Esaminare il report attività dell'applicazione

Molte organizzazioni usano Active Directory Federation Services (AD FS) per fornire l'accesso Single Sign-On alle applicazioni cloud. Esistono vantaggi significativi per spostare le applicazioni AD FS in Azure AD per l'autenticazione, in particolare in termini di gestione dei costi, gestione dei rischi, produttività, conformità e governance. Tuttavia, può essere necessario molto tempo per determinare quali applicazioni sono compatibili con Azure AD e per identificare passaggi di migrazione specifici.

Il report attività dell'applicazione AD FS nel portale di Azure consente di identificare rapidamente quali applicazioni sono in grado di eseguire la migrazione ad Azure AD. Il report valuta tutte le applicazioni AD FS per la compatibilità con Azure AD, verifica la presenza di eventuali problemi e fornisce indicazioni sulla preparazione di singole applicazioni per la migrazione. Con il report attività dell'applicazione AD FS, è possibile:

  • Individuare le applicazioni AD FS e definire l'ambito della migrazione. Il report attività delle applicazioni AD FS elenca tutte le applicazioni AD FS nell'organizzazione che hanno avuto un account di accesso utente attivo negli ultimi 30 giorni. Il report indica la conformità delle app per la migrazione ad Azure AD. Il report non visualizza le relying party correlate a Microsoft in AD FS, ad esempio Office 365. Ad esempio, relying party con nome 'urn:federation:MicrosoftOnline'.

  • Classificare in ordine di priorità le applicazioni per la migrazione. Ottenere il numero di utenti univoci che hanno eseguito l'accesso all'applicazione negli ultimi 1, 7 o 30 giorni per determinare la criticità o il rischio di migrazione dell'applicazione.

  • Eseguire test di migrazione e risolvere i problemi. Il servizio di creazione report esegue automaticamente i test per determinare se un'applicazione è pronta per la migrazione. I risultati vengono visualizzati nel report attività dell'applicazione AD FS come stato di migrazione. Se la configurazione di AD FS non è compatibile con una configurazione di Azure AD, si ottengono indicazioni specifiche su come gestire la configurazione in Azure AD.

I dati delle attività dell'applicazione AD FS sono disponibili per gli utenti a cui sono assegnati uno di questi ruoli di amministratore: amministratore globale, ruolo con autorizzazioni di lettura per la sicurezza, amministratore applicazioni o amministratore di applicazioni cloud.

Prerequisiti

Importante

Esistono due motivi per cui non verranno visualizzate tutte le applicazioni previste dopo l'installazione di Azure AD Connect Health. Il report attività dell'applicazione AD FS mostra solo le relying party AD FS con account di accesso utente negli ultimi 30 giorni. Inoltre, il report non visualizzerà le relying party correlate a Microsoft, ad esempio Office 365.

Individuare le applicazioni AD FS di cui è possibile eseguire la migrazione

Il report attività delle applicazioni AD FS è disponibile nel portale di Azure nei report Utilizzo e informazioni dettagliate di Azure AD. Il report attività dell'applicazione AD FS analizza ogni applicazione AD FS per determinare se è possibile eseguirne la migrazione così come è o se è necessaria una revisione aggiuntiva.

  1. Accedere al portale di Azure con un ruolo di amministratore che ha accesso ai dati delle attività dell'applicazione AD FS (amministratore globale, lettore di report, lettore di sicurezza, amministratore dell'applicazione o amministratore di applicazioni cloud).

  2. Selezionare Azure Active Directory e quindi Applicazioni aziendali.

  3. In Attività selezionare Informazioni dettagliate sull'utilizzo &e quindi selezionare Attività dell'applicazione AD FS per aprire un elenco di tutte le applicazioni AD FS nell'organizzazione.

    Attività dell'applicazione AD FS

  4. Per ogni applicazione nell'elenco di attività delle applicazioni AD FS visualizzare il valore di Stato di migrazione:

    • Pronto per la migrazione indica che la configurazione dell'applicazione AD FS è completamente supportata in Azure AD ed è possibile eseguire la migrazione dell'applicazione così com'è.

    • Verifica necessaria indica che è possibile eseguire la migrazione di alcune delle impostazioni dell'applicazione in Azure AD, ma è necessario esaminare le impostazioni di cui non è possibile eseguire la migrazione così come sono.

    • Sono necessari passaggi aggiuntivi indica che Azure AD non supporta alcune delle impostazioni dell'applicazione e di conseguenza non è possibile eseguire la migrazione dell'applicazione nel suo stato corrente.

Valutare l'idoneità di un'applicazione per la migrazione

  1. Nell'elenco attività dell'applicazione AD FS fare clic sullo stato nella colonna Stato migrazione per aprire i dettagli della migrazione. Verrà visualizzato un riepilogo dei test di configurazione superati, insieme a eventuali potenziali problemi di migrazione.

    Dettagli della migrazione

  2. Fare clic su un messaggio per aprire dettagli aggiuntivi della regola di migrazione. Per un elenco completo delle proprietà testate, vedere la tabella dei test di configurazione dell'applicazione AD FS , di seguito.

    Dettagli delle regole di migrazione

Test di configurazione dell'applicazione AD FS

Nella tabella seguente sono elencati tutti i test di configurazione eseguiti nelle applicazioni AD FS.

Risultato Pass/Warning/Fail Descrizione
Test-ADFSRPAdditionalAuthenticationRules
È stata rilevata almeno una regola non migrata per AdditionalAuthentication. 
Pass/Warning La relying party include regole per richiedere l'autenticazione a più fattori ( MFA). Per passare ad Azure AD, convertire queste regole in criteri di accesso condizionale. Se si usa un'autenticazione a più fattori locale, è consigliabile passare ad Azure AD MFA. Altre informazioni sull'accesso condizionale. 
Test-ADFSRPAdditionalWSFedEndpoint
Relying party ha AdditionalWSFedEndpoint impostato su true. 
Esito positivo o negativo La relying party in AD FS consente più endpoint di asserzione WS-Fed. Attualmente, Azure AD supporta solo uno. Se si ha uno scenario in cui questo risultato blocca la migrazione, segnalarlo. 
Test-ADFSRPAllowedAuthenticationClassReferences
Relying Party ha impostato AllowedAuthenticationClassReferences. 
Esito positivo o negativo Questa impostazione in AD FS consente di specificare se l'applicazione è configurata per consentire solo determinati tipi di autenticazione. Per ottenere questa funzionalità, è consigliabile usare l'accesso condizionale.  Se si ha uno scenario in cui questo risultato blocca la migrazione, segnalarlo.  Altre informazioni sull'accesso condizionale. 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Esito positivo o negativo Questa impostazione in AD FS consente di specificare se l'applicazione è configurata per ignorare i cookie SSO e Richiedi sempre l'autenticazione. In Azure AD è possibile gestire la sessione di autenticazione usando i criteri di accesso condizionale per ottenere un comportamento simile. Altre informazioni sulla configurazione della gestione delle sessioni di autenticazione con l'accesso condizionale. 
Test-ADFSRPAutoUpdateEnabled
Relying Party ha AutoUpdateEnabled impostato su true
Pass/Warning Questa impostazione in AD FS consente di specificare se AD FS è configurato per aggiornare automaticamente l'applicazione in base alle modifiche all'interno dei metadati della federazione. Azure AD non supporta attualmente questo problema, ma non deve bloccare la migrazione dell'applicazione ad Azure AD.  
Test-ADFSRPClaimsProviderName
Relying Party ha più ClaimsProvider abilitati
Esito positivo o negativo Questa impostazione in AD FS chiama i provider di identità da cui la relying party accetta attestazioni. In Azure AD è possibile abilitare la collaborazione esterna usando Azure AD B2B. Altre informazioni su Azure AD B2B. 
Test-ADFSRPDelegationAuthorizationRules Esito positivo o negativo L'applicazione dispone di regole di autorizzazione di delega personalizzate definite. Si tratta di un concetto di WS-Trust supportato da Azure AD usando protocolli di autenticazione moderni, ad esempio OpenID Connect e OAuth 2.0. Altre informazioni su Microsoft Identity Platform. 
Test-ADFSRPImpersonationAuthorizationRules Pass/Warning L'applicazione dispone di regole di autorizzazione di rappresentazione personalizzate definite. Si tratta di un concetto di WS-Trust supportato da Azure AD usando protocolli di autenticazione moderni, ad esempio OpenID Connect e OAuth 2.0. Altre informazioni su Microsoft Identity Platform. 
Test-ADFSRPIssuanceAuthorizationRules
È stata rilevata almeno una regola non migrata per l'autenticazione di Rilascio. 
Pass/Warning L'applicazione dispone di regole di autorizzazione di rilascio personalizzate definite in AD FS. Azure AD supporta questa funzionalità con l'accesso condizionale di Azure AD. Altre informazioni sull'accesso condizionale.
È anche possibile limitare l'accesso a un'applicazione da parte di utenti o gruppi assegnati all'applicazione. Altre informazioni sull'assegnazione di utenti e gruppi alle applicazioni.   
Test-ADFSRPIssuanceTransformRules
È stata rilevata almeno una regola non migrata per IssuanceTransform. 
Pass/Warning L'applicazione ha regole di trasformazione di rilascio personalizzate definite in AD FS. Azure AD supporta la personalizzazione delle attestazioni rilasciate nel token. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.  
Test-ADFSRPMonitoringEnabled
Relying Party include MonitoringEnabled impostato su true. 
Pass/Warning Questa impostazione in AD FS consente di specificare se AD FS è configurato per aggiornare automaticamente l'applicazione in base alle modifiche all'interno dei metadati della federazione. Azure AD non supporta questo problema, ma non deve bloccare la migrazione dell'applicazione ad Azure AD.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Pass/Warning AD FS consente una deviazione temporale basata sui tempi NotBefore e NotOnOrAfter nel token SAML. Azure AD gestisce automaticamente questa operazione per impostazione predefinita. 
Test-ADFSRPRequestMFAFromClaimsProviders
Relying Party ha RequestMFAFromClaimsProviders impostato su true. 
Pass/Warning Questa impostazione in AD FS determina il comportamento dell'autenticazione a più fattori quando l'utente proviene da un provider di attestazioni diverso. In Azure AD è possibile abilitare la collaborazione esterna con Azure AD B2B. È quindi possibile applicare criteri di accesso condizionale per proteggere l'accesso guest. Altre informazioni su Azure AD B2B e accesso condizionale. 
Test-ADFSRPSignedSamlRequestsRequired
Relying Party ha firmatoSamlRequestsRequired impostato su true
Esito positivo o negativo L'applicazione è configurata in AD FS per verificare la firma nella richiesta SAML. Azure AD accetta una richiesta SAML firmata; tuttavia, non verificherà la firma. Azure AD include diversi metodi per proteggere da chiamate dannose. Ad esempio, Azure AD usa gli URL di risposta configurati nell'applicazione per convalidare la richiesta SAML. Azure AD invierà solo un token agli URL di risposta configurati per l'applicazione. Se si dispone di uno scenario in cui questo risultato blocca la migrazione, informarci. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Pass/Warning L'applicazione è configurata per una durata di token personalizzata. Il valore predefinito di AD FS è un'ora. Azure AD supporta questa funzionalità usando l'accesso condizionale. Per altre informazioni, vedere Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale. 
Relying Party è impostato per crittografare le attestazioni. Questa funzionalità è supportata da Azure AD Pass Con Azure AD è possibile crittografare il token inviato all'applicazione. Per altre informazioni, vedere Configurare la crittografia del token SAML di Azure AD. 
EncryptedNameIdRequiredCheckResult Esito positivo o negativo L'applicazione è configurata per crittografare l'attestazione nameID nel token SAML. Con Azure AD è possibile crittografare l'intero token inviato all'applicazione. La crittografia di attestazioni specifiche non è ancora supportata. Per altre informazioni, vedere Configurare la crittografia del token SAML di Azure AD.

Controllare i risultati dei test delle regole attestazioni

Se è stata configurata una regola attestazione per l'applicazione in AD FS, l'esperienza fornirà un'analisi granulare per tutte le regole attestazioni. Verranno visualizzate le regole attestazioni che possono essere spostate in Azure AD e quali regole devono essere esaminate ulteriormente.

  1. Nell'elenco attività dell'applicazione AD FS fare clic sullo stato nella colonna Stato migrazione per aprire i dettagli della migrazione. Verrà visualizzato un riepilogo dei test di configurazione passati, insieme a eventuali potenziali problemi di migrazione.

  2. Nella pagina Dettagli della regola di migrazione espandere i risultati per visualizzare i dettagli sui potenziali problemi di migrazione e per ottenere indicazioni aggiuntive. Per un elenco dettagliato di tutte le regole attestazioni testate, vedere la tabella Controlla i risultati dei test delle regole attestazioni , di seguito.

    L'esempio seguente mostra i dettagli della regola di migrazione per la regola Di rilascioTransform. Elenca le parti specifiche dell'attestazione che devono essere esaminate e risolte prima di poter eseguire la migrazione dell'applicazione ad Azure AD.

    Informazioni aggiuntive sulla regola di migrazione

Test delle regole attestazioni

Nella tabella seguente sono elencati tutti i test delle regole attestazioni eseguiti nelle applicazioni AD FS.

Proprietà Descrizione
UNSUPPORTED_CONDITION_PARAMETER L'istruzione condition usa espressioni regolari per valutare se l'attestazione corrisponde a un determinato modello.  Per ottenere una funzionalità simile in Azure AD, è possibile usare una trasformazione predefinita, ad esempio IfEmpty(), StartWith(), Contains(), tra gli altri. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. 
UNSUPPORTED_CONDITION_CLASS L'istruzione condition include più condizioni che devono essere valutate prima di eseguire l'istruzione di rilascio. Azure AD può supportare questa funzionalità con le funzioni di trasformazione dell'attestazione in cui è possibile valutare più valori attestazioni.  Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. 
UNSUPPORTED_RULE_TYPE Impossibile riconoscere la regola attestazione. Per altre informazioni su come configurare le attestazioni in Azure AD, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. 
CONDITION_MATCHES_UNSUPPORTED_ISSUER L'istruzione condizione usa un'autorità emittente non supportata in Azure AD. Attualmente Azure AD non esegue l'origine delle attestazioni dagli archivi diversi da Active Directory o Azure AD. Se ciò impedisce di eseguire la migrazione di applicazioni ad Azure AD, informarci.
UNSUPPORTED_CONDITION_FUNCTION L'istruzione condizione usa una funzione di aggregazione per generare o aggiungere una singola attestazione indipendentemente dal numero di corrispondenze.  In Azure AD è possibile valutare l'attributo di un utente per decidere quale valore usare per l'attestazione con funzioni come IfEmpty(), StartWith(), Contains(), tra gli altri. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. 
RESTRICTED_CLAIM_ISSUED L'istruzione condition usa un'attestazione limitata in Azure AD. È possibile inviare un'attestazione con restrizioni, ma non è possibile modificare l'origine o applicare alcuna trasformazione. Per altre informazioni, vedere Personalizzare le attestazioni generate nei token per un'app specifica in Azure AD. 
EXTERNAL_ATTRIBUTE_STORE L'istruzione di rilascio usa un archivio attributi diverso da Active Directory. Attualmente Azure AD non esegue l'origine delle attestazioni dagli archivi diversi da Active Directory o Azure AD. Se questo risultato impedisce di eseguire la migrazione di applicazioni ad Azure AD, informarci. 
UNSUPPORTED_ISSUANCE_CLASS L'istruzione di rilascio usa ADD per aggiungere attestazioni al set di attestazioni in ingresso. In Azure AD, questa operazione può essere configurata come più trasformazioni attestazioni.  Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
UNSUPPORTED_ISSUANCE_TRANSFORMATION L'istruzione di rilascio usa espressioni regolari per trasformare il valore dell'attestazione da generare. Per ottenere funzionalità simili in Azure AD, è possibile usare una trasformazione predefinita, ad esempio Extract(), Trim(), ToLower, tra gli altri. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. 

Risoluzione dei problemi

Non è possibile visualizzare tutte le applicazioni AD FS nel report

Se è stato installato Azure AD Connect health, ma viene comunque visualizzato il prompt per installarlo o non vengono visualizzate tutte le applicazioni AD FS nel report potrebbe essere che non si dispone di applicazioni AD FS attive o che le applicazioni AD FS siano microsoft.

Il report attività dell'applicazione AD FS elenca tutte le applicazioni AD FS dell'organizzazione con gli utenti attivi che accedono negli ultimi 30 giorni. Inoltre, il report non visualizza le relying party correlate microsoft in AD FS, ad esempio Office 365. Ad esempio, le relying party con il nome 'urn:federation:MicrosoftOnline', 'microsoftonline', 'microsoft:winhello:cert:prov:server' non verranno visualizzati nell'elenco.

Passaggi successivi