AD FS アプリケーション移行を使用して AD FS アプリを Microsoft Entra ID に移行する

この記事では、AD FS アプリケーション移行を使って、Active Directory フェデレーション サービス (AD FS) アプリケーションを Microsoft Entra ID に移行する方法について説明します。

AD FS アプリケーション移行によって提供されるガイド付きエクスペリエンスを使うと、IT 管理者は、AD FS 証明書利用者アプリケーションを AD FS から Microsoft Entra ID に移行できます。 このウィザードは、新しい Microsoft Entra アプリケーションの検出、評価、構成を行うための統合エクスペリエンスを提供します。 基本的な SAML URL、要求のマッピング、ユーザー割り当てをワンクリックで構成して、アプリケーションと Microsoft Entra ID を統合できます。

AD FS アプリケーション移行ツールは、オンプレミスの AD FS から Microsoft Entra ID へのアプリケーションの移行をエンド ツー エンドでサポートするように設計されています。

AD FS アプリケーション移行を使うと、次のことができます。

  • AD FS 証明書利用者アプリケーションのサインイン アクティビティを評価する。これは、特定のアプリケーションの使用状況と影響を明らかにするのに役立ちます。
  • AD FS から Microsoft Entra への移行の実現可能性を分析する。Microsoft Entra プラットフォームへのアプリケーションの移行の阻害要因や、移行に必要なアクションを特定するのに役立ちます。
  • ワンクリックのアプリケーション移行プロセスを使って新しい Microsoft Entra アプリケーションを構成する。特定の AD FS アプリケーション用に新しい Microsoft Entra アプリケーションが自動的に構成されます。

前提条件

AD FS アプリケーション移行を使うには:

  • アプリケーションにアクセスするには、自分の組織で現在 AD FS が使用されている必要があります。
  • ユーザーが、Microsoft Entra ID P1 または P2 ライセンスを持っていること。
  • ユーザーに、次のいずれかのロールが割り当てられている必要があります。
    • クラウド アプリケーション管理者
    • アプリケーション管理者
    • グローバル閲覧者 (読み取り専用アクセス)
    • レポート閲覧者 (読み取り専用アクセス)
  • Microsoft Entra Connect が、Microsoft Entra Connect Health AD FS 正常性エージェントと共に、オンプレミス環境にインストールされている必要があります。

AD FS 用の Microsoft Entra Connect Health エージェントをインストールした後で、予想されるすべてのアプリケーションが表示されないのには、2 つの理由があります。

  • AD FS アプリケーション移行ダッシュボードには、過去 30 日間にユーザーがログインした AD FS アプリケーションのみが表示されます。
  • Microsoft 関連の AD FS 証明書利用者アプリケーションは、ダッシュボードでは使用できません。

Microsoft Entra ID で AD FS アプリケーション移行ダッシュボードを表示する

AD FS アプリケーション移行ダッシュボードは、Microsoft Entra 管理センターの [使用状況と分析情報] レポートにあります。 ウィザードは、次の 2 つの方法で開始できます。

[エンタープライズ アプリケーション] セクションから:

  1. Microsoft Entra 管理センタークラウド アプリケーション管理者 以上の権限でサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  3. [使用状況と分析情報] で、[AD FS アプリケーション移行] を選んで、AD FS アプリケーション移行ダッシュボードにアクセスします。

[監視と正常性] セクションから:

  1. Microsoft Entra 管理センタークラウド アプリケーション管理者 以上の権限でサインインします。
  2. [ID]>[監視と正常性]>[エンタープライズ アプリケーション] に移動します。
  3. [管理][使用状況と分析情報] を選んでから、[AD FS アプリケーション移行] を選んで AD FS アプリケーション移行ダッシュボードにアクセスします。

AD FS アプリケーション移行ダッシュボードには、過去 30 日間にサインイン トラフィックがアクティブにあったすべての AD FS 証明書利用者アプリケーションの一覧が表示されます。

ダッシュボードには日付範囲フィルターがあります。 フィルターを使うと、選んだ時間の範囲に従って、すべてのアクティブな AD FS 証明書利用者アプリケーションを選択できます。 このフィルターでは、過去 1 日、7 日、30 日の期間がサポートされます。

すべてのアプリケーションの一覧、構成可能なアプリケーション、以前に構成されたアプリケーションが表示される 3 つのタブがあります。 このダッシュボードから、移行作業の全体的な進行状況の概要がわかります。

ダッシュボードの 3 つのタブは次のとおりです。

  • [すべてのアプリ] - オンプレミスの環境で検出されたすべてのアプリケーションの一覧が表示されます。
  • [移行準備完了] - 移行状態が準備完了または要レビューであるすべてのアプリケーションの一覧が表示されます。
  • [構成の準備完了] - AD FS アプリケーション移行ウィザードを使って以前に移行されたすべての Microsoft Entra アプリケーションの一覧が表示されます。

アプリケーションの移行の状態

Microsoft Entra Connect および AD FS 用の Microsoft Entra Connect Health エージェントは、AD FS 証明書利用者アプリケーションの構成とサインイン監査ログを読み取ります。 各 AD FS アプリケーションに関するこのデータが分析されて、アプリケーションをそのまま移行できるかどうか、または追加のレビューが必要かどうかが判断されます。 この分析の結果に基づき、特定のアプリケーションの移行状態として次のいずれかの状態が示されます。

  • [移行準備完了] は、AD FS アプリケーションの構成が Microsoft Entra ID で完全にサポートされており、そのままの状態で移行できることを意味します。
  • [確認が必要です] は、アプリケーションの設定の一部は Microsoft Entra ID に移行できますが、そのままでは移行できない設定を確認する必要があることを意味します。 ただし、それらのために移行が妨げられることはありません。
  • [追加の手順が必要です] は、アプリケーションの設定の一部が Microsoft Entra ID でサポートされていないため、現在の状態ではアプリケーションを移行できないことを意味します。

AD FS アプリケーション移行ダッシュボードの各タブについて詳しく説明します。

[すべてのアプリ] タブ

[すべてのアプリ] タブには、選んだ日付範囲のすべてのアクティブな AD FS 証明書利用者アプリケーションが表示されます。 ユーザーは、集計されたサインイン データを使って、各アプリケーションの影響を分析できます。 [移行の状態] リンクを使って、詳細ウィンドウに移動することもできます。

各検証規則について詳しくは、AD FS アプリケーション移行の検証規則に関する記事をご覧ください。

AD FS アプリケーション移行の詳細ウィンドウのスクリーンショット。

メッセージを選択し、追加の移行規則の詳細を開きます。 テストされるすべてのプロパティの一覧については、後の構成テストの表を参照してください。

要求規則テストの結果を確認する

AD FS でアプリケーションの要求規則を構成している場合は、エクスペリエンスですべての要求規則について詳細な分析が提供されます。 Microsoft Entra ID に移動できる要求規則と、さらに確認が必要なものが表示されます。

  1. [すべてのアプリ] タブでアプリの一覧からアプリを選び、[移行の状態] 列で状態を選んで、移行の詳細を表示します。 合格した構成テストの概要と、移行の潜在的な問題が表示されます。
  2. [移行規則の詳細] ページで、結果を展開して移行の潜在的な問題の詳細を表示し、追加のガイダンスを確認します。 テストされるすべての要求規則の一覧について詳しくは、この記事の「要求規則テスト」セクションをご覧ください。

次に示すのは、IssuanceTransform 規則に関する移行規則の詳細の例です。 ここには、アプリケーションを Microsoft Entra ID に移行する前に確認して対処する必要がある、要求の特定の部分が一覧表示されています。

AD FS アプリケーション移行のルール詳細ウィンドウのスクリーンショット。

要求規則テスト

次の表に、AD FS アプリケーションに対して実行されるすべての要求規則テストの一覧を示します。

プロパティ 説明
UNSUPPORTED_CONDITION_PARAMETER 条件ステートメントで、要求が特定のパターンに一致するかどうかを評価するために正規表現が使用されています。 Microsoft Entra ID で同様の機能を実現するには、IfEmpty()、StartWith()、Contains() など、事前に定義された変換を使用できます。 詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。
UNSUPPORTED_CONDITION_CLASS 条件ステートメントで、発行ステートメントを実行する前に評価する必要がある複数の条件が使用されています。 Microsoft Entra ID では、複数の要求の値を評価できる要求の変換関数で、この機能をサポートできます。 詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。
UNSUPPORTED_RULE_TYPE 要求規則を認識できませんでした。 Microsoft Entra ID で要求を構成する方法の詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。
CONDITION_MATCHES_UNSUPPORTED_ISSUER Microsoft Entra ID ではサポートされていない発行者が、条件ステートメントで使われています。 現在、Microsoft Entra では、Active Directory または Microsoft Entra ID と異なるストアからの要求は取得されません。 これによってアプリケーションの Microsoft Entra への移行が妨げられている場合は、ご連絡ください
UNSUPPORTED_CONDITION_FUNCTION 条件ステートメントで、一致の数に関係なく単一の要求を発行または追加するための集計関数が使用されています。 Microsoft Entra ID では、IfEmpty()、StartWith()、Contains() などの関数を使用して、ユーザーの属性を評価し、要求に使用する値を決定できます。 詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。
RESTRICTED_CLAIM_ISSUED 条件ステートメントで、Microsoft Entra ID で制限されている要求が使用されています。 制限された要求を発行できる可能性はありますが、そのソースを変更したり、変換を適用したりすることはできません。 詳細については、Microsoft Entra ID の特定のアプリのトークンに出力される要求のカスタマイズに関するページを参照してください。
EXTERNAL_ATTRIBUTE_STORE 発行ステートメントで、Active Directory と異なる属性ストアが使用されています。 現在、Microsoft Entra では、Active Directory または Microsoft Entra ID と異なるストアからの要求は取得されません。 この結果によってアプリケーションの Microsoft Entra への移行が妨げられている場合は、ご連絡ください
UNSUPPORTED_ISSUANCE_CLASS 発行ステートメントで、受信した要求セットに要求を追加する ADD が使用されています。 Microsoft Entra ID では、複数の要求変換としてこれを構成できます。 詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。
UNSUPPORTED_ISSUANCE_TRANSFORMATION 発行ステートメントで、出力される要求の値を変換するために正規表現が使用されています。 Microsoft Entra ID で同様の機能を実現するには、Extract()Trim()ToLower() など、事前に定義された変換を使用できます。 詳細については、エンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズに関するページを参照してください。

[移行準備完了] タブ

[移行準備完了] タブには、移行状態が準備完了または要レビューであるすべてのアプリケーションが表示されます。

サインイン データを使って、各アプリケーションの影響を特定し、移行に適したアプリケーションを選択できます。 支援付きのワンクリック アプリケーション移行プロセスを始めるには、[移行を開始する] リンクを選びます。

[構成の準備完了] タブ

このタブには、AD FS アプリケーション移行ウィザードを使って以前に移行されたすべての Microsoft Entra アプリケーションの一覧が表示されます。

[アプリケーション名] は、新しい Microsoft Entra アプリケーションの名前です。 アプリケーション識別子は、アプリケーションを AD FS 環境と関連付けるために使用できる AD FS 証明書利用者アプリケーションのものと同じです。 [Configure application in Microsoft Entra] (Microsoft Entra でアプリケーションを構成する) リンクを使うと、[エンタープライズ アプリケーション] セクションで新しく構成された Microsoft Entra アプリケーションに移動できます。

AD FS アプリケーション移行ウィザードを使用して AD FS から Microsoft Entra ID にアプリを移行する

  1. アプリケーションの移行を始めるには、[移行準備完了] タブで移行するアプリケーションの [移行を開始する] リンクを選びます。
  2. このリンクにより、ユーザーは AD FS アプリケーション移行ウィザードの支援付きワンクリック アプリケーション移行セクションにリダイレクトされます。 ウィザードのすべての構成は、オンプレミスの AD FS 環境からインポートされます。

ウィザードのさまざまなタブの詳細を確認する前に、サポートされている構成とサポートされていない構成を理解しておくことが重要です。

サポートされている構成

支援付き AD FS アプリケーション移行では、次の構成がサポートされます。

  • SAML アプリケーションの構成のみをサポートします。
  • 新しい Microsoft Entra アプリケーション名をカスタマイズするオプション。
  • ユーザーは、アプリケーション テンプレート ギャラリーから任意のアプリケーション テンプレートを選択できます。
  • SAML アプリケーションの基本的な構成 (識別子と応答 URL) の構成。
  • テナントのすべてのユーザーを許可する Microsoft Entra アプリケーションの構成。
  • Microsoft Entra アプリケーションへのグループの自動割り当て。
  • AD FS 証明書利用者の要求構成から抽出された Microsoft Entra と互換性のある要求の構成。

サポートされない構成:

AD FS アプリケーション移行では、次の構成はサポートされません。

  • OIDC (OpenID Connect)、OAuth、WS-Fed の構成はサポートされていません。
  • 条件付きアクセス ポリシーの自動構成はサポートされていません。ただし、ユーザーはテナントで新しいアプリケーションを構成した後で同じように構成できます。
  • 署名証明書は、AD FS 証明書利用者アプリケーションから移行されません。 AD FS アプリケーション移行ウィザードには、次のタブがあります。

AD FS アプリケーション移行ウィザードの支援付きワンクリック アプリケーション移行セクションの各タブについて詳しく説明します

[基本] タブ

  • AD FS 証明書利用者アプリケーションの名前が事前に設定される [アプリケーション名]。 新しい Microsoft Entra アプリケーションの名前として使用できます。 名前を他の任意の値に変更することもできます。
  • [アプリケーション テンプレート]。 アプリケーションに最適な任意のアプリケーション テンプレートを選びます。 テンプレートを使わない場合は、このオプションをスキップできます。

[ユーザーとグループ] タブ

オンクリック構成では、オンプレミスの構成と同じようにユーザーとグループが Microsoft Entra アプリケーションに自動的に割り当てられます。

すべてのグループは、AD FS 証明書利用者アプリケーションのアクセス制御ポリシーから抽出されます。 グループは、Microsoft Entra Connect エージェントを使って Microsoft Entra テナントに同期する必要があります。 グループが AD FS 証明書利用者アプリケーションにマップされているが、Microsoft Entra テナントと同期されていない場合。 これらのグループは構成からスキップされます。

支援されたユーザーとグループの構成では、オンプレミスの AD FS 環境からの次の構成がサポートされます。

  • テナントのすべてのユーザーを許可します。
  • 特定のグループを許可します。

AD FS の [ユーザーとグループ] の設定ウィンドウのスクリーンショット。

これらは、構成ウィザードで確認できるユーザーとグループです。 これは読み取り専用ビューであり、このセクションを変更することはできません。

[SAML 構成] タブ

このタブには、Microsoft Entra アプリケーションのシングル サインオン設定に使われる基本的な SAML プロパティが表示されます。 現時点では、必須のプロパティのみがマップされており、それは識別子と応答 URL です。

これらの設定は、AD FS 証明書利用者アプリケーションから直接実装され、このタブから変更することはできません。ただし、アプリケーションを構成した後は、Microsoft Entra 管理センターでエンタープライズ アプリケーションのシングル サインオン ウィンドウから変更できます。

AD FS SAML 構成ウィンドウのスクリーンショット。

AD FS アプリケーション移行の [SAML 構成] タブのスクリーンショット。

[要求] タブ

すべての AD FS 要求が Microsoft Entra 要求にそのまま変換されることはありません。 移行ウィザードでは、特定の要求のみがサポートされます。 足りない要求がある場合は、Microsoft Entra 管理センターの移行されたエンタープライズ アプリケーションで構成できます。

AD FS 証明書利用者アプリケーションで構成されている nameidentifier が Microsoft Entra ID でサポートされている場合、それは nameidentifier として構成されます。 それ以外の場合は、user.userprincipalname が既定の nameidentifier 要求として使われます。

AD FS 要求構成ウィンドウのスクリーンショット。

これは読み取り専用ビューであり、ここで変更を行うことはできません。

AD FS アプリケーション [移行要求の構成] タブのスクリーンショット。

[次のステップ] タブ

このタブでは、ユーザーが期待する次の手順プまたはレビューに関する情報が表示されます。 次に示すのは、Microsoft Entra ID ではサポートされていない、この AD FS 証明書利用者アプリケーションの構成の一覧の例です。

このタブから関連するドキュメントにアクセスし、問題を調べて理解できます。

AD FS アプリケーションの移行の次の手順タブのスクリーンショット。

[確認と作成] タブ

このタブには、これまでのタブで示されたすべての構成の概要が表示されます。 それをもう一度確認できます。 すべての構成に問題がなく、アプリケーションの移行に進む場合は、[作成] ボタンを選んで移行プロセスを始めます。 これにより、新しいアプリケーションが Microsoft Entra テナントに移行されます。

現在、アプリケーションの移行は 9 つのステップで行われ、通知を使って監視できます。 ワークフローでは、次のアクションが行われます。

  • アプリケーションの登録を作成する
  • サービス プリンシパルを作成する
  • SAML の設定を構成する
  • ユーザーとグループをアプリケーションに割り当てる
  • 要求を構成する

移行プロセスが完了すると、アプリケーションの移行が成功したことを示す通知メッセージが表示されます。

アプリケーションの移行に成功したメッセージのスクリーンショット。

アプリケーションの移行が完了すると、ユーザーは以前に移行したすべてのアプリケーション (構成した最新のアプリケーションを含む) が表示される [構成の準備完了] タブにリダイレクトされます。

エンタープライズ アプリケーションを確認して構成する

  1. [構成の準備完了] タブからは、[Configure application in Microsoft Entra] (Microsoft Entra でアプリケーションを構成する) リンクを使って、[エンタープライズ アプリケーション] セクションの新しく構成されたアプリケーションに移動できます。 既定では、アプリケーションの [SAML ベースのサインオン] ページに移動します。

    SAML ベースのサインオン ウィンドウのスクリーンショット。

  2. [SAML ベースのサインオン] ペインでは、AD FS 証明書利用者アプリケーションのすべての設定が、新しく移行された Microsoft Entra アプリケーションに既に適用されています。 AD FS アプリケーション移行ウィザードの [基本的な SAML 構成] タブおよび [属性とクレーム] タブの要求の一覧の [識別子][応答 URL] プロパティは、エンタープライズ アプリケーションのものと同じです。

  3. アプリケーションの [プロパティ] ペインにあるアプリケーション テンプレートのロゴは、アプリケーションが選択されたアプリケーション テンプレートにリンクされていることを意味します。 [所有者] ページでは、現在の管理者ユーザーがアプリケーションの所有者の 1 人として追加されています。

  4. [ユーザーとグループ] ペインでは、すべての必要なグループがアプリケーションに既に割り当てられています。

移行されたエンタープライズ アプリケーションを確認した後は、ビジネス ニーズに応じてアプリケーションを更新できます。 要求を追加または更新したり、さらにユーザーとグループを割り当てたり、条件付きアクセス ポリシーを構成して多要素認証や他の条件付き認可機能のサポートを有効にしたりできます。

ロールバック

AD FS アプリケーション移行ウィザードのワンクリック構成により、新しいアプリケーションが Microsoft Entra テナントに移行されます。 ただし、移行されたアプリケーションは、サインイン トラフィックをそれにリダイレクトするまでは非アクティブなままです。 それまでは、ロールバックしたければ、新しく移行した Microsoft Entra アプリケーションをテナントから削除できます。

ウィザードには自動クリーンアップ機能はありません。 移行されたアプリケーションの設定を続けたくない場合は、テナントからアプリケーションを手動で削除する必要があります。 アプリケーションの登録とそれに対応するエンタープライズ アプリケーションを削除する方法については、次の URL を参照してください。

トラブルシューティングのヒント

一部の AD FS アプリケーションがレポートに表示されません

AD FS 用の Microsoft Entra Connect Health エージェントをインストールしたにも関わらず、そのインストールを求めるメッセージがまだ表示される場合、または一部の AD FS アプリケーションがレポートに表示されない場合は、アクティブな AD FS アプリケーションがないか、AD FS アプリケーションが Microsoft アプリケーションである可能性があります。

注意

AD FS アプリケーション移行の一覧に表示されるのは、組織内のすべての AD FS アプリケーションのうち、過去 30 日間にアクティブなユーザー サインインがあったものだけです。 レポートには、Office 365 など、AD FS 内の Microsoft 関連の証明書利用者は表示されません。 たとえば、urn:federation:MicrosoftOnlinemicrosoftonlinemicrosoft:winhello:cert:prov:server といった名前の証明書利用者は、一覧に表示されません。

"同じ識別子を持つアプリケーションが既に存在する" という検証エラーが表示されるのはなぜですか?

テナント内の各アプリケーションは、一意のアプリケーション識別子を持っている必要があります。 このエラー メッセージが表示される場合は、同じ識別子を持つ別のアプリケーションが Microsoft Entra テナントに既に存在することを意味します。 この場合は、既存のアプリケーションの識別子を更新するか、AD FS 証明書利用者アプリケーションの識別子を更新し、更新が反映されるまで 24 時間待つ必要があります。

次のステップ