Uygulama etkinliği raporunu gözden geçirme

Birçok kuruluş, bulut uygulamalarında çoklu oturum açma sağlamak için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanır. AD FS uygulamalarınızı kimlik doğrulaması için Azure AD taşımanın, özellikle maliyet yönetimi, risk yönetimi, üretkenlik, uyumluluk ve idare açısından önemli avantajları vardır. Ancak hangi uygulamaların Azure AD uyumlu olduğunu anlamak ve belirli geçiş adımlarını belirlemek zaman alabilir.

Azure portal ad FS uygulama etkinliği raporu, hangi uygulamalarınızın Azure AD geçirilebileceklerini hızla belirlemenize olanak tanır. Tüm AD FS uygulamalarını Azure AD uyumluluk açısından değerlendirir, sorunları denetler ve tek tek uygulamaları geçiş için hazırlama konusunda rehberlik sağlar. AD FS uygulama etkinliği raporuyla şunları yapabilirsiniz:

  • AD FS uygulamalarını keşfedin ve geçişinizin kapsamını belirleyin. AD FS uygulama etkinliği raporu, kuruluşunuzda son 30 gün içinde etkin bir kullanıcı oturumu açan tüm AD FS uygulamalarını listeler. Rapor, uygulamaların Azure AD geçişe hazır olduğunu gösterir. Rapor, AD FS'de Office 365 gibi Microsoft ile ilgili bağlı olan tarafları görüntülemez. Örneğin, 'urn:federation:MicrosoftOnline' adlı bağlı olan taraflar.

  • Geçiş için uygulamalara öncelik verin. Son 1, 7 veya 30 gün içinde uygulamada oturum açan benzersiz kullanıcıların sayısını elde ederek uygulamayı geçirmenin kritikliğini veya riskini belirlemeye yardımcı olun.

  • Geçiş testlerini çalıştırın ve sorunları düzeltin. Raporlama hizmeti, bir uygulamanın geçişe hazır olup olmadığını belirlemek için testleri otomatik olarak çalıştırır. Sonuçlar AD FS uygulama etkinliği raporunda geçiş durumu olarak görüntülenir. AD FS yapılandırması bir Azure AD yapılandırmasıyla uyumlu değilse, Azure AD'da yapılandırmayı ele alma konusunda özel yönergeler alırsınız.

AD FS uygulama etkinliği verileri, şu yönetici rollerinden herhangi birine atanan kullanıcılar tarafından kullanılabilir: genel yönetici, rapor okuyucusu, güvenlik okuyucusu, uygulama yöneticisi veya bulut uygulaması yöneticisi.

Önkoşullar

Önemli

Connect Health'i yükledikten sonra beklediğiniz tüm uygulamaları görmemeniz için birkaç neden Azure AD. AD FS uygulama etkinliği raporu yalnızca son 30 gün içinde kullanıcı oturumları olan AD FS bağlı olan tarafları gösterir. Ayrıca rapor, Office 365 gibi Microsoft ile ilgili bağlı olan tarafları görüntülemez.

Geçirilebilen AD FS uygulamalarını bulma

AD FS uygulama etkinliği raporu, Azure AD Kullanım & içgörüleri raporlaması altındaki Azure portal kullanılabilir. AD FS uygulama etkinliği raporu, her BIR AD FS uygulamasını olduğu gibi geçirilip geçirilebileceğini veya ek gözden geçirme gerekip gerekmediğini belirlemek için analiz eder.

  1. AD FS uygulama etkinliği verilerine (genel yönetici, rapor okuyucusu, güvenlik okuyucusu, uygulama yöneticisi veya bulut uygulaması yöneticisi) erişimi olan bir yönetici rolüyle Azure portal oturum açın.

  2. Azure Active Directory'yi ve ardından Kurumsal uygulamalar'ı seçin.

  3. Etkinlik'in altında Kullanım & İçgörüleri'ne tıklayın ve ardından AD FS uygulama etkinliği'ne seçerek kuruluşunuzdaki tüm AD FS uygulamalarının listesini açın.

    AD FS uygulama etkinliği

  4. AD FS uygulama etkinliği listesindeki her uygulama için Geçiş durumunu görüntüleyin:

    • Geçişe hazır, AD FS uygulama yapılandırmasının Azure AD'de tam olarak desteklendiği ve olduğu gibi geçirilebileceği anlamına gelir.

    • Gözden geçirme gerekiyor, uygulamanın bazı ayarlarının Azure AD geçirilebileceği anlamına gelir, ancak olduğu gibi geçirilmeyecek ayarları gözden geçirmeniz gerekir.

    • Gereken ek adımlar, Azure AD uygulamanın bazı ayarlarını desteklemediği ve bu nedenle uygulamanın geçerli durumunda geçirilebileceği anlamına gelir.

Bir uygulamanın geçiş için hazır olma durumunu değerlendirme

  1. AD FS uygulama etkinliği listesinde Geçiş durumu sütunundaki duruma tıklayarak geçiş ayrıntılarını açın. Başarılı olan yapılandırma testlerinin bir özetini ve olası geçiş sorunlarını görürsünüz.

    Geçiş ayrıntıları

  2. Ek geçiş kuralı ayrıntılarını açmak için bir iletiye tıklayın. Test edilen özelliklerin tam listesi için aşağıdaki AD FS uygulama yapılandırma testleri tablosuna bakın.

    Geçiş kuralı ayrıntıları

AD FS uygulama yapılandırma testleri

Aşağıdaki tabloda AD FS uygulamalarında gerçekleştirilen tüm yapılandırma testleri listelenmiştir.

Sonuç Geçirme/Uyarı/Başarısız Açıklama
Test-ADFSRPAdditionalAuthenticationRules
AdditionalAuthentication için en az bir geçirilemez kural algılandı. 
Geçiş/Uyarı Bağlı olan tarafın çok faktörlü kimlik doğrulaması (MFA) isteme kuralları vardır. Azure AD geçmek için bu kuralları Koşullu Erişim ilkelerine çevirin. Şirket içi MFA kullanıyorsanız Azure AD MFA'ya geçmenizi öneririz. Koşullu Erişim hakkında daha fazla bilgi edinin. 
Test-ADFSRPAdditionalWSFedEndpoint
Bağlı olan tarafın AdditionalWSFedEndpoint değeri true olarak ayarlanmıştır. 
Başarılı/Başarısız AD FS'deki bağlı olan taraf, birden çok WS-Fed onay uç noktasına izin verir. Şu anda Azure AD yalnızca birini desteklemektedir. Bu sonucun geçişi engellediği bir senaryonuz varsa bize bildirin. 
Test-ADFSRPAllowedAuthenticationClassReferences
Bağlı Olan Taraf AllowedAuthenticationClassReferences'ı ayarladı. 
Başarılı/Başarısız AD FS'deki bu ayar, uygulamanın yalnızca belirli kimlik doğrulama türlerine izin verecek şekilde yapılandırılıp yapılandırılmadığını belirtmenize olanak tanır. Bu özelliği elde etmek için Koşullu Erişim kullanmanızı öneririz.  Bu sonucun geçişi engellediği bir senaryonuz varsa bize bildirin.  Koşullu Erişim hakkında daha fazla bilgi edinin. 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Başarılı/Başarısız AD FS'deki bu ayar, uygulamanın SSO tanımlama bilgilerini yoksayacak şekilde yapılandırılıp yapılandırılmadığını ve Her Zaman Kimlik Doğrulaması İsteyeceğini belirtmenize olanak tanır. Azure AD'da, benzer davranışlar elde etmek için Koşullu Erişim ilkelerini kullanarak kimlik doğrulama oturumunu yönetebilirsiniz. Koşullu Erişim ile kimlik doğrulama oturumu yönetimini yapılandırma hakkında daha fazla bilgi edinin. 
Test-ADFSRPAutoUpdateEnabled
Bağlı Olan Taraf AutoUpdateEnabled değerini true olarak ayarladı
Geçiş/Uyarı AD FS'deki bu ayar, AD FS'nin federasyon meta verileri içindeki değişikliklere göre uygulamayı otomatik olarak güncelleştirecek şekilde yapılandırılıp yapılandırılmadığını belirtmenize olanak tanır. Azure AD bugün bunu desteklemez ancak uygulamanın Azure AD geçişini engellememelidir.  
Test-ADFSRPClaimsProviderName
Bağlı Olan Taraf'ta birden çok ClaimsProvider etkin
Başarılı/Başarısız AD FS'deki bu ayar, bağlı olan tarafın talepleri kabul ettiği kimlik sağlayıcılarını çağırır. Azure AD'da Azure AD B2B kullanarak dış işbirliğini etkinleştirebilirsiniz. Azure AD B2B hakkında daha fazla bilgi edinin. 
Test-ADFSRPDelegationAuthorizationRules Başarılı/Başarısız Uygulamanın tanımlı özel temsilci yetkilendirme kuralları vardır. Bu, OpenID Connect ve OAuth 2.0 gibi modern kimlik doğrulama protokollerini kullanarak Azure AD destekleyen WS-Trust bir kavramdır. Microsoft Kimlik Platformu hakkında daha fazla bilgi edinin. 
Test-ADFSRPImpersonationAuthorizationRules Geçiş/Uyarı Uygulamanın tanımlı özel kimliğe bürünme yetkilendirme kuralları vardır. Bu, Azure AD OpenID Connect ve OAuth 2.0 gibi modern kimlik doğrulama protokollerini kullanarak desteklediği WS-Trust bir kavramdır. Microsoft Kimlik Platformu hakkında daha fazla bilgi edinin. 
Test-ADFSRPIssuanceAuthorizationRules
IssuanceAuthorization için en az bir geçirilemez kural algılandı. 
Geçiş/Uyarı Uygulamanın AD FS'de tanımlanan özel verme yetkilendirme kuralları vardır. Azure AD Azure AD Koşullu Erişim ile bu işlevselliği destekler. Koşullu Erişim hakkında daha fazla bilgi edinin.
Ayrıca uygulamaya atanan kullanıcı veya gruplara göre uygulamaya erişimi kısıtlayabilirsiniz. Uygulamalara erişmek için kullanıcı ve grup atama hakkında daha fazla bilgi edinin.   
Test-ADFSRPIssuanceTransformRules
IssuanceTransform için en az bir geçirilemez kural algılandı. 
Geçiş/Uyarı Uygulamanın AD FS'de tanımlanmış özel verme dönüştürme kuralları vardır. Azure AD belirteçte verilen talepleri özelleştirmeyi destekler. Daha fazla bilgi edinmek için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme.  
Test-ADFSRPMonitoringEnabled
Bağlı Olan Taraf, MonitoringEnabled değerini true olarak ayarlamıştır. 
Geçiş/Uyarı AD FS'deki bu ayar, AD FS'nin federasyon meta verileri içindeki değişikliklere göre uygulamayı otomatik olarak güncelleştirecek şekilde yapılandırılıp yapılandırılmadığını belirtmenize olanak tanır. Azure AD bugün bunu desteklemez ancak uygulamanın Azure AD geçişini engellememelidir.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Geçiş/Uyarı AD FS, SAML belirtecindeki NotBefore ve NotOnOrAfter saatlerine göre zaman dengesizliği sağlar. Azure AD bunu varsayılan olarak otomatik olarak işler. 
Test-ADFSRPRequestMFAFromClaimsProviders
Bağlı Olan Tarafın RequestMFAFromClaimsProviders değeri true olarak ayarlanmıştır. 
Geçiş/Uyarı AD FS'deki bu ayar, kullanıcı farklı bir talep sağlayıcısından geldiğinde MFA'nın davranışını belirler. Azure AD'da Azure AD B2B kullanarak dış işbirliğini etkinleştirebilirsiniz. Ardından konuk erişimini korumak için Koşullu Erişim ilkeleri uygulayabilirsiniz. Azure AD B2B ve Koşullu Erişim hakkında daha fazla bilgi edinin. 
Test-ADFSRPSignedSamlRequestsRequired
Bağlı Olan Taraf SignedSamlRequestsRequired değerini true olarak ayarladı
Başarılı/Başarısız Uygulama, SAML isteğindeki imzayı doğrulamak için AD FS'de yapılandırılır. Azure AD imzalı bir SAML isteğini kabul eder; ancak imzayı doğrulamaz. Azure AD kötü amaçlı çağrılara karşı koruma sağlamak için farklı yöntemlere sahiptir. Örneğin, Azure AD SAML isteğini doğrulamak için uygulamada yapılandırılan yanıt URL'lerini kullanır. Azure AD yalnızca uygulama için yapılandırılan yanıt URL'lerine belirteç gönderir. Bu sonucun geçişi engellediği bir senaryonuz varsa bize bildirin. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Geçiş/Uyarı Uygulama, özel belirteç ömrü için yapılandırılır. AD FS varsayılanı bir saattir. Azure AD Koşullu Erişim kullanarak bu işlevi destekler. Daha fazla bilgi edinmek için bkz. Koşullu Erişim ile kimlik doğrulama oturumu yönetimini yapılandırma. 
Bağlı Olan Taraf, talepleri şifrelemek için ayarlanır. Bu, Azure AD tarafından desteklenir Başarılı Azure AD ile uygulamaya gönderilen belirteci şifreleyebilirsiniz. Daha fazla bilgi için bkz. SAML belirteci şifrelemesini Azure AD yapılandırma. 
EncryptedNameIdRequiredCheckResult Başarılı/Başarısız Uygulama, SAML belirtecindeki nameID talebi şifrelemek üzere yapılandırılmıştır. Azure AD ile uygulamaya gönderilen belirtecin tamamını şifreleyebilirsiniz. Belirli taleplerin şifrelenmesi henüz desteklenmiyor. Daha fazla bilgi için bkz. SAML belirteci şifrelemesini Azure AD yapılandırma.

Talep kuralı testlerinin sonuçlarını denetleme

AD FS'de uygulama için bir talep kuralı yapılandırdıysanız, deneyim tüm talep kuralları için ayrıntılı bir analiz sağlar. Hangi talep kurallarının Azure AD taşınabileceğini ve hangilerinin daha fazla gözden geçirilmesi gerektiğini göreceksiniz.

  1. AD FS uygulama etkinliği listesinde Geçiş durumu sütunundaki duruma tıklayarak geçiş ayrıntılarını açın. Başarılı olan yapılandırma testlerinin bir özetini ve olası geçiş sorunlarını görürsünüz.

  2. Geçiş kuralı ayrıntıları sayfasında, olası geçiş sorunlarıyla ilgili ayrıntıları görüntülemek ve ek yönergeler almak için sonuçları genişletin. Test edilen tüm talep kurallarının ayrıntılı listesi için aşağıdaki Talep kuralı testlerinin sonuçlarını denetleme tablosuna bakın.

    Aşağıdaki örnekte, IssuanceTransform kuralı için geçiş kuralı ayrıntıları gösterilmektedir. Uygulamayı Azure AD geçirebilmeniz için önce talebin gözden geçirilmesi ve ele alınması gereken belirli bölümleri listelenir.

    Geçiş kuralı ayrıntıları ek yönergeler

Talep kuralı testleri

Aşağıdaki tabloda AD FS uygulamalarında gerçekleştirilen tüm talep kuralı testleri listelenmiştir.

Özellik Açıklama
UNSUPPORTED_CONDITION_PARAMETER Koşul deyimi, talebin belirli bir desenle eşleşip eşleşmediğini değerlendirmek için Normal İfadeler'i kullanır.  Azure AD'de benzer bir işlev elde etmek için IfEmpty(), StartWith(), Contains( gibi önceden tanımlanmış dönüştürmeleri de kullanabilirsiniz. Daha fazla bilgi için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme. 
UNSUPPORTED_CONDITION_CLASS Koşul deyimi, verme deyimi çalıştırılmadan önce değerlendirilmesi gereken birden çok koşula sahiptir. Azure AD, birden çok talep değerini değerlendirebileceğiniz talebin dönüştürme işlevleriyle bu işlevi destekleyebilir.  Daha fazla bilgi için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme. 
UNSUPPORTED_RULE_TYPE Talep kuralı tanınamadı. Azure AD'de talepleri yapılandırma hakkında daha fazla bilgi için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme. 
CONDITION_MATCHES_UNSUPPORTED_ISSUER koşul deyimi, Azure AD'de desteklenmeyen bir Veren kullanır. Şu anda Azure AD, Active Directory veya Azure AD farklı depolardan talep kaynağı oluşturmaz. Bu, uygulamaları Azure AD geçirmenizi engelliyorsa bize bildirin.
UNSUPPORTED_CONDITION_FUNCTION koşul deyimi, eşleşme sayısından bağımsız olarak tek bir talep vermek veya eklemek için bir toplama işlevi kullanır.  Azure AD,ifEmpty(), StartWith(), Contains( gibi işlevlerle talep için hangi değerin kullanılacağına karar vermek için kullanıcının özniteliğini değerlendirebilirsiniz. Daha fazla bilgi için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme. 
RESTRICTED_CLAIM_ISSUED koşul deyimi, Azure AD'de kısıtlanmış bir talep kullanır. Kısıtlı bir talep verebilir, ancak kaynağını değiştiremez veya herhangi bir dönüştürme uygulayamazsınız. Daha fazla bilgi için bkz. Azure AD'da belirli bir uygulama için belirteçlerde gösterilen talepleri özelleştirme. 
EXTERNAL_ATTRIBUTE_STORE verme deyimi, Active Directory'nin kullandığından farklı bir öznitelik deposu kullanır. Şu anda Azure AD, Active Directory veya Azure AD farklı depolardan talep kaynağı oluşturmaz. Bu sonuç uygulamaları Azure AD geçirmenizi engelliyorsa bize bildirin. 
UNSUPPORTED_ISSUANCE_CLASS Verme deyimi, gelen talep kümesine talep eklemek için ADD kullanır. Azure AD'da bu, birden çok talep dönüştürmesi olarak yapılandırılabilir.  Daha fazla bilgi için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme.
UNSUPPORTED_ISSUANCE_TRANSFORMATION verme deyimi, yayılacak talebin değerini dönüştürmek için Normal İfadeler'i kullanır. Azure AD'de benzer işlevler elde etmek için, diğerlerinin yanı sıra Extract(), Trim(), ToLower gibi önceden tanımlanmış dönüştürmeyi de kullanabilirsiniz. Daha fazla bilgi için bkz. Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirme. 

Sorun giderme

Rapordaki tüm AD FS uygulamalarımı göremiyorum

Azure AD Connect sistem durumunu yüklediyseniz ancak yine de yükleme istemini görüyorsanız veya raporda tüm AD FS uygulamalarınızı görmüyorsanız, etkin AD FS uygulamalarınız olmayabilir veya AD FS uygulamalarınız Microsoft uygulamasıdır.

AD FS uygulama etkinliği raporu, kuruluşunuzdaki tüm AD FS uygulamalarını son 30 gün içinde etkin kullanıcılarla oturum açarken listeler. Ayrıca rapor, AD FS'de Office 365 gibi Microsoft ile ilgili bağlı olan tarafları görüntülemez. Örneğin, 'urn:federation:MicrosoftOnline', 'microsoftonline', 'microsoft:winhello:cert:prov:server' adlı bağlı olan taraflar listede gösterilmez.

Sonraki adımlar