Обзор миграции приложений AD FS (предварительная версия)
В этой статье вы узнаете о возможностях мастера миграции приложений AD FS и состояния миграции, доступных на панели мониторинга. Вы также узнаете о различных тестах проверки, создаваемых миграцией приложений для каждого из приложений, которые требуется перенести из AD FS в идентификатор Microsoft Entra.
Мастер миграции приложений AD FS позволяет быстро определить, какие из приложений можно перенести в идентификатор Microsoft Entra. Она оценивает все приложения AD FS для совместимости с идентификатором Microsoft Entra. Он также проверка для любых проблем, предоставляет рекомендации по подготовке отдельных приложений для миграции и настройке нового приложения Microsoft Entra с помощью единого щелчка.
С помощью мастера миграции приложений AD FS можно:
Узнайте о приложениях AD FS и область миграции. Мастер миграции приложений AD FS перечисляет все приложения AD FS в вашей организации, у которых был активный вход пользователя за последние 30 дней. В отчете указывается готовность приложений к миграции на идентификатор Microsoft Entra. В отчете не отображаются проверенные компоненты, связанные с Майкрософт в AD FS, такие как Office 365, Например, проверяющие стороны с именем
urn:federation:MicrosoftOnline.Приоритет приложений для миграции . Получите количество уникальных пользователей, которые вошли в приложение за последние 1, 7 или 30 дней, чтобы помочь определить критическость или риск миграции приложения.
Запустите тесты миграции и исправьте проблемы. Служба отчетов автоматически выполняет тесты , чтобы определить, готов ли приложение к миграции. Результаты отображаются на панели мониторинга миграции приложений AD FS в качестве состояния миграции. Если конфигурация AD FS несовместима с конфигурацией Microsoft Entra, вы получите конкретные рекомендации по устранению конфигурации в идентификаторе Microsoft Entra.
Используйте интерфейс настройки приложения с одним щелчком, чтобы настроить новое приложение Microsoft Entra. Это обеспечивает интерактивный интерфейс для переноса локальных приложений проверяющей стороны в облако. В ходе миграции используются метаданные приложения проверяющей стороны, которые импортируются непосредственно из локальной среды. Кроме того, интерфейс предоставляет конфигурацию приложения SAML на платформе Microsoft Entra с некоторыми основными параметрами SAML, конфигурациями утверждений и назначениями групп.
Примечание.
Миграция приложений AD FS поддерживает только приложения на основе SAML. Он не поддерживает приложения, использующие такие протоколы, как OpenID Подключение, WS-Fed и OAuth 2.0. Если вы хотите перенести приложения, использующие эти протоколы, ознакомьтесь с отчетом об активности приложений AD FS для идентификации приложений, которые требуется перенести. После определения приложений, которые вы хотите перенести, их можно настроить вручную в идентификаторе Microsoft Entra. Дополнительные сведения о начале работы с миграцией вручную см. в статье "Миграция и тестирование приложения".
Состояние миграции приложений AD FS
Агенты работоспособности Microsoft Entra Подключение и Microsoft Entra Подключение для AD FS считывают конфигурации локальных приложений проверяющей стороны и журналы аудита входа. Эти данные о каждом приложении AD FS анализируются, чтобы определить, можно ли перенести его как есть, или если требуется дополнительная проверка. На основе результата этого анализа определяется состояние миграции для данного приложения.
Приложения классифицируются по следующим состояниям миграции:
- Готово к миграции означает, что конфигурация приложения AD FS полностью поддерживается в идентификаторе Microsoft Entra и может быть перенесена как есть.
- Проверка потребностей означает, что некоторые параметры приложения можно перенести на идентификатор Microsoft Entra ID, но вам нужно просмотреть параметры, которые нельзя перенести как есть.
- Дополнительные шаги требуются , это означает, что идентификатор Microsoft Entra не поддерживает некоторые параметры приложения, поэтому приложение не может быть перенесено в текущем состоянии.
Тесты проверки миграции приложений AD FS
Готовность приложения оценивается на основе следующих предопределенных тестов конфигурации приложения AD FS. Тесты выполняются автоматически, и результаты отображаются на панели мониторинга миграции приложений AD FS в качестве состояния миграции. Если конфигурация AD FS несовместима с конфигурацией Microsoft Entra, вы получите конкретные рекомендации по устранению конфигурации в идентификаторе Microsoft Entra.
Обновления состояния аналитики миграции приложений AD FS
После обновления приложения внутренние агенты синхронизируют обновления в течение нескольких минут. Однако задания аналитики миграции AD FS отвечают за оценку обновлений и вычисление нового состояния миграции. Эти задания должны выполняться каждые 24 часа, что означает, что данные будут вычисляться только один раз в день примерно в 00:00 по универсальному времени (UTC).
| Результат | Успех/предупреждение/сбой | Description |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Обнаружено по крайней мере одно немигрируемое правило для дополнительной проверки подлинности. |
Успех/предупреждение | Проверяющая сторона имеет правила для запроса многофакторной проверки подлинности. Чтобы перейти к идентификатору Microsoft Entra, преобразуйте эти правила в политики условного доступа. Если вы используете локальную многофакторную проверку подлинности, рекомендуется перейти на многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения об условном доступе. |
| Test-ADFSRPAdditionalWSFedEndpoint AdditionalWSFedEndpoint проверяющей стороны имеет значение true. |
Успех или сбой. | Проверяющая сторона в AD FS допускает несколько проверочных конечных точек WS-Fed. В настоящее время Microsoft Entra поддерживает только один. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. |
| Test-ADFSRPAllowedAuthenticationClassReferences Проверяющая сторона установила параметр AllowedAuthenticationClassReferences. |
Успех или сбой. | Этот параметр AD FS позволяет указать, настроено ли приложение на разрешение только определенных типов проверки подлинности. Для реализации этой возможности рекомендуется использовать условный доступ. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. Дополнительные сведения об условном доступе. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Успех или сбой. | Этот параметр AD FS позволяет указать, настроено ли приложение так, чтобы игнорировать файлы cookie единого входа и всегда запрашивать проверку подлинности. В идентификаторе Microsoft Entra можно управлять сеансом проверки подлинности с помощью политик условного доступа для достижения аналогичного поведения. Дополнительные сведения о настройке управления сеансами проверки подлинности с помощью условного доступа. |
| Test-ADFSRPAutoUpdateEnabled Параметр AutoUpdateEnabled проверяющей стороны имеет значение true |
Успех/предупреждение | Этот параметр AD FS позволяет указать, настроено ли для AD FS автоматическое обновление приложения на основе изменений в метаданных федерации. Идентификатор Microsoft Entra не поддерживает это сегодня, но не должен блокировать миграцию приложения на идентификатор Microsoft Entra. |
| Test-ADFSRPClaimsProviderName Для проверяющей стороны включено несколько ClaimsProviders |
Успех или сбой. | Этот параметр AD FS вызывает поставщиков удостоверений, от которых принимает утверждения проверяющая сторона. В идентификаторе Microsoft Entra можно включить внешнюю совместную работу с помощью Microsoft Entra B2B. Дополнительные сведения о Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Успех или сбой. | Для данного приложения определены пользовательские правила авторизации делегирования. Это концепция WS-Trust, которую идентификатор Microsoft Entra поддерживает с помощью современных протоколов проверки подлинности, таких как OpenID Подключение и OAuth 2.0. Дополнительные сведения о платформа удостоверений Майкрософт. |
| Test-ADFSRPImpersonationAuthorizationRules | Успех/предупреждение | В приложении определены пользовательские правила авторизации олицетворения. Это концепция WS-Trust, которую идентификатор Microsoft Entra поддерживает с помощью современных протоколов проверки подлинности, таких как OpenID Подключение и OAuth 2.0. Дополнительные сведения о платформа удостоверений Майкрософт. |
| Test-ADFSRPIssuanceAuthorizationRules Для выдачиAuthorization было обнаружено по крайней мере одно немигрируемое правило. |
Успех/предупреждение | Приложение имеет пользовательские правила авторизации выдачи, определенные в AD FS. Идентификатор Microsoft Entra поддерживает эту функцию с помощью условного доступа Microsoft Entra. Дополнительные сведения об условном доступе. Можно также ограничить доступ к приложению по пользователям или группам, назначенным приложению. Узнайте больше о назначении пользователей и групп для доступа к приложениям. |
| Test-ADFSRPIssuanceTransformRules Обнаружено по крайней мере одно немигрируемое правило для IssuanceTransform. |
Успех/предупреждение | Приложение имеет пользовательские правила авторизации выдачи, определенные в AD FS. Идентификатор Microsoft Entra поддерживает настройку утверждений, выданных в маркере. Дополнительные сведения см. в статье "Настройка утверждений, выданных в токене SAML для корпоративных приложений". |
| Test-ADFSRPMonitoringEnabled Параметр MonitoringEnabled проверяющей стороны имеет значение true. |
Успех/предупреждение | Этот параметр AD FS позволяет указать, настроено ли для AD FS автоматическое обновление приложения на основе изменений в метаданных федерации. Microsoft Entra не поддерживает это сегодня, но не должен блокировать миграцию приложения на идентификатор Microsoft Entra. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Успех/предупреждение | AD FS позволяет использовать сдвиг по времени на базе значений NotBefore и NotOnOrAfter в токене SAML. Идентификатор Microsoft Entra автоматически обрабатывает это по умолчанию. |
| Test-ADFSRPRequestMFAFromClaimsProviders Параметр RequestMFAFromClaimsProviders проверяющей стороны имеет значение true. |
Успех/предупреждение | Этот параметр AD FS определяет поведение MFA, когда пользователь приходит от другого поставщика утверждений. В идентификаторе Microsoft Entra можно включить внешнюю совместную работу с помощью Microsoft Entra B2B. Затем можно применить политики условного доступа для защиты гостевого доступа. Дополнительные сведения о Microsoft Entra B2B и условном доступе. |
| Test-ADFSRPSignedSamlRequestsRequired Параметр SignedSamlRequestsRequired проверяющей стороны имеет значение true |
Успех или сбой. | Приложение настраивается в AD FS для проверки подписи в запросе SAML. Идентификатор Microsoft Entra принимает подписанный запрос SAML; однако он не будет проверять подпись. Идентификатор Microsoft Entra имеет различные методы защиты от вредоносных вызовов. Например, идентификатор Microsoft Entra использует URL-адреса ответа, настроенные в приложении для проверки запроса SAML. Идентификатор Microsoft Entra отправляет только маркер для URL-адресов ответа, настроенных для приложения. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Успех/предупреждение | Приложение настроено на пользовательское время существования токена. Значение для AD FS по умолчанию — 1 час. Идентификатор Microsoft Entra поддерживает эту функцию с помощью условного доступа. Дополнительные сведения см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа. |
| Проверяющая сторона настроена на шифрование утверждений. Это поддерживается идентификатором Microsoft Entra | Пройдено | С помощью идентификатора Microsoft Entra можно зашифровать маркер, отправленный приложению. Дополнительные сведения см. в разделе "Настройка шифрования токенов SAML Microsoft Entra". |
| EncryptedNameIdRequiredCheckResult | Успех или сбой. | Приложение настроено для шифрования утверждения nameID в токене SAML. С помощью идентификатора Microsoft Entra можно зашифровать весь маркер, отправленный приложению. Шифрование конкретных утверждений пока не поддерживается. Дополнительные сведения см. в разделе "Настройка шифрования токенов SAML Microsoft Entra". |
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по