Проверка отчета о действиях приложений

Многие организации используют службы федерации Active Directory (AD FS) для предоставления единого входа в облачные приложения. Однако перенос приложений AD FS в Azure AD для проверки подлинности имеет целый ряд преимуществ, особенно с точки зрения управления затратами, управления рисками, повышения производительности, соответствия требованиям и системы управления. Но выявление того, какие приложения совместимы с Azure AD, и определение конкретных шагов по миграции может занять много времени.

Отчет о действиях приложений AD FS на портале Azure позволяет быстро узнать, какие приложения можно перенести в Azure AD. Он оценивает все приложения AD FS на совместимость с Azure AD, проверяет наличие проблем и предоставляет рекомендации по подготовке отдельных приложений к миграции. При использовании отчета о действиях приложения AD FS можно:

  • Обнаружить приложения AD FS и определить область их миграции. В отчете об активности приложений AD FS перечисляются все приложения AD FS в организации, для которых в течение последних 30 дней был зарегистрирован вход активного пользователя. В отчете отражена готовность приложений к миграции в Azure AD. В отчете не отображаются проверенные компоненты, связанные с Майкрософт в AD FS, такие как Office 365, например, проверенные компоненты с именем 'urn:federation:MicrosoftOnline'.

  • Определять, какие приложения стоит переносить в первую очередь. Вы можете просмотреть число уникальных пользователей, выполнивших вход в приложение за последние 1, 7 или 30 дней, чтобы определить важность или риск переноса приложения.

  • Выполнять тесты миграции и устранять неполадки. Служба отчетов автоматически запускает тесты, чтобы определить, готово ли приложение к миграции. Результаты отображаются в отчете об активности приложения AD FS в виде состояния миграции. Если конфигурация AD FS несовместима с конфигурацией Azure AD, вы получите конкретные рекомендации по настройке конфигурации Azure AD.

Данные о действиях приложения AD FS доступны пользователям, которым назначена любая из этих ролей администратора: глобальный администратор, читатель отчетов, читатель средств безопасности, администратор приложений или администратор облачных приложений.

Предварительные требования

Важно!

Существует несколько причин, по которым вы не увидите все ожидаемые приложения после установки Azure AD Connect Health. В отчете об активности приложений AD FS отображаются только те проверяющие стороны AD FS, в которые выполнялся вход пользователей за последние 30 дней. Кроме того, в отчете не будут отображаться проверяющие стороны, связанные с Майкрософт, такие как Office 365.

Обнаружение приложений AD FS, которые можно перенести

Отчет о действиях приложений AD FS доступен на портале Azure в разделе отчетов Azure AD  & Использование и аналитические сведения. В отчете об активности приложений AD FS анализируется каждое из приложений AD FS, чтобы определить, можно ли его переносить как есть или требуется дополнительная проверка.

  1. Войдите в портал Azure с ролью администратора, которая имеет доступ к данным о действиях приложений AD FS (глобальный администратор, читатель отчетов, читатель безопасности, администратор приложений или администратор облачных приложений).

  2. Выберите раздел Azure Active Directory, а затем выберите Корпоративные приложения.

  3. В разделе Активность выберите Использование и аналитические сведения, а затем выберите Активность приложений AD FS, чтобы открыть список всех приложений AD FS в вашей организации.

    Действие приложения AD FS

  4. Для каждого из приложений в списке активности приложений AD FS просмотрите Состояние миграции.

    • Все готово для миграции означает, что конфигурация приложения AD FS полностью поддерживается в Azure AD и может быть перенесена как есть.

    • Требуется проверка означает, что некоторые параметры приложения можно перенести в Azure AD, но необходимо проверить параметры, которые не могут быть перенесены как есть.

    • Требуются дополнительные действия означает, что Azure AD не поддерживает некоторые параметры приложения, поэтому приложение нельзя перенести в его текущем состоянии.

Оценка готовности приложения к миграции

  1. В списке действий приложения AD FS щелкните состояние в столбце Состояние миграции, чтобы открыть сведения о миграции. Вы увидите сводку проверок конфигурации, которые прошли успешно, а также возможные проблемы миграции.

    Сведения о переносе

  2. Щелкните сообщение, чтобы открыть дополнительные сведения о правиле миграции. Полный список тестируемых свойств см. в таблице ниже, Тесты конфигурации приложений AD FS.

    Сведения о правиле миграции

Тесты конфигурации приложений AD FS

В следующей таблице перечислены все тесты конфигурации, выполняемые в приложениях AD FS.

Результат Успех/предупреждение/сбой Описание
Test-ADFSRPAdditionalAuthenticationRules
Для AdditionalAuthentication обнаружено по крайней мере одно правило, не готовое к миграции. 
Успех/предупреждение Проверяющая сторона имеет правила, требующие запроса многофакторной проверки подлинности (MFA). Чтобы выполнить миграцию в Azure AD, преобразуйте эти правила в политики условного доступа. Если используется локальная MFA, рекомендуется перейти на многофакторную проверку подлинности Azure AD MFA. См. дополнительные сведения об условном доступе. 
Test-ADFSRPAdditionalWSFedEndpoint
AdditionalWSFedEndpoint проверяющей стороны имеет значение true. 
Успех или сбой. Проверяющая сторона в AD FS допускает несколько проверочных конечных точек WS-Fed. В настоящее время Azure AD поддерживает только одну точку. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. 
Test-ADFSRPAllowedAuthenticationClassReferences
Проверяющая сторона установила параметр AllowedAuthenticationClassReferences. 
Успех или сбой. Этот параметр AD FS позволяет указать, настроено ли приложение на разрешение только определенных типов проверки подлинности. Для реализации этой возможности рекомендуется использовать условный доступ.  Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом.  См. дополнительные сведения об условном доступе. 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Успех или сбой. Этот параметр AD FS позволяет указать, настроено ли приложение так, чтобы игнорировать файлы cookie единого входа и всегда запрашивать проверку подлинности. Для реализации аналогичного сценария в Azure AD можно управлять сеансом проверки подлинности с помощью политик условного доступа. См. дополнительные сведения о настройке управления сеансами проверки подлинности с помощью условного доступа. 
Test-ADFSRPAutoUpdateEnabled
Параметр AutoUpdateEnabled проверяющей стороны имеет значение true
Успех/предупреждение Этот параметр AD FS позволяет указать, настроено ли для AD FS автоматическое обновление приложения на основе изменений в метаданных федерации. В настоящее время Azure AD не поддерживает эту процедуру, но это не должно блокировать перенос приложения в Azure AD.  
Test-ADFSRPClaimsProviderName
Для проверяющей стороны включено несколько ClaimsProviders
Успех или сбой. Этот параметр AD FS вызывает поставщиков удостоверений, от которых принимает утверждения проверяющая сторона. В Azure AD можно включить внешнюю совместную работу с помощью Azure AD B2B. См. дополнительные сведения об Azure AD B2B. 
Test-ADFSRPDelegationAuthorizationRules Успех или сбой. Для данного приложения определены пользовательские правила авторизации делегирования. Это концепция WS-Trust, которую Azure AD поддерживает с помощью современных протоколов проверки подлинности, таких как OpenID Connect и OAuth 2.0. См. дополнительные сведения о платформе удостоверений Майкрософт. 
Test-ADFSRPImpersonationAuthorizationRules Успех/предупреждение В приложении определены пользовательские правила авторизации олицетворения. Это концепция WS-Trust, которую Azure AD поддерживает с помощью современных протоколов проверки подлинности, таких как OpenID Connect и OAuth 2.0. См. дополнительные сведения о платформе удостоверений Майкрософт. 
Test-ADFSRPIssuanceAuthorizationRules
Для IssuanceAuthorization обнаружено по крайней мере одно правило, не готовое к миграции. 
Успех/предупреждение Приложение имеет пользовательские правила авторизации выдачи, определенные в AD FS. Azure AD поддерживает эту функцию с помощью условного доступа Azure AD. Дополнительные сведения об условном доступе
Можно также ограничить доступ к приложению по пользователям или группам, назначенным приложению. См. дополнительные сведения о назначении пользователей и групп для доступа к приложениям.   
Test-ADFSRPIssuanceTransformRules
Для IssuanceTransform обнаружено по крайней мере одно правило, не готовое к миграции. 
Успех/предупреждение Приложение имеет пользовательские правила авторизации выдачи, определенные в AD FS. Azure AD поддерживает настройку утверждений, которые передаются в токене. Дополнительные сведения см. в разделе Настройка утверждений, переданных в токене SAML для корпоративных приложений.  
Test-ADFSRPMonitoringEnabled
Параметр MonitoringEnabled проверяющей стороны имеет значение true. 
Успех/предупреждение Этот параметр AD FS позволяет указать, настроено ли для AD FS автоматическое обновление приложения на основе изменений в метаданных федерации. В настоящее время Azure AD не поддерживает эту процедуру, но это не должно блокировать перенос приложения в Azure AD.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Успех/предупреждение AD FS позволяет использовать сдвиг по времени на базе значений NotBefore и NotOnOrAfter в токене SAML. Azure AD автоматически обрабатывает это по умолчанию. 
Test-ADFSRPRequestMFAFromClaimsProviders
Параметр RequestMFAFromClaimsProviders проверяющей стороны имеет значение true. 
Успех/предупреждение Этот параметр AD FS определяет поведение MFA, когда пользователь приходит от другого поставщика утверждений. В Azure AD можно включить внешнюю совместную работу с помощью Azure AD B2B. Затем можно применить политики условного доступа для защиты гостевого доступа. См. дополнительные сведения об Azure AD B2B и условном доступе. 
Test-ADFSRPSignedSamlRequestsRequired
Параметр SignedSamlRequestsRequired проверяющей стороны имеет значение true
Успех или сбой. Приложение настраивается в AD FS для проверки подписи в запросе SAML. Azure AD принимает подписанный запрос SAML, не проверяя при этом подпись. В Azure AD имеются различные методы защиты от вредоносных вызовов. Например, Azure AD использует URL-адреса ответа, настроенные в приложении на проверку запроса SAML. Azure AD отправляет токен только для URL-адресов ответов, которые настроены для приложения. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Успех/предупреждение Приложение настроено на пользовательское время существования токена. Значение для AD FS по умолчанию — 1 час. Azure AD поддерживает эту функцию с помощью условного доступа. Дополнительные сведения см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа. 
Проверяющая сторона настроена на шифрование утверждений. Эта функция поддерживается в Azure AD. Успех Azure AD позволяет шифровать токен, отправляемый приложению. Дополнительные сведения см. в статье Настройка шифрования токена SAML в Azure AD. 
EncryptedNameIdRequiredCheckResult Успех или сбой. Приложение настроено для шифрования утверждения nameID в токене SAML. Azure AD позволяет шифровать весь токен, отправляемый приложению. Шифрование отдельных утверждений пока не поддерживается. Дополнительные сведения см. в статье Настройка шифрования токена SAML в Azure AD.

Проверка результатов тестов правил утверждений

Если настроено правило утверждений для приложения в AD FS, результатом процесса будет детализированный анализ всех правил утверждений. В результате будет видно, какие правила утверждений можно перенести в Azure AD, а какие из них требуют дополнительного анализа.

  1. В списке действий приложения AD FS щелкните состояние в столбце Состояние миграции, чтобы открыть сведения о миграции. Вы увидите сводку проверок конфигурации, которые прошли успешно, а также возможные проблемы миграции.

  2. На странице Сведения о правиле миграции разверните результаты, чтобы просмотреть сведения о потенциальных проблемах миграции и получить дополнительные рекомендации. Подробный список всех проверенных правил утверждений см. в таблице Просмотр результатов проверки правил утверждений ниже.

    В приведенном ниже примере показаны сведения о правиле миграции для правила IssuanceTransform. В нем перечислены конкретные части утверждения, в которых необходимо провести анализ и устранить проблемы, прежде чем можно будет перенести приложение в Azure AD.

    Дополнительные рекомендации и сведения о правиле миграции

Тесты правил утверждений

В следующей таблице перечислены все тесты правил утверждений, выполняемые в приложениях AD FS.

Свойство Описание
UNSUPPORTED_CONDITION_PARAMETER Оператор Condition используется с регулярными выражениями, чтобы вычислить соответствие заявки определенному шаблону.  Для реализации аналогичной функциональности в Azure AD можно использовать стандартные преобразования, такие как IfEmpty(), StartWith(), а также, помимо прочих, Contains(). Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. 
UNSUPPORTED_CONDITION_CLASS Оператор Condition имеет несколько условий, которые необходимо вычислить перед выполнением инструкции выдачи. В Azure AD этот сценарий можно реализовать с помощью функций преобразования утверждения, позволяющих оценить несколько значений утверждений.  Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. 
UNSUPPORTED_RULE_TYPE Не удалось распознать правило утверждения. Дополнительные сведения о настройке утверждений в Azure AD см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. 
CONDITION_MATCHES_UNSUPPORTED_ISSUER В инструкции условия используется издатель, который не поддерживается в Azure AD. В настоящее время Azure AD не использует в качестве источника утверждения из хранилищ, отличных от Active Directory или Azure AD. Если данная ситуация мешает переносу приложения в Azure AD, сообщите нам об этом.
UNSUPPORTED_CONDITION_FUNCTION Оператор Condition используется с агрегатной функцией для выдачи или добавления одиночного утверждения независимо от числа совпадений.  В Azure AD можно оценить атрибут пользователя, чтобы решить, какое значение следует использовать для утверждения с такими функциями, как IfEmpty(), StartWith(), Contains (), помимо прочих. Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. 
RESTRICTED_CLAIM_ISSUED В инструкции условия используется утверждение, которое ограничено в Azure AD. Можно выдать ограниченное утверждение, но нельзя изменить его источник или применить какое-либо преобразование. Дополнительные сведения см. в статье Настройка утверждений, добавляемых в токены для конкретного приложения в Azure AD. 
EXTERNAL_ATTRIBUTE_STORE Инструкция выдачи использует хранилище атрибутов, отличающееся от Active Directory. В настоящее время Azure AD не использует в качестве источника утверждения из хранилищ, отличных от Active Directory или Azure AD. Если данная ситуация мешает переносу приложения в Azure AD, сообщите нам об этом. 
UNSUPPORTED_ISSUANCE_CLASS Инструкция выдачи используется с ADD для добавления утверждений ко входящему набору утверждений. В Azure AD это можно настроить как преобразования нескольких утверждений.  Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений.
UNSUPPORTED_ISSUANCE_TRANSFORMATION Инструкция выдачи используется с регулярными выражениями для преобразования значения утверждения, которое необходимо выдавать. Для реализации аналогичной функциональности в Azure AD можно использовать стандартные преобразования, такие как Extract(), Trim(), а также, помимо прочих, ToLower. Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. 

Устранение неполадок

Не удается просмотреть все приложения AD FS в отчете

Если установлена служба Azure AD Connect Health, но по-прежнему выводится приглашение для ее установки или в отчете не выводятся все приложения AD FS, возможно, у вас отсутствуют активные приложения AD FS или приложения AD FS являются приложениями Майкрософт.

В отчете об активности приложений AD FS перечисляются все приложения AD FS в организации, для которых в течение последних 30 дней был зарегистрирован вход активных пользователей. Кроме того, в отчете не отображаются проверяющие стороны, связанные с Майкрософт в AD FS, такие как Office 365. Например, проверяющие стороны с именем 'urn: federation:MicrosoftOnline', 'microsoftonline', 'microsoft: winhello:cert:prov:server' не будут отображаться в списке.

Дальнейшие действия