Revisión del informe de actividad de la aplicación

Muchas organizaciones usan Servicios de federación de Active Directory (AD FS) para proporcionar un inicio de sesión único a las aplicaciones en la nube. El traslado de aplicaciones de AD FS a Azure AD para la autenticación aporta importantes ventajas, especialmente en lo que respecta a la administración de costos y riesgos, a la productividad, al cumplimiento y a la gobernanza. Sin embargo, entender qué aplicaciones son compatibles con Azure AD e identificar los pasos de migración específicos puede llevar mucho tiempo.

El informe de actividades de aplicaciones de AD FS de Azure Portal permite identificar rápidamente qué aplicaciones se pueden migrar a Azure AD. Evalúa todas las aplicaciones de AD FS con respecto a la compatibilidad con Azure AD, comprueba si hay problemas y proporciona instrucciones sobre cómo preparar aplicaciones concretas para su migración. Con del informe de actividades de aplicaciones de AD FS puede hacer lo siguiente:

  • Descubrir aplicaciones de AD FS y definir el ámbito de su migración. En el informe de actividades de aplicaciones de AD FS se enumeran todas las aplicaciones de AD FS de su organización en las que un usuario activo ha iniciado sesión en los últimos 30 días. El informe indica el grado de preparación de una aplicación para la migración a Azure AD. El informe no muestra los usuarios de confianza relacionados con Microsoft en AD FS como Office 365. Por ejemplo, los usuarios de confianza con el nombre 'urn:federation:MicrosoftOnline'.

  • Establecer prioridades de aplicaciones para la migración. Obtenga el número de usuarios únicos que han iniciado sesión en la aplicación en los últimos 1, 7 o 30 días para ayudar a determinar la importancia o el riesgo de migrar la aplicación.

  • Ejecutar pruebas de migración y solucionar problemas. El servicio de informes ejecuta automáticamente las pruebas para determinar si una aplicación está preparada para la migración. Los resultados se muestran en el informe de actividades de aplicaciones de AD FS como estado de la migración. Si la configuración de AD FS no es compatible con una configuración de Azure AD, obtendrá instrucciones específicas sobre cómo abordar la configuración en Azure AD.

Los datos de actividad de aplicaciones de AD FS están disponibles para los usuarios que tienen asignados cualquiera de estos roles de administrador: administrador global, lector de informes, lector de seguridad, administrador de aplicaciones o administrador de aplicaciones en la nube.

Prerrequisitos

Importante

Hay un par de razones por las que no verá todas las aplicaciones que espera después de haber instalado Azure Active Directory Connect Health. El informe de actividades de aplicaciones solo muestra usuarios de confianza de AD FS con inicios de sesión de usuario en los últimos 30 días. Además, el informe no mostrará los usuarios de confianza relacionados con Microsoft como Office 365.

Descubrimiento de aplicaciones de AD FS que se pueden migrar

El informe de actividades de aplicaciones de AD FS está disponible en Azure Portal, en los informes de Azure AD de Uso y conclusiones. El informe de actividades de aplicaciones de AD FS analiza cada aplicación de AD FS para determinar si se puede migrar tal cual o si es necesario realizar una revisión adicional.

  1. Inicie sesión en Azure Portal con un rol de administrador que tenga acceso a los datos de actividad de las aplicaciones de AD FS (administrador global, lector de informes, lector de seguridad, administrador de aplicaciones o administrador de aplicaciones en la nube).

  2. Seleccione Azure Active Directory y, luego, Aplicaciones empresariales.

  3. En Actividad, seleccione Uso y conclusiones y, luego, elija Actividad de la aplicación de AD FS para abrir una lista de todas las aplicaciones de AD FS de la organización.

    AD FS application activity

  4. Para cada aplicación de la lista de actividades de aplicaciones de AD FS, vea el estado de migración:

    • Listo para migrar significa que la configuración de la aplicación de AD FS es totalmente compatible con Azure AD y se puede migrar tal cual.

    • Revisión necesaria significa que algunas de las configuraciones de la aplicación se pueden migrar a Azure AD, pero debe revisar la configuración que no se puede migrar tal cual.

    • Pasos adicionales necesarios significa que Azure AD no admite parte de la configuración de la aplicación, por lo que no se puede migrar en su estado actual.

Evaluación de la preparación de una aplicación para su migración

  1. En la lista de actividades de aplicaciones de AD FS, haga clic en el estado en la columna Estado de migración para abrir los detalles de la migración. Verá un resumen de las pruebas de configuración superadas, junto con los posibles problemas de migración.

    Migration details

  2. Haga clic en un mensaje para abrir detalles adicionales de la regla de migración. Para obtener una lista completa de las propiedades probadas, vea la tabla Pruebas de configuración de aplicaciones de AD FS, que aparece a continuación.

    Migration rule details

Pruebas de configuración de aplicaciones de AD FS

En la tabla siguiente se enumeran todas las pruebas de configuración que se realizan en aplicaciones de AD FS.

Resultado Sin errores/Advertencia/Error Descripción
Test-ADFSRPAdditionalAuthenticationRules
Se detectó al menos una regla no migrable para AdditionalAuthentication. 
Aprobada/Con advertencias El usuario de confianza tiene reglas para solicitar Multi-Factor Authentication (MFA). Para desplazarse a Azure AD, traduzca dichas reglas en directivas de acceso condicional. Si usa una aplicación local de MFA, se recomienda que se traslade a Azure AD MFA. Obtenga más información sobre el acceso condicional. 
Test-ADFSRPAdditionalWSFedEndpoint
El usuario de confianza tiene el valor de AdditionalWSFedEndpoint establecido en true. 
Sin errores/Error El usuario de confianza de AD FS permite varios puntos de conexión de aserción de WS-FED.  Actualmente, Azure AD solo admite una. Si tiene un escenario en el que este resultado bloquea la migración, háganoslo saber. 
Test-ADFSRPAllowedAuthenticationClassReferences
El usuario de confianza ha establecido el valor de AllowedAuthenticationClassReferences. 
Sin errores/Error Este valor de AD FS permite especificar si la aplicación se configura para permitir solo determinados tipos de autenticación. Se recomienda usar acceso condicional para lograr esta funcionalidad.  Si tiene un escenario en el que este resultado bloquea la migración, háganoslo saber.  Obtenga más información sobre el acceso condicional. 
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Sin errores/Error Este valor de AD FS permite especificar si la aplicación se configura para omitir las cookies de SSO y solicitar siempre la autenticación. En Azure AD, puede administrar la sesión de autenticación mediante directivas de acceso condicional para lograr un comportamiento similar. Obtenga más información sobre cómo configurar la sesión de autenticación con acceso condicional. 
Test-ADFSRPAutoUpdateEnabled
El usuario de confianza tiene el valor de AutoUpdateEnabled establecido en true.
Aprobada/Con advertencias Este valor de AD FS permite especificar si AD FS se configura para actualizar automáticamente la aplicación en función de los cambios en los metadatos de federación. Azure AD no admite esta configuración actualmente, pero no debería impedir la migración de la aplicación a Azure AD.  
Test-ADFSRPClaimsProviderName
El usuario de confianza tiene varios elementos ClaimsProviders habilitados.
Sin errores/Error Este valor de AD FS llama a los proveedores de identidades de los que el usuario de confianza acepta notificaciones. En Azure AD, puede habilitar la colaboración externa con Azure AD B2B. Obtenga más información sobre Azure AD B2B. 
Test-ADFSRPDelegationAuthorizationRules Sin errores/Error La aplicación tiene definidas reglas de autorización de delegación personalizadas.  Se trata de un concepto de WS-Trust que Azure AD admite mediante protocolos de autenticación modernos, como OpenID Connect y OAuth 2.0. Obtenga más información sobre la plataforma de identidad de Microsoft. 
Test-ADFSRPImpersonationAuthorizationRules Aprobada/Con advertencias La aplicación tiene definidas reglas de autorización de suplantación personalizadas.  Se trata de un concepto de WS-Trust que Azure AD admite mediante protocolos de autenticación modernos, como OpenID Connect y OAuth 2.0. Obtenga más información sobre la plataforma de identidad de Microsoft. 
Test-ADFSRPIssuanceAuthorizationRules
Se detectó al menos una regla no migrable para IssuanceAuthorization. 
Aprobada/Con advertencias La aplicación tiene reglas de autorización de emisión personalizadas definidas en AD FS.  Azure AD admite esta funcionalidad con el acceso condicional de Azure AD. Obtenga más información sobre el acceso condicional.
También puede restringir el acceso a la aplicación por usuario o grupos asignados a la aplicación. Obtenga más información sobre cómo asignar usuarios y grupos para acceder a las aplicaciones.   
Test-ADFSRPIssuanceTransformRules
Se detectó al menos una regla no migrable para IssuanceTransform. 
Aprobada/Con advertencias La aplicación tiene reglas de transformación de emisión personalizadas definidas en AD FS. Azure AD admite la personalización de las notificaciones emitidas en el token. Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.  
Test-ADFSRPMonitoringEnabled
El usuario de confianza tiene el valor de MonitoringEnabled establecido en true. 
Aprobada/Con advertencias Este valor de AD FS permite especificar si AD FS se configura para actualizar automáticamente la aplicación en función de los cambios en los metadatos de federación. Azure AD no admite esta configuración actualmente, pero no debería impedir la migración de la aplicación a Azure AD.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Aprobada/Con advertencias AD FS permite un desfase horario basado en las horas de NotBefore y NotOnOrAfter del token de SAML. Azure AD controla esto automáticamente de forma predeterminada. 
Test-ADFSRPRequestMFAFromClaimsProviders
El usuario de confianza tiene el valor de RequestMFAFromClaimsProviders establecido en true. 
Aprobada/Con advertencias Este valor de AD FS determina el comportamiento de MFA cuando el usuario procede de un proveedor de notificaciones diferente. En Azure AD, puede habilitar la colaboración externa con Azure AD B2B. Luego, puede aplicar directivas de acceso condicional para proteger el acceso de invitado. Obtenga más información sobre Azure AD B2B y Acceso condicional. 
Test-ADFSRPSignedSamlRequestsRequired
El usuario de confianza tiene el valor de SignedSamlRequestsRequired establecido en true.
Sin errores/Error La aplicación se configura en AD FS para comprobar la firma de la solicitud SAML. Azure AD acepta una solicitud SAML firmada, pero no comprobará la firma. Azure AD tiene distintos métodos para protegerse frente a llamadas malintencionadas. Por ejemplo, Azure AD usa las direcciones URL de respuesta configuradas en la aplicación para validar la solicitud SAML. Azure AD solo enviará un token a las direcciones URL de respuesta configuradas para la aplicación. Si tiene un escenario en el que este resultado bloquea la migración, háganoslo saber. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Aprobada/Con advertencias La aplicación está configurada para una duración de token personalizada. El valor predeterminado de AD FS es de una hora.  Azure AD admite esta funcionalidad mediante el acceso condicional. Para obtener más información, consulte Configuración de la administración de las sesiones de autenticación con el acceso condicional. 
El usuario de confianza está configurado para cifrar notificaciones. Esta configuración es compatible con Azure AD. Pass (pasado) Con Azure AD puede cifrar el token enviado a la aplicación. Para obtener más información, consulte Configuración del cifrado de tokens SAML de Azure AD. 
EncryptedNameIdRequiredCheckResult Sin errores/Error La aplicación está configurada para cifrar la notificación nameID en el token SAML.  Con Azure AD, puede cifrar todo el token enviado a la aplicación. Todavía no se admite el cifrado de notificaciones específicas. Para obtener más información, consulte Configuración del cifrado de tokens SAML de Azure AD.

Comprobación de los resultados de las pruebas de reglas de notificaciones

Si ha configurado una regla de notificaciones para la aplicación en AD FS, la experiencia proporcionará un análisis granular para todas las reglas de notificaciones. Verá qué reglas de notificaciones se pueden trasladar a Azure AD y cuáles deben revisarse con más detalle.

  1. En la lista de actividades de aplicaciones de AD FS, haga clic en el estado en la columna Estado de migración para abrir los detalles de la migración. Verá un resumen de las pruebas de configuración superadas, junto con los posibles problemas de migración.

  2. En la página Detalles de la regla de migración, expanda los resultados para mostrar los detalles de los posibles problemas de migración y obtener instrucciones adicionales. Para ver una lista detallada de todas las reglas de notificaciones probadas, consulte la tabla de abajo Comprobación de los resultados de las pruebas de reglas de notificaciones de abajo.

    En el ejemplo siguiente se muestran los detalles de la regla de migración para la regla de IssuanceTransform. Muestra las partes específicas de la notificación que deben revisarse y abordarse antes de poder migrar la aplicación a Azure AD.

    Migration rule details additional guidance

Pruebas de reglas de notificaciones

En la tabla siguiente se enumeran todas las pruebas de reglas de notificaciones que se realizan en aplicaciones de AD FS.

Propiedad Descripción
UNSUPPORTED_CONDITION_PARAMETER La instrucción de condición utiliza expresiones regulares para evaluar si la notificación coincide con un patrón determinado.  Para lograr una funcionalidad similar en Azure AD, puede usar la transformación predefinida, como las funciones IfEmpty(), StartWith() o Contains(), entre otras.   Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales. 
UNSUPPORTED_CONDITION_CLASS La instrucción de condición tiene varias condiciones que deben evaluarse antes de ejecutar la instrucción de emisión. Azure AD puede admitir esta funcionalidad con las funciones de transformación de la notificación, donde puede evaluar varios valores de notificaciones.    Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales. 
UNSUPPORTED_RULE_TYPE No se pudo reconocer la regla de notificaciones. Para obtener más información sobre cómo configurar notificaciones en Azure AD, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales. 
CONDITION_MATCHES_UNSUPPORTED_ISSUER La instrucción de condición usa un emisor que no se admite en Azure AD.  Actualmente, Azure AD no procesa las notificaciones de los almacenes que no sean de Active Directory o Azure AD. Si esto le impide migrar aplicaciones a Azure AD, infórmenos.
UNSUPPORTED_CONDITION_FUNCTION La instrucción de condición utiliza una función de agregado para emitir o agregar una única notificación sin tener en cuenta el número de coincidencias.  En Azure AD puede evaluar el atributo de un usuario para decidir qué valor utilizar para la notificación con funciones como IfEmpty(), StartWith() o Contains(), entre otras.   Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales. 
RESTRICTED_CLAIM_ISSUED La instrucción de condición usa una notificación que está restringida en Azure AD. Es posible que pueda emitir una notificación restringida, pero no puede modificar su origen ni aplicar ninguna transformación. Para obtener más información, consulte Personalice las notificaciones emitidas en tokens para una aplicación específica en Azure AD. 
EXTERNAL_ATTRIBUTE_STORE La instrucción de emisión usa un almacén de atributos que no es Active Directory. Actualmente, Azure AD no procesa las notificaciones de los almacenes que no sean de Active Directory o Azure AD. Si esto le impide migrar aplicaciones a Azure AD, háganoslo saber. 
UNSUPPORTED_ISSUANCE_CLASS La instrucción de emisión usa AAD para agregar notificaciones al conjunto de notificaciones entrantes. En Azure AD esto puede configurarse como varias transformaciones de notificaciones.    Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.
UNSUPPORTED_ISSUANCE_TRANSFORMATION La instrucción de emisión utiliza expresiones regulares para transformar el valor de la notificación que se va a emitir. Para lograr una funcionalidad similar en Azure AD, puede usar la transformación predefinida, como las funciones Extract(), Trim() o ToLower(), entre otras.   Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales. 

Solución de problemas

No se pueden ver todas las aplicaciones de AD FS en el informe

Si ha instalado Azure AD Connect Health, pero sigue viendo el aviso de instalación o no ve todas las aplicaciones de AD FS en el informe, puede que no tenga aplicaciones de AD FS activas o que las aplicaciones de AD FS sean aplicaciones de Microsoft.

En el informe de actividades de aplicaciones de AD FS se enumeran todas las aplicaciones de AD FS de su organización en las que usuarios activos han iniciado sesión en los últimos 30 días. Además, el informe no muestra los usuarios de confianza relacionados con Microsoft en AD FS como Office 365. Por ejemplo, los usuarios de confianza con el nombre 'urn:federation:MicrosoftOnline', 'microsoftonline', 'microsoft:winhello:cert:prov:server' no se mostrarán en la lista.

Pasos siguientes