Az alkalmazás tevékenységjelentésének áttekintése

Számos szervezet használ Active Directory összevonási szolgáltatások (AD FS) (AD FS) a felhőalapú alkalmazásokba való egyszeri bejelentkezéshez. Jelentős előnyökkel jár, ha AD FS alkalmazásait az Azure AD-be a hitelesítéshez, különösen a költségkezelés, a kockázatkezelés, a termelékenység, a megfelelőség és az irányítás szempontjából. Azonban az Azure AD-val kompatibilis alkalmazások és a konkrét migrálási lépések azonosítása időigényes lehet.

A AD FS Azure Portal alkalmazástevékenységi jelentésével gyorsan azonosíthatja, hogy mely alkalmazások migrálhatóak az Azure AD-be. Felméri az összes AD FS az Azure AD-kompatibilitás érdekében, ellenőrzi a problémákat, és útmutatást nyújt az egyes alkalmazások migrálásra való előkészítéséhez. A AD FS tevékenységjelentéssel a következőt használhatja:

  • Fedezze fel AD FS alkalmazásokat, és hatókört a migrálásra. Az AD FS tevékenységjelentés felsorolja a AD FS összes olyan alkalmazását, amely aktív felhasználói bejelentkezéssel volt bejelentkezve az elmúlt 30 napban. A jelentés azt jelzi, hogy az alkalmazások készek az Azure AD-be való migrálásra. A jelentés nem jeleníti meg a Microsofttal kapcsolatos függő AD FS, például Office 365. Ilyen lehet például az "urn:federation:MicrosoftOnline" nevű függő felek neve.

  • Alkalmazások rangsorolása a migráláshoz. Szerezze be az alkalmazásba az elmúlt 1, 7 vagy 30 nap során bejelentkezett egyedi felhasználók számát, hogy megállapítsa az alkalmazás milegálásának kritikusságát vagy kockázatát.

  • Migrálási tesztek futtatása és a problémák megoldása. A jelentéskészítési szolgáltatás automatikusan futtat teszteket annak megállapításához, hogy az alkalmazás készen áll-e az áttelepítésre. Az eredmények migrálási állapotként AD FS alkalmazástevékenységi jelentésben jelennek meg. Ha a AD FS konfigurációja nem kompatibilis az Azure AD-konfigurációval, konkrét útmutatást kap a konfiguráció Azure AD-beli kezelése során.

Az AD FS-tevékenység adatai a következő rendszergazdai szerepkörök bármelyikéhez hozzárendelt felhasználók számára érhetők el: globális rendszergazda, jelentésolvasó, biztonsági olvasó, alkalmazás-rendszergazda vagy felhőalkalmazás-rendszergazda.

Előfeltételek

Fontos

Az Azure AD Csatlakozás után több oka is van annak, hogy nem fogja látni az összes várt alkalmazást. Az AD FS tevékenységjelentés csak azokat a függő AD FS jeleníti meg, akik az elmúlt 30 napban jelentkeznek be felhasználói fiókkal. Emellett a jelentés nem jeleníti meg a Microsofthoz kapcsolódó függő felek, például a Office 365.

Az AD FS migrálható alkalmazások felderítése

Az AD FS-tevékenységjelentés az Azure AD Usage Insights jelentéskészítési Azure Portal alatt érhető el. Az AD FS tevékenységjelentés elemzi az AD FS, hogy az adott alkalmazás migrálható-e az adott ként, vagy további felülvizsgálatra van-e szükség.

  1. Jelentkezzen be a Azure Portal rendszergazdai szerepkörével, amely hozzáféréssel rendelkezik AD FS alkalmazástevékenységi adatokhoz (globális rendszergazda, jelentésolvasó, biztonsági olvasó, alkalmazás-rendszergazda vagy felhőalkalmazás-rendszergazda).

  2. Válassza Azure Active Directorylehetőséget, majd válassza a Vállalati alkalmazások lehetőséget.

  3. A Tevékenység alattválassza a Elemzések lehetőséget, majd válassza AD FS alkalmazástevékenység lehetőséget a szervezet összes AD FS listájának megnyitásához.

    AD FS application activity

  4. Az alkalmazástevékenységek listájában AD FS összes alkalmazáshoz tekintse meg a Migrálás állapotát:

    • A migrálható azt jelenti, AD FS alkalmazáskonfiguráció teljes mértékben támogatott az Azure AD-ben, és a migrálható.

    • Felülvizsgálatra van szükség, ami azt jelenti, hogy az alkalmazás egyes beállításai áttelepítve lesznek az Azure AD-be, de át kell vizsgálnia a beállításokat, amelyek nem migrálhatóak a megadott módon.

    • A további szükséges lépések azt jelentik, hogy az Azure AD nem támogatja az alkalmazás egyes beállításait, ezért az alkalmazás nem migrálható az aktuális állapotában.

Egy alkalmazás migrálásra való készenlétének kiértékelése

  1. A AD FS tevékenység listájában kattintson a Migrálás állapota oszlopban lévő állapotra a migrálás részleteinek megnyitásához. Itt láthatja az elvégzett konfigurációs tesztek összegzését, valamint az esetleges migrálási problémákat.

    Migration details

  2. Kattintson egy üzenetre a további áttelepítési szabályok részleteinek megnyitásához. A tesztelt tulajdonságok teljes listáját az alábbi AD FS alkalmazáskonfigurációs tesztek táblázatában olvashatja.

    Migration rule details

AD FS tesztek konfigurálása

Az alábbi táblázat az alkalmazásokon végrehajtott összes konfigurációs tesztet AD FS sorolja fel.

Eredmény Pass/Warning/Fail Leírás
Test-ADFSRPAdditionalAuthenticationRules
A rendszer legalább egy nem migrált szabályt észlelt az AdditionalAuthentication esetén. 
Pass/Warning A függő fél olyan szabályokkal rendelkezik, amelyek kérik a többtényezős hitelesítést (MFA). Az Azure AD-be való áthelyezéshez ezeket a szabályokat feltételes hozzáférési szabályzatokként kell lefordítani. Ha helyszíni MFA-t használ, javasoljuk, hogy lépjen a Azure AD MFA. További információ a feltételes hozzáférésről.
Test-ADFSRPAdditionalWSFedEndpoint
A függő függőben az AdditionalWSFedEndpoint true (igaz) értékkel rendelkezik. 
Sikeres/sikertelen A szolgáltatásban a függő AD FS több WS-Fed helyességi feltételi végpontot is lehetővé tesz. Az Azure AD jelenleg csak egyet támogat. Ha van olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudajuk meg velünk a következőt:. 
Test-ADFSRPAllowedAuthenticationClassReferences
A függő fél beállította az AllowedAuthenticationClassReferences osztályt. 
Sikeres/sikertelen Ez a beállítás AD FS megadhatja, hogy az alkalmazás csak bizonyos hitelesítési típusokra legyen-e konfigurálva. Javasoljuk, hogy ezt a képességet feltételes hozzáféréssel érjük el.  Ha van olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudajuk meg velünk a következőt:.  További információ a feltételes hozzáférésről.
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Sikeres/sikertelen Ez a beállítás AD FS megadhatja, hogy az alkalmazás az SSO cookie-k figyelmen kívül hagyása és az Always Prompt for Authentication (Mindig hitelesítésre való kérés) legyen-e konfigurálva. Az Azure AD-ban a hitelesítési munkamenet feltételes hozzáférési szabályzatokkal kezelhető, így hasonló viselkedést érhet el. További információ a hitelesítési munkamenetek feltételes hozzáféréssel való kezelésének konfigurálásával kapcsolatban.
Test-ADFSRPAutoUpdateEnabled
A függő fél AutoUpdateEnabled beállítása igaz
Pass/Warning Ezzel a AD FS megadhatja, hogy a AD FS az összevonási metaadatokon belüli változások alapján automatikusan frissítse-e az alkalmazást. Az Azure AD ezt jelenleg nem támogatja, de nem szabad blokkolni az alkalmazás Azure AD-be való migrálását.  
Test-ADFSRPClaimsProviderName
A függő félhez több jogcímprovider is engedélyezve van
Sikeres/sikertelen Ez a beállítás AD FS hívja meg az identitásszolgáltatókat, amelyektől a függő fél jogcímeket fogad. Az Azure AD-ben engedélyezheti a külső együttműködést az Azure AD B2B használatával. További információ az Azure AD B2B-ről.
Test-ADFSRPDelegationAuthorizationRules Sikeres/sikertelen Az alkalmazáshoz egyéni delegálásengedélyezési szabályok vannak meghatározva. Ez egy olyan WS-Trust, amelyet az Azure AD támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identity Platformról.
Test-ADFSRPImpersonationAuthorizationRules Pass/Warning Az alkalmazáshoz egyéni megszemélyesítési engedélyezési szabályok vannak definiálva. Ez egy olyan WS-Trust, amelyet az Azure AD támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identity Platformról.
Test-ADFSRPIssuanceAuthorizationRules
A rendszer legalább egy nem áttelepíthető szabályt észlelt a issuanceAuthorization esetén. 
Pass/Warning Az alkalmazás egyéni kiállításengedélyezési szabályokkal rendelkezik, amelyek a AD FS. Az Azure AD támogatja ezt a funkciót az Azure AD feltételes hozzáféréssel. További információ a feltételes hozzáférésről.
Az alkalmazásokhoz való hozzáférést az alkalmazáshoz rendelt felhasználók vagy csoportok szerint is korlátozhatja. További információ a felhasználók és csoportok alkalmazásokhozvaló hozzárendeléséhez való hozzárendelésről.   
Test-ADFSRPIssuanceTransformRules
A rendszer legalább egy nem áttelepíthető szabályt észlelt a IssuanceTransformhoz. 
Pass/Warning Az alkalmazásban egyéni kiállítási átalakítási szabályok vannak definiálva a AD FS. Az Azure AD támogatja a jogkivonatban kiadott jogcímek testreszabását. További tudnivalókért lásd az SAML-jogkivonatban kiadott jogcímek vállalati alkalmazásokhoz való testreszabását.  
Test-ADFSRPMonitoringEnabled
A függő halmaz FigyelésEnabled beállítása igaz. 
Pass/Warning Ezzel a AD FS megadhatja, hogy a AD FS az összevonási metaadatokon belüli változások alapján automatikusan frissítse-e az alkalmazást. Az Azure AD ezt jelenleg nem támogatja, de nem szabad blokkolni az alkalmazás Azure AD-be való migrálását.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Pass/Warning AD FS az SAML-jogkivonat NotBefore és NotOnOrAfter ideje alapján engedélyezi az időeltéréseket. Az Azure AD alapértelmezés szerint automatikusan kezeli ezt. 
Test-ADFSRPRequestMFAFromClaimsProviders
A függő fél RequestMFAFromClaimsProviders beállítása igaz. 
Pass/Warning Ez a beállítás AD FS MFA viselkedését határozza meg, amikor a felhasználó egy másik jogcímszolgáltatótól származik. Az Azure AD-ben külső együttműködést engedélyezhet az Azure AD B2B használatával. Ezután feltételes hozzáférési szabályzatokat alkalmazhat a vendég hozzáférés védelmére. További információ az Azure AD B2B-ről és a feltételes hozzáférésről.
Test-ADFSRPSignedSamlRequestsRequired
A függő fél SignedSamlRequestsRequired beállítása true (igaz)
Sikeres/sikertelen Az alkalmazás úgy van konfigurálva a AD FS, hogy ellenőrizze az aláírást az SAML-kérelemben. Az Azure AD aláírt SAML-kérelmet fogad el; Az aláírást azonban nem ellenőrzi. Az Azure AD-nek különböző módszerei vannak a rosszindulatú hívások elleni védelemhez. Az Azure AD például az alkalmazásban konfigurált válasz URL-címeket használja az SAML-kérelem érvényesítéséhez. Az Azure AD csak az alkalmazáshoz konfigurált válasz URL-címekre küld jogkivonatot. Ha van olyan esete, amikor ez az eredmény blokkolja a migrálást, tudajuk meg a következőt:. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult
Pass/Warning Az alkalmazás egyéni jogkivonat-élettartamra van konfigurálva. Az AD FS alapértelmezett érték egy óra. Az Azure AD feltételes hozzáféréssel támogatja ezt a funkciót. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.
A függő fél a jogcímek titkosítására van beállítva. Ezt az Azure AD támogatja Sikeres Az Azure AD-val titkosíthatja az alkalmazásnak küldött jogkivonatot. További információ: Configure Azure AD SAML token encryption (Az Azure AD SAML-jogkivonat titkosításának konfigurálása).
EncryptedNameIdRequiredCheckResult Sikeres/sikertelen Az alkalmazás úgy van konfigurálva, hogy titkosítsa a nameID jogcímet az SAML-jogkivonatban. Az Azure AD-val titkosíthatja az alkalmazásnak küldött teljes jogkivonatot. Bizonyos jogcímek titkosítása még nem támogatott. További információ: Configure Azure AD SAML token encryption (Az Azure AD SAML-jogkivonat titkosításának konfigurálása).

A jogcímszabály-tesztek eredményeinek ellenőrzése

Ha konfigurált egy jogcímszabályt az alkalmazáshoz a AD FS, a felhasználói élmény részletes elemzést biztosít az összes jogcímszabályhoz. Látni fogja, hogy mely jogcímszabályokat lehet áthelyezni az Azure AD-be, és melyekre van szükség további felülvizsgálatra.

  1. A AD FS tevékenység listájában kattintson a Migrálás állapota oszlopban lévő állapotra a migrálás részleteinek megnyitásához. Itt láthatja az elvégzett konfigurációs tesztek összegzését, valamint az esetleges migrálási problémákat.

  2. Az Áttelepítési szabály részletei lapon bontsa ki az eredményeket a lehetséges migrálási problémák részleteinek megjelenítéséhez és további útmutatáshoz. Az összes tesztelt jogcímszabály részletes listáját lásd az alábbi, A jogcímszabály-tesztek eredményeinek ellenőrzése táblázatban.

    Az alábbi példa a IssuanceTransform szabály áttelepítési szabályának részleteit mutatja be. Felsorolja a jogcím azon részeit, amelyek felülvizsgálata és kezelése szükséges az alkalmazás Azure AD-be való áttelepítése előtt.

    Migration rule details additional guidance

Jogcímszabály-tesztek

Az alábbi táblázat az összes olyan jogcímszabály-tesztet felsorolja, amely a AD FS történik.

Tulajdonság Leírás
UNSUPPORTED_CONDITION_PARAMETER A condition utasítás reguláris kifejezéseket használ annak kiértékeléséhez, hogy a jogcím megfelel-e egy bizonyos mintának.  Az Azure AD hasonló funkcióinak eléréséhez használhat többek között olyan előre definiált átalakításokat, mint például az IfEmpty(), a StartWith(), a Contains(). További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
UNSUPPORTED_CONDITION_CLASS A condition utasítás több feltétellel rendelkezik, amelyek kiértékelése szükséges a kiállítási utasítás futtatása előtt. Az Azure AD támogathatja ezt a funkciót a jogcím átalakítási függvényeivel, ahol több jogcímértéket értékelhet ki.  További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
UNSUPPORTED_RULE_TYPE A jogcímszabályt nem sikerült felismerni. További információ a jogcímek Azure AD-beli konfigurálásról: Az SAML-jogkivonatban kibocsátott jogcímek testreszabása vállalati alkalmazásokhoz.
CONDITION_MATCHES_UNSUPPORTED_ISSUER A condition utasítás olyan kiállítót használ, amelyet az Azure AD nem támogat. Az Azure AD jelenleg nem más tárolókból származó jogcímeket Active Directory Azure AD-ból. Ha ez nem akadályozza meg az alkalmazások Azure AD-be való áttelepítését, tudtossa velünk.
UNSUPPORTED_CONDITION_FUNCTION A condition utasítás egy aggregátum függvényt használ egyetlen jogcím kiállításához vagy hozzáadásához az egyezések számától függetlenül.  Az Azure AD-ban kiértékelheti egy felhasználó attribútumát, hogy eldöntse, milyen értéket szeretne használni a jogcímhez többek között az IfEmpty(), a StartWith(), a Contains() függvényekkel. További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
RESTRICTED_CLAIM_ISSUED A condition utasítás egy, az Azure AD-ban korlátozott jogcímet használ. Előfordulhat, hogy korlátozott jogcímet is ki tud adni, de a forrását nem módosíthatja, és nem alkalmazhat átalakítást. További információ: Egy adott alkalmazás jogkivonatai által kibocsátott jogcímek testreszabása az Azure AD-ban.
EXTERNAL_ATTRIBUTE_STORE A kiállítási utasítás egy eltérő attribútumtárat használ, Active Directory. Az Azure AD jelenleg nem más tárolókból származó jogcímeket Active Directory Azure AD-ból. Ha ez az eredmény nem akadályozza meg az alkalmazások Azure AD-be való áttelepítését, tudajuk meg velünk a következőt:. 
UNSUPPORTED_ISSUANCE_CLASS A kiállítási utasítás az ADD segítségével adja hozzá a jogcímeket a bejövő jogcímkészlethez. Az Azure AD-ban ez több jogcím-átalakításként is konfigurálható.  További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
UNSUPPORTED_ISSUANCE_TRANSFORMATION A kiállítási utasítás reguláris kifejezésekkel alakítja át a kiveszni szánt jogcím értékét. Az Azure AD hasonló funkcióinak eléréséhez többek között olyan előre definiált átalakításokat használhat, mint az Extract(), a Trim(), a ToLower. További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.

Hibaelhárítás

Nem látom az összes AD FS a jelentésben

Ha telepítette az Azure AD Csatlakozás health alkalmazást, de továbbra is látja a telepítésére vonatkozó kérést, vagy nem látja az összes AD FS-alkalmazást a jelentésben, előfordulhat, hogy nem aktív AD FS-alkalmazásokkal, vagy a AD FS-alkalmazások Microsoft-alkalmazások.

Az AD FS tevékenységjelentés a szervezetben AD FS összes olyan alkalmazás listáját tartalmazza, amelybe az aktív felhasználók bejelentkeztek az elmúlt 30 napban. Emellett a jelentés nem jeleníti meg a Microsofthoz kapcsolódó függő AD FS, például Office 365. Például az "urn:federation:MicrosoftOnline", "microsoftonline", "microsoft:winhello:cert:prov:server" nevű függő felek nem megjelenik a listában.

Következő lépések