Share via


Overzicht van migratie van AD FS-toepassingen (preview)

In dit artikel krijgt u informatie over de mogelijkheden van de wizard AD FS-toepassingsmigratie en de migratiestatus die beschikbaar is op het dashboard. U leert ook de verschillende validatietests die de toepassingsmigratie genereert voor elk van de toepassingen die u wilt migreren van AD FS naar Microsoft Entra ID.

Met de wizard AD FS-toepassingsmigratie kunt u snel bepalen welke van uw toepassingen kunnen worden gemigreerd naar Microsoft Entra-id. Het evalueert alle AD FS-toepassingen voor compatibiliteit met Microsoft Entra ID. Het controleert ook op eventuele problemen, biedt richtlijnen voor het voorbereiden van afzonderlijke toepassingen voor migratie en het configureren van een nieuwe Microsoft Entra-toepassing met één klik.

Met de wizard AD FS-toepassingsmigratie kunt u het volgende doen:

  • Ontdek AD FS-toepassingen en beperk uw migratie : de wizard ad FS-toepassingsmigratie bevat alle AD FS-toepassingen in uw organisatie die de afgelopen 30 dagen een actieve gebruikersaanmelding hebben gehad. Het rapport geeft een gereedheid voor apps aan voor migratie naar Microsoft Entra-id. In het rapport worden gerelateerde relying party's van Microsoft niet weergegeven in AD FS, zoals Office 365. Bijvoorbeeld relying party's met naam urn:federation:MicrosoftOnline.

  • Prioriteit geven aan toepassingen voor migratie : haal het aantal unieke gebruikers op dat zich in de afgelopen 1, 7 of 30 dagen bij de toepassing heeft aangemeld om de kritieke of het risico van de migratie van de toepassing te bepalen.

  • Migratietests uitvoeren en problemen oplossen: de rapportageservice voert automatisch tests uit om te bepalen of een toepassing gereed is voor migratie. De resultaten worden weergegeven in het migratiedashboard van de AD FS-toepassing als een migratiestatus. Als de AD FS-configuratie niet compatibel is met een Microsoft Entra-configuratie, krijgt u specifieke richtlijnen voor het oplossen van de configuratie in Microsoft Entra-id.

  • Gebruik een toepassingsconfiguratie met één klik om een nieuwe Microsoft Entra-toepassing te configureren. Dit biedt een begeleide ervaring voor het migreren van on-premises relying party-toepassingen naar de cloud. De migratie-ervaring maakt gebruik van de metagegevens van de relying party-toepassing die rechtstreeks vanuit uw on-premises omgeving wordt geïmporteerd. De ervaring biedt ook een eenmalige configuratie van de SAML-toepassing op het Microsoft Entra-platform met enkele eenvoudige SAML-instellingen, claimconfiguraties en groepstoewijzingen.

Notitie

Migratie van AD FS-toepassingen ondersteunt alleen op SAML gebaseerde toepassingen. Het biedt geen ondersteuning voor toepassingen die gebruikmaken van protocollen zoals OpenID Verbinding maken, WS-Fed en OAuth 2.0. Als u toepassingen wilt migreren die gebruikmaken van deze protocollen, raadpleegt u het rapport Ad FS-toepassingsactiviteiten gebruiken om de toepassingen te identificeren die u wilt migreren. Zodra u de apps hebt geïdentificeerd die u wilt migreren, kunt u deze handmatig configureren in Microsoft Entra-id. Zie Uw toepassing migreren en testen voor meer informatie over hoe u aan de slag gaat met handmatige migratie.

Migratiestatus van AD FS-toepassing

De Microsoft Entra Verbinding maken en Microsoft Entra Verbinding maken Health-agents voor AD FS leest uw on-premises configuraties voor relying party-toepassingen en aanmeldingscontrolelogboeken. Deze gegevens over elke AD FS-toepassing worden geanalyseerd om te bepalen of deze als zodanig kunnen worden gemigreerd of als er aanvullende beoordeling nodig is. Op basis van het resultaat van deze analyse wordt de migratiestatus voor de opgegeven toepassing bepaald.

Toepassingen worden gecategoriseerd in de volgende migratiestatussen:

  • Gereed om te migreren betekent dat de configuratie van de AD FS-toepassing volledig wordt ondersteund in Microsoft Entra-id en kan worden gemigreerd zoals het is.
  • Moet worden beoordeeld , betekent dat sommige van de instellingen van de toepassing kunnen worden gemigreerd naar Microsoft Entra-id, maar u moet de instellingen controleren die niet naar behoren kunnen worden gemigreerd.
  • Extra stappen die vereist zijn , betekent dat Microsoft Entra ID geen ondersteuning biedt voor bepaalde instellingen van de toepassing, zodat de toepassing niet kan worden gemigreerd in de huidige status.

Validatietests voor AD FS-toepassingsmigratie

De gereedheid van toepassingen wordt geëvalueerd op basis van de volgende vooraf gedefinieerde AD FS-toepassingsconfiguratietests. De tests worden automatisch uitgevoerd en de resultaten worden weergegeven in het migratiedashboard van de AD FS-toepassing als een migratiestatus. Als de AD FS-configuratie niet compatibel is met een Microsoft Entra-configuratie, krijgt u specifieke richtlijnen voor het oplossen van de configuratie in Microsoft Entra-id.

Statusupdates van AD FS-toepassingsmigratieinzichten

Wanneer de toepassing wordt bijgewerkt, synchroniseren interne agents de updates binnen een paar minuten. Ad FS-migratieinzichttaken zijn echter verantwoordelijk voor het evalueren van de updates en het berekenen van een nieuwe migratiestatus. Deze taken worden elke 24 uur uitgevoerd, wat betekent dat de gegevens slechts eenmaal per dag worden berekend om ongeveer 00:00:00 Coordinated Universal Time (UTC).

Resultaat Geslaagd/Waarschuwing/Mislukt Beschrijving
Test-ADFSRPAdditionalAuthenticationRules
Er is ten minste één regel gedetecteerd die niet kan worden gemigreerd voor AdditionalAuthentication.
Geslaagd/waarschuwing De relying party heeft regels om te vragen om meervoudige verificatie. Als u naar Microsoft Entra ID wilt gaan, vertaalt u deze regels in beleid voor voorwaardelijke toegang. Als u een on-premises MFA gebruikt, raden we u aan om over te stappen op Meervoudige Verificatie van Microsoft Entra. Meer informatie over voorwaardelijke toegang.
Test-ADFSRPAdditionalWSFedEndpoint
De relying party heeft AdditionalWSFedEndpoint ingesteld op true.
Doorgeven/mislukken De relying party in AD FS staat meerdere WS-Fed assertie-eindpunten toe. Op dit moment biedt Microsoft Entra alleen ondersteuning voor één. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten.
Test-ADFSRPAllowedAuthenticationClassReferences
De relying party heeft AllowedAuthenticationClassReferences ingesteld.
Doorgeven/mislukken Met deze instelling in AD FS kunt u opgeven of de toepassing is geconfigureerd om alleen bepaalde verificatietypen toe te staan. We raden u aan om de voorwaardelijke toegang te gebruiken om deze mogelijkheid te bereiken. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. Meer informatie over voorwaardelijke toegang.
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Doorgeven/mislukken Met deze instelling in AD FS kunt u opgeven of de toepassing is geconfigureerd voor het negeren van SSO-cookies en altijd vragen om verificatie. In Microsoft Entra ID kunt u de verificatiesessie beheren met behulp van beleid voor voorwaardelijke toegang om vergelijkbaar gedrag te bereiken. Meer informatie over het beheer van verificatiesessies met voorwaardelijke toegang configureren.
Test-ADFSRPAutoUpdateEnabled
Relying party heeft AutoUpdateEnabled ingesteld op true
Geslaagd/waarschuwing Met deze instelling in AD FS kunt u opgeven of AD FS is geconfigureerd om de toepassing automatisch bij te werken op basis van wijzigingen in de federatie metagegevens. Microsoft Entra ID biedt momenteel geen ondersteuning voor dit probleem, maar mag de migratie van de toepassing naar Microsoft Entra-id niet blokkeren.
Test-ADFSRPClaimsProviderName
De Relying Party heeft meerdere ClaimsProviders ingeschakeld
Doorgeven/mislukken Deze instelling in AD FS roept de id-providers aan van waaruit de relying party claims accepteert. In Microsoft Entra ID kunt u externe samenwerking inschakelen met Behulp van Microsoft Entra B2B. Meer informatie over Microsoft Entra B2B.
Test-ADFSRPDelegationAuthorizationRules Doorgeven/mislukken De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de delegering. Dit is een WS-Trust-concept dat Microsoft Entra ID ondersteunt met behulp van moderne verificatieprotocollen, zoals OpenID Verbinding maken en OAuth 2.0. Meer informatie over het Microsoft Identity Platform.
Test-ADFSRPImpersonationAuthorizationRules Geslaagd/waarschuwing De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de imitatie. Dit is een WS-Trust-concept dat Microsoft Entra ID ondersteunt met behulp van moderne verificatieprotocollen, zoals OpenID Verbinding maken en OAuth 2.0. Meer informatie over het Microsoft Identity Platform.
Test-ADFSRPIssuanceAuthorizationRules
Er is ten minste één niet-migratiebare regel gedetecteerd voor IssuanceAuthorization.
Geslaagd/waarschuwing De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de uitgifte in AD FS. Microsoft Entra ID ondersteunt deze functionaliteit met voorwaardelijke toegang van Microsoft Entra. Meer informatie over voorwaardelijke toegang.
U kunt ook de toegang tot een toepassing beperken door gebruikers of groepen die zijn toegewezen aan de toepassing. Meer informatie over het toewijzen van gebruikers en groepen voor toegang tot toepassingen.
Test-ADFSRPIssuanceTransformRules
Er is ten minste één niet-migratiebare regel gedetecteerd voor IssuanceTransform.
Geslaagd/waarschuwing De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de transformatie in AD FS. Microsoft Entra ID ondersteunt het aanpassen van de claims die zijn uitgegeven in het token. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie.
Test-ADFSRPMonitoringEnabled
Relying Party heeft MonitoringEnabled ingesteld op true.
Geslaagd/waarschuwing Met deze instelling in AD FS kunt u opgeven of AD FS is geconfigureerd om de toepassing automatisch bij te werken op basis van wijzigingen in de federatie metagegevens. Microsoft Entra biedt momenteel geen ondersteuning voor dit probleem, maar mag de migratie van de toepassing naar Microsoft Entra-id niet blokkeren.
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Geslaagd/waarschuwing AD FS staat een tijdsverschil toe op basis van de tijdwaarden van NotBefore en NotOnOrAfter in het SAML-token. Microsoft Entra ID verwerkt dit standaard automatisch.
Test-ADFSRPRequestMFAFromClaimsProviders
Relying Party heeft RequestMFAFromClaimsProviders ingesteld op true.
Geslaagd/waarschuwing Deze instelling in AD FS bepaalt het gedrag voor MFA wanneer de gebruiker afkomstig is van een andere claimprovider. In Microsoft Entra ID kunt u externe samenwerking inschakelen met Behulp van Microsoft Entra B2B. Vervolgens kunt u beleid voor voorwaardelijke toegang toepassen om gasttoegang te beveiligen. Meer informatie over Microsoft Entra B2B en voorwaardelijke toegang.
Test-ADFSRPSignedSamlRequestsRequired
Relying Party heeft SignedSamlRequestsRequired ingesteld op true
Doorgeven/mislukken De toepassing is geconfigureerd in AD FS om de handtekening in de SAML-aanvraag te verifiëren. Microsoft Entra ID accepteert een ondertekende SAML-aanvraag; de handtekening wordt echter niet gecontroleerd. Microsoft Entra ID heeft verschillende methoden om te beschermen tegen schadelijke aanroepen. Microsoft Entra ID gebruikt bijvoorbeeld de antwoord-URL's die in de toepassing zijn geconfigureerd om de SAML-aanvraag te valideren. Microsoft Entra-id verzendt alleen een token naar antwoord-URL's die zijn geconfigureerd voor de toepassing. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten.
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Geslaagd/waarschuwing De toepassing is geconfigureerd voor een aangepaste levensduur van tokens. De standaardwaarde van AD FS is één uur. Microsoft Entra ID ondersteunt deze functionaliteit met behulp van voorwaardelijke toegang. Raadpleeg Beheer van verificatiesessies met voorwaardelijke toegang configureren.
Relying Party is ingesteld op het versleutelen van claims. Dit wordt ondersteund door Microsoft Entra-id Geslaagd Met Microsoft Entra-id kunt u het token versleutelen dat naar de toepassing wordt verzonden. Zie Microsoft Entra SAML-tokenversleuteling configureren voor meer informatie.
EncryptedNameIdRequiredCheckResult Doorgeven/mislukken De toepassing is geconfigureerd voor het versleutelen van de nameID-claim in het SAML-token. Met Microsoft Entra-id kunt u het hele token versleutelen dat naar de toepassing wordt verzonden. Versleuteling van specifieke claims wordt nog niet ondersteund. Zie Microsoft Entra SAML-tokenversleuteling configureren voor meer informatie.

Volgende stappen