Granska programaktivitetsrapporten

Många organisationer använder Active Directory Federation Services (AD FS) (AD FS) för att tillhandahålla enkel inloggning till molnprogram. Det finns betydande fördelar med att flytta dina AD FS-program till Azure AD för autentisering, särskilt när det gäller kostnadshantering, riskhantering, produktivitet, efterlevnad och styrning. Men att förstå vilka program som är kompatibla med Azure AD och identifiera specifika migreringssteg kan vara tidskrävande.

Med aktivitetsrapporten för AD FS-program i Azure Portal kan du snabbt identifiera vilka av dina program som kan migreras till Azure AD. Den utvärderar alla AD FS-program för kompatibilitet med Azure AD, söker efter eventuella problem och ger vägledning om hur du förbereder enskilda program för migrering. Med aktivitetsrapporten för AD FS-programmet kan du:

  • Identifiera AD FS-program och begränsa migreringen. Aktivitetsrapporten för AD FS-program visar alla AD FS-program i din organisation som har haft en aktiv användarinloggning under de senaste 30 dagarna. Rapporten anger en appberedskap för migrering till Azure AD. Rapporten visar inte Microsoft-relaterade förlitande parter i AD FS, till exempel Office 365. Till exempel förlitande parter med namnet "urn:federation:MicrosoftOnline".

  • Prioritera program för migrering. Hämta antalet unika användare som har loggat in i programmet under de senaste 1, 7 eller 30 dagarna för att avgöra hur kritiskt eller riskfyllt det är att migrera programmet.

  • Kör migreringstester och åtgärda problem. Rapporteringstjänsten kör automatiskt tester för att avgöra om ett program är redo att migrera. Resultaten visas i AD FS-programaktivitetsrapporten som migreringsstatus. Om AD FS-konfigurationen inte är kompatibel med en Azure AD konfiguration får du specifik vägledning om hur du hanterar konfigurationen i Azure AD.

Aktivitetsdata för AD FS-program är tillgängliga för användare som har tilldelats någon av dessa administratörsroller: global administratör, rapportläsare, säkerhetsläsare, programadministratör eller molnprogramadministratör.

Förutsättningar

Viktigt

Det finns några anledningar till att du inte ser alla program som du förväntar dig när du har installerat Azure AD Connect Health. Aktivitetsrapporten för AD FS-programmet visar endast AD FS-förlitande parter med användarinloggningar under de senaste 30 dagarna. Rapporten visar inte heller Microsoft-relaterade förlitande parter, till exempel Office 365.

Identifiera AD FS-program som kan migreras

Ad FS-programaktivitetsrapporten är tillgänglig i Azure Portal under Azure AD Användningsinformationsrapportering&. AD FS-programaktivitetsrapporten analyserar varje AD FS-program för att avgöra om det kan migreras som det är eller om ytterligare granskning behövs.

  1. Logga in på Azure Portal med en administratörsroll som har åtkomst till AD FS-programaktivitetsdata (global administratör, rapportläsare, säkerhetsläsare, programadministratör eller molnprogramadministratör).

  2. Välj Azure Active Directory och välj sedan Företagsprogram.

  3. Under Aktivitet väljer du Användningsinsikter &och väljer sedan AD FS-programaktivitet för att öppna en lista över alla AD FS-program i din organisation.

    AD FS-programaktivitet

  4. För varje program i aktivitetslistan för AD FS-program visar du migreringsstatus:

    • Redo att migrera innebär att AD FS-programkonfigurationen stöds fullt ut i Azure AD och kan migreras som den är.

    • Behovsgranskning innebär att vissa av programmets inställningar kan migreras till Azure AD, men du måste granska de inställningar som inte kan migreras i nuläge.

    • Ytterligare steg som krävs innebär att Azure AD inte stöder vissa av programmets inställningar, så programmet kan inte migreras i sitt aktuella tillstånd.

Utvärdera beredskapen för ett program för migrering

  1. I aktivitetslistan för AD FS-program klickar du på statusen i kolumnen Migreringsstatus för att öppna migreringsinformationen. Du ser en sammanfattning av de konfigurationstester som har godkänts, tillsammans med eventuella migreringsproblem.

    Migreringsinformation

  2. Klicka på ett meddelande för att öppna ytterligare information om migreringsregeln. En fullständig lista över de egenskaper som har testats finns i tabellen AD FS-programkonfigurationstest nedan .

    Information om migreringsregel

Konfigurationstester för AD FS-program

I följande tabell visas alla konfigurationstester som utförs på AD FS-program.

Resultat Pass/Warning/Fail Beskrivning
Test-ADFSRPAdditionalAuthenticationRules
Minst en regel som inte kan migreras har identifierats för AdditionalAuthentication. 
Pass/Varning Den förlitande parten har regler för att fråga efter multifaktorautentisering (MFA). Om du vill flytta till Azure AD översätter du dessa regler till principer för villkorsstyrd åtkomst. Om du använder en lokal MFA rekommenderar vi att du flyttar till Azure AD MFA. Läs mer om villkorlig åtkomst. 
Test-ADFSRPAdditionalWSFedEndpoint
Förlitande part har AdditionalWSFedEndpoint inställt på true. 
Godkänn/Underkänn Den förlitande parten i AD FS tillåter flera WS-Fed slutpunkter för försäkran. För närvarande stöder Azure AD bara en. Om du har ett scenario där det här resultatet blockerar migreringen meddelar du oss. 
Test-ADFSRPAllowedAuthenticationClassReferences
Förlitande part har angett AllowedAuthenticationClassReferences. 
Godkänn/Underkänn Med den här inställningen i AD FS kan du ange om programmet är konfigurerat för att endast tillåta vissa autentiseringstyper. Vi rekommenderar att du använder villkorlig åtkomst för att uppnå den här funktionen.  Om du har ett scenario där det här resultatet blockerar migreringen meddelar du oss.  Läs mer om villkorlig åtkomst. 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Godkänn/Underkänn Med den här inställningen i AD FS kan du ange om programmet är konfigurerat för att ignorera cookies med enkel inloggning och Always Prompt for Authentication. I Azure AD kan du hantera autentiseringssessionen med hjälp av principer för villkorsstyrd åtkomst för att uppnå liknande beteende. Läs mer om att konfigurera autentiseringssessionshantering med villkorsstyrd åtkomst. 
Test-ADFSRPAutoUpdateEnabled
Förlitande part har AutoUpdateEnabled inställt på true
Pass/Varning Med den här inställningen i AD FS kan du ange om AD FS har konfigurerats för att automatiskt uppdatera programmet baserat på ändringar i federationsmetadata. Azure AD stöder inte detta i dag, men bör inte blockera migreringen av programmet till Azure AD.  
Test-ADFSRPClaimsProviderName
Förlitande part har flera ClaimsProviders aktiverat
Godkänn/Underkänn Den här inställningen i AD FS anropar de identitetsprovidrar från vilka den förlitande parten accepterar anspråk. I Azure AD kan du aktivera externt samarbete med Azure AD B2B. Läs mer om Azure AD B2B. 
Test-ADFSRPDelegationAuthorizationRules Godkänn/Underkänn Programmet har definierade anpassade auktoriseringsregler för delegering. Det här är ett WS-Trust koncept som Azure AD stöder med hjälp av moderna autentiseringsprotokoll, till exempel OpenID Connect och OAuth 2.0. Läs mer om Microsoft Identity Platform. 
Test-ADFSRPImpersonationAuthorizationRules Pass/Varning Programmet har definierade regler för anpassad personifieringsauktorisering. Det här är ett WS-Trust koncept som Azure AD stöder med hjälp av moderna autentiseringsprotokoll, till exempel OpenID Connect och OAuth 2.0. Läs mer om Microsoft Identity Platform. 
Test-ADFSRPIssuanceAuthorizationRules
Minst en regel som inte kan migreras har identifierats för UtfärdandeAuktorisering. 
Pass/Varning Programmet har anpassade auktoriseringsregler för utfärdande som definierats i AD FS. Azure AD stöder den här funktionen med Azure AD villkorlig åtkomst. Läs mer om villkorlig åtkomst.
Du kan också begränsa åtkomsten till ett program efter användare eller grupper som tilldelats till programmet. Läs mer om hur du tilldelar användare och grupper åtkomst till program.   
Test-ADFSRPIssuanceTransformRules
Minst en regel som inte kan migreras har identifierats för IssuanceTransform. 
Pass/Varning Programmet har anpassade regler för utfärdandetransformering som definierats i AD FS. Azure AD stöder anpassning av anspråk som utfärdats i token. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram.  
Test-ADFSRPMonitoringEnabled
Förlitande part har MonitoringEnabled inställt på true. 
Pass/Varning Med den här inställningen i AD FS kan du ange om AD FS har konfigurerats för att automatiskt uppdatera programmet baserat på ändringar i federationsmetadata. Azure AD stöder inte detta i dag, men bör inte blockera migreringen av programmet till Azure AD.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Pass/Varning AD FS tillåter en tidsförskjutning baserat på NotBefore- och NotOnOrAfter-tiderna i SAML-token. Azure AD hanterar detta automatiskt som standard. 
Test-ADFSRPRequestMFAFromClaimsProviders
Förlitande part har RequestMFAFromClaimsProviders inställt på true. 
Pass/Varning Den här inställningen i AD FS avgör beteendet för MFA när användaren kommer från en annan anspråksprovider. I Azure AD kan du aktivera externt samarbete med Azure AD B2B. Sedan kan du använda principer för villkorsstyrd åtkomst för att skydda gäståtkomst. Läs mer om Azure AD B2B och villkorsstyrd åtkomst. 
Test-ADFSRPSignedSamlRequestsRequired
Förlitande part har SignSamlRequestsRequired inställt på true
Godkänn/Underkänn Programmet konfigureras i AD FS för att verifiera signaturen i SAML-begäran. Azure AD accepterar en signerad SAML-begäran. Signaturen verifieras dock inte. Azure AD har olika metoder för att skydda mot skadliga anrop. Till exempel använder Azure AD svars-URL:er som konfigurerats i programmet för att verifiera SAML-begäran. Azure AD skickar bara en token till svars-URL:er som konfigurerats för programmet. Om du har ett scenario där det här resultatet blockerar migreringen meddelar du oss. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Pass/Varning Programmet har konfigurerats för en anpassad tokenlivslängd. AD FS-standardvärdet är en timme. Azure AD stöder den här funktionen med villkorlig åtkomst. Mer information finns i Konfigurera hantering av autentiseringssessioner med villkorsstyrd åtkomst. 
Förlitande part är inställd på att kryptera anspråk. Detta stöds av Azure AD Godkänd Med Azure AD kan du kryptera token som skickas till programmet. Mer information finns i Konfigurera Azure AD SAML-tokenkryptering. 
EncryptedNameIdRequiredCheckResult Godkänn/Underkänn Programmet är konfigurerat för att kryptera nameID-anspråket i SAML-token. Med Azure AD kan du kryptera hela token som skickas till programmet. Kryptering av specifika anspråk stöds ännu inte. Mer information finns i Konfigurera Azure AD SAML-tokenkryptering.

Kontrollera resultatet av anspråksregeltester

Om du har konfigurerat en anspråksregel för programmet i AD FS ger upplevelsen en detaljerad analys för alla anspråksregler. Du ser vilka anspråksregler som kan flyttas till Azure AD och vilka som behöver granskas ytterligare.

  1. I aktivitetslistan för AD FS-program klickar du på statusen i kolumnen Migreringsstatus för att öppna migreringsinformationen. Du ser en sammanfattning av de konfigurationstester som har godkänts, tillsammans med eventuella migreringsproblem.

  2. På sidan Information om migreringsregel expanderar du resultaten för att visa information om potentiella migreringsproblem och för att få ytterligare vägledning. En detaljerad lista över alla anspråksregler som testats finns i tabellen Kontrollera resultatet av anspråksregeltest nedan.

    Exemplet nedan visar information om migreringsregeln för regeln IssuanceTransform. Den visar de specifika delar av anspråket som måste granskas och åtgärdas innan du kan migrera programmet till Azure AD.

    Information om migreringsregeln innehåller ytterligare vägledning

Anspråksregeltester

I följande tabell visas alla anspråksregeltester som utförs på AD FS-program.

Egenskap Beskrivning
UNSUPPORTED_CONDITION_PARAMETER Villkorssatsen använder reguljära uttryck för att utvärdera om anspråket matchar ett visst mönster.  Om du vill uppnå en liknande funktion i Azure AD kan du använda fördefinierade transformering, till exempel IfEmpty(), StartWith(), Contains(), bland annat. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. 
UNSUPPORTED_CONDITION_CLASS Villkorsuttrycket har flera villkor som måste utvärderas innan du kör utfärdandeutdraget. Azure AD kan stödja den här funktionen med anspråkets transformeringsfunktioner där du kan utvärdera flera anspråksvärden.  Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. 
UNSUPPORTED_RULE_TYPE Anspråksregeln kunde inte identifieras. Mer information om hur du konfigurerar anspråk i Azure AD finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. 
CONDITION_MATCHES_UNSUPPORTED_ISSUER Villkorssatsen använder en utfärdare som inte stöds i Azure AD. För närvarande hämtar Azure AD inte anspråk från andra butiker än Active Directory eller Azure AD. Om detta hindrar dig från att migrera program till Azure AD kan du meddela oss.
UNSUPPORTED_CONDITION_FUNCTION Villkorssatsen använder en mängdfunktion för att utfärda eller lägga till ett enda anspråk oavsett antalet matchningar.  I Azure AD kan du utvärdera attributet för en användare för att bestämma vilket värde som ska användas för anspråket med funktioner som IfEmpty(), StartWith(), Contains(), bland annat. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. 
RESTRICTED_CLAIM_ISSUED Villkorssatsen använder ett anspråk som är begränsat i Azure AD. Du kanske kan utfärda ett begränsat anspråk, men du kan inte ändra källan eller tillämpa någon transformering. Mer information finns i Anpassa anspråk som genereras i token för en viss app i Azure AD. 
EXTERNAL_ATTRIBUTE_STORE Utfärdandeutdraget använder ett attributarkiv som skiljer sig från Active Directory. För närvarande hämtar Azure AD inte anspråk från andra butiker än Active Directory eller Azure AD. Om det här resultatet hindrar dig från att migrera program till Azure AD meddelar du oss. 
UNSUPPORTED_ISSUANCE_CLASS Utfärdande-instruktionen använder ADD för att lägga till anspråk i den inkommande anspråksuppsättningen. I Azure AD kan detta konfigureras som flera anspråkstransformeringar.  Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram.
UNSUPPORTED_ISSUANCE_TRANSFORMATION Utfärdande-instruktionen använder reguljära uttryck för att transformera värdet för anspråket som ska genereras. Om du vill uppnå liknande funktioner i Azure AD kan du använda fördefinierad transformering, till exempel Extract(), Trim(), ToLower med flera. Mer information finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram. 

Felsökning

Det går inte att se alla mina AD FS-program i rapporten

Om du har installerat Azure AD Connect Health men fortfarande uppmanas att installera det eller om du inte ser alla dina AD FS-program i rapporten kan det bero på att du inte har aktiva AD FS-program eller att dina AD FS-program är microsoft-program.

Rapporten för AD FS-programaktivitet visar en lista över alla AD FS-program i din organisation med aktiva användare som har loggat in under de senaste 30 dagarna. Rapporten visar inte heller Microsoft-relaterade förlitande parter i AD FS, till exempel Office 365. Förlitande parter med namnet "urn:federation:MicrosoftOnline", "microsoftonline", "microsoft:winhello:cert:prov:server" visas till exempel inte i listan.

Nästa steg