檢閱應用程式活動報告
許多組織都使用 Active Directory 同盟服務 (AD FS) 來提供雲端應用程式的單一登入。 將 AD FS 應用程式移至 Azure AD 進行驗證有多種優點,尤其是在成本管理、風險管理、生產力、合規性和治理方面。 但要了解哪些應用程式與 Azure AD 相容,並找出特定移轉步驟,這段過程可能相當耗時。
Azure 入口網站中的 AD FS 應用程式活動報告可讓您快速找出哪些應用程式能夠移轉至 Azure AD。 它會評估所有 AD FS 應用程式是否與 Azure AD 相容、檢查是否有任何問題,並為轉移提供準備個別應用程式的指導方針。 使用 AD FS 應用程式活動報告,您可以:
探索 AD FS 的應用程式,並為您的移轉測量範圍。 AD FS 應用程式活動報告會列出組織中過去 30 天內,作用中使用者登入的所有 AD FS 應用程式。 此報告表示應用程式已準備好移轉至 Azure AD。 報告不會在 AD FS 中顯示 Microsoft 相關的信賴憑證者,例如 Office 365。 例如,名為 'urn:federation:MicrosoftOnline' 的信賴憑證者。
排定應用程式的移轉優先順序。 取得過去 1 天、7 天或 30 天內已登入應用程式的唯一使用者數目,以協助判斷移轉應用程式的重要性或風險。
執行移轉測試並修正問題。 報表服務會自動執行測試,以判斷應用程式是否準備好移轉。 結果會作為移轉狀態顯示在 [AD FS 應用程式活動] 報告中。 如果 AD FS 設定與 Azure AD 設定不相容,您可以取得有關如何在 Azure AD 中解決設定的特定指引。
AD FS 應用程式活動資料可供指派下列任何系統管理員角色的使用者使用:全域管理員、報告讀取者、安全性讀取者、應用程式管理員或雲端應用程式管理員。
必要條件
- 您的組織目前必須使用 AD FS 存取應用程式。
- Azure AD 租用戶中必須啟用 Azure AD Connect Health。
- 您必須安裝 AD FS 代理程式的 Azure AD Connect Health。
- 深入了解 Azure AD Connect Health
- 開始設定 Azure AD Connect Health,並安裝 AD FS 代理程式
重要
有幾個原因會讓您在安裝 Azure AD Connect Health 之後,看不到預期的所有應用程式。 AD FS 應用程式活動報告只會顯示過去 30 天內有使用者登入 AD FS 的信賴憑證者。 報告不會在 AD FS 中顯示 Microsoft 相關的信賴憑證者,例如 Office 365。
探索可移轉的 AD FS 應用程式
AD FS 的應用程式活動報告可在 Azure AD Azure 入口網站的 [使用方式 & 見解] 底下取得。 AD FS 的應用程式活動報告會分析每個 AD FS 的應用程式,以判斷其是否可以依原樣移轉,或是否需要額外審閱。
使用可存取 AD FS 應用程式活動資料的系統管理員角色登入Azure 入口網站, (全域管理員、報告讀取者、安全性讀取者、應用程式管理員或雲端應用程式管理員) 。
選取 [Azure Active Directory],然後選取 [企業應用程式]。
在 [活動] 底下,選取 [使用量 & 見解],然後選取 [AD FS 應用程式活動],以開啟組織中所有 AD FS 應用程式的清單。
如需 AD FS 應用程式活動清單中的每個應用程式,請查看 [移轉狀態]:
[準備好移轉] 表示在 Azure AD 中完全支援 AD FS 應用程式的設定,並可依原樣移轉。
[需要審查] 表示可以將部分應用程式的設定移轉至 Azure AD,但您必須審查無法依原樣移轉的設定。
[需要額外的步驟] 表示 Azure AD 不支援部分應用程式的設定,所以無法以目前狀態移轉應用程式。
評估應用程式是否準備好進行移轉
在 [AD FS 應用程式活動] 清單中,按一下 [移轉狀態] 資料行中的狀態以開啟 [移轉詳細資料]。 您將會看到傳遞的設定測試摘要,以及任何可能的移轉問題。
按一下訊息以開啟其他的移轉規則詳細資料。 如需測試過的屬性完整清單,請參閱下方的 AD FS 應用程式設定測試表格。
AD FS 應用程式設定測試
下表列出在 AD FS 應用程式上執行的所有設定測試。
| 結果 | 通過/警告/失敗 | Description |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules 偵測到至少有一個非可移轉規則的 AdditionalAuthentication。 |
通過/警告 | 信賴憑證者有規則,可提示多重要素驗證 (MFA)。 若要移至 Azure AD,請將這些規則轉譯成條件式存取原則。 如果您使用內部部署 MFA,建議您移至 Azure AD MFA。 深入了解條件式存取。 |
| Test-ADFSRPAdditionalWSFedEndpoint 信賴憑證者的 AdditionalWSFedEndpoint 設為 True。 |
通過/失敗 | AD FS 中的信賴憑證者允許多個 WS-Fed 判斷提示端點。 Azure AD 目前僅支援一個。 如果您有此結果封鎖移轉的案例,請讓我們知道。 |
| Test-ADFSRPAllowedAuthenticationClassReferences 信賴憑證者已設定 AllowedAuthenticationClassReferences。 |
通過/失敗 | AD FS 中的這項設定可讓您指定是否將應用程式設定為只允許特定驗證類型。 我們建議使用條件式存取來達成這項功能。 如果您有此結果封鎖移轉的案例,請讓我們知道。 深入了解條件式存取。 |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
通過/失敗 | AD FS 中的這項設定可讓您指定是否要將應用程式設定為忽略 SSO cookie,並一律提示進行驗證。 在 Azure AD 中,您可以使用條件式存取原則來管理驗證工作階段,以達成類似的行為。 使用條件式存取來設定驗證工作階段管理。 |
| Test-ADFSRPAutoUpdateEnabled 信賴憑證者的 AutoUpdateEnabled 設為 True |
通過/警告 | AD FS 中的這項設定可讓您指定是否將 AD FS 設定為根據同盟中繼資料內的變更自動更新應用程式。 Azure AD 目前不支援此項,但不應該封鎖將應用程式移轉至 Azure AD。 |
| Test-ADFSRPClaimsProviderName 信賴憑證者已啟用多個 Claimsprovider |
通過/失敗 | AD FS 中的這項設定會呼叫信賴憑證者接受宣告的身分識別提供者。 在 Azure AD 中,您可以使用 Azure AD B2B 來啟用外部共同作業。 深入了解 Azure AD B2B。 |
| Test-ADFSRPDelegationAuthorizationRules | 通過/失敗 | 應用程式已定義自訂委派授權規則。 這是 Azure AD 使用新式驗證通訊協定 (例如 OpenID Connect 和 OAuth 2.0) 支援的 WS-Trust 概念。 深入瞭解 Microsoft 身分識別平台。 |
| Test-ADFSRPImpersonationAuthorizationRules | 通過/警告 | 應用程式已定義自訂模擬授權規則。 這是 Azure AD 使用新式驗證通訊協定 (例如 OpenID Connect 和 OAuth 2.0) 支援的 WS-Trust 概念。 深入瞭解 Microsoft 身分識別平台。 |
| Test-ADFSRPIssuanceAuthorizationRules 偵測到至少有一個非可移轉規則的 IssuanceAuthorization。 |
通過/警告 | 應用程式已在 AD FS 中定義自訂的發佈授權規則。 Azure AD 透過 Azure AD 條件式存取支援此功能。 深入了解條件式存取。 您也可以依指派給應用程式的使用者或群組,限制對應用程式的存取。 深入了解如何指派使用者及群組來存取應用程式。 |
| Test-ADFSRPIssuanceTransformRules 偵測到至少有一個非可移轉規則的 IssuanceTransform。 |
通過/警告 | 應用程式已在 AD FS 中定義自訂的發佈轉換規則。 Azure AD 支援自訂權杖中所發出的宣告。 若要深入瞭解,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| Test-ADFSRPMonitoringEnabled 信賴憑證者的 MonitoringEnabled 設為 True。 |
通過/警告 | AD FS 中的這項設定可讓您指定是否將 AD FS 設定為根據同盟中繼資料內的變更自動更新應用程式。 Azure AD 目前不支援此項,但不應該封鎖將應用程式移轉至 Azure AD。 |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
通過/警告 | AD FS 允許 SAML 權杖中的時間差異以 NotBefore 與 NotOnOrAfter 時間為準。 根據預設,Azure AD 會處理此情況。 |
| Test-ADFSRPRequestMFAFromClaimsProviders 信賴憑證者的 RequestMFAFromClaimsProviders 設為 True。 |
通過/警告 | AD FS 中的這項設定,會決定當使用者來自不同宣告提供者時 MFA 的行為。 在 Azure AD 中,您可以使用 Azure AD B2B 來啟用外部共同作業。 然後,您可以套用條件式存取原則來保護來賓存取。 深入了解 Azure AD B2B 和條件式存取。 |
| Test-ADFSRPSignedSamlRequestsRequired 信賴憑證者的 SignedSamlRequestsRequired 設為 True |
通過/失敗 | 應用程式會在 AD FS 中設定,以驗證 SAML 要求中的簽章。 Azure AD 接受已簽署的 SAML 要求,但不會驗證簽章。 Azure AD 有不同的方法可防止惡意呼叫。 例如,Azure AD 使用在應用程式中設定的回復 URL 來驗證 SAML 要求。 Azure AD 只會傳送權杖給針對應用程式設定的回復 URL。 如果您有此結果封鎖移轉的案例,請讓我們知道。 |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
通過/警告 | 應用程式會設定為自訂權杖存留期。 AD FS 預設值為一小時。 Azure AD 透過 Azure AD 條件式存取支援此功能。 若要深入瞭解,請參閱使用條件式存取來設定驗證工作階段管理。 |
| 信賴憑證者設定為加密宣告。 Azure AD 支援此功能 | 通過 | 您可使用 Azure AD 加密傳送到應用程式的權杖。 如需深入了解,請參閱設定 Azure AD SAML 權杖加密。 |
| EncryptedNameIdRequiredCheckResult | 通過/失敗 | 應用程式會設定為加密 SAML 權杖中的 nameID 宣告。 您可使用 Azure AD 加密傳送到應用程式的權杖。 尚未支援特定宣告的加密。 如需深入了解,請參閱設定 Azure AD SAML 權杖加密。 |
檢查宣告規則測試的結果
如果您已在 AD FS 中設定應用程式的宣告規則,此體驗將會為所有宣告規則提供細微分析。 您將會看到哪些宣告規則可移至 Azure AD,哪些宣告規則需要進一步審核。
在 [AD FS 應用程式活動] 清單中,按一下 [移轉狀態] 資料行中的狀態以開啟 [移轉詳細資料]。 您將會看到傳遞的設定測試摘要,以及任何可能的移轉問題。
在 [移轉規則詳細資料] 頁面上,展開結果以顯示潛在移轉問題的詳細資料,並取得其他指引。 如需所有測試之宣告規則的詳細清單,請參閱下方的檢查宣告規則測試的結果表格。
下列範例顯示 IssuanceTransform 規則的移轉規則詳細資料。 其會列出宣告的特定部分,您必須先審閱並處理這些部分,才可以將應用程式移轉至 Azure AD。
宣告規則測試
下表列出在 AD FS 應用程式上執行的所有宣告規則測試。
| 屬性 | 描述 |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | 條件陳述式會使用正則運算式來評估宣告是否符合特定模式。 若要在 Azure AD 中達成類似的功能,您可以使用預先定義的轉換,例如 IfEmpty()、StartWith()、Contains() 和其他。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| UNSUPPORTED_CONDITION_CLASS | 條件陳述式具有多個必須在執行發行陳述式之前評估的條件。 Azure AD 可能會使用宣告的轉換函式來支援這項功能,您可以在轉換函式中評估多個宣告值。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| UNSUPPORTED_RULE_TYPE | 無法辨識宣告規則。 如需有關如何在 Azure AD 中設定宣告的詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | 條件陳述式使用 Azure AD 中不支援的簽發者。 目前,Azure AD 不會追蹤 Active Directory 或 Azure AD 不同存放區的來源。 如果這會封鎖您將應用程式移轉至 Azure AD,請讓我們知道。 |
| UNSUPPORTED_CONDITION_FUNCTION | 不論相符專案數目為何,條件陳述式都會使用彙總函式來發出或加入單一宣告。 在 Azure AD 中,您可以評估使用者的屬性,以決定要使用哪些函式作為宣告值,例如 IfEmpty()、StartWith()、Contains() 以及其他專案。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| RESTRICTED_CLAIM_ISSUED | 條件陳述式使用 Azure AD 中受限制的宣告。 您可以發出受限的宣告,但無法修改其來源或套用任何轉換。 如需詳細資訊,請參閱為 Azure AD 中的特定應用程式自訂權杖所發出的宣告。 |
| EXTERNAL_ATTRIBUTE_STORE | 此發行陳述式使用 Active Directory 的屬性存放區。 目前,Azure AD 不會追蹤 Active Directory 或 Azure AD 不同存放區的來源。 如果此結果會封鎖您將應用程式移轉至 Azure AD,請讓我們知道。 |
| UNSUPPORTED_ISSUANCE_CLASS | 此發行陳述式使用 ADD,將宣告新增至連入宣告集。 在 Azure AD 中,這可以設定為多個宣告轉換。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | 發行陳述式會使用正則運算式來轉換要發出的宣告值。 若要在 Azure AD 中達成類似的功能,您可以使用預先定義的轉換,例如 Extract()、Trim()、ToLower 和其他。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
疑難排解
看不到報告中所有的 AD FS 應用程式
如果您已安裝 Azure AD Connect Health,但仍看到安裝的提示,或您沒有在報告中看到所有 AD FS 應用程式,可能是您沒有作用中的 AD FS 應用程式,或您的 AD FS 應用程式是 Microsoft 應用程式。
「AD FS 應用程式活動報告」會列出您組織中過去 30 天內有作用中使用者登入的所有 AD FS 應用程式。 此外,報告不會在 AD FS 中顯示 Microsoft 相關的信賴憑證者,例如 Office 365。 例如,名稱為 'urn:federation:MicrosoftOnline'、'microsoftonline'、'microsoft:winhello:cert:prov:server' 的信賴憑證者將不會顯示在清單中。