Migrace z MFA Serveru na vícefaktorové ověřování Microsoft Entra

Vícefaktorové ověřování je důležité pro zabezpečení infrastruktury a prostředků od chybných herců. Azure Multi-Factor Authentication Server (MFA Server) není k dispozici pro nová nasazení a bude zastaralá. Zákazníci, kteří používají MFA Server, by měli přejít na použití cloudového vícefaktorového ověřování Microsoft Entra.

V tomto článku předpokládáme, že máte hybridní prostředí, kde:

  • Pro vícefaktorové ověřování používáte MFA Server.
  • Federaci používáte v Microsoft Entra ID s Active Directory Federation Services (AD FS) (AD FS) nebo jiným produktem federace zprostředkovatele identity.
    • Zatímco tento článek je vymezený na službu AD FS, podobný postup platí pro jiné zprostředkovatele identity.
  • Server MFA je integrovaný se službou AD FS.
  • K ověřování můžete mít aplikace, které používají službu AD FS.

V závislosti na vašem cíli existuje několikmožnýchch


Cíl: Vyřazení serveru MFA pouze z provozu Cíl: Vyřazení MFA Serveru z provozu a přechod na ověřování Microsoft Entra Cíl: Vyřazení serveru MFA z provozu a služby AD FS
Zprostředkovatel vícefaktorového ověřování Změňte zprostředkovatele MFA ze serveru MFA na vícefaktorové ověřování Microsoft Entra. Změňte zprostředkovatele MFA ze serveru MFA na vícefaktorové ověřování Microsoft Entra. Změňte zprostředkovatele MFA ze serveru MFA na vícefaktorové ověřování Microsoft Entra.
Ověřování uživatelů Pokračujte v používání federace pro ověřování Microsoft Entra. Přechod na MICROSOFT Entra ID se synchronizací hodnot hash hesel (upřednostňovaným) nebo předávacím ověřováním a bezproblémovým jednotným přihlašováním Přejděte na MICROSOFT Entra ID se synchronizací hodnot hash hesel (upřednostňovaným) nebo předávacím ověřováním a jednotným přihlašováním.
Ověřování aplikací Pokračujte v používání ověřování AD FS pro vaše aplikace. Pokračujte v používání ověřování AD FS pro vaše aplikace. Před migrací na vícefaktorové ověřování Microsoft Entra přesuňte aplikace do Microsoft Entra ID.

Pokud můžete, přesuňte vícefaktorové ověřování i ověřování uživatelů do Azure. Podrobné pokyny najdete v tématu Přechod na vícefaktorové ověřování Microsoft Entra a ověřování uživatelů Microsoft Entra.

Pokud nemůžete přesunout ověřování uživatelů, přečtěte si podrobné pokyny k přesunu na vícefaktorové ověřování Microsoft Entra s federací.

Požadavky

  • Prostředí SLUŽBY AD FS (vyžaduje se, pokud před migrací MFA Serveru nemigrujete všechny aplikace na Microsoft Entra)
    • Upgradujte na SLUŽBU AD FS pro Windows Server 2019, úroveň chování farmy (FBL) 4. Tento upgrade umožňuje vybrat zprostředkovatele ověřování na základě členství ve skupině pro plynulejší přechod uživatelů. I když je možné migrovat ve službě AD FS pro Windows Server 2016 FBL 3, není pro uživatele tak bezproblémové. Během migrace se uživatelům zobrazí výzva k výběru zprostředkovatele ověřování (MFA Server nebo vícefaktorové ověřování Microsoft Entra), dokud nebude migrace dokončena.
  • Dovolení

Důležité informace o všech cestách migrace

Migrace z MFA Serveru na vícefaktorové ověřování Microsoft Entra zahrnuje více než jenom přesun registrovaných telefonních čísel MFA. Server MFA od Microsoftu je možné integrovat s mnoha systémy a musíte vyhodnotit, jak tyto systémy používají MFA Server, abyste porozuměli nejlepším způsobům integrace s vícefaktorovým ověřováním Microsoft Entra.

Migrace informací o uživateli MFA

Mezi běžné způsoby, jak se zamyslet nad přesunem uživatelů v dávkách, patří jejich přesun podle oblastí, oddělení nebo rolí, jako jsou správci. Uživatelské účty byste měli přesouvat iterativním způsobem, počínaje testovacími a pilotními skupinami a ujistěte se, že máte zavedený plán vrácení zpět.

Pomocí nástroje MFA Server Migration Utility můžete synchronizovat data MFA uložená v místním Azure MFA Serveru s vícefaktorovým ověřováním Microsoft Entra a pomocí fázovaného uvedení nasměrovat uživatele do Azure MFA. Postupné uvedení vám pomůže testovat bez jakýchkoli změn nastavení federace domény.

Pokud chcete uživatelům pomoct odlišit nově přidaný účet od starého účtu propojeného s MFA Serverem, ujistěte se, že název účtu mobilní aplikace na serveru MFA má název tak, aby se tyto dva účty odlišily. Například název účtu, který se zobrazí v části Mobilní aplikace na serveru MFA, se přejmenoval na Místní server MFA. Název účtu v aplikaci Microsoft Authenticator se změní s dalším nabízeným oznámením pro uživatele.

Migrace telefonních čísel může také vést k migraci zastaralých čísel a větší pravděpodobnost, že uživatelé zůstanou na vícefaktorovém ověřování založeném na telefonu místo nastavení bezpečnějších metod, jako je Microsoft Authenticator v režimu bez hesla. Proto doporučujeme, aby se bez ohledu na vámi zvolenou cestu migrace zaregistrovali všichni uživatelé pro kombinované bezpečnostní informace.

Migrace klíčů hardwarového zabezpečení

Microsoft Entra ID poskytuje podporu hardwarových tokenů OATH. Pomocí nástroje MFA Server Migration Utility můžete synchronizovat nastavení MFA mezi MFA Serverem a vícefaktorovým ověřováním Microsoft Entra a pomocí fázovaného uvedení otestovat migrace uživatelů beze změny nastavení federace domény.

Pokud chcete migrovat pouze hardwarové tokeny OATH, je potřeba nahrát tokeny do Microsoft Entra ID pomocí souboru CSV, který se běžně označuje jako "počáteční soubor". Počáteční soubor obsahuje tajné klíče, sériová čísla tokenů a další nezbytné informace potřebné k nahrání tokenů do Microsoft Entra ID.

Pokud už soubor s počátečními klíči nemáte, není možné tajné klíče exportovat ze serveru MFA. Pokud už nemáte přístup k tajným klíčům, obraťte se na dodavatele hardwaru a požádejte o podporu.

Sadu SDK webové služby MFA Serveru lze použít k exportu sériového čísla pro všechny tokeny OATH přiřazené danému uživateli. Tyto informace můžete použít společně s počátečním souborem k importu tokenů do Microsoft Entra ID a přiřazení tokenu OATH zadanému uživateli na základě sériového čísla. Aby bylo možné registraci dokončit, musí být uživatel také kontaktován v době importu, aby ze zařízení bylo možné zadat informace o jednorázovém hesla. Přečtěte si téma souboru nápovědy GetUserInfo>userSettings>OathTokenSerialNumber v Multi-Factor Authentication Serveru na vašem MFA Serveru.

Další migrace

Rozhodnutí migrovat z MFA Serveru na vícefaktorové ověřování Microsoft Entra otevře dveře pro další migrace. Dokončení dalších migrací závisí na mnoha faktorech, mezi které patří:

  • Vaše ochota používat ověřování Microsoft Entra pro uživatele
  • Vaše ochota přesunout aplikace do Microsoft Entra ID

Vzhledem k tomu, že MFA Server je nedílnou součástí ověřování aplikací i uživatelů, zvažte přesun obou těchto funkcí do Azure jako součást migrace MFA a nakonec vyřadit službu AD FS z provozu.

Naše doporučení:

  • Použití ID Microsoft Entra pro ověřování, protože umožňuje robustnější zabezpečení a zásady správného řízení
  • Pokud je to možné, přesuňte aplikace do Microsoft Entra ID.

Pokud chcete vybrat nejlepší metodu ověřování uživatelů pro vaši organizaci, přečtěte si téma Volba správné metody ověřování pro vaše řešení hybridní identity Microsoft Entra. Doporučujeme použít synchronizaci hodnot hash hesel (PHS).

Ověřování bez hesla

Jako součást registrace uživatelů, kteří používají Microsoft Authenticator jako druhý faktor, doporučujeme povolit přihlašování telefonem bez hesla jako součást registrace. Další informace, včetně dalších metod bez hesel, jako jsou klíče zabezpečení FIDO2 a Windows Hello pro firmy, najdete v tématu Plánování nasazení ověřování bez hesla pomocí Microsoft Entra ID.

Samoobslužné resetování hesla v Microsoft Identity Manageru

Samoobslužné resetování hesla Microsoft Identity Manageru (MIM) může použít MFA Server k vyvolání jednorázových hesel SMS v rámci toku resetování hesla. MIM nejde nakonfigurovat tak, aby používalo vícefaktorové ověřování Microsoft Entra. Doporučujeme vyhodnotit přesun služby SSPR na Microsoft Entra SSPR. Můžete využít příležitost uživatelů, kteří se registrují pro vícefaktorové ověřování Microsoft Entra, a využít kombinované prostředí registrace k registraci pro Microsoft Entra SSPR.

Pokud nemůžete přesunout službu SSPR nebo využít MFA Server k vyvolání žádostí MFA pro scénáře Privileged Access Management (PAM), doporučujeme aktualizovat na alternativní možnost vícefaktorového ověřování třetí strany.

Klienti RADIUS a vícefaktorové ověřování Microsoft Entra

MFA Server podporuje protokol RADIUS k vyvolání vícefaktorového ověřování pro aplikace a síťová zařízení, která protokol podporují. Pokud používáte RADIUS s MFA Serverem, doporučujeme přesunout klientské aplikace do moderních protokolů, jako je SAML, OpenID Connect nebo OAuth v Microsoft Entra ID. Pokud aplikaci nejde aktualizovat, můžete nasadit server NPS (Network Policy Server) s rozšířením vícefaktorového ověřování Microsoft Entra. Rozšíření serveru NPS (Network Policy Server) funguje jako adaptér mezi aplikacemi založenými na protokolu RADIUS a vícefaktorovým ověřováním Microsoft Entra za účelem zajištění druhého faktoru ověřování. Tento "adaptér" umožňuje přesunout klienty RADIUS do vícefaktorového ověřování Microsoft Entra a vyřadit z provozu MFA Server.

Důležité aspekty

Při používání serveru NPS pro klienty RADIUS platí omezení a doporučujeme vyhodnotit všechny klienty RADIUS, abyste zjistili, jestli je můžete upgradovat na moderní ověřovací protokoly. U poskytovatele služeb se obraťte na podporované verze produktů a jejich možnosti.

  • Rozšíření NPS nepoužívá zásady podmíněného přístupu Microsoft Entra. Pokud zůstanete s protokolem RADIUS a použijete rozšíření NPS, budou všechny žádosti o ověření předávané na SERVER NPS vyžadovat, aby uživatel provedl vícefaktorové ověřování.
  • Uživatelé se musí před použitím rozšíření NPS zaregistrovat pro vícefaktorové ověřování Microsoft Entra. V opačném případě se rozšíření nepovede ověřit uživatele, což může generovat volání helpdesku.
  • Když rozšíření NPS vyvolá vícefaktorové ověřování, požadavek MFA se odešle do výchozí metody MFA uživatele.
    • Vzhledem k tomu, že k přihlášení dochází u aplikací jiných společností než Microsoft, uživatel často nevidí vizuální oznámení, že se vyžaduje vícefaktorové ověřování a že se do zařízení odeslal požadavek.
    • Během požadavku na vícefaktorové ověřování musí mít uživatel přístup ke své výchozí metodě ověřování, aby požadavek dokončil. Nemůžou zvolit alternativní metodu. Jejich výchozí metoda ověřování se použije i v případě, že je zakázaná v metodách ověřování tenanta a zásadách vícefaktorového ověřování.
    • Uživatelé můžou změnit výchozí metodu vícefaktorového ověřování na stránce Bezpečnostní informace (aka.ms/mysecurityinfo).
  • Dostupné metody vícefaktorového ověřování pro klienty RADIUS jsou řízeny klientskými systémy odesílajícími požadavky na přístup k protokolu RADIUS.
    • Metody vícefaktorového ověřování, které vyžadují uživatelský vstup po zadání hesla, je možné použít pouze se systémy, které podporují odpovědi na výzvu k přístupu pomocí protokolu RADIUS. Vstupní metody můžou zahrnovat jednorázové heslo, hardwarové tokeny OATH nebo Microsoft Authenticator.
    • Některé systémy můžou omezit dostupné metody vícefaktorového ověřování na nabízená oznámení a telefonní hovory Microsoft Authenticatoru.

Poznámka

Algoritmus šifrování hesla používaný mezi klientem RADIUS a systémem NPS a vstupní metody, které může klient použít, mají vliv na to, které metody ověřování jsou k dispozici. Další informace najdete v tématu Určení metod ověřování, které můžou uživatelé použít.

Mezi běžné integrace klientů RADIUS patří aplikace, jako jsou brány vzdálené plochy a servery VPN. Mezi další můžou patřit:

Prostředky pro nasazení SERVERU NPS

Další kroky