AD FS 應用程式移轉概觀 (預覽)
在本文中,您將了解 AD FS 應用程式移轉精靈的功能,及其儀表板上可用的移轉狀態。 您也會了解應用程式移轉對您想要從 AD FS 移轉至 Microsoft Entra ID 的每個應用程式所產生的各種驗證測試。
AD FS 應用程式移轉精靈可讓您快速找出哪些應用程式能夠移轉至 Microsoft Entra ID。 其會評估所有 AD FS 應用程式與 Microsoft Entra ID 的相容性。 此外,也會檢查任何問題並提供指引,說明如何準備個別應用程式以進行移轉,以及如何使用一鍵體驗來設定新的 Microsoft Entra 應用程式。
使用 AD FS 應用程式移轉精靈,您可以:
探索 AD FS 應用程式和界定移轉:AD FS 應用程式移轉精靈會列出組織中在過去 30 天內有作用中使用者登入的所有 AD FS 應用程式。 此報告表示應用程式已準備好移轉至 Microsoft Entra ID。 報告不會在 AD FS 中顯示 Microsoft 相關的信賴憑證者,例如 Office 365。 例如,名稱為
urn:federation:MicrosoftOnline的信賴憑證者。設定移轉應用程式的優先順序:取得過去 1 天、7 天或 30 天內已登入應用程式的唯一使用者數目,以協助判斷移轉應用程式的重要性或風險。
執行移轉測試並修正問題:報表服務會自動執行測試,以判斷應用程式是否已準備好移轉。 結果會作為移轉狀態顯示在 AD FS 應用程式移轉儀表板中。 如果 AD FS 設定與 Microsoft Entra 設定不相容,則會提供特定指引,讓您了解如何解決 Microsoft Entra ID 中的設定。
使用一鍵應用程式設定體驗來設定新的 Microsoft Entra 應用程式:這會提供引導式體驗,以將內部部署信賴憑證者應用程式移轉至雲端。 移轉體驗會使用直接從內部部署環境匯入的信賴憑證者應用程式中繼資料。 此外,體驗也會在 Microsoft Entra 平台上提供 SAML 應用程式的一鍵設定,其中包含一些基本 SAML 設定、宣告設定和群組指派。
注意
AD FS 應用程式移轉僅支援 SAML 型應用程式。 不支援使用 OpenID Connect、WS-Fed 和 OAuth 2.0 等通訊協定的應用程式。 若要移轉使用這些通訊協定的應用程式,請參閱使用 AD FS 應用程式活動報告來識別您想要移轉的應用程式。 一旦您識別出想要移轉的應用程式之後,就可以在 Microsoft Entra ID 中進行手動設定。 如需如何開始手動移轉的詳細資訊,請參閱移轉及測試您的應用程式。
AD FS 應用程式移轉狀態
適用於 AD FS 的 Microsoft Entra Connect 和 Microsoft Entra Connect Health 代理程式會讀取您的內部部署信賴憑證者應用程式設定和登入稽核記錄。 有關每個 AD FS 應用程式的此資料都會經過分析,以判斷是否可以依現況移轉,或者是否需要其他審閱。 根據此分析的結果,判斷指定應用程式的移轉狀態。
應用程式會依下列移轉狀態進行分類:
- [準備好移轉] 表示在 Microsoft Entra ID 中完全支援 AD FS 應用程式的設定,並可依原樣移轉。
- 需要審閱表示某些應用程式的設定可以移轉至 Microsoft Entra ID,但您需要審閱無法依現況移轉的設定。
- 需要其他步驟表示 Microsoft Entra ID 不支援某些應用程式的設定,因此應用程式無法以目前的狀態進行移轉。
AD FS 應用程式移轉驗證測試
根據下列預先定義的 AD FS 應用程式設定測試,評估應用程式是否已準備好。 測試會自動執行,且結果會作為移轉狀態顯示在 AD FS 應用程式移轉儀表板中。 如果 AD FS 設定與 Microsoft Entra 設定不相容,則會提供特定指引,讓您了解如何解決 Microsoft Entra ID 中的設定。
AD FS 應用程式移轉深入解析狀態更新
更新應用程式時,內部代理程式會在幾分鐘內同步更新。 不過,AD FS 移轉深入解析作業會負責評估更新並計算新的移轉狀態。 這些工作排定每 24 小時執行一次,這表示資料只會在每天的國際標準時間 (UTC) 00:00 左右計算一次。
| 結果 | 通過/警告/失敗 | 描述 |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules 偵測到至少有一個非可移轉規則的 AdditionalAuthentication。 |
通過/警告 | 信賴憑證者有規則,可提示多重要素驗證 (MFA)。 若要移至 Microsoft Entra ID,請將這些規則轉譯成 [條件式存取] 原則。 若使用內部部署 MFA,建議您移至 Microsoft Entra 多重要素驗證。 深入了解條件式存取。 |
| Test-ADFSRPAdditionalWSFedEndpoint 信賴憑證者的 AdditionalWSFedEndpoint 設為 True。 |
通過/失敗 | AD FS 中的信賴憑證者允許多個 WS-Fed 判斷提示端點。 目前,Microsoft Entra 僅支援一個。 如果您有此結果封鎖移轉的案例,請讓我們知道。 |
| Test-ADFSRPAllowedAuthenticationClassReferences 信賴憑證者已設定 AllowedAuthenticationClassReferences。 |
通過/失敗 | AD FS 中的這項設定可讓您指定是否將應用程式設定為只允許特定驗證類型。 我們建議使用條件式存取來達成這項功能。 如果您有此結果封鎖移轉的案例,請讓我們知道。 深入了解條件式存取。 |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
通過/失敗 | AD FS 中的這項設定可讓您指定是否要將應用程式設定為忽略 SSO cookie,並一律提示進行驗證。 在 Microsoft Entra ID 中,您可以使用 [條件式存取] 原則來管理驗證工作階段,以達成類似的行為。 使用條件式存取來設定驗證工作階段管理。 |
| Test-ADFSRPAutoUpdateEnabled 信賴憑證者的 AutoUpdateEnabled 設為 True |
通過/警告 | AD FS 中的這項設定可讓您指定是否將 AD FS 設定為根據同盟中繼資料內的變更自動更新應用程式。 Microsoft Entra ID 目前不支援此功能,但不會封鎖將應用程式移轉至 Microsoft Entra ID 的作業。 |
| Test-ADFSRPClaimsProviderName 信賴憑證者已啟用多個 Claimsprovider |
通過/失敗 | AD FS 中的這項設定會呼叫信賴憑證者接受宣告的身分識別提供者。 在 Microsoft Entra ID 中,您可以使用 Microsoft Entra B2B 來啟用外部共同作業。 深入了解 Microsoft Entra B2B。 |
| Test-ADFSRPDelegationAuthorizationRules | 通過/失敗 | 應用程式已定義自訂委派授權規則。 此為 WS-Trust 概念,由 Microsoft Entra ID 使用新式驗證通訊協定 (例如 OpenID Connect 和 OAuth 2.0) 進行支援。 深入瞭解 Microsoft 身分識別平台。 |
| Test-ADFSRPImpersonationAuthorizationRules | 通過/警告 | 應用程式已定義自訂模擬授權規則。 此為 WS-Trust 概念,由 Microsoft Entra ID 使用新式驗證通訊協定 (例如 OpenID Connect 和 OAuth 2.0) 進行支援。 深入瞭解 Microsoft 身分識別平台。 |
| Test-ADFSRPIssuanceAuthorizationRules 偵測到至少有一個非可移轉規則的 IssuanceAuthorization。 |
通過/警告 | 應用程式已在 AD FS 中定義自訂的發佈授權規則。 Microsoft Entra ID 使用 [Microsoft Entra 條件式存取] 來支援此功能。 深入了解條件式存取。 您也可以依指派給應用程式的使用者或群組,限制對應用程式的存取。 深入了解如何指派使用者及群組來存取應用程式。 |
| Test-ADFSRPIssuanceTransformRules 偵測到至少有一個非可移轉規則的 IssuanceTransform。 |
通過/警告 | 應用程式已在 AD FS 中定義自訂的發佈轉換規則。 Microsoft Entra ID 支援自訂權杖所發出的宣告。 若要深入瞭解,請參閱針對企業應用程式自訂 SAML 權杖中發出的宣告。 |
| Test-ADFSRPMonitoringEnabled 信賴憑證者的 MonitoringEnabled 設為 True。 |
通過/警告 | AD FS 中的這項設定可讓您指定是否將 AD FS 設定為根據同盟中繼資料內的變更自動更新應用程式。 Microsoft Entra 目前不支援此功能,但不會封鎖將應用程式移轉至 Microsoft Entra ID 的作業。 |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
通過/警告 | AD FS 允許 SAML 權杖中的時間差異以 NotBefore 與 NotOnOrAfter 時間為準。 依預設,Microsoft Entra ID 會自動處理此作業。 |
| Test-ADFSRPRequestMFAFromClaimsProviders 信賴憑證者的 RequestMFAFromClaimsProviders 設為 True。 |
通過/警告 | AD FS 中的這項設定,會決定當使用者來自不同宣告提供者時 MFA 的行為。 在 Microsoft Entra ID 中,您可以使用 Microsoft Entra B2B 來啟用外部共同作業。 然後,您可以套用條件式存取原則來保護來賓存取。 深入了解 Microsoft Entra B2B 和條件式存取。 |
| Test-ADFSRPSignedSamlRequestsRequired 信賴憑證者的 SignedSamlRequestsRequired 設為 True |
通過/失敗 | 應用程式會在 AD FS 中設定,以驗證 SAML 要求中的簽章。 Microsoft Entra ID 接受已簽署的 SAML 要求,但不會驗證簽章。 Microsoft Entra ID 有不同的方法可防止惡意呼叫。 例如,Microsoft Entra ID 使用在應用程式中設定的回覆 URL 來驗證 SAML 要求。 Microsoft Entra ID 只會傳送權杖給為應用程式所設定的回覆 URL。 如果您有此結果封鎖移轉的案例,請讓我們知道。 |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
通過/警告 | 應用程式會設定為自訂權杖存留期。 AD FS 預設值為一小時。 Microsoft Entra ID 使用 [條件式存取] 來支援此功能。 若要深入瞭解,請參閱使用條件式存取來設定驗證工作階段管理。 |
| 信賴憑證者設定為加密宣告。 Microsoft Entra ID 支援此功能 | 通過 | 使用 Microsoft Entra ID,您可以加密傳送至應用程式的權杖。 如需深入了解,請參閱設定 Microsoft Entra SAML 權杖加密。 |
| EncryptedNameIdRequiredCheckResult | 通過/失敗 | 應用程式會設定為加密 SAML 權杖中的 nameID 宣告。 使用 Microsoft Entra ID,您可以加密傳送至應用程式的整個權杖。 尚不支援特定宣告的加密。 如需深入了解,請參閱設定 Microsoft Entra SAML 權杖加密。 |