分享方式:


使用 AD FS 應用程式移轉將 AD FS 應用程式移至 Microsoft Entra ID

在本文,您將了解如何使用 AD FS 應用程式移轉,將 Active Directory 同盟服務 (AD FS) 應用程式移轉至 Microsoft Entra ID。

AD FS 應用程式移轉提供 IT 管理員引導式體驗,以將 AD FS 信賴憑證者應用程式從 AD FS 移轉至Microsoft Entra ID。 精靈提供統一的體驗,讓您探索、評估和設定新的 Microsoft Entra 應用程式。 本引導式體驗提供一鍵設定基本 SAML URL、宣告對應和使用者指派,將應用程式與 Microsoft Entra ID 進行整合。

AD FS 應用程式移轉工具的設計目的是提供端對端支援,將內部部署 AD FS 應用程式移轉至 Microsoft Entra ID。

透過 AD FS 應用程式移轉,您可以:

  • 評估 AD FS 信賴憑證者應用程式登入活動,可協助您識別指定應用程式的使用量和影響。
  • 分析 AD FS 移轉至 Microsoft Entra 的可行性,可協助您針對將應用程式移轉至 Microsoft Entra 平台,識別阻礙移轉的因素或所需動作。
  • 使用一鍵應用程式移轉流程來設定新的 Microsoft Entra 應用程式,這會自動設定 AD FS 應用程式設定新的 Microsoft Entra 應用程式。

必要條件

若要使用 AD FS 應用程式移轉:

  • 您的組織目前必須使用 AD FS 存取應用程式。
  • 擁有 Microsoft Entra ID P1 或 P2 授權。
  • 您應該已指派下列其中一個角色,
    • 雲端應用程式系統管理員
    • 應用程式系統管理員
    • 全域讀取者(唯讀存取權)
    • 報告讀取者(唯讀存取權)
  • Microsoft Entra Connect 應與 Microsoft Entra Connect Health AD FS 健康情況代理程式一起安裝在內部部署環境中。

有幾個原因會讓您在安裝適用於 AD FS 的 Microsoft Entra Connect Health 代理程序之後,看不到預期的所有應用程式:

  • AD FS 應用程式移轉儀表板只會顯示過去 30 天內有使用者登入的 AD FS 應用程式。
  • 與 Microsoft 相關的 AD FS 信賴憑證者應用程式不會顯示在儀表板上。

在 Microsoft Entra ID 中檢視 AD FS 應用程式移轉儀表板

AD FS 應用程式移轉儀表板位於 [使用方式與深入解析] 報告下的 Microsoft Entra 系統管理中心。 可從兩個地方進入精靈:

從 [企業應用程式] 一節:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]
  3. 使用量與深入解析下,選取 [AD FS 應用程式移轉],存取 AD FS 應用程式移轉儀表板。

監視與健康情況 一節:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[監視與健康情況]>[企業應用程式]
  3. 管理下,選取 [使用方式與深入解析],然後再選取 [AD FS 應用程式移轉],存取 AD FS 應用程式移轉儀表板。

AD FS 應用程式移轉儀表板會顯示過去 30 天內主動擁有登入流量的所有 AD FS 信賴憑證者應用程式清單。

儀表板具有日期範圍篩選功能。 篩選功能可讓您根據選取的時間範圍,選取所有作用中的 AD FS 信賴憑證者應用程式。 篩選功能支援過去 1 天、7 天和 30 天的期間。

有三個索引標籤提供應用程式、可設定應用程式,以及先前設定應用程式的完整清單。 在此儀表板中,您會看到移轉工作的整體進度概觀。

儀表板上的三個索引標籤如下:

  • 所有應用程式 - 顯示從內部部署環境探索到的所有應用程式清單。
  • 準備好移轉 - 顯示移轉狀態為 [就緒] 或 [需要審閱] 的所有應用程式清單。
  • 準備好設定 - 顯示先前使用 AD FS 應用程式移轉精靈進行移轉的所有 Microsoft Entra 應用程式清單。

應用程式移轉狀態

適用於 AD FS 的 Microsoft Entra Connect 和 Microsoft Entra Connect Health 代理程式會讀取您的 AD FS 信賴憑證者應用程式設定和登入稽核記錄。 有關每個 AD FS 應用程式的此資料都會經過分析,以判斷應用程式是否可以依現況移轉,或者是否需要其他審閱。 根據此分析的結果,指出指定應用程式的移轉狀態處於下列其中一個狀態:

  • 準備好移轉表示,Microsoft Entra ID 中完全支援 AD FS 應用程式設定,而且可以依現況移轉。
  • 需要審核表示,某些應用程式的設定可以移轉至 Microsoft Entra ID,但您需要審核這些無法依現況移轉的設定。 不過,這些都不是阻礙移轉的因素。
  • 需要其他步驟表示,Microsoft Entra ID 不支援某些應用程式的設定,因此應用程式無法以目前的狀態進行移轉。

請更詳細地審閱 AD FS 應用程式移轉儀表板上的每個索引標籤。

「所有應用程式」索引標籤

所有應用程式索引標籤,顯示所選日期範圍中的所有作用中 AD FS 信賴憑證者應用程式。 使用者可以使用匯總的登入資料來分析每個應用程式的影響。 他們也可以使用 [移轉狀態] 連結來瀏覽至詳細資料窗格。

若要檢視每個驗證規則的詳細資料,請參閱 AD FS 應用程式移轉驗證規則

AD FS 應用程式移轉詳細資料窗格的螢幕擷取畫面。

選取訊息以開啟其他的移轉規則詳細資料。 如需測試過的屬性完整清單,請參閱下方的設定測試表格。

檢查宣告規則測試的結果

如果已在 AD FS 中設定應用程式的宣告規則,此體驗會為所有宣告規則提供細微分析。 您會看到哪些宣告規則可以移至 Microsoft Entra ID,以及哪些需要進一步審閱。

  1. 所有應用程式索引標籤的應用程式清單中選取應用程式,然後選取 [移轉狀態] 資料行中的狀態,以檢視移轉詳細資料。 您會看到傳遞的設定測試摘要,以及任何可能的移轉問題。
  2. 移轉規則詳細資料頁面,展開結果以顯示潛在移轉問題的詳細資料,並取得其他指引。 如需測試過的所有宣告規則的詳細清單,請參閱本文中的宣告規則測試一節。

下列範例顯示 IssuanceTransform 規則的移轉規則詳細資料。 這會列出宣告的特定部分,您必須先檢閱並處理這些部分,才可以將應用程式移轉至 Microsoft Entra ID。

AD FS 應用程式移轉規則詳細資料窗格的螢幕擷取畫面。

宣告規則測試

下表列出在 AD FS 應用程式上執行的所有宣告規則測試。

屬性 說明
UNSUPPORTED_CONDITION_PARAMETER 條件陳述式會使用規則運算式來評估宣告是否符合特定模式。 若要在 Microsoft Entra ID 中達成類似的功能,您可以使用預先定義的轉換,例如 IfEmpty()、StartWith()、Contains() 等等。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告
UNSUPPORTED_CONDITION_CLASS 條件陳述式具有多個必須在執行發行陳述式之前評估的條件。 Microsoft Entra ID 可使用宣告的轉換函式來支援這項功能,您可以在轉換函式中評估多個宣告值。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告
UNSUPPORTED_RULE_TYPE 無法辨識宣告規則。 如需如何在 Microsoft Entra ID 中設定宣告的相關資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告
CONDITION_MATCHES_UNSUPPORTED_ISSUER 條件陳述式使用 Microsoft Entra ID 中不支援的簽發者。 目前,Microsoft Entra 不會從 Active Directory 或 Microsoft Entra ID 以外的存放區取得宣告。 如果這會阻止您將應用程式移轉至 Microsoft Entra ID,請讓我們知道
UNSUPPORTED_CONDITION_FUNCTION 不論相符專案數目為何,條件陳述式都會使用彙總函式來發出或加入單一宣告。 在 Microsoft Entra ID 中,您可以評估使用者的屬性,以決定使用 IfEmpty()、StartWith()、Contains() 等函式的宣告要使用什麼值。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告
RESTRICTED_CLAIM_ISSUED 條件陳述式使用在 Microsoft Entra ID 中受限的宣告。 您可以發出受限制的宣告,但無法修改其來源或套用任何轉換。 如需詳細資訊,請參閱為 Microsoft Entra ID 中的特定應用程式自訂權杖所發出的宣告
EXTERNAL_ATTRIBUTE_STORE 此發行陳述式使用 Active Directory 的屬性存放區。 目前,Microsoft Entra 不會從 Active Directory 或 Microsoft Entra ID 以外的存放區取得宣告。 如果此結果會阻止您將應用程式移轉至 Microsoft Entra ID,請讓我們知道
UNSUPPORTED_ISSUANCE_CLASS 此發行陳述式使用 ADD,將宣告新增至連入宣告集。 在 Microsoft Entra ID,這可設定為多個宣告轉換。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告
UNSUPPORTED_ISSUANCE_TRANSFORMATION 發行陳述式會使用規則運算式來轉換要發出的宣告值。 若要在 Microsoft Entra ID 中達到類似的功能,您可以使用預先定義的轉換,例如 Extract()Trim()ToLower()。 如需詳細資訊,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告

「準備好移轉」索引標籤

準備好移轉索引標籤顯示移轉狀態為 [就緒] 或 [需要審閱] 的所有應用程式。

您可以使用登入資料來識別每個應用程式的影響,並選取適合移轉的應用程式。 選取 [開始移轉] 連結至起始輔助的一鍵應用程式移轉流程。

「準備好設定」索引標籤

此索引標籤會顯示先前使用 AD FS 應用程式移轉精靈進行移轉的所有Microsoft Entra 應用程式清單。

[應用程式名稱] 是新 Microsoft Entra 應用程式的名稱。 [應用程式識別碼] 與 AD FS 信賴憑證者應用程式識別碼相同,可用來產生應用程式與 AD FS 環境的關聯。 在 Microsoft Entra 中設定應用程式連結可讓您瀏覽至 [企業應用程式] 區段中新設定的 Microsoft Entra 應用程式。

使用 AD FS 應用程式移轉精靈將應用程式從 AD FS 移轉至 Microsoft Entra ID

  1. 若要起始應用程式移轉,請從準備好移轉索引標籤中,對您要移轉的應用程式,選取 [開始移轉] 連結。
  2. 該連結會將您重新導向至 AD FS 應用程式移轉精靈的輔助一鍵應用程式移轉區段。 精靈上的所有設定都會從您的內部部署 AD FS 環境匯入。

在我們瀏覽精靈中各種索引標籤的詳細資料之前,請務必了解支援和不支援的設定。

支援的設定

輔助 AD FS 應用程式移轉支援下列設定:

  • 僅支援 SAML 應用程式設定。
  • 自訂新 Microsoft Entra 應用程式名稱的選項。
  • 允許使用者從應用程式範本資源庫選取任何應用程式範本。
  • 基本 SAML 應用程式設定的設定,亦即,識別碼和回覆 URL。
  • Microsoft Entra 應用程式的設定,允許租用戶的所有使用者。
  • 自動指派群組給 Microsoft Entra 應用程式。
  • 從 AD FS 信賴憑證者宣告設定中擷取的 Microsoft Entra 相容宣告設定。

不支援的組態:

AD FS 應用程式移轉不支援下列設定:

  • 不支援 OIDC (OpenID Connect)、OAuth 和 WS-同盟設定。
  • 不支援自動設定條件式存取原則,不過,使用者可以在將新應用程式設定到其租用戶之後進行相同的設定。
  • 簽署憑證不會從 AD FS 信賴憑證者應用程式移轉。 AD FS 應用程式移轉精靈中有下列索引標籤:

請在 AD FS 應用程式移轉精靈的輔助一鍵應用程式移轉一節中,查看每個索引標籤的詳細資料

「基本資料」索引標籤

  • [應用程式名稱],預先填入 AD FS 信賴憑證者應用程式名稱。 您可以將該名稱用作新 Microsoft Entra 應用程式的名稱。 您也可以將名稱修改為您偏好的任何其他值。
  • [應用程式範本]。 選取最適合您應用程式的任何應用程式範本。 若不想使用任何範本,可以略過此選項。

「使用者和群組」索引標籤

一鍵設定會自動將與內部部署設定相同的使用者和群組指派給您的 Microsoft Entra 應用程式。

所有群組都會擷取自 AD FS 信賴憑證者應用程式的存取控制原則。 應使用 Microsoft Entra Connect 代理程式,將群組同步至您的 Microsoft Entra 租用戶。 如果群組與 AD FS 信賴憑證者應用程式對應,但未與 Microsoft Entra 租用戶同步。 設定會略過這些群組。

在內部部署 AD FS 環境中,輔助使用者和群組設定支援下列設定:

  • 允許租用戶中的每個人。
  • 允許特定群組。

AD FS 使用者和群組設定窗格的螢幕擷取畫面。

這些是您可以在設定精靈上檢視的使用者和群組。 這是唯讀檢視,您無法對本區段進行任何變更。

「SAML 設定」索引標籤

此索引標籤會顯示用於 Microsoft Entra 應用程式單一登入設定的基本 SAML 屬性。 目前僅對應必要的屬性,其僅為「識別碼」和「回覆 URL」。

這些設定會直接從 AD FS 信賴憑證者應用程式實作,而且無法從這個索引標籤進行修改。不過,設定應用程式之後,便可從企業應用程式的「Microsoft Entra 系統管理中心單一登入」窗格,進行修改。

AD FS SAML 設定窗格的螢幕擷取畫面。

AD FS 應用程式移轉 SAML 設定索引標籤的螢幕擷取畫面。

「宣告」索引標籤

所有 AD FS 宣告不會轉譯為 Microsoft Entra 宣告。 移轉精靈僅支援特定宣告。 若發現任何遺失的宣告,您可以在 Microsoft Entra 系統管理中心的已移轉企業應用程式上,設定這些宣告。

如果 AD FS 信賴憑證者應用程式已設定 Microsoft Entra ID 支援的 nameidentifier,則會將其設定為 nameidentifier。 否則,user.userprincipalname 會作為預設的 nameidentifier 宣告使用。

AD FS 宣告設定窗格的螢幕擷取畫面。

這是唯讀檢視,您無法在此進行任何變更。

AD FS 應用程式移轉宣告設定索引標籤的螢幕擷取畫面。

「後續步驟」索引標籤

此索引標籤提供使用者端預期的後續步驟或審閱相關資訊。 下列範例顯示 Microsoft Entra ID 不支援的 AD FS 信賴憑證者應用程式設定清單。

您可以從這個索引標籤中存取相關文件,調查並了解問題。

AD FS 應用程式移轉後續步驟索引標籤的螢幕擷取畫面。

「檢閱 + 建立」索引標籤

此索引標籤顯示您在先前索引標籤中看到的所有設定摘要。 您可以再次審閱。 滿意所有設定,並想繼續進行應用程式移轉之後,請選取 [建立] 按鈕以開始移轉流程。 這會將新的應用程式移轉至您的 Microsoft Entra 租用戶。

應用程式移轉流程目前有九個步驟,您可以使用通知進行監視。 工作流程會完成下列操作:

  • 建立應用程式註冊
  • 建立服務主體
  • 設置 SAML 設定
  • 為應用程式指派使用者和群組
  • 設定宣告

完成移轉流程之後,您會看到通知訊息,內容為應用程式移轉成功

應用程式移轉成功訊息的螢幕擷取畫面。

在應用程式移轉完成時,會將您重新導向至 [準備好設定] 索引標籤,其中會顯示所有先前已移轉的應用程式,包括您已設定的最新應用程式。

檢閱和設定企業應用程式

  1. 準備好設定 索引標籤,您可以使用在 Microsoft Entra 中設定應用程式連結,瀏覽「企業應用程式」一節中的新設定應用程式。 依預設會進入您應用程式的 [SAML 型登入] 頁面。

    SAML 型登入窗格的螢幕擷取畫面。

  2. SAML 型登入窗格,所有 AD FS 信賴憑證者應用程式設定都已套用至新移轉的 Microsoft Entra 應用程式。 基本 SAML 設定中的識別碼回覆 URL屬性,以及 AD FS 應用程式移轉精靈屬性與宣告索引標籤中的宣告清單,都與企業應用程式上的相同。

  3. 從應用程式的屬性 窗格中,應用程式範本標誌會表示應用程式已連結至選取的應用程式範本。 在擁有者頁面,目前的管理員使用者會新增為應用程式的其中一個擁有者。

  4. 使用者和群組窗格,所有必要群組都已指派給應用程式。

審閱已移轉的企業應用程式之後,您可以根據業務需求更新應用程式。 您可以新增或更新宣告、指派更多使用者和群組,或設定條件式存取原則,啟用多重要素驗證或其他條件式授權功能的支援。

回復

AD FS 應用程式移轉精靈的一鍵設定會將新應用程式移轉至 Microsoft Entra 租用戶。 不過,在重新導入登入流量之前,已移轉的應用程式會保持非使用中狀態。 在那之前,若要復原,可從租用戶中刪除新移轉的 Microsoft Entra 應用程式。

精靈不會自動清除任何內容。 倘若不想繼續設定已移轉的應用程式,則必須從租用戶手動刪除應用程式。 如需刪除應用程式註冊及其對應企業應用程式的指示,請參閱下列 URL:

疑難排解秘訣

看不到報告中所有的 AD FS 應用程式

如果已安裝適用於 AD FS 的 Microsoft Entra Connect Health 代理程式,但仍看到安裝的提示,或您沒有在報告中看到所有 AD FS 應用程式,可能是您沒有作用中的 AD FS 應用程式,或您的 AD FS 應用程式是 Microsoft 應用程式。

注意

AD FS 應用程式移轉僅會列出您組織中過去 30 天內有作用中使用者登入的所有 AD FS 應用程式。 報告不會在 AD FS 中顯示 Microsoft 相關的信賴憑證者,例如 Office 365。 例如,名稱為 urn:federation:MicrosoftOnlinemicrosoftonlinemicrosoft:winhello:cert:prov:server 的信賴憑證者不會顯示在清單中。

為什麼我會看到「具有相同識別碼的應用程式已存在」的驗證錯誤?

租用戶內的每個應用程式都應該有唯一的應用程式識別碼。 若看到此錯誤訊息,表示在您的 Microsoft Entra 租用戶中,還有另一個應用程式具有相同的識別碼。 在此情況下,您必須更新現有的應用程式識別碼或更新 AD FS 信賴憑證者應用程式識別碼,並等候 24 小時以反映更新。

下一步