentitkosítás konfigurálása. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: