Esaminare il report attività dell'applicazione

Molte organizzazioni usano Active Directory Federation Services (AD FS) per fornire l'accesso Single Sign-On alle applicazioni cloud. Lo spostamento delle applicazioni AD FS in Azure AD per l'autenticazione offre vantaggi significativi, in particolare in termini di gestione dei costi, gestione dei rischi, produttività, conformità e governance. Tuttavia, può essere necessario molto tempo per determinare quali applicazioni sono compatibili con Azure AD e per identificare passaggi di migrazione specifici.

Il report AD FS'attività dell'applicazione nel portale di Azure consente di identificare rapidamente le applicazioni di cui è possibile eseguire la migrazione a Azure AD. Il report valuta tutte le applicazioni AD FS per la compatibilità con Azure AD, verifica la presenza di eventuali problemi e fornisce indicazioni sulla preparazione di singole applicazioni per la migrazione. Con il report AD FS'attività dell'applicazione, è possibile:

  • Individuare AD FS applicazioni e l'ambito della migrazione. Il report attività delle applicazioni AD FS elenca tutte le applicazioni AD FS nell'organizzazione che hanno avuto un account di accesso utente attivo negli ultimi 30 giorni. Il report indica che le app sono idonee per la migrazione a Azure AD. Il report non visualizza le relying party correlate a Microsoft in AD FS, ad esempio Office 365. Ad esempio, relying party con nome 'urn:federation:MicrosoftOnline'.

  • Assegnare priorità alle applicazioni per la migrazione. Ottenere il numero di utenti univoci che hanno eseguito l'accesso all'applicazione negli ultimi 1, 7 o 30 giorni per determinare la criticità o il rischio di migrazione dell'applicazione.

  • Eseguire test di migrazione e risolvere i problemi. Il servizio di creazione report esegue automaticamente test per determinare se un'applicazione è pronta per la migrazione. I risultati vengono visualizzati nel report AD FS'attività dell'applicazione come stato di migrazione. Se la AD FS non è compatibile con una configurazione Azure AD, si ottengono indicazioni specifiche su come risolvere la configurazione in Azure AD.

I AD FS dell'attività dell'applicazione sono disponibili per gli utenti a cui è assegnato uno di questi ruoli di amministratore: amministratore globale, lettore di report, ruolo con autorizzazioni di lettura per la sicurezza, amministratore dell'applicazione o amministratore dell'applicazione cloud.

Prerequisiti

Importante

Esistono due motivi per cui non verranno visualizzati tutti i motivi per cui ci si aspetta dopo l'installazione Azure AD Connessione integrità. Il report AD FS'attività dell'applicazione mostra AD FS relying party con account di accesso utente negli ultimi 30 giorni. Inoltre, il report non visualizza le relying party correlate a Microsoft, ad esempio Office 365.

Individuare le applicazioni AD FS di cui è possibile eseguire la migrazione

Il report attività delle applicazioni AD FS è disponibile nel portale di Azure nei report Utilizzo e informazioni dettagliate di Azure AD. Il report AD FS'attività dell'applicazione analizza ogni applicazione AD FS per determinare se è possibile eseguirne la migrazione senza modifiche o se è necessaria una revisione aggiuntiva.

  1. Accedere al portale di Azure con un ruolo di amministratore che abbia accesso ai dati delle attività dell'applicazione AD FS (amministratore globale, lettore di report, ruolo con autorizzazioni di lettura per la sicurezza, amministratore dell'applicazione o amministratore dell'applicazione cloud).

  2. Selezionare Azure Active Directory e quindi Applicazioni aziendali.

  3. In Attività selezionare Utilizzo & Insights e quindi selezionare AD FS'attività dell'applicazione per aprire un elenco di tutte le applicazioni AD FS nell'organizzazione.

    AD FS'attività dell'applicazione

  4. Per ogni applicazione nell'elenco di attività delle applicazioni AD FS visualizzare il valore di Stato di migrazione:

    • Pronto per la migrazione indica che la configurazione dell'applicazione AD FS è completamente supportata in Azure AD ed è possibile eseguire la migrazione dell'applicazione così com'è.

    • Verifica necessaria indica che è possibile eseguire la migrazione di alcune delle impostazioni dell'applicazione in Azure AD, ma è necessario esaminare le impostazioni di cui non è possibile eseguire la migrazione così come sono.

    • Sono necessari passaggi aggiuntivi indica che Azure AD non supporta alcune delle impostazioni dell'applicazione e di conseguenza non è possibile eseguire la migrazione dell'applicazione nel suo stato corrente.

Valutare l'idoneità di un'applicazione per la migrazione

  1. Nell'AD FS attività dell'applicazione fare clic sullo stato nella colonna Stato migrazione per aprire i dettagli della migrazione. Verrà visualizzato un riepilogo dei test di configurazione superati, insieme a eventuali potenziali problemi di migrazione.

    Dettagli sulla migrazione

  2. Fare clic su un messaggio per aprire dettagli aggiuntivi sulle regole di migrazione. Per un elenco completo delle proprietà testate, vedere la tabella AD FS test di configurazione dell'applicazione più avanti.

    Dettagli delle regole di migrazione

AD FS test di configurazione dell'applicazione

Nella tabella seguente sono elencati tutti i test di configurazione eseguiti AD FS applicazioni.

Risultato Pass/Warning/Fail Descrizione
Test-ADFSRPAdditionalAuthenticationRules
È stata rilevata almeno una regola non migrabile per AdditionalAuthentication. 
Pass/Warning  Il relying party regole per richiedere l'autenticazione a più fattori (MFA). Per passare a un Azure AD, convertire tali regole in criteri di accesso condizionale. Se si usa un'autenticazione a più fattori locale, è consigliabile passare Azure AD MFA. Altre informazioni sull'accesso condizionale.
Test-ADFSRPAdditionalWSFedEndpoint
La relying party ha AdditionalWSFedEndpoint impostato su true. 
Esito positivo o negativo  Il relying party in AD FS più endpoint WS-Fed di asserzione.Attualmente, Azure AD ne supporta solo uno.In uno scenario in cui questo risultato blocca la migrazione, determinare .
Test-ADFSRPAllowedAuthenticationClassReferences
La relying party ha impostato AllowedAuthenticationClassReferences. 
Esito positivo o negativo  Questa impostazione in AD FS consente di specificare se l'applicazione è configurata per consentire solo determinati tipi di autenticazione. Per ottenere questa funzionalità, è consigliabile usare l'accesso condizionale. In uno scenario in cui questo risultato blocca la migrazione, determinare .Altre informazioni sull'accesso condizionale.
Test-ADFSRPAlwaysRequireAuthentication
AlwaysRequireAuthenticationCheckResult
Esito positivo o negativo  Questa impostazione in AD FS consente di specificare se l'applicazione è configurata per ignorare i cookie SSO e Always Prompt for Authentication. In Azure AD è possibile gestire la sessione di autenticazione usando i criteri di accesso condizionale per ottenere un comportamento simile. Altre informazioni sulla configurazione della gestione delle sessioni di autenticazione con l'accesso condizionale.
Test-ADFSRPAutoUpdateEnabled
La relying party ha AutoUpdateEnabled impostato su true 
Pass/Warning  Questa impostazione in AD FS consente di specificare se AD FS è configurato per aggiornare automaticamente l'applicazione in base alle modifiche all'interno dei metadati della federazione. Azure AD attualmente non supporta questa funzionalità, ma non deve bloccare la migrazione dell'applicazione a Azure AD.  
Test-ADFSRPClaimsProviderName
La relying party ha più ClaimsProvider abilitati 
Esito positivo o negativo  Questa impostazione in AD FS chiama i provider di identità da cui il relying party accetta attestazioni. In Azure AD è possibile abilitare la collaborazione esterna usando Azure AD B2B. Altre informazioni su Azure AD B2B.
Test-ADFSRPDelegationAuthorizationRules Esito positivo o negativo  Per l'applicazione sono definite regole di autorizzazione di delega personalizzate. Questo è un WS-Trust che Azure AD tramite protocolli di autenticazione moderni, ad esempio OpenID Connessione e OAuth 2.0. Altre informazioni su Microsoft Identity Platform.
Test-ADFSRPImpersonationAuthorizationRules  Pass/Warning  Per l'applicazione sono definite regole di autorizzazione di rappresentazione personalizzate.Questo è un WS-Trust che Azure AD tramite protocolli di autenticazione moderni, ad esempio OpenID Connessione e OAuth 2.0. Altre informazioni su Microsoft Identity Platform.
Test-ADFSRPIssuanceAuthorizationRules
È stata rilevata almeno una regola non migrabile per IssuanceAuthorization. 
Pass/Warning  L'applicazione dispone di regole di autorizzazione di rilascio personalizzate definite in AD FS.Azure AD supporta questa funzionalità con l'Azure AD condizionale. Altre informazioni sull'accesso condizionale.
È anche possibile limitare l'accesso a un'applicazione in base all'utente o ai gruppi assegnati all'applicazione. Altre informazioni sull'assegnazione di utenti e gruppi per l'accesso alle applicazioni.   
Test-ADFSRPIssuanceTransformRules
È stata rilevata almeno una regola non migrabile per IssuanceTransform. 
Pass/Warning  L'applicazione ha regole di trasformazione del rilascio personalizzate definite in AD FS. Azure AD supporta la personalizzazione delle attestazioni rilasciate nel token. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.  
Test-ADFSRPMonitoringEnabled
MonitoringEnabled della relying party è impostato su true. 
Pass/Warning  Questa impostazione in AD FS consente di specificare se AD FS è configurato per aggiornare automaticamente l'applicazione in base alle modifiche all'interno dei metadati della federazione. Azure AD attualmente non supporta questa operazione, ma non deve bloccare la migrazione dell'applicazione a Azure AD.  
Test-ADFSRPNotBeforeSkew
NotBeforeSkewCheckResult
Pass/Warning  AD FS consente un'affollata temporale in base alle ore NotBefore e NotOnOrAfter nel token SAML. Azure AD gestisce automaticamente questa operazione per impostazione predefinita. 
Test-ADFSRPRequestMFAFromClaimsProviders
La relying party ha RequestMFAFromClaimsProviders impostato su true. 
Pass/Warning  Questa impostazione in AD FS determina il comportamento dell'autenticazione a più fattori quando l'utente proviene da un provider di attestazioni diverso. In Azure AD, è possibile abilitare la collaborazione esterna usando Azure AD B2B. È quindi possibile applicare criteri di accesso condizionale per proteggere l'accesso guest. Altre informazioni su Azure AD B2B e l'accesso condizionale.
Test-ADFSRPSignedSamlRequestsRequired
La relying party ha SignedSamlRequestsRequired impostato su true 
Esito positivo o negativo  L'applicazione viene configurata AD FS per verificare la firma nella richiesta SAML. Azure AD accetta una richiesta SAML firmata. Tuttavia, non verificherà la firma. Azure AD diversi metodi per la protezione da chiamate dannose. Ad esempio, Azure AD usa gli URL di risposta configurati nell'applicazione per convalidare la richiesta SAML. Azure AD invierà un token solo agli URL di risposta configurati per l'applicazione. Se si ha uno scenario in cui questo risultato blocca la migrazione, determinare .
Test-ADFSRPTokenLifetime
TokenLifetimeCheckResult  
Pass/Warning L'applicazione è configurata per una durata del token personalizzata. Il AD FS predefinito è un'ora.Azure AD questa funzionalità tramite l'accesso condizionale. Per altre informazioni, vedere Configurare la gestione della sessione di autenticazione con l'accesso condizionale.
La relying party è impostata per crittografare le attestazioni. Questa funzionalità è supportata da Azure AD  Pass  Con Azure AD, è possibile crittografare il token inviato all'applicazione. Per altre informazioni, vedere Configurare la Azure AD di token SAML.
EncryptedNameIdRequiredCheckResult Esito positivo o negativo  L'applicazione è configurata per crittografare l'attestazione nameID nel token SAML.Con Azure AD, è possibile crittografare l'intero token inviato all'applicazione.La crittografia di attestazioni specifiche non è ancora supportata. Per altre informazioni, vedere Configurare la Azure AD di token SAML.

Controllare i risultati dei test delle regole attestazione

Se è stata configurata una regola attestazione per l'applicazione in AD FS, l'esperienza fornirà un'analisi granulare per tutte le regole attestazione. Si scopriranno quali regole attestazione possono essere spostate in Azure AD e quali devono essere esaminate ulteriormente.

  1. Nell'AD FS di attività dell'applicazione fare clic sullo stato nella colonna Stato migrazione per aprire i dettagli della migrazione. Verrà visualizzato un riepilogo dei test di configurazione superati, insieme a eventuali problemi di migrazione.

  2. Nella pagina Dettagli regola di migrazione espandere i risultati per visualizzare i dettagli sui potenziali problemi di migrazione e per ottenere indicazioni aggiuntive. Per un elenco dettagliato di tutte le regole attestazione testate, vedere la tabella Controllare i risultati dei test delle regole attestazione riportata di seguito.

    L'esempio seguente mostra i dettagli della regola di migrazione per la regola IssuanceTransform. Elenca le parti specifiche dell'attestazione che devono essere esaminate e indirizzate prima di poter eseguire la migrazione dell'applicazione Azure AD.

    Informazioni aggiuntive sulle regole di migrazione

Test delle regole attestazione

Nella tabella seguente sono elencati tutti i test delle regole attestazione eseguiti AD FS applicazioni.

Proprietà Descrizione
UNSUPPORTED_CONDITION_PARAMETER L'istruzione condition usa espressioni regolari per valutare se l'attestazione corrisponde a un determinato modello.Per ottenere una funzionalità simile in Azure AD, è possibile usare una trasformazione predefinita, ad esempio IfEmpty(), StartWith(), Contains(), tra gli altri. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
UNSUPPORTED_CONDITION_CLASS L'istruzione condition ha più condizioni che devono essere valutate prima di eseguire l'istruzione di rilascio.Azure AD può supportare questa funzionalità con le funzioni di trasformazione dell'attestazione in cui è possibile valutare più valori di attestazione.Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
UNSUPPORTED_RULE_TYPE Impossibile riconoscere la regola attestazione. Per altre informazioni su come configurare le attestazioni in Azure AD, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
CONDITION_MATCHES_UNSUPPORTED_ISSUER L'istruzione condition usa un'autorità di emittente non supportata in Azure AD.Attualmente, Azure AD non ha attestazioni provenienti da archivi diversi da Active Directory o Azure AD. Se questa operazione non consente di eseguire la migrazione di applicazioni Azure AD, determinare.
UNSUPPORTED_CONDITION_FUNCTION L'istruzione condition usa una funzione di aggregazione per rilasciare o aggiungere una singola attestazione indipendentemente dal numero di corrispondenze.In Azure AD, è possibile valutare l'attributo di un utente per decidere quale valore usare per l'attestazione con funzioni come IfEmpty(), StartWith(), Contains(), tra le altre.Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
RESTRICTED_CLAIM_ISSUED L'istruzione condition usa un'attestazione limitata in Azure AD. Potrebbe essere possibile rilasciare un'attestazione con restrizioni, ma non è possibile modificarne l'origine o applicare alcuna trasformazione. Per altre informazioni, vedere Personalizzare le attestazioni generate nei token per un'app specifica in Azure AD. 
EXTERNAL_ATTRIBUTE_STORE L'istruzione di rilascio usa un archivio attributi diverso da Active Directory. Attualmente, Azure AD non ha attestazioni provenienti da archivi diversi da Active Directory o Azure AD. Se questo risultato blocca la migrazione delle applicazioni Azure AD, determinare. 
UNSUPPORTED_ISSUANCE_CLASS L'istruzione di rilascio usa ADD per aggiungere attestazioni al set di attestazioni in ingresso. In Azure AD, questo può essere configurato come più trasformazioni di attestazione.Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
UNSUPPORTED_ISSUANCE_TRANSFORMATION L'istruzione di rilascio usa espressioni regolari per trasformare il valore dell'attestazione da emettere.Per ottenere funzionalità simili in Azure AD, è possibile usare una trasformazione predefinita, ad esempio Extract(), Trim(), ToLower, tra le altre. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.

Risoluzione dei problemi

Non è possibile visualizzare tutte le AD FS nel report

Se è stato installato Azure AD Connessione health, ma viene comunque visualizzato il prompt per installarlo o non vengono visualizzate tutte le applicazioni AD FS nel report, è possibile che non siano presenti applicazioni AD FS attive o che le applicazioni AD FS siano applicazioni Microsoft.

Il report AD FS'attività dell'applicazione elenca tutte le applicazioni AD FS dell'organizzazione con accesso degli utenti attivi negli ultimi 30 giorni. Inoltre, il report non visualizza le relying party correlate a Microsoft in AD FS ad esempio Office 365. Ad esempio, le relying party con nome 'urn:federation:MicrosoftOnline', 'microsoftonline', 'microsoft:winhello:cert:prov:server' non vengono mostrate nell'elenco.

Passaggi successivi