檢閱應用程式活動報告

許多組織都使用 Active Directory 同盟服務 (AD FS) 來提供雲端應用程式的單一登錄。 將AD FS 應用程式移至 Microsoft Entra ID 以進行驗證有顯著的好處,特別是在成本管理、風險管理、生產力、合規性和治理方面。 但要了解哪些應用程式與 Microsoft Entra ID 相容,並找出特定移轉步驟,這段過程可能相當耗時。

Microsoft Entra 系統管理中心AD FS 應用程式活動報告可讓您快速識別哪些應用程式能夠移轉至 Microsoft Entra 識別碼。 該報告會評估所有 AD FS 應用程式與 Microsoft Entra ID 的相容性、檢查是否存在問題,並為轉移提供準備個別應用程式的指導方針。 透過AD FS 應用程式活動報告,您可以:

  • 探索AD FS 應用程式和範圍您的移轉。 AD FS 應用程式活動報告會列出組織中過去 30 天內,作用中使用者登入的所有 AD FS 應用程式。 報告指出應用程式移轉至 Microsoft Entra ID 的整備程度。 報表不會在 AD FS 中顯示 Microsoft 相關信賴憑證者,例如 Office 365。 例如,名稱為 'urn:federation:MicrosoftOnline' 的信賴憑證者。

  • 排定移轉應用程式的優先順序。 取得過去 1、7 或 30 天內登入應用程式的唯一用戶數目,以協助判斷移轉應用程式的關鍵性或風險。

  • 執行移轉測試並修正問題。 Reporting Service 會自動執行測試,以判斷應用程式是否已準備好移轉。 結果會顯示在AD FS 應用程式活動報告中,做為移轉狀態。 如果 AD FS 設定與 Microsoft Entra 設定不相容,您可以取得有關如何解決 Microsoft Entra 識別符中設定的特定指引。

AD FS 應用程式活動數據可供指派下列任何系統管理員角色的使用者使用:全域管理員、報告讀取者、安全性讀取者、應用程式管理員或雲端應用程式管理員。

必要條件

重要

在安裝 Microsoft Entra 連線 Health 之後,您不會看到您預期的所有應用程式。 AD FS 應用程式活動報告只會顯示過去 30 天內具有使用者登入的 AD FS 信賴憑證者。 此外,報表不會顯示 Microsoft 相關信賴憑證者,例如 Office 365。

探索可移轉的 AD FS 應用程式

AD FS 應用程式活動報告可在 Microsoft Entra 系統管理中心的 Microsoft Entra ID Usage & insights 報告中取得。 AD FS 應用程式活動報告會分析每個 AD FS 應用程式,以判斷是否可以依目前移轉,或是否需要其他檢閱。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式企業應用程式]。>

  3. 在 [活動] 底下,選取 [使用量與深入解析],然後選取 [AD FS] 應用程式活動,以開啟組織中所有 AD FS 應用程式的清單。

    AD FS application activity

  4. 如需 AD FS 應用程式活動清單中的每個應用程式,請查看 [移轉狀態]

    • [準備好移轉] 表示在 Microsoft Entra ID 中完全支援 AD FS 應用程式的設定,並可依原樣移轉。

    • [需要審查] 表示可以將部分應用程式的設定移轉至 Microsoft Entra ID,但您必須審查無法依原樣移轉的設定。

    • [需要額外的步驟] 表示 Microsoft Entra ID 不支援部分應用程式的設定,所以無法以目前狀態移轉應用程式。

評估應用程式的移轉整備程度

  1. 在AD FS 應用程式活動清單中,選取 [移轉狀態] 資料行中的 狀態 以開啟移轉詳細數據。 您會看到通過的組態測試摘要,以及任何潛在的移轉問題。

    Migration details

  2. 選取訊息以開啟其他移轉規則詳細數據。 如需已測試之屬性的完整清單,請參閱下方的 AD FS應用程式組態測試 表格。

    Migration rule details

AD FS 應用程式組態測試

下表列出在AD FS 應用程式上執行的所有設定測試。

結果 傳遞/警告/失敗 描述
Test-ADFSRPAdditionalAuthenticationRules
針對 AdditionalAuthentication 偵測到至少一個無法移轉的規則。 
傳遞/警告 信賴憑證者具有提示多重要素驗證的規則。 若要移至 Microsoft Entra 識別符,請將這些規則轉譯為條件式存取原則。 如果您使用內部部署 MFA,建議您移至 Microsoft Entra 多重要素驗證。 深入了解條件式存取。 
Test-ADFSRPAdditionalWSFedEndpoint
信賴憑證者已將AdditionalWSFedEndpoint設定為 true。 
通過/失敗 AD FS 中的信賴憑證者允許多個 WS-Fed 判斷提示端點。 目前,Microsoft Entra 僅支援一個。 如果您有此結果封鎖移轉的案例, 請告訴我們。 
Test-ADFSRPAllowedAuthenticationClassReferences
信賴憑證者已設定 AllowedAuthenticationClassReferences。 
通過/失敗 AD FS 中的此設定可讓您指定應用程式是否設定為只允許特定驗證類型。 我們建議使用條件式存取來達成這項功能。  如果您有此結果封鎖移轉的案例, 請告訴我們。  深入了解條件式存取。 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
通過/失敗 AD FS 中的此設定可讓您指定應用程式是否已設定為忽略 SSO Cookie 和 Always Prompt for Authentication。 在 Microsoft Entra ID 中,您可以使用條件式存取原則來管理驗證會話,以達到類似的行為。 深入瞭解使用條件式存取設定驗證會話管理。 
Test-ADFSRPAutoUpdateEnabled
信賴憑證者已將 AutoUpdateEnabled 設定為 true
傳遞/警告 AD FS 中的此設定可讓您指定AD FS是否設定為根據同盟元資料內的變更自動更新應用程式。 Microsoft Entra ID 目前不支援此功能,但不應封鎖將應用程式移轉至 Microsoft Entra ID。  
Test-ADFSRPClaimsProviderName
信賴憑證者已啟用多個 ClaimsProviders
通過/失敗 AD FS 中的這項設定會呼叫信賴憑證者接受宣告的來源識別提供者。 在 Microsoft Entra ID 中,您可以使用 Microsoft Entra B2B 來啟用外部共同作業。 深入瞭解 Microsoft Entra B2B。 
Test-ADFSRPDelegationAuthorizationRules 通過/失敗 應用程式已定義自定義委派授權規則。 這是 Microsoft Entra ID 使用新式驗證通訊協定支援的 WS-Trust 概念,例如 OpenID 連線 和 OAuth 2.0。 深入瞭解 Microsoft 身分識別平台。 
Test-ADFSRPImpersonationAuthorizationRules 傳遞/警告 應用程式已定義自定義模擬授權規則。 這是 Microsoft Entra ID 使用新式驗證通訊協定支援的 WS-Trust 概念,例如 OpenID 連線 和 OAuth 2.0。 深入瞭解 Microsoft 身分識別平台。 
Test-ADFSRPIssuanceAuthorizationRules
針對IssuanceAuthorization偵測到至少一個無法移轉的規則。 
傳遞/警告 應用程式具有AD FS 中定義的自訂發行授權規則。 Microsoft Entra ID 支援此功能與 Microsoft Entra 條件式存取。 深入了解條件式存取
您也可以依指派給應用程式的使用者或群組來限制對應用程式的存取。 深入瞭解如何指派使用者和群組來存取應用程式。   
Test-ADFSRPIssuanceTransformRules
已針對IssuanceTransform偵測到至少一個無法移轉的規則。 
傳遞/警告 應用程式具有AD FS 中定義的自訂發行轉換規則。 Microsoft Entra ID 支援自定義令牌中發出的宣告。 若要深入瞭解,請參閱 自定義在企業應用程式的 SAML 令牌中發出的宣告。  
Test-ADFSRPMonitoringEnabled
信賴憑證者已將 MonitoringEnabled 設為 true。 
傳遞/警告 AD FS 中的此設定可讓您指定AD FS是否設定為根據同盟元資料內的變更自動更新應用程式。 Microsoft Entra 目前不支援此功能,但不應封鎖將應用程式移轉至 Microsoft Entra 標識符。  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
傳遞/警告 AD FS 允許根據 SAML 令牌中的 NotBefore 和 NotOnOrAfter 時間進行時間扭曲。 Microsoft Entra ID 預設會自動處理此專案。 
Test-ADFSRPRequestMFAFromClaimsProviders
信賴憑證者已將 RequestMFAFromClaimsProviders 設為 true。 
傳遞/警告 當使用者來自不同宣告提供者時,AD FS 中的此設定會決定 MFA 的行為。 在 Microsoft Entra ID 中,您可以使用 Microsoft Entra B2B 來啟用外部共同作業。 然後,您可以套用條件式存取原則來保護來賓存取。 深入瞭解 Microsoft Entra B2B條件式存取。 
Test-ADFSRPSignedSamlRequestsRequired
信賴憑證者已將 SignedSamlRequestsRequired 設為 true
通過/失敗 應用程式是在 AD FS 中設定,以驗證 SAML 要求中的簽章。 Microsoft Entra ID 接受已簽署的 SAML 要求;不過,它不會驗證簽章。 Microsoft Entra ID 有不同的方法來防範惡意呼叫。 例如,Microsoft Entra ID 會使用應用程式中設定的回復 URL 來驗證 SAML 要求。 Microsoft Entra ID 只會傳送令牌以回復為應用程式設定的 URL。 如果您有此結果封鎖移轉的案例, 請告訴我們。 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
傳遞/警告 應用程式已設定為自定義令牌存留期。 AD FS 預設值為一小時。 Microsoft Entra ID 使用條件式存取支援這項功能。 若要深入瞭解,請參閱 使用條件式存取設定驗證會話管理。 
信賴憑證者會設定為加密宣告。 Microsoft Entra ID 支援此功能 通過 使用 Microsoft Entra ID,您可以加密傳送至應用程式的令牌。 若要深入瞭解,請參閱 設定 Microsoft Entra SAML 令牌加密。 
EncryptedNameIdRequiredCheckResult 通過/失敗 應用程式已設定為加密 SAML 令牌中的 nameID 宣告。 使用 Microsoft Entra ID,您可以加密傳送至應用程式的整個令牌。 尚未支援特定宣告的加密。 若要深入瞭解,請參閱 設定 Microsoft Entra SAML 令牌加密

檢查宣告規則測試的結果

如果您已在 AD FS 中為應用程式設定宣告規則,體驗將會為所有宣告規則提供細微的分析。 您會看到哪些宣告規則可以移至 Microsoft Entra ID,以及哪些宣告規則需要進一步檢閱。

  1. 在AD FS 應用程式活動清單中,選取 [移轉狀態] 資料行中的 狀態 以開啟移轉詳細數據。 您會看到通過的組態測試摘要,以及任何潛在的移轉問題。

  2. 在 [ 移轉規則詳細數據 ] 頁面上,展開結果以顯示潛在移轉問題的詳細數據,並取得其他指引。 如需所有已測試之宣告規則的詳細清單,請參閱 下方的檢查宣告規則測試 數據表的結果。

    下列範例顯示IssuanceTransform規則的移轉規則詳細數據。 它會列出宣告的特定部分,這些宣告必須經過檢閱並加以解決,才能將應用程式移轉至 Microsoft Entra ID。

    Migration rule details additional guidance

宣告規則測試

下表列出在AD FS 應用程式上執行的所有宣告規則測試。

屬性 說明
UNSUPPORTED_CONDITION_PARAMETER condition 語句會使用正則表達式來評估宣告是否符合特定模式。  若要在 Microsoft Entra ID 中達成類似的功能,您可以使用預先定義的轉換,例如 IfEmpty()、StartWith()、Contains()。 如需詳細資訊,請參閱 自定義企業應用程式 SAML 令牌中發出的宣告。 
UNSUPPORTED_CONDITION_CLASS condition 語句具有執行發行語句之前需要評估的多個條件。 Microsoft Entra ID 可透過宣告的轉換函式來支援此功能,您可以在其中評估多個宣告值。  如需詳細資訊,請參閱 自定義企業應用程式 SAML 令牌中發出的宣告。 
UNSUPPORTED_RULE_TYPE 無法辨識宣告規則。 如需如何在 Microsoft Entra ID 中設定宣告的詳細資訊,請參閱 自定義在企業應用程式的 SAML 令牌中發出的宣告。 
CONDITION_MATCHES_UNSUPPORTED_ISSUER 條件語句會使用 Microsoft Entra ID 中不支援的簽發者。 目前,Microsoft Entra 不會從 Active Directory 或 Microsoft Entra 識別符不同的存放區來源宣告。 如果這阻止您將應用程式移轉至 Microsoft Entra ID, 請讓我們知道
UNSUPPORTED_CONDITION_FUNCTION 條件語句會使用聚合函數來發出或新增單一宣告,而不論相符項目的數目為何。  在 Microsoft Entra ID 中,您可以評估使用者的屬性,以決定要用於宣告的值與 IfEmpty()、StartWith()、Contains()等函式。 如需詳細資訊,請參閱 自定義企業應用程式 SAML 令牌中發出的宣告。 
RESTRICTED_CLAIM_ISSUED condition 語句會使用 Microsoft Entra ID 中受限制的宣告。 您可以發出受限制的宣告,但無法修改其來源或套用任何轉換。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中為特定應用程式自定義令牌中發出的宣告。 
EXTERNAL_ATTRIBUTE_STORE 發行語句會使用與 Active Directory 不同的屬性存放區。 目前,Microsoft Entra 不會從 Active Directory 或 Microsoft Entra 識別符不同的存放區來源宣告。 如果此結果阻止您將應用程式移轉至 Microsoft Entra ID, 請告訴我們。 
UNSUPPORTED_ISSUANCE_CLASS 發行語句會使用 ADD 將宣告新增至傳入宣告集。 在 Microsoft Entra 識別符中,這可能會設定為多個宣告轉換。  如需詳細資訊,請參閱 自定義企業應用程式 SAML 令牌中發出的宣告。
UNSUPPORTED_ISSUANCE_TRANSFORMATION 發行語句會使用正則表達式來轉換要發出的宣告值。 若要在 Microsoft Entra ID 中達成類似的功能,您可以使用預先定義的轉換,例如 Extract()Trim()ToLower()。 如需詳細資訊,請參閱 自定義企業應用程式 SAML 令牌中發出的宣告。 

疑難排解

看不到報表中的所有AD FS 應用程式

如果您已安裝 Microsoft Entra 連線 Health,但仍會看到安裝它的提示,或您未在報告中看到所有 AD FS 應用程式,可能是您沒有作用中的 AD FS 應用程式或 AD FS 應用程式是 Microsoft 應用程式。

AD FS 應用程式活動報告會列出您組織中所有 AD FS 應用程式,並在過去 30 天內使用中使用者登入。 此外,報表不會在 AD FS 中顯示 Microsoft 相關信賴憑證者,例如 Office 365。 例如,名稱為 'urn:federation:MicrosoftOnline'、'microsoftonline'、'microsoft:winhello:cert:prov:server' 的信賴憑證者將不會顯示在列表中。

下一步