Usar a migração de aplicativos do AD FS para mover aplicativos do AD FS para a ID do Microsoft Entra

  • Artigo

Neste artigo, você aprenderá a migrar seus aplicativos dos Serviços de Federação do Ative Directory (AD FS) para o Microsoft Entra ID usando a migração de aplicativos do AD FS.

A migração de aplicativos do AD FS oferece experiência guiada aos administradores de TI para migrar aplicativos de terceira parte confiável do AD FS do AD FS para o Microsoft Entra ID. O assistente oferece uma experiência unificada para descobrir, avaliar e configurar o novo aplicativo Microsoft Entra. Ele fornece configuração de um clique para URLs SAML básicas, mapeamento de declarações e atribuições de usuário para integrar o aplicativo com o Microsoft Entra ID.

A ferramenta de migração de aplicativos AD FS foi projetada para fornecer suporte de ponta a ponta para migrar seus aplicativos AD FS locais para o Microsoft Entra ID.

Com a migração de aplicativos do AD FS, você pode:

  • Avalie as atividades de entrada do aplicativo de terceira parte confiável do AD FS, o que ajuda a identificar o uso e o impacto de determinados aplicativos.
  • Analise a viabilidade de migração do AD FS para o Microsoft Entra que ajuda a identificar bloqueadores de migração ou ações necessárias para migrar seus aplicativos para a plataforma Microsoft Entra.
  • Configure o novo aplicativo Microsoft Entra usando o processo de migração de aplicativo com um clique, que configura automaticamente um novo aplicativo Microsoft Entra para determinado aplicativo AD FS.

Pré-requisitos

Para usar a migração do aplicativo AD FS:

  • Sua organização deve estar usando o AD FS para acessar aplicativos.
  • Você tem uma licença do Microsoft Entra ID P1 ou P2.
  • Você deve ter uma das seguintes funções atribuídas,
    • Administrador de aplicativos na nuvem
    • Administrador de aplicativos
    • Global Reader (acesso somente leitura)
    • Leitor de relatórios (acesso somente leitura)
  • O Microsoft Entra Connect deve ser instalado nos ambientes locais, juntamente com os agentes de integridade do AD FS do Microsoft Entra Connect Health.

Há algumas razões pelas quais você não verá todos os aplicativos esperados depois de instalar os agentes do Microsoft Entra Connect Health para AD FS:

  • O painel de migração de aplicativos do AD FS mostra apenas os aplicativos do AD FS que têm logons de usuário nos últimos 30 dias.
  • Os aplicativos de terceira parte confiável do AD FS relacionados à Microsoft não estão disponíveis no painel.

Exibir o painel de migração de aplicativos do AD FS na ID do Microsoft Entra

O painel de migração de aplicativos do AD FS está disponível no centro de administração do Microsoft Entra em Relatórios de uso e insights . Há dois pontos de entrada para o assistente:

Na seção Aplicativos corporativos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
  3. Em Uso & Insights, selecione Migração de aplicativos AD FS para acessar o painel de migração de aplicativos AD FS.

Da seção Monitoramento e integridade :

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Monitoramento de identidade>& integridade>Aplicativos corporativos.
  3. Em Gerir, selecione Utilização & Insights e, em seguida, selecione Migração de aplicações AD FS para aceder ao painel de migração de aplicações AD FS.

O painel de migração de aplicativos do AD FS mostra a lista de todos os aplicativos de terceira parte confiável do AD FS que tiveram tráfego de entrada ativamente no período de 30 dias.

O painel tem o filtro de intervalo de datas. O filtro permite selecionar todo o aplicativo de terceira parte confiável do AD FS ativo de acordo com o intervalo de tempo selecionado. O filtro suporta o período de 1 dia, 7 dias e 30 dias.

Há três guias que fornecem a lista completa de aplicativos, aplicativos configuráveis e aplicativos configurados anteriormente. Neste painel, você vê uma visão geral do progresso geral do seu trabalho de migração.

As três guias no painel são:

  • Todos os aplicativos - mostra a lista de todos os aplicativos descobertos em seu ambiente local.
  • Pronto para migrar - mostra a lista de todos os aplicativos que têm Pronto ou Precisa revisar o status da migração.
  • Pronto para configurar - mostra a lista de todos os aplicativos do Microsoft Entra que foram migrados anteriormente usando o assistente de migração de aplicativos do AD FS.

Status de migração do aplicativo

Os agentes Microsoft Entra Connect e Microsoft Entra Connect Health para AD FS lêem as configurações do aplicativo de terceira parte confiável do AD FS e os logs de auditoria de entrada. Esses dados sobre cada aplicativo AD FS são analisados para determinar se o aplicativo pode ser migrado como está ou se é necessária uma revisão adicional. Com base no resultado dessa análise, o status de migração para um determinado aplicativo é indicado como um dos seguintes status:

  • Pronto para migrar significa que a configuração do aplicativo AD FS é totalmente suportada no Microsoft Entra ID e pode ser migrada no estado em que se encontra.
  • Precisa de revisão significa que algumas das configurações do aplicativo podem ser migradas para o Microsoft Entra ID, mas você precisa revisar as configurações que não podem ser migradas como estão. No entanto, esses não são bloqueadores para a migração.
  • Etapas adicionais necessárias significam que o Microsoft Entra ID não suporta algumas das configurações do aplicativo, portanto, o aplicativo não pode ser migrado em seu estado atual.

Vamos analisar cada guia no painel de migração de aplicativos do AD FS com mais detalhes.

Separador Todas as aplicações

A guia Todos os aplicativos mostra todos os aplicativos de terceira parte confiável do AD FS ativos do intervalo de datas selecionado. O usuário pode analisar o impacto de cada aplicativo usando os dados de entrada agregados. Eles também podem navegar até o painel de detalhes usando o link Status da migração .

Para exibir detalhes sobre cada regra de validação, consulte Regras de validação de migração de aplicativo AD FS.

Captura de ecrã do painel de detalhes da migração da aplicação AD FS.

Selecione uma mensagem para abrir detalhes adicionais da regra de migração. Para obter uma lista completa das propriedades testadas, consulte a tabela de testes de configuração a seguir.

Verifique os resultados dos testes de regras de reivindicação

Se você configurou uma regra de declaração para o aplicativo no AD FS, a experiência fornece uma análise granular de todas as regras de declaração. Você vê quais regras de reivindicação você pode mover para o Microsoft Entra ID e quais precisam de revisão adicional.

  1. Selecione uma aplicação na lista de aplicações no separador Todas as aplicações e, em seguida, selecione o estado na coluna Estado da migração para ver os detalhes da migração. Você verá um resumo dos testes de configuração aprovados, juntamente com possíveis problemas de migração.
  2. Na página Detalhes da regra de migração, expanda os resultados para exibir detalhes sobre possíveis problemas de migração e obter orientações adicionais. Para obter uma lista detalhada de todas as regras de declaração testadas, consulte a seção Testes de regra de declaração neste artigo.

O exemplo a seguir mostra os detalhes da regra de migração para a regra IssuanceTransform. Ele lista as partes específicas da declaração que precisam ser revisadas e resolvidas antes que você possa migrar o aplicativo para o Microsoft Entra ID.

Captura de ecrã do painel de detalhes das regras de migração da aplicação AD FS.

Testes de regras de reivindicação

A tabela a seguir lista todos os testes de regra de declaração executados em aplicativos AD FS.

Propriedade Descrição
UNSUPPORTED_CONDITION_PARAMETER A instrução condition usa expressões regulares para avaliar se a declaração corresponde a um determinado padrão. Para obter uma funcionalidade semelhante no Microsoft Entra ID, você pode usar a transformação predefinida, como IfEmpty(), StartWith(), Contains(), entre outros. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.
UNSUPPORTED_CONDITION_CLASS A declaração de condição tem várias condições que precisam ser avaliadas antes de executar a declaração de emissão. O Microsoft Entra ID pode suportar essa funcionalidade com as funções de transformação da declaração, onde você pode avaliar vários valores de declaração. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.
UNSUPPORTED_RULE_TYPE A regra da reivindicação não pôde ser reconhecida. Para obter mais informações sobre como configurar declarações no Microsoft Entra ID, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.
CONDITION_MATCHES_UNSUPPORTED_ISSUER A instrução de condição usa um Emissor que não é suportado no Microsoft Entra ID. Atualmente, o Microsoft Entra não origina declarações de lojas diferentes do Ative Directory ou do Microsoft Entra ID. Se isso estiver impedindo você de migrar aplicativos para o Microsoft Entra ID, informe-nos.
UNSUPPORTED_CONDITION_FUNCTION A instrução condition usa uma função agregada para emitir ou adicionar uma única declaração, independentemente do número de correspondências. No Microsoft Entra ID, você pode avaliar o atributo de um usuário para decidir qual valor usar para a declaração com funções como IfEmpty(), StartWith(), Contains(), entre outras. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.
RESTRICTED_CLAIM_ISSUED A instrução de condição usa uma declaração que é restrita no Microsoft Entra ID. Talvez seja possível emitir uma declaração restrita, mas não é possível modificar sua origem ou aplicar qualquer transformação. Para obter mais informações, consulte Personalizar declarações emitidas em tokens para um aplicativo específico no Microsoft Entra ID.
EXTERNAL_ATTRIBUTE_STORE A instrução de emissão usa um repositório de atributos diferente do Ative Directory. Atualmente, o Microsoft Entra não origina declarações de lojas diferentes do Ative Directory ou do Microsoft Entra ID. Se este resultado estiver a impedi-lo de migrar aplicações para o Microsoft Entra ID, informe-nos.
UNSUPPORTED_ISSUANCE_CLASS A instrução de emissão usa ADD para adicionar declarações ao conjunto de declarações de entrada. No Microsoft Entra ID, isso pode ser configurado como várias transformações de declaração. Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.
UNSUPPORTED_ISSUANCE_TRANSFORMATION A declaração de emissão usa expressões regulares para transformar o valor da declaração a ser emitida. Para obter funcionalidade semelhante no Microsoft Entra ID, você pode usar a transformação predefinida, como Extract(), Trim()e ToLower(). Para obter mais informações, consulte Personalizar declarações emitidas no token SAML para aplicativos corporativos.

Guia Pronto para migrar

A guia Pronto para migrar mostra todos os aplicativos que têm status de migração como Pronto ou Precisa de revisão.

Você pode usar os dados de entrada para identificar o impacto de cada aplicativo e selecionar os aplicativos certos para a migração. Selecione o link Iniciar migração para iniciar o processo de migração de aplicativo assistido com um clique.

Guia Pronto para configurar

Esta guia mostra a lista de todos os aplicativos do Microsoft Entra que foram migrados anteriormente usando o assistente de migração de aplicativos do AD FS.

O nome do aplicativo é o nome do novo aplicativo Microsoft Entra. O identificador de aplicativo é o mesmo que o identificador de aplicativo de terceira parte confiável do AD FS que pode ser usado para correlacionar o aplicativo com seu ambiente do AD FS. O link Configurar aplicativo no Microsoft Entra permite que você navegue até o aplicativo Microsoft Entra recém-configurado na seção Aplicativo empresarial.

Migrar um aplicativo do AD FS para o Microsoft Entra ID usando o assistente de migração de aplicativos do AD FS

  1. Para iniciar a migração do aplicativo, selecione o link Iniciar migração para o aplicativo que você deseja migrar da guia Pronto para migrar .
  2. O link redireciona você para a seção de migração de aplicativo assistida com um clique do assistente de migração de aplicativos do AD FS. Todas as configurações no assistente são importadas do seu ambiente AD FS local.

Antes de analisarmos os detalhes das várias guias no assistente, é importante entender as configurações suportadas e não suportadas.

Configurações suportadas

A migração assistida do aplicativo AD FS oferece suporte às seguintes configurações:

  • Suporta apenas a configuração do aplicativo SAML.
  • A opção para personalizar o novo nome do aplicativo Microsoft Entra.
  • Permite que os usuários selecionem qualquer modelo de aplicativo na galera do modelo de aplicativo.
  • Configuração de configurações básicas de aplicativos SAML, ou seja, identificador e URL de resposta.
  • Configuração do aplicativo Microsoft Entra para permitir que todos os usuários do locatário.
  • Atribuição automática de grupos ao aplicativo Microsoft Entra.
  • Configuração de declarações compatível com o Microsoft Entra extraída das configurações de declarações de terceira parte confiável do AD FS.

Configurações não suportadas:

A migração de aplicativos do AD FS não oferece suporte às seguintes configurações:

  • As configurações OIDC (OpenID Connect), OAuth e WS-Fed não são suportadas.
  • A configuração automática de políticas de Acesso Condicional não é suportada, no entanto, o usuário pode configurar o mesmo após a configuração do novo aplicativo em seu locatário.
  • O certificado de assinatura não é migrado do aplicativo de terceira parte confiável do AD FS. Existem as seguintes guias no assistente de migração de aplicativos do AD FS:

Vamos examinar os detalhes de cada guia na seção de migração assistida de um aplicativo com um clique do assistente de migração de aplicativos do AD FS

Guia Noções básicas

  • Nome do aplicativo pré-preenchido com o nome do aplicativo de terceira parte confiável do AD FS. Você pode usá-lo como o nome para seu novo aplicativo Microsoft Entra. Você também pode modificar o nome para qualquer outro valor de sua preferência.
  • Modelo de aplicativo. Selecione qualquer modelo de aplicativo que seja mais adequado para seu aplicativo. Você pode pular essa opção se não quiser usar nenhum modelo.

Guia Usuário & grupos

A configuração ao clicar atribui automaticamente os usuários e grupos ao seu aplicativo Microsoft Entra que são os mesmos da sua configuração local.

Todos os grupos são extraídos das políticas de controle de acesso do aplicativo de terceira parte confiável do AD FS. Os grupos devem ser sincronizados com seu locatário do Microsoft Entra usando agentes do Microsoft Entra Connect. Caso os grupos sejam mapeados com o aplicativo de terceira parte confiável do AD FS, mas não sejam sincronizados com o locatário do Microsoft Entra. Esses grupos são ignorados da configuração.

A configuração de usuários e grupos assistidos oferece suporte às seguintes configurações do ambiente AD FS local:

  • Permita que todos do inquilino.
  • Permitir grupos específicos.

Captura de ecrã do painel de definições de utilizadores e grupos do AD FS.

Esses são os usuários e grupos que você pode visualizar no assistente de configuração. Esta é uma exibição somente leitura, você não pode fazer alterações nesta seção.

Guia Configurações SAML

Esta guia mostra as propriedades básicas do SAML que são usadas para as configurações de logon único do aplicativo Microsoft Entra. Atualmente, apenas as propriedades necessárias são mapeadas, que são apenas URL de Identificador e Resposta.

Estas definições são implementadas diretamente a partir da sua aplicação de entidade confiadora do AD FS e não podem ser modificadas a partir deste separador. No entanto, depois de configurar o aplicativo, você pode modificá-los a partir do painel Single sing-on do centro de administração do Microsoft Entra do seu aplicativo empresarial.

Captura de ecrã do painel de configurações do AD FS SAML.

Captura de ecrã do separador Configurações SAML de migração de aplicações do AD FS.

Guia Reclamações

Todas as declarações do AD FS não são traduzidas como para as declarações do Microsoft Entra. O assistente de migração suporta apenas declarações específicas. Se você encontrar declarações ausentes, poderá configurá-las no aplicativo empresarial migrado no centro de administração do Microsoft Entra.

Caso o aplicativo de terceira parte confiável do AD FS tenha nameidentifier configurado o que é suportado na ID do Microsoft Entra, então ele é configurado como nameidentifier. Caso contrário, user.userprincipalname é usado como declaração nameidentifier padrão.

Captura de ecrã do painel de configurações de declarações do AD FS.

Esta é a visualização somente leitura, você não pode fazer nenhuma alteração aqui.

Captura de ecrã do separador de configurações de declarações de migração de aplicações do AD FS.

Guia Próximas etapas

Esta guia fornece informações sobre as próximas etapas ou avaliações esperadas do lado do usuário. O exemplo a seguir mostra a lista de configurações para este aplicativo de terceira parte confiável do AD FS, que não são suportadas na ID do Microsoft Entra.

Nesta guia, você pode acessar a documentação relevante para investigar e entender os problemas.

Captura de ecrã do separador Próximos passos de migração da aplicação AD FS.

Rever + criar separador

Esta guia mostra o resumo de todas as configurações que você viu nas guias anteriores. Você pode revê-lo mais uma vez. Se você estiver satisfeito com todas as configurações e quiser prosseguir com a migração de aplicativos, selecione o botão Criar para iniciar o processo de migração. Isso migra o novo aplicativo para seu locatário do Microsoft Entra.

A migração do aplicativo é atualmente um processo de nove etapas que você pode monitorar usando as notificações. O fluxo de trabalho conclui as seguintes ações:

  • Cria um registro de aplicativo
  • Cria uma entidade de serviço
  • Define as configurações de SAML
  • Atribui usuários e grupos ao aplicativo
  • Configura declarações

Quando o processo de migração estiver concluído, você verá uma mensagem de notificação que lê Migração de aplicativo bem-sucedida.

Captura de tela da mensagem de migração bem-sucedida do aplicativo.

Ao concluir a migração de aplicativos, você será redirecionado para a guia Pronto para configurar , onde todos os aplicativos migrados anteriormente são mostrados, incluindo os mais recentes que você configurou.

Revisar e configurar o aplicativo corporativo

  1. Na guia Pronto para configurar, você pode usar o link Configurar aplicativo no Microsoft Entra para navegar até o aplicativo recém-configurado na seção "Aplicativos corporativos". Por padrão, ele vai para a página de logon baseada em SAML do seu aplicativo.

    Captura de ecrã do painel de início de sessão baseado em SAML.

  2. No painel Logon baseado em SAML, todas as configurações do aplicativo de terceira parte confiável do AD FS já estão aplicadas ao aplicativo Microsoft Entra recém-migrado. As propriedades Identificador e URL de Resposta da Configuração Básica do SAML e a lista de declarações das guias Atributos e Declarações do assistente de migração de aplicativos AD FS são as mesmas do aplicativo empresarial.

  3. No painel Propriedades do aplicativo, o logotipo do modelo de aplicativo implica que o aplicativo está vinculado ao modelo de aplicativo selecionado. Na página Proprietários, o usuário administrador atual é adicionado como um dos proprietários do aplicativo.

  4. No painel Usuários e grupos , todos os grupos necessários já estão atribuídos ao aplicativo.

Depois de analisar o aplicativo corporativo migrado, você pode atualizá-lo de acordo com suas necessidades de negócios. Você pode adicionar ou atualizar declarações, atribuir mais usuários e grupos ou configurar políticas de Acesso Condicional para habilitar o suporte para autenticação multifator ou outros recursos de autorização condicional.

Reversão

A configuração de um clique do assistente de migração de aplicativos do AD FS migra o novo aplicativo para o locatário do Microsoft Entra. No entanto, o aplicativo migrado permanece inativo até que você redirecione seu tráfego de entrada para ele. Até lá, se quiser reverter, você pode excluir o aplicativo Microsoft Entra recém-migrado do seu locatário.

O assistente não fornece nenhuma limpeza automatizada. Caso não queira continuar com a configuração do aplicativo migrado, você precisa excluir manualmente o aplicativo do seu locatário. Para obter instruções sobre como excluir um registro de aplicativo e seu aplicativo empresarial correspondente, consulte as seguintes URLs:

Dicas de solução de problemas

Não consigo ver todas as minhas aplicações AD FS no relatório

Se você instalou os agentes do Microsoft Entra Connect Health para AD FS, mas ainda vê o prompt para instalá-lo ou não vê todos os seus aplicativos AD FS no relatório, pode ser que você não tenha aplicativos AD FS ativos ou que seus aplicativos AD FS sejam aplicativos da Microsoft.

Observação

A migração de aplicativos do AD FS lista todos os aplicativos do AD FS em sua organização com entrada de usuários ativos apenas nos últimos 30 dias. O relatório não exibe partes confiáveis relacionadas à Microsoft no AD FS, como o Office 365. Por exemplo, as partes confiáveis com o nome urn:federation:MicrosoftOnline, microsoftonline, microsoft:winhello:cert:prov:server não aparecem na lista.

Por que estou vendo o erro de validação "aplicativo com o mesmo identificador já existe"?

Cada aplicativo em seu locatário deve ter um identificador de aplicativo exclusivo. Se vir esta mensagem de erro, significa que já tem outra aplicação com o mesmo identificador no seu inquilino do Microsoft Entra. Nesse caso, você precisa atualizar o identificador de aplicativo existente ou atualizar o identificador de aplicativo de terceira parte confiável do AD FS e aguardar por 24 horas para obter atualizações refletidas.

Próximos passos