Az alkalmazás tevékenységjelentésének áttekintése

Számos szervezet használ Active Directory összevonási szolgáltatások (AD FS) (AD FS) a felhőalapú alkalmazásokba való egyszeri bejelentkezéshez. Jelentős előnyökkel jár, ha AD FS alkalmazásait az Azure AD-be a hitelesítéshez, különösen a költségkezelés, a kockázatkezelés, a termelékenység, a megfelelőség és a szabályozás szempontjából. Azonban az Azure AD-val kompatibilis alkalmazások és a konkrét migrálási lépések azonosítása időigényes lehet.

A AD FS Azure Portal alkalmazástevékenységi jelentésével gyorsan azonosíthatja, hogy mely alkalmazások migrálhatóak az Azure AD-be. Felméri az összes AD FS Azure AD-kompatibilitás érdekében, ellenőrzi a problémákat, és útmutatást nyújt az egyes alkalmazások migrálásra való előkészítéséhez. A AD FS tevékenységjelentéssel a következőt használhatja:

  • Fedezze fel AD FS alkalmazásokat, és hatókört a migrálásra. Az AD FS tevékenységjelentés felsorolja a AD FS összes olyan alkalmazását, amely aktív felhasználói bejelentkezéssel volt bejelentkezve az elmúlt 30 napban. A jelentés azt jelzi, hogy az alkalmazások készek az Azure AD-be való migrálásra. A jelentés nem jeleníti meg a Microsofthoz kapcsolódó függő AD FS a Office 365. Ilyen lehet például az "urn:federation:MicrosoftOnline" nevű függő felek neve.

  • Alkalmazások rangsorolása a migráláshoz. Szerezze be az alkalmazásba az elmúlt 1, 7 vagy 30 nap során bejelentkezett egyedi felhasználók számát, hogy megállapítsa az alkalmazás milegálásának kritikusságát vagy kockázatát.

  • Migrálási tesztek futtatása és a problémák megoldása. A jelentéskészítési szolgáltatás automatikusan futtat teszteket annak megállapításához, hogy az alkalmazás készen áll-e az áttelepítésre. Az eredmények migrálási állapotként jelennek meg az AD FS tevékenységjelentésben. Ha a AD FS konfigurációja nem kompatibilis az Azure AD-konfigurációval, konkrét útmutatást kap a konfiguráció Azure AD-beli kezelése során.

Az AD FS-tevékenység adatai a következő rendszergazdai szerepkörök bármelyikéhez hozzárendelt felhasználók számára érhetők el: globális rendszergazda, jelentésolvasó, biztonsági olvasó, alkalmazás-rendszergazda vagy felhőalkalmazás-rendszergazda.

Előfeltételek

Fontos

Az Azure AD Csatlakozás Health telepítése után több oka is van annak, hogy nem fogja látni az összes várt alkalmazást. Az AD FS tevékenységjelentés csak azokat a függő AD FS jeleníti meg, akik az elmúlt 30 napban jelentkeznek be felhasználói fiókkal. Emellett a jelentés nem jeleníti meg a Microsofthoz kapcsolódó függő felek, például a Office 365.

Az AD FS migrálható alkalmazások felderítése

Az AD FS-tevékenységjelentés az Azure AD Azure Portal jelentéskészítési & alatt érhető el. Az AD FS tevékenységjelentés elemzi az AD FS, hogy az adott alkalmazás migrálható-e az adott ként, vagy további felülvizsgálatra van-e szükség.

  1. Jelentkezzen be a Azure Portal rendszergazdai szerepkörével, amely hozzáféréssel rendelkezik AD FS alkalmazástevékenységi adatokhoz (globális rendszergazda, jelentésolvasó, biztonsági olvasó, alkalmazás-rendszergazda vagy felhőalkalmazás-rendszergazda).

  2. Válassza Azure Active Directory lehetőséget, majd válassza a Vállalati alkalmazások lehetőséget.

  3. A Tevékenység alatt válassza a & Elemzések lehetőséget, majd válassza AD FS alkalmazástevékenység lehetőséget a szervezet összes AD FS listájának megnyitásához.

    AD FS alkalmazástevékenység

  4. Az alkalmazástevékenységek listájában AD FS összes alkalmazáshoz tekintse meg a Migrálás állapotát:

    • A migrálható azt jelenti, AD FS alkalmazáskonfiguráció teljes mértékben támogatott az Azure AD-ben, és a migrálható.

    • Felülvizsgálatra van szükség, ami azt jelenti, hogy az alkalmazás egyes beállításai áttelepítve lesznek az Azure AD-be, de át kell vizsgálnia a beállításokat, amelyek nem migrálhatóak a megadott módon.

    • A további szükséges lépések azt jelentik, hogy az Azure AD nem támogatja az alkalmazás egyes beállításait, ezért az alkalmazás nem migrálható az aktuális állapotában.

Egy alkalmazás migrálásra való készenlétének kiértékelése

  1. A AD FS tevékenység listájában kattintson a Migrálás állapota oszlopban lévő állapotra a migrálás részleteinek megnyitásához. Itt láthatja az elvégzett konfigurációs tesztek összegzését, valamint az esetleges migrálási problémákat.

    A migrálás részletei

  2. Kattintson egy üzenetre a további áttelepítési szabályok részleteinek megnyitásához. A tesztelt tulajdonságok teljes listáját az alábbi AD FS alkalmazáskonfigurációs tesztek táblázatában olvashatja.

    A migrálási szabály részletei

AD FS tesztek konfigurálása

Az alábbi táblázat a különböző alkalmazásokon végrehajtott összes AD FS sorolja fel.

Eredmény Pass/Warning/Fail Description
Test-ADFSRPAdditionalAuthenticationRules
A rendszer legalább egy nem migrált szabályt észlelt az AdditionalAuthentication esetén. 
Pass/Warning  A függő fél olyan szabályokkal rendelkezik, amelyek kérik a többtényezős hitelesítést (MFA). Az Azure AD-be való áthelyezéshez ezeket a szabályokat feltételes hozzáférési szabályzatokként kell lefordítani. Ha helyszíni MFA-t használ, javasoljuk, hogy lépjen a Azure AD MFA. További információ a feltételes hozzáférésről.
Test-ADFSRPAdditionalWSFedEndpoint
A függő függőben az AdditionalWSFedEndpoint true (igaz) értékkel rendelkezik. 
Sikeres/sikertelen  A szolgáltatásban a függő AD FS több WS-Fed helyességi feltételi végpontot is lehetővé tesz.Az Azure AD jelenleg csak egyet támogat.Ha van olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudajuk meg velünk a következőt:. 
Test-ADFSRPAllowedAuthenticationClassReferences
A függő fél beállította az AllowedAuthenticationClassReferences osztályt. 
Sikeres/sikertelen  Ez a beállítás AD FS megadhatja, hogy az alkalmazás csak bizonyos hitelesítési típusokra legyen-e konfigurálva. Javasoljuk, hogy ezt a képességet feltételes hozzáféréssel érjük el. Ha van olyan forgatókönyve, amelyben ez az eredmény blokkolja a migrálást, tudajuk meg velünk a következőt:.   További információ a feltételes hozzáférésről.
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Sikeres/sikertelen  Ez a beállítás AD FS megadhatja, hogy az alkalmazás az SSO cookie-k figyelmen kívül hagyása és az Always Prompt for Authentication (Mindig hitelesítésre való kérés) legyen-e konfigurálva. Az Azure AD-ban a hitelesítési munkamenet feltételes hozzáférési szabályzatokkal kezelhető, így hasonló viselkedést érhet el. További információ a hitelesítési munkamenetek feltételes hozzáféréssel való kezelésének konfigurálásával kapcsolatban.
Test-ADFSRPAutoUpdateEnabled
A függő fél AutoUpdateEnabled beállítása igaz 
Pass/Warning  Ez a beállítás AD FS megadhatja, hogy a AD FS az összevonási metaadatokon belüli módosítások alapján automatikusan frissítse-e az alkalmazást. Az Azure AD ezt jelenleg nem támogatja, de nem szabad blokkolni az alkalmazás Azure AD-be való migrálását.  
Test-ADFSRPClaimsProviderName
A függő félhez több jogcímprovider is engedélyezve van 
Sikeres/sikertelen  Ez a beállítás AD FS hívja meg az identitásszolgáltatókat, amelyektől a függő fél jogcímeket fogad. Az Azure AD-ben engedélyezheti a külső együttműködést az Azure AD B2B használatával. További információ az Azure AD B2B-ről.
Test-ADFSRPDelegationAuthorizationRules Sikeres/sikertelen  Az alkalmazáshoz egyéni delegálásengedélyezési szabályok vannak meghatározva. Ez egy olyan WS-Trust, amelyet az Azure AD támogat a modern hitelesítési protokollok, például az OpenID Csatlakozás és az OAuth 2.0 használatával. További információ a Microsoft Identity Platformról.
Test-ADFSRPImpersonationAuthorizationRules  Pass/Warning  Az alkalmazáshoz egyéni megszemélyesítési engedélyezési szabályok vannak definiálva.Ez egy olyan WS-Trust, amelyet az Azure AD támogat olyan modern hitelesítési protokollok használatával, mint az OpenID Csatlakozás és az OAuth 2.0. További információ a Microsoft Identity Platformról.
Test-ADFSRPIssuanceAuthorizationRules
A rendszer legalább egy nem áttelepíthető szabályt észlelt a issuanceAuthorization esetén. 
Pass/Warning  Az alkalmazás egyéni kiállításengedélyezési szabályokkal rendelkezik, amelyek a AD FS.Az Azure AD támogatja ezt a funkciót az Azure AD feltételes hozzáféréssel. További információ a feltételes hozzáférésről.
Az alkalmazásokhoz való hozzáférést az alkalmazáshoz rendelt felhasználók vagy csoportok szerint is korlátozhatja. További információ a felhasználók és csoportok alkalmazásokhozvaló hozzárendeléséhez való hozzárendelésről.   
Test-ADFSRPIssuanceTransformRules
A rendszer legalább egy nem áttelepíthető szabályt észlelt a IssuanceTransformhoz. 
Pass/Warning  Az alkalmazásban egyéni kiállítási átalakítási szabályok vannak definiálva a AD FS. Az Azure AD támogatja a jogkivonatban kiadott jogcímek testreszabását. További tudnivalókért lásd az SAML-jogkivonatban kiadott jogcímek vállalati alkalmazásokhoz való testreszabását.  
Test-ADFSRPMonitoringEnabled
A függő halmaz FigyelésEnabled beállítása igaz. 
Pass/Warning  Ezzel a AD FS megadhatja, hogy a AD FS az összevonási metaadatokon belüli módosítások alapján automatikusan frissítse-e az alkalmazást. Az Azure AD ezt jelenleg nem támogatja, de nem szabad blokkolni az alkalmazás Azure AD-be való migrálását.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Pass/Warning  AD FS az SAML-jogkivonat NotBefore és NotOnOrAfter ideje alapján engedélyezi az időeltéréseket. Az Azure AD alapértelmezés szerint automatikusan kezeli ezt. 
Test-ADFSRPRequestMFAFromClaimsProviders
A függő fél RequestMFAFromClaimsProviders beállítása igaz. 
Pass/Warning  Ez a beállítás AD FS MFA viselkedését határozza meg, amikor a felhasználó egy másik jogcímszolgáltatótól származik. Az Azure AD-ben külső együttműködést engedélyezhet az Azure AD B2B használatával. Ezután feltételes hozzáférési szabályzatokat alkalmazhat a vendég hozzáférés védelmére. További információ az Azure AD B2B-ről és a feltételes hozzáférésről.
Test-ADFSRPSignedSamlRequestsRequired
A függő fél SignedSamlRequestsRequired beállítása true (igaz) 
Sikeres/sikertelen  Az alkalmazás úgy van konfigurálva a AD FS, hogy ellenőrizze az aláírást az SAML-kérelemben. Az Azure AD aláírt SAML-kérelmet fogad el; Az aláírást azonban nem ellenőrzi. Az Azure AD-nek különböző módszerei vannak a rosszindulatú hívások elleni védelemhez. Az Azure AD például az alkalmazásban konfigurált válasz URL-címeket használja az SAML-kérelem érvényesítéséhez. Az Azure AD csak az alkalmazáshoz konfigurált válasz URL-címekre küld jogkivonatot. Ha van olyan esete, amikor ez az eredmény blokkolja a migrálást, tudajuk meg a következőt:. 
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult  
Pass/Warning Az alkalmazás egyéni jogkivonat-élettartamra van konfigurálva. Az AD FS alapértelmezett érték egy óra.Az Azure AD feltételes hozzáféréssel támogatja ezt a funkciót. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.
A függő fél a jogcímek titkosítására van beállítva. Ezt az Azure AD támogatja  Sikeres  Az Azure AD-val titkosíthatja az alkalmazásnak küldött jogkivonatot. További információ: Configure Azure AD SAML token encryption (Az Azure AD SAML-jogkivonat titkosításának konfigurálása).
EncryptedNameIdRequiredCheckResult Sikeres/sikertelen  Az alkalmazás úgy van konfigurálva, hogy titkosítsa a nameID jogcímet az SAML-jogkivonatban.Az Azure AD-val titkosíthatja az alkalmazásnak küldött teljes jogkivonatot.Bizonyos jogcímek titkosítása még nem támogatott. További információ: Configure Azure AD SAML token encryption (Az Azure AD SAML-jogkivonat titkosításának konfigurálása).

A jogcímszabály-tesztek eredményeinek ellenőrzése

Ha konfigurált egy jogcímszabályt az alkalmazáshoz a AD FS, a felhasználói élmény részletes elemzést biztosít az összes jogcímszabályhoz. Látni fogja, hogy mely jogcímszabályokat lehet áthelyezni az Azure AD-be, és melyekre van szükség további felülvizsgálatra.

  1. A AD FS tevékenység listájában kattintson a Migrálás állapota oszlopban lévő állapotra a migrálás részleteinek megnyitásához. Itt láthatja az elvégzett konfigurációs tesztek összegzését, valamint az esetleges migrálási problémákat.

  2. Az Áttelepítési szabály részletei lapon bontsa ki az eredményeket a lehetséges migrálási problémák részleteinek megjelenítéséhez és további útmutatáshoz. Az összes tesztelt jogcímszabály részletes listáját lásd az alábbi, A jogcímszabály-tesztek eredményeinek ellenőrzése táblázatban.

    Az alábbi példa a IssuanceTransform szabály áttelepítési szabályának részleteit mutatja be. Felsorolja a jogcím azon részeit, amelyek felülvizsgálata és kezelése szükséges az alkalmazás Azure AD-be való áttelepítése előtt.

    A migrálási szabály részletesen tartalmaz további útmutatást

Jogcímszabály-tesztek

Az alábbi táblázat az összes olyan jogcímszabály-tesztet felsorolja, amely a AD FS történik.

Tulajdonság Leírás
UNSUPPORTED_CONDITION_PARAMETER A condition utasítás reguláris kifejezéseket használ annak kiértékeléséhez, hogy a jogcím megfelel-e egy bizonyos mintának.Az Azure AD hasonló funkcióinak eléréséhez használhat többek között olyan előre definiált átalakításokat, mint például az IfEmpty(), a StartWith(), a Contains(). További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
UNSUPPORTED_CONDITION_CLASS A condition utasítás több feltétellel rendelkezik, amelyek kiértékelése szükséges a kiállítási utasítás futtatása előtt.Az Azure AD támogathatja ezt a funkciót a jogcím átalakítási függvényeivel, ahol több jogcímértéket értékelhet ki.További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
UNSUPPORTED_RULE_TYPE A jogcímszabályt nem sikerült felismerni. További információ a jogcímek Azure AD-beli konfigurálásról: Az SAML-jogkivonatban kibocsátott jogcímek testreszabása vállalati alkalmazásokhoz.
CONDITION_MATCHES_UNSUPPORTED_ISSUER A condition utasítás olyan kiállítót használ, amelyet az Azure AD nem támogat.Az Azure AD jelenleg nem más tárolókból származó jogcímeket hoz Active Directory Azure AD-ból. Ha ez nem akadályozza meg az alkalmazások Azure AD-be való áttelepítését, tudtossa velünk.
UNSUPPORTED_CONDITION_FUNCTION A condition utasítás egy aggregátum függvényt használ egyetlen jogcím kiállításához vagy hozzáadásához az egyezések számától függetlenül.Az Azure AD-ban kiértékelheti egy felhasználó attribútumát, hogy eldöntse, milyen értéket szeretne használni a jogcímhez többek között az IfEmpty(), a StartWith(), a Contains() függvényekkel.További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
RESTRICTED_CLAIM_ISSUED A condition utasítás egy, az Azure AD-ban korlátozott jogcímet használ. Előfordulhat, hogy korlátozott jogcímet is ki tud adni, de a forrását nem módosíthatja, és nem alkalmazhat átalakítást. További információ: Egy adott alkalmazás jogkivonatai által kibocsátott jogcímek testreszabása az Azure AD-ban.
EXTERNAL_ATTRIBUTE_STORE A kiállítási utasítás egy eltérő attribútumtárat használ, Active Directory. Az Azure AD jelenleg nem más tárolókból származó jogcímeket hoz Active Directory Azure AD-ból. Ha ez az eredmény nem akadályozza meg az alkalmazások Azure AD-be való áttelepítését, tudajuk meg velünk a következőt:. 
UNSUPPORTED_ISSUANCE_CLASS A kiállítási utasítás az ADD segítségével adja hozzá a jogcímeket a bejövő jogcímkészlethez. Az Azure AD-ban ez több jogcím-átalakításként is konfigurálható.További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.
UNSUPPORTED_ISSUANCE_TRANSFORMATION A kiállítási utasítás reguláris kifejezésekkel alakítja át a kiveszni szánt jogcím értékét.Az Azure AD hasonló funkcióinak eléréséhez többek között olyan előre definiált átalakításokat használhat, mint az Extract(), a Trim(), a ToLower. További információ: Az SAML-jogkivonatban kiadott jogcímek testreszabása vállalati alkalmazásokhoz.

Hibaelhárítás

Nem látom az összes AD FS a jelentésben

Ha telepítette az Azure AD Csatlakozás Health-t, de továbbra is a telepítésére vonatkozó kérést látja, vagy nem látja az összes AD FS-alkalmazást a jelentésben, előfordulhat, hogy nem aktív AD FS-alkalmazásokkal, vagy a AD FS-alkalmazások Microsoft-alkalmazások.

Az AD FS tevékenységjelentés a szervezetben AD FS összes olyan alkalmazás listáját tartalmazza, amelybe aktív felhasználók jelentkeztek be az elmúlt 30 napban. Emellett a jelentés nem jeleníti meg a Microsofthoz kapcsolódó függő AD FS, például Office 365. Például az "urn:federation:MicrosoftOnline", "microsoftonline", "microsoft:winhello:cert:prov:server" nevű függő felek nem megjelenik a listában.

Következő lépések