Uso de la migración de aplicaciones de AD FS (versión preliminar) para mover aplicaciones de AD FS a Microsoft Entra ID

En este artículo, aprenderá a migrar las aplicaciones de los Servicios de federación de Active Directory (AD FS) a Microsoft Entra ID mediante la migración de aplicaciones de AD FS.

La migración de aplicaciones de AD FS proporciona experiencia guiada a los administradores de TI para migrar aplicaciones de usuario de confianza de AD FS desde AD FS a Microsoft Entra ID. El asistente le ofrece una experiencia unificada para detectar, evaluar y configurar una nueva aplicación de Microsoft Entra. Proporciona configuración de un solo clic para las direcciones URL básicas de SAML, asignación de notificaciones y asignaciones de usuario para integrar la aplicación con Microsoft Entra ID.

La herramienta de migración de aplicaciones de AD FS está diseñada para proporcionar compatibilidad de un extremo a otro para migrar aplicaciones de AD FS locales a Microsoft Entra ID.

Con la migración de aplicaciones de AD FS, puede hacer lo siguiente:

  • Evaluar las actividades de inicio de sesión de las aplicaciones de confianza de AD FS, lo que le ayuda a identificar el uso y el impacto de las aplicaciones dadas.
  • Analizar la viabilidad de la migración de AD FS a Microsoft Entra, que lo ayuda a identificar los bloqueadores de migración o las acciones necesarias para migrar sus aplicaciones a la plataforma de Microsoft Entra.
  • Configurar una nueva aplicación de Microsoft Entra con el proceso de migración de aplicaciones en un solo clic, que configura automáticamente una nueva aplicación de Microsoft Entra para la aplicación de AD FS determinada.

Requisitos previos

Para usar la migración de aplicaciones de AD FS debe tener lo siguiente:

  • En estos momentos, su organización debe usar AD FS para acceder a las aplicaciones.
  • Una licencia de Microsoft Entra ID P1 o P2.
  • Uno de los siguientes roles asignados:
    • Administrador de aplicaciones en la nube
    • Administrador de aplicaciones
    • Lector global (acceso de solo lectura)
    • Lector de informes (acceso de solo lectura)
  • Microsoft Entra Connect debe instalarse en los entornos locales, junto con los agentes sanitarios de AD FS de Microsoft Entra Connect Health.

Hay dos motivos por los que no verá todas las aplicaciones que espera después de haber instalado los agentes de Microsoft Entra Connect Health para AD FS:

  • El panel de migración de aplicaciones de AD FS solo muestra las aplicaciones de AD FS que tengan inicios de sesión de usuario en los últimos 30 días.
  • Las aplicaciones de usuario de confianza de AD FS relacionadas con Microsoft no están disponibles en el panel.

Vista del panel de migración de aplicaciones de AD FS en Microsoft Entra ID

El panel de migración de aplicaciones de AD FS está disponible en el Centro de administración de Microsoft Entra en los informes de Uso e información. Hay dos puntos de entrada para el asistente:

Desde la sección Aplicaciones empresariales:

  1. Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales.
  3. En Uso e información, seleccione Migración de aplicaciones de AD FS para acceder al panel de migración de aplicaciones de AD FS.

En la sección Supervisión y estado:

  1. Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Supervisión y estado>Aplicaciones empresariales.
  3. En Administrar, seleccione Uso e información y luego Migración de aplicaciones de AD FS para acceder al panel de migración de aplicaciones de AD FS.

El panel de migración de aplicaciones de AD FS muestra la lista de todas las aplicaciones de usuario de confianza de AD FS que han tenido activamente tráfico de inicio de sesión en el periodo de los últimos 30 días.

El panel tiene el filtro de intervalo de fechas. El filtro permite seleccionar todas las aplicaciones de usuario de confianza de AD FS activas según el intervalo de tiempo seleccionado. El filtro admite los últimos: 1 día, 7 días y 30 días.

Hay tres pestañas que proporcionan la lista completa de aplicaciones, aplicaciones configurables y aplicaciones configuradas previamente. En este panel, verá información general sobre el progreso general del trabajo de migración.

Las tres pestañas del panel son las siguientes:

  • Todas las aplicaciones: muestra la lista de todas las aplicaciones descubiertas desde el entorno local.
  • Listo para migrar: muestra la lista de todas las aplicaciones que tengan los estados de migración Listo o Revisión necesaria.
  • Listo para configurar: muestra la lista de todas las aplicaciones de Microsoft Entra que se migraron anteriormente mediante el Asistente para la migración de aplicaciones de AD FS.

Estado de migración de la aplicación

Los agentes de Microsoft Entra Connect y Microsoft Entra Connect Health para AD FS leen las configuraciones de aplicaciones de usuarios de confianza de AD FS y los registros de auditoría de inicio de sesión. Estos datos sobre cada aplicación de AD FS se analizan para determinar si la aplicación se puede migrar tal cual o si es necesaria una revisión adicional. En función del resultado de este análisis, el estado de migración de la aplicación dada se indica como uno de los siguientes estados:

  • Listo para migrar significa que la configuración de la aplicación de AD FS es totalmente compatible con Microsoft Entra ID y se puede migrar tal cual.
  • Revisión necesaria significa que algunas de las configuraciones de la aplicación se pueden migrar a Microsoft Entra ID, pero debe revisar la configuración que no se puede migrar tal cual. Pero estos no son impedimentos para la migración.
  • Se requieren pasos adicionales significa que Microsoft Entra ID no admite parte de la configuración de la aplicación, por lo que no se puede migrar en su estado actual.

Revisemos cada pestaña en el panel de migración de aplicaciones de AD FS con más detalle.

Pestaña Todas las aplicaciones

En la pestaña Todas las aplicaciones se muestran todas las aplicaciones de usuario de confianza de AD FS activas a partir del intervalo de fechas seleccionado. El usuario puede analizar el impacto de cada aplicación mediante los datos de inicio de sesión agregados. También pueden navegar al panel de detalles mediante el vínculo Estado de migración.

Para ver los detalles sobre cada regla de validación, vea las Reglas de validación de la migración de aplicaciones de AD FS.

Captura de pantalla del panel de detalles de la migración de aplicaciones de AD FS.

Seleccione un mensaje para abrir detalles adicionales de la regla de migración. Para obtener una lista completa de las propiedades probadas, vea la tabla de pruebas de configuración siguiente.

Comprobación de los resultados de las pruebas de reglas de notificaciones

Si ha configurado una regla de notificaciones para la aplicación en AD FS, la experiencia proporcionará un análisis granular para todas las reglas de notificaciones. Verá qué reglas de notificación puede mover a Microsoft Entra ID y cuáles necesitan revisión adicional.

  1. Seleccione una aplicación en la lista de aplicaciones de la pestaña Todas las aplicaciones y luego el estado en la columna Estado de migración para ver los detalles de la migración. Verá un resumen de las pruebas de configuración superadas, junto con los posibles problemas de migración.
  2. En la página Detalles de la regla de migración, expanda los resultados para mostrar los detalles de los posibles problemas de migración y obtener instrucciones adicionales. Para obtener una lista detallada de todas las reglas de notificación probadas, vea la sección pruebas de reglas de notificación en este artículo.

En el ejemplo siguiente se muestran los detalles de la regla de migración para la regla de IssuanceTransform. Muestra las partes específicas de la notificación que deben revisarse y abordarse antes de poder migrar la aplicación a Microsoft Entra ID.

Captura de pantalla del panel de detalles de reglas de migración de aplicaciones de AD FS.

Pruebas de reglas de notificaciones

En la tabla siguiente se enumeran todas las pruebas de reglas de notificaciones que se realizan en aplicaciones de AD FS.

Propiedad Descripción
UNSUPPORTED_CONDITION_PARAMETER La instrucción de condición utiliza expresiones regulares para evaluar si la notificación coincide con un patrón determinado. Para lograr una funcionalidad similar en Microsoft Entra ID, puede usar la transformación predefinida como IfEmpty(), StartWith() o Contains(), entre otras. Para obtener más información, vea Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.
UNSUPPORTED_CONDITION_CLASS La instrucción de condición tiene varias condiciones que deben evaluarse antes de ejecutar la instrucción de emisión. Microsoft Entra ID puede admitir esta funcionalidad con las funciones de transformación de la notificación, donde puede evaluar varios valores de notificaciones. Para obtener más información, vea Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.
UNSUPPORTED_RULE_TYPE No se pudo reconocer la regla de notificaciones. Para obtener más información sobre cómo configurar notificaciones en Microsoft Entra ID, vea Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.
CONDITION_MATCHES_UNSUPPORTED_ISSUER La instrucción de condición usa un emisor que no se admite en Microsoft Entra ID. Actualmente, Microsoft Entra no procesa las notificaciones de los almacenes que no sean de Active Directory o Microsoft Entra ID. Si esto le impide migrar aplicaciones aMicrosoft Entra ID, infórmenos.
UNSUPPORTED_CONDITION_FUNCTION La instrucción de condición utiliza una función de agregado para emitir o agregar una única notificación sin tener en cuenta el número de coincidencias. En Microsoft Entra ID puede evaluar el atributo de un usuario para decidir qué valor utilizar para la notificación con funciones como IfEmpty(), StartWith() o Contains(), entre otras. Para obtener más información, vea Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.
RESTRICTED_CLAIM_ISSUED La instrucción de condición usa una notificación que está restringida en Microsoft Entra ID. Es posible que pueda emitir una notificación restringida, pero no puede modificar su origen ni aplicar ninguna transformación. Para más información, vea Personalización de las notificaciones emitidas en tokens para una determinada aplicación de Microsoft Entra ID.
EXTERNAL_ATTRIBUTE_STORE La instrucción de emisión usa un almacén de atributos que no es Active Directory. Actualmente, Microsoft Entra no procesa las notificaciones de los almacenes que no sean de Active Directory o Microsoft Entra ID. Si este resultado le impide migrar aplicaciones aMicrosoft Entra ID, infórmenos.
UNSUPPORTED_ISSUANCE_CLASS La instrucción de emisión usa AAD para agregar notificaciones al conjunto de notificaciones entrantes. En Microsoft Entra ID, esto puede configurarse como varias transformaciones de notificaciones. Para obtener más información, vea Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.
UNSUPPORTED_ISSUANCE_TRANSFORMATION La instrucción de emisión utiliza expresiones regulares para transformar el valor de la notificación que se va a emitir. Para lograr una funcionalidad similar en Microsoft Entra ID, puede usar la transformación predefinida, como Extract(), Trim() y ToLower(). Para obtener más información, vea Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales.

Pestaña Listo para migrar

En la pestaña Listo para migrar se muestran todas las aplicaciones que tienen el estado de migración como Listo o Necesita revisión.

Puede usar los datos de inicio de sesión para identificar el impacto de cada aplicación y seleccionar las aplicaciones adecuadas para la migración. Seleccione el vínculo Iniciar migración para iniciar el proceso de migración de aplicaciones asistido con un solo clic.

Pestaña Listo para configurar

En esta pestaña se muestra la lista de todas las aplicaciones de Microsoft Entra que se migraron anteriormente mediante el Asistente para la migración de aplicaciones de AD FS.

El Nombre de aplicación es el nombre de la nueva aplicación de Microsoft Entra. El Identificador de aplicación es el mismo que el identificador de aplicación de usuario de confianza de AD FS que se puede usar para correlacionar la aplicación con el entorno de AD FS. El vínculo Configurar aplicación en Microsoft Entra le permite ir a la aplicación de Microsoft Entra recién configurada en la sección Aplicación empresarial.

Migración de una aplicación de AD FS a Microsoft Entra ID mediante el Asistente para la migración de aplicaciones de AD FS

  1. Para iniciar la migración de la aplicación, seleccione el vínculo Comenzar migración de la aplicación que desea migrar desde la pestaña Listo para migrar.
  2. El vínculo le redirige a la sección de migración de aplicaciones con un solo clic del Asistente para la migración de aplicaciones de AD FS. Todas las configuraciones del asistente se importan desde el entorno de AD FS local.

Antes de pasar por los detalles de las distintas pestañas del asistente, es importante comprender las configuraciones admitidas y no admitidas.

Configuraciones admitidas

La migración asistida de aplicaciones de AD FS admite las siguientes configuraciones:

  • Solo admite la configuración de la aplicación SAML.
  • La opción para personalizar el nuevo nombre de aplicación de Microsoft Entra.
  • Permite a los usuarios seleccionar cualquier plantilla de aplicación de la galería de plantillas de aplicación.
  • Configuración de las configuraciones básicas de la aplicación SAML, es decir, identificador y dirección URL de respuesta.
  • Configuración de la aplicación Microsoft Entra para permitir a todos los usuarios del inquilino.
  • Asignación automática de grupos a la aplicación Microsoft Entra.
  • Configuración de notificaciones compatibles con Microsoft Entra extraída de las configuraciones de notificaciones del usuario de confianza de AD FS.

Configuraciones no admitidas:

La migración de aplicaciones de AD FS no admite las siguientes configuraciones:

  • No se admiten las configuraciones de OIDC (OpenID Connect), OAuth y WS-Fed.
  • No se admite la configuración automática de la directivas de acceso condicional; sin embargo, el usuario puede configurar lo mismo después de configurar la nueva aplicación en su inquilino.
  • El certificado de firma no se migra desde la aplicación de usuario de confianza de AD FS. Existen las pestañas siguientes en el Asistente para la migración de aplicaciones de AD FS:

Revisemos los detalles de cada pestaña de la sección de migración de aplicaciones asistida con un solo clic del Asistente para la migración de aplicaciones de AD FS.

Pestaña Aspectos básicos

  • Nombre de aplicación que se rellena previamente con el nombre de aplicación de usuario de confianza de AD FS. Puede usarlo como nombre de la nueva aplicación de Microsoft Entra. También puede modificar el nombre a cualquier otro valor que prefiera.
  • Plantilla de aplicación. Seleccione la plantilla de aplicación que sea más adecuada para la aplicación. Puede omitir esta opción si no quiere usar ninguna plantilla.

Pestaña Grupos y usuario

La configuración al hacer clic asigna automáticamente los usuarios y grupos a la aplicación de Microsoft Entra que son iguales que la configuración local.

Todos los grupos se extraen de las directivas de control de acceso de la aplicación de usuario de confianza de AD FS. Los grupos deben sincronizarse en el inquilino de Microsoft Entra mediante agentes de Microsoft Entra Connect. En los casos, los grupos se asignan con la aplicación de usuario de confianza de AD FS, pero no se sincronizan con el inquilino de Microsoft Entra. Esos grupos se omiten de la configuración.

La configuración de usuarios y grupos asistidos admite las siguientes configuraciones desde el entorno de AD FS local:

  • Permitir a todos los usuarios del inquilino.
  • Permitir grupos específicos.

Captura de pantalla del panel de configuración de usuarios y grupos de AD FS.

Estos son los usuarios y grupos que puede ver en el Asistente para configuración. Se trata de una vista de solo lectura, no se pueden realizar cambios en esta sección.

Pestaña Configuraciones de SAML

En esta pestaña se muestran las propiedades básicas de SAML que se usan para la configuración de inicio de sesión único de la aplicación Microsoft Entra. Actualmente, solo se asignan las propiedades necesarias, que son Solo identificador y dirección URL de respuesta.

Esta configuración se implementa directamente desde la aplicación de usuario de confianza de AD FS y no se puede modificar desde esta pestaña. Sin embargo, después de configurar la aplicación, puede modificar estos ajustes desde el panel Inicio de sesión único del Centro de administración de Microsoft Entra de la aplicación empresarial.

Captura de pantalla del panel de configuraciones de SAML de AD FS.

Captura de pantalla de la pestaña de configuraciones de SAML de la migración de aplicaciones de AD FS.

Pestaña Notificaciones

No todas las notificaciones de AD FS se traducen tal como están en las notificaciones de Microsoft Entra. El asistente para la migración solo admite notificaciones específicas. Si encuentra notificaciones que faltan, puede configurarlas en la aplicación empresarial migrada en el Centro de administración de Microsoft Entra.

En caso de que la aplicación de usuario de confianza de AD FS tenga nameidentifier configurado, que se admite en Microsoft Entra ID, se configura como nameidentifier. De lo contrario, user.userprincipalname se usa como notificación nameidentifier predeterminada.

Captura de pantalla del panel de configuraciones de notificaciones de AD FS.

Esta es una vista de solo lectura, no puede realizar ningún cambio aquí.

Captura de pantalla de la pestaña Configuraciones de notificaciones de migración de aplicaciones de AD FS.

Pestaña Pasos siguientes

En esta pestaña se proporciona información sobre los pasos o revisiones siguientes que se esperan del lado del usuario. En el ejemplo siguiente se muestra la lista de configuraciones de esta aplicación de usuario de confianza de AD FS que no se admiten en Microsoft Entra ID.

En esta pestaña, puede acceder a la documentación pertinente para investigar y comprender los problemas.

Captura de pantalla de la pestaña Pasos siguientes de la migración de aplicaciones de AD FS.

Pestaña Revisar y crear

En esta pestaña se muestra el resumen de todas las configuraciones que ha visto en las pestañas anteriores. Puede revisarlo una vez más. Si está satisfecho con todas las configuraciones y desea continuar con la migración de aplicaciones, seleccione el botón Crear para iniciar el proceso de migración. Esto migra la nueva aplicación al inquilino de Microsoft Entra.

La migración de aplicaciones es actualmente un proceso de nueve pasos que puede supervisar mediante las notificaciones. El flujo de trabajo completa las siguientes acciones:

  • Crea un registro de aplicación.
  • Crea una entidad de servicio.
  • Configura las opciones de SAML.
  • Asigna usuarios y grupos a la aplicación.
  • Configura las notificaciones.

Una vez completado el proceso de migración, verá un mensaje de notificación que dice Migración de aplicaciones correcta.

Captura de pantalla del mensaje de migración correcta de la aplicación.

Al finalizar la migración de aplicaciones, se le redirigirá a la pestaña Listo para configurar donde se muestran todas las aplicaciones previamente migradas, incluidas las más recientes que ha configurado.

Revisión y configuración de la aplicación empresarial

  1. En la pestaña Listo para configurar, puede usar el vínculo Configurar aplicación en Microsoft Entra para ir a la aplicación recién configurada en la sección “Aplicaciones empresariales”. De manera predeterminada, entra en la página Inicio de sesión basado en SAML de la aplicación.

    Captura de pantalla del panel de inicio de sesión basado en SAML.

  2. En el panel Inicio de sesión basado en SAML, toda la configuración de la aplicación de usuario de confianza de AD FS ya se aplica a la aplicación Microsoft Entra recién migrada. Las propiedades Identificador y Dirección URL de respuesta de la Configuración básica de SAML y la lista de notificaciones de las pestañas Atributos y notificaciones del Asistente para migración de aplicaciones de AD FS son las mismas que las de la aplicación empresarial.

  3. En el panel Propiedades de la aplicación, el logotipo de la plantilla de aplicación implica que la aplicación está vinculada a la plantilla de aplicación seleccionada. En la página Propietarios, el usuario administrador actual se agrega como uno de los propietarios de la aplicación.

  4. En el panel Usuarios y grupos, todos los grupos necesarios ya están asignados a la aplicación.

Después de revisar la aplicación empresarial migrada, puede actualizar la aplicación según sus necesidades empresariales. Es posible agregar o actualizar notificaciones, asignar más usuarios y grupos o configurar directivas de acceso condicional para habilitar la compatibilidad con la autenticación multifactor u otras características de autorización condicional.

Reversión

La configuración con un solo clic del Asistente para la migración de aplicaciones de AD FS migra la nueva aplicación al inquilino de Microsoft Entra. Pero la aplicación migrada permanece inactiva hasta que redirija el tráfico de inicio de sesión a ella. Hasta entonces, si quiere revertir, puede eliminar la aplicación de Microsoft Entra recién migrada del inquilino.

El asistente no proporciona ninguna limpieza automatizada. En caso de que no desee continuar con la configuración de la aplicación migrada, debe eliminar manualmente la aplicación del inquilino. Para obtener instrucciones sobre cómo eliminar un registro de aplicación y su aplicación empresarial correspondiente, vea las siguientes direcciones URL:

Sugerencias de solución de problemas

No se pueden ver todas las aplicaciones de AD FS en el informe

Si ha instalado los agentes de Microsoft Entra Connect Health, pero sigue viendo la solicitud de instalación o no ve todas las aplicaciones de AD FS en el informe, puede que no tenga aplicaciones de AD FS activas o que las aplicaciones de AD FS sean aplicaciones de Microsoft.

Nota:

La migración de aplicaciones de AD FS enumera todas las aplicaciones de AD FS de su organización solo con los usuarios activos que hayan iniciado sesión en los últimos 30 días. El informe no muestra los usuarios de confianza relacionados con Microsoft en AD FS como Office 365. Por ejemplo, los usuarios de confianza con el nombre urn:federation:MicrosoftOnline, microsoftonline o microsoft:winhello:cert:prov:server no aparecen en la lista.

¿Por qué estoy viendo el error de validación "ya existe una aplicación con el mismo identificador"?

Cada aplicación del inquilino debe tener un identificador de aplicación único. Si ve este mensaje de error, significa que ya tiene otra aplicación con el mismo identificador en el inquilino de Microsoft Entra. En este caso, debe actualizar el identificador de aplicación existente o actualizar el identificador de aplicación de usuario de confianza de AD FS y esperar 24 horas para que se reflejen las actualizaciones.

Pasos siguientes