Migrar da federação para a autenticação na nuvem
Nesse artigo, você aprende como implantar a autenticação de usuário na nuvem com Microsoft Entra Sincronização de hash de senha (PHS) ou Autenticação de passagem (PTA). Embora estejamos apresentando o caso de uso para mudar do AD FS (Active Directory Federation Services) para métodos de autenticação na nuvem, a diretriz se aplica também substancialmente a outros nos sistemas locais.
Antes de continuar, sugerimos que examine nosso guia sobre como escolher o método de autenticação correto e compare os métodos mais adequados à sua organização.
Recomendamos usar a PHS na autenticação na nuvem.
Distribuição em etapas
A distribuição em etapas é uma ótima maneira de testar grupos de usuários seletivamente com recursos de autenticação na nuvem, como a autenticação multifator do Microsoft Entra, o Acesso Condicional, Microsoft Entra ID Protection para credenciais vazadas, a governança de identidade e outros, antes de transferir domínios.
Consulte o plano de implementação de distribuição em etapas para entender os cenários com suporte e sem suporte. Recomendamos usar a distribuição em etapas para testar antes de substituir domínios.
Fluxo do processo de migração
Pré-requisitos
Antes de começar a migração, atenda a estes pré-requisitos.
Funções necessárias
Para distribuição em etapas, você precisa ser um administrador de identidade híbrida em seu locatário.
Intensificar o servidor do Microsoft Entra Connect
Instale Microsoft Entra Connect (Microsoft Entra Connect) ou atualize para a versão mais recente. Quando você intensifica o servidor Microsoft Entra Connect, ele reduz o tempo de migração do AD FS para os métodos de autenticação na nuvem de horas para minutos.
Configurações de federação atuais do documento
Para localizar as configurações de federação atuais, execute Get-MgDomainFederationConfiguration.
Get-MgDomainFederationConfiguration - DomainID yourdomain.com
Verifique quaisquer configurações que possam ter sido personalizadas para sua documentação de implantação e design de federação. Especificamente, procure as personalizações em PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (se federatedIdpMfaBehavior não estiver definido) e PromptLoginBehavior.
Configurações de federação de backup
Embora essa implantação não altere outras terceiras partes confiáveis no farm do AD FS, você pode fazer backup das configurações:
Use a Ferramenta de Restauração Rápida do AD FS para restaurar um farm existente ou criar outro.
Exporte a confiança de terceira parte confiável da plataforma de identidade do Microsoft 365 e regras de declaração personalizadas associadas que você tenha adicionado usando o exemplo do PowerShell abaixo:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
Planejar o projeto
Quando os projetos de tecnologia falham, normalmente é devido a expectativas incompatíveis quanto a impacto, resultados e responsabilidades. Para evitar essas armadilhas, verifique se você está participando dos stakeholders certos e que as funções de stakeholder no projeto sejam bem compreendidas.
Planejar comunicações
Depois de migrar para a autenticação na nuvem, a experiência de login do usuário para acessar o Microsoft 365 e outros recursos que são autenticados por meio do Microsoft Entra ID muda. Os usuários que estão fora da rede veem apenas a página de login do Microsoft Entra.
Se comunique proativamente com seus usuários sobre como a experiência deles muda, quando muda e como obter suporte em caso de problemas.
Planejar a janela de manutenção
Clientes de autenticação modernos (aplicativos do Office 2016 e Office 2013, iOS e Android) usam um token de atualização válido para obter novos tokens de acesso para acesso contínuo aos recursos, em vez de retornar para o AD FS. Esses clientes são imunes a quaisquer prompts de senha resultantes do processo de conversão de domínio. Os clientes continuam funcionando sem configuração extra.
Observação
Quando você migra da federação para a autenticação na nuvem, o processo para converter o domínio de federado para gerenciado pode levar até 60 minutos. Durante esse processo, os usuários podem não ser solicitados a fornecer credenciais para novos logins no centro de administração do Microsoft Entra ou em outros aplicativos baseados em navegador protegidos com o Microsoft Entra ID. Recomendamos que você inclua esse atraso na janela de manutenção.
Planejar a reversão
Dica
Considere planejar a substituição dos domínios fora do horário comercial caso seja necessário fazer reversão.
Para planejar a reversão, use as configurações de federação atuais documentadas e verifique a documentação de design e implantação da federação.
O processo de reversão deve incluir a conversão de domínios gerenciados em domínios federados usando o cmdlet New-MgDomainFederationConfiguration. Se necessário, configure mais regras de declaração.
Considerações sobre migração
Veja as considerações principais de migração.
Planejar configurações de personalizações
O arquivo onload.js não pode ser duplicado em Microsoft Entra ID. Se a sua instância do AD FS for altamente personalizada e depender de configurações de personalização específicas no arquivo onload.js, verifique se o Microsoft Entra ID pode atender aos seus requisitos de personalização atuais e planeje adequadamente. Comunique essas alterações a seus usuários.
Experiência de conexão
Você não pode personalizar Microsoft Entra experiência de entrada. Independentemente de como os usuários fizeram login anteriormente, é necessário um nome de domínio totalmente qualificado, como User Principal Name (UPN) ou e-mail, para fazer login no Microsoft Entra ID.
Identidade visual da organização
Você pode personalizar o Microsoft Entra página de entrada. Algumas alterações visuais do AD FS nas páginas de entrada deverão ser esperadas após a conversão.
Observação
A marca da organização não está disponível nas licenças gratuitas do Microsoft Entra ID, a menos que você tenha uma licença do Microsoft 365.
Planejar as políticas de Acesso Condicional
Avalie se você está atualmente usando o Acesso Condicional para autenticação ou se usa políticas de controle de acesso no AD FS.
Considere a possibilidade de substituir as políticas de controle de acesso do AD FS pelas políticas equivalentes de acesso condicional do Microsoft Entra e regras de acesso do cliente do Exchange Online. É possível usar o Microsoft Entra ID ou os grupos locais para o acesso condicional.
Desabilitar Autenticação Herdada: devido ao aumento do risco associado a protocolos de autenticação herdados, crie uma política de Acesso Condicional para bloquear a autenticação herdada.
Planejar suporte a MFA
Para domínios federados, a MFA pode ser aplicada pelo Microsoft Entra Conditional Access ou pelo provedor de federação local. Você pode ativar a proteção para evitar o desvio da autenticação multifator do Microsoft Entra configurando a configuração de segurança federatedIdpMfaBehavior. Ative a proteção para um domínio federado em seu locatário do Microsoft Entra. Certifique-se de que a autenticação multifator do Microsoft Entra seja sempre executada quando um usuário federado acessar um aplicativo que seja regido por uma política de acesso condicional que exija MFA. Isso inclui a execução da autenticação multifator do Microsoft Entra, mesmo quando o provedor de identidade federado tiver emitido tokens federados que afirmem que a MFA no local foi executada. A aplicação da autenticação multifator do Microsoft Entra sempre garante que um agente mal-intencionado não possa ignorar a autenticação multifator do Microsoft Entra imitando que o provedor de identidade já executou a MFA e é altamente recomendável, a menos que você execute a MFA para seus usuários federados usando um provedor de MFA de terceiros.
A tabela a seguir explica o comportamento de cada opção. Para obter mais informações, consulte federatedIdpMfaBehavior.
Valor | Descrição |
---|---|
acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID aceita a MFA que o provedor de identidade federado executa. Se o provedor de identidade federada não executou a MFA, o Microsoft Entra ID executa a MFA. |
enforceMfaByFederatedIdp | Microsoft Entra ID aceita a MFA que o provedor de identidade federado executa. Se o provedor de identidade federado não executou a MFA, ele redirecionará a solicitação ao provedor de identidade federado para executar a MFA. |
rejectMfaByFederatedIdp | O Azure AD sempre executará a MFA e rejeitará a MFA que o provedor de identidade federado executa. |
A configuração federatedIdpMfaBehavior é uma versão evoluída da propriedade SupportsMfa do cmdlet do PowerShell Set-MsolDomainFederationSettings MSOnline v1.
Para domínios que já definiram a propriedade SupportsMfa, essas regras determinarão como o federatedIdpMfaBehavior e o SupportsMfa funcionarão juntos:
- Não há suporte para alternar entre federatedIdpMfaBehavior e SupportsMfa.
- Depois que a propriedade federatedIdpMfaBehavior for definida, o Microsoft Entra ID ignorará a configuração SupportsMfa.
- Se a propriedade federatedIdpMfaBehavior nunca for definida, o Microsoft Entra ID continuará a honrar a configuração SupportsMfa.
- Se nem federatedIdpMfaBehavior nem SupportsMfa estiverem definidos, o padrão do Microsoft Entra ID é o comportamento
acceptIfMfaDoneByFederatedIdp
.
É possível verificar o status da proteção executando Get-MgDomainFederationConfiguration:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
Planejar a implementação
Esta seção inclui o pré-trabalho antes de você alternar o método de entrada e converter os domínios.
Criar grupos necessários para a distribuição em etapas
Se você não está usando a distribuição em etapas, ignore esta etapa.
Crie grupos para distribuição em etapas e também para políticas de Acesso Condicional se você decidir adicioná-los.
Recomendamos que você use um grupo dominado no Microsoft Entra ID, também conhecido como um grupo somente na nuvem. É possível usar os grupos de segurança do Microsoft Entra ou os grupos do Microsoft 365 para migrar usuários para a MFA e para políticas de acesso condicional. Para obter mais informações, consulte a criação de um grupo de segurança do Microsoft Entra e esta visão geral dos Grupos do Microsoft 365 para administradores.
Os membros de um grupo são habilitados automaticamente para a distribuição em etapas. Não há suporte para grupos aninhados e de associação dinâmica na distribuição em etapas.
Pré-trabalho para SSO
A versão do SSO que você usa depende do sistema operacional do seu dispositivo e do estado de junção.
Para Windows 10, Windows Server 2016 e versões posteriores, recomendamos o uso de SSO via Token de atualização primário (PRT) com dispositivos ingressados no Microsoft Entra, dispositivos ingressados no Microsoft Entra híbrido e dispositivos registrados no Microsoft Entra.
Para dispositivos macOS e iOS, recomendamos usar o SSO por meio do Plug-in SSO da Microsoft Enterprise para dispositivos Apple. Esse recurso requer que seus dispositivos Apple sejam gerenciados por um MDM. Caso use Intune como seu MDM, siga a guia de implantação do plug-in SSO da Microsoft Enterprise para Apple Intune. Caso use outro MDM, siga o guia de implantação do Jamf Pro/MDM genérico.
Para dispositivos Windows 7 e 8.1, recomendamos o uso de SSO contínuo com união de domínio para registrar o computador no Microsoft Entra ID. Você não precisa sincronizar essas contas como faz em dispositivos com Windows 10. No entanto, você precisa concluir este pré-trabalho para SSO contínuo usando o PowerShell.
Pré-trabalho para PHS e PTA
Dependendo da escolha do método de entrada, conclua o pré-trabalho para PHS ou para PTA.
Implementar sua solução
Por fim, alterne o método de entrada para PHS ou PTA, conforme planejado, e converte os domínios de federação para autenticação na nuvem.
Usando distribuição em etapas
Se você está usando a distribuição em etapas, siga as etapas nos links abaixo:
Habilitar uma distribuição em etapas de um recurso específico no seu locatário.
Quando o teste for concluído, converta os domínios de federados em gerenciados.
Sem usar a distribuição em etapas
Você tem duas opções para habilitar essa alteração:
Opção A: Alterne usando o Microsoft Entra Connect.
Disponível se você configurou inicialmente seu ambiente AD FS/ ping-federado usando o Microsoft Entra Connect.
Opção B: Trocar usando o Microsoft Entra Connect e o PowerShell
Disponível se você não tiver configurado inicialmente seus domínios federados usando o Microsoft Entra Connect ou se estiver usando serviços de federação de terceiros.
Para escolher uma dessas opções, você precisa saber quais são suas configurações atuais.
Verificar as configurações atuais do Microsoft Entra Connect
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
- Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.
- Verifique as configurações de USER SIGN_IN conforme mostrado neste diagrama:
Para verificar como a federação foi configurada:
No servidor Microsoft Entra Connect, abra Microsoft Entra Conectar e selecione Configurar.
Em Tarefas adicionais > Gerenciar federação, selecione Exibir configuração de federação.
Se a configuração do AD FS aparecer nesta seção, você pode presumir com segurança que o AD FS foi originalmente configurado usando o Microsoft Entra Connect. Veja a imagem abaixo como exemplo:
Se o AD FS não está listado nas configurações atuais, você deve converter manualmente seus domínios de identidade federada para identidade gerenciada usando o PowerShell.
Opção A
Mudar da federação para o novo método de login usando o Microsoft Entra Connect
No servidor Microsoft Entra Connect, abra Microsoft Entra Conectar e selecione Configurar.
Na página Tarefas adicionais, selecione Alterar credenciais do usuário e selecione Avançar.
Na página Conectar-se ao Microsoft Entra ID, insira as credenciais da sua conta de Administrador Global.
Na página de entrada do usuário:
Se você selecionar o botão de opção Autenticação de passagem e se o SSO for necessário para dispositivos Windows 7 e 8.1, marque Habilitar logon único e selecione Avançar.
Se você selecionar o botão de opção Sincronização de hash de senha, marque a caixa de seleção Não converter contas de usuário. Essa opção foi preterida. Se o SSO for necessário para dispositivos Windows 7 e 8.1, marque Habilitar logon único e selecione Avançar.
Saiba mais: Habilitar o SSO contínuo usando o PowerShell.
Na página Habilitar logon único, insira as credenciais de uma conta de administrador de domínio e, em seguida, selecione Avançar.
Credenciais da conta de administrador de domínio são necessárias para habilitar SSO contínuo. O processo conclui as seguintes ações, que exigem essas permissões elevadas:
- Uma conta de computador chamada AZUREADSSO (que representa o Microsoft Entra ID) é criada em sua instância do Active Directory local.
- A chave de descriptografia Kerberos da conta do computador é compartilhada de forma segura com o Microsoft Entra ID.
- Dois nomes de entidade de serviço (SPNs) Kerberos são criados para representar dois URLs usados durante o login no Microsoft Entra.
As credenciais de administrador de domínio não são armazenadas no Microsoft Entra Connect ou no Microsoft Entra ID e são descartadas quando o processo é concluído com êxito. Elas são usadas para ATIVAR o recurso.
Saiba mais: Aprofundamento técnico contínuo do SSO.
Na página Pronto para configurar, verifique se a caixa de seleção Iniciar o processo de sincronização quando a configuração for concluída está marcada. Em seguida, selecione Configurar.
Importante
Nesse ponto, todos os seus domínios federados serão alterados para autenticação gerenciada. O método de entrada do Usuário selecionado é o novo método de autenticação.
No centro de administração do Microsoft Entra, selecione Microsoft Entra ID e, em seguida, selecione Microsoft Entra Conectar.
Verifique estas configurações:
- Federação está definida como Desabilitada.
- Logon único contínuo está definido como Habilitado.
- A Sincronização de Hash de Senha está definida como Habilitada.
Caso esteja mudando para PTA, siga as próximas etapas.
Implantar mais agentes de autenticação para PTA
Observação
O PTA requer a implantação de agentes leves no servidor Microsoft Entra Connect e em seu computador local que esteja executando o Windows Server. Para reduzir a latência, instale os agentes tão próximos dos seus controladores de domínio do Active Directory quanto for possível.
Para a maioria dos clientes, dois ou três agentes de autenticação são suficientes para fornecer alta disponibilidade e a capacidade necessária. Um locatário pode ter um máximo de 12 agentes registrados. O primeiro agente é sempre instalado no próprio servidor Microsoft Entra Connect. Para saber mais sobre as limitações do agente e as opções de implantação do agente, consulte Autenticação de passagem do Microsoft Entra: Limitações atuais.
Selecione Autenticação de passagem.
Na página Autenticação de passagem, selecione o botão Baixar.
Na página Baixar agente, selecione Aceitar os termos e baixar.
Mais agentes de autenticação começam a ser baixados. Instale o agente de autenticação secundário em um servidor ingressado no domínio.
Execute a instalação do agente de autenticação. Durante a instalação, você deve inserir as credenciais de uma conta de Administrador Global.
Quando o agente de autenticação é instalado, você pode retornar à página de integridade da PTA para verificar o estado dos demais agentes.
Opção B
Mudar da federação para o novo método de login usando o Microsoft Entra Connect e o PowerShell
Disponível se você não tiver configurado inicialmente seus domínios federados usando o Microsoft Entra Connect ou se estiver usando serviços de federação de terceiros.
Em seu servidor Microsoft Entra Connect, siga as etapas 1 a 5 da Opção Azure. Observe que na página de login do usuário, a opção Não configurar está pré-selecionada.
No centro de administração do Microsoft Entra, selecione Microsoft Entra ID e, em seguida, selecione Microsoft Entra Conectar.
Verifique estas configurações:
Federação é definida como Habilitada.
Logon único contínuo está definido como Desabilitado.
A Sincronização de Hash de Senha está definida como Habilitada.
Somente em caso de PTA, siga estas etapas para instalar mais servidores de agentes de PTA.
No centro de administração do Microsoft Entra, selecione Microsoft Entra ID e, em seguida, selecione Microsoft Entra Conectar.
Selecione Autenticação de passagem. Verifique se o status é Ativo.
Se o agente de autenticação não estiver ativo, conclua estas etapas de solução de problemas antes de continuar com o processo de conversão de domínio na próxima etapa. Você correrá o risco de causar uma interrupção de autenticação se converter seus domínios antes de validar se os seus agentes de PTA foram instalados com sucesso e estão com status Ativo no centro de administração do Microsoft Entra.
Converter domínios de federado em gerenciado
Neste ponto, autenticação federada ainda está ativa e operacional para seus domínios. Para continuar com a implantação, você precisará converter cada domínio de identidade federada para identidade gerenciada.
Importante
Você não precisa converter todos os domínios ao mesmo tempo. Você pode optar por começar com um domínio de teste em seu locatário de produção ou iniciar com seu domínio que tem o menor número de usuários.
Conclua a conversão usando o SDK do PowerShell do Microsoft Graph:
No PowerShell, entre no Microsoft Entra ID usando uma conta de Administrador Global.
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
Para converter o primeiro domínio, execute o comando a seguir:
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"
No centro de administração do Microsoft Entra, selecione Microsoft Entra ID > Microsoft Entra Connect.
Verifique se o domínio foi convertido em gerenciado executando o comando abaixo. O tipo de autenticação deve ser definido como gerenciado.
Get-MgDomain -DomainId yourdomain.com
Para garantir que o Microsoft Entra Connect reconheça a autenticação de passagem como ativada após converter seu domínio para autenticação gerenciada, atualize as configurações do método de entrada no Microsoft Entra Connect para refletir as alterações. Consulte a Documentação de autenticação de passagem do Microsoft Entra para obter mais detalhes.
Concluir a migração
Conclua as tarefas a seguir para verificar o método de conexão e concluir o processo de conversão.
Testar o novo método de entrada
Quando o locatário usou a identidade federada, os usuários foram redirecionados da página de login do Microsoft Entra para o ambiente do AD FS. Agora que o locatário está configurado para usar o novo método de conexão em vez da autenticação federada, os usuários não são redirecionados para o AD FS.
Em vez disso, os usuários fazem login diretamente na página de login do Microsoft Entra.
Siga as etapas neste link: Validar a entrada com PHS/PTA e SSO contínuo (quando necessário)
Remover um usuário da distribuição em etapas
Se você usou a distribuição em etapas, lembre-se de desativar os recursos de distribuição em etapas após terminar a substituição.
Para desabilitar o recurso de distribuição em etapas, deslize o controle de volta para Desativado.
Sincronizar atualizações de UserPrincipalName
Historicamente, atualizações ao atributo UserPrincipalName, que usa o serviço de sincronização do ambiente local, são bloqueadas, a menos que essas duas condições sejam verdadeiras:
- O usuário está em um domínio de identidade gerenciada (não federado).
- Não foi atribuída uma licença ao usuário.
Para saber como verificar ou habilitar esse recurso, veja Sincronizar atualizações de userPrincipalName.
Gerenciar sua implementação
Substituir a chave de descriptografia do Kerberos de SSO contínuo
É recomendável que você substitua a chave de descriptografia do Kerberos pelo menos a cada 30 dias para se ajustar com a maneira como os membros do domínio do Active Directory enviam as alterações de senha. Não há nenhum dispositivo associado anexado ao objeto de conta de computador AZUREADSSO e, portanto, você deverá executar a sobreposição manualmente.
Confira as Perguntas frequentes Como fazer para substituir a chave de descriptografia de Kerberos da conta de computador AZUREADSSO.
Monitoramento e registro em log
Monitore os servidores que executam os agentes de autenticação para manter a disponibilidade da solução. Além dos contadores de desempenho geral do servidor, os agentes de autenticação expõem objetos de desempenho que podem ajudá-lo a entender erros e estatísticas de autenticação.
Os agentes de autenticação registram operações nos logs de eventos do Windows localizados em Logs de Aplicativo e Serviço. Você também pode ativar o registro em log para solução de problemas.
Para confirmar as várias ações realizadas na distribuição em etapas, você poderá Auditar eventos para PHS, PTA e SSO contínuo.
Solucionar problemas
A equipe de suporte deve entender como solucionar os problemas de autenticação que ocorrem durante ou após a alteração do modelo de federação para o gerenciado. Use a seguinte documentação de solução de problemas para ajudar sua equipe de suporte a se familiarizar com as etapas comuns de solução de problemas e as ações apropriadas que podem ajudar a isolar e resolver o problema.
Desativar a infraestrutura do AD FS
Migrar a autenticação de aplicativo do AD FS para Microsoft Entra ID
A migração requer a avaliação de como o aplicativo está configurado no local e, em seguida, o mapeamento dessa configuração para o Microsoft Entra ID.
Se você planeja continuar usando o AD FS com aplicativos SaaS e locais usando o protocolo SAML/WS-FED ou Oauth, usará o AD FS e o Microsoft Entra ID depois de converter os domínios para autenticação do usuário. Nesse caso, você pode proteger seus aplicativos e recursos locais com o Secure Hybrid Access (SHA) por meio do proxy de aplicativo Microsoft Entra ou de uma das integrações do parceiro Microsoft Entra ID. O uso do Proxy de Aplicativo ou de um de nossos parceiros pode fornecer acesso remoto seguro aos aplicativos locais. Eles se beneficiam conectando-se com facilidade aos respectivos aplicativos em qualquer dispositivo após um logon único.
Você pode mover os aplicativos SaaS que atualmente são federados com o ADFS para o Microsoft Entra ID. Reconfigure para autenticar com o Microsoft Entra ID por meio de um conector interno da galeria do Aplicativo Azure AD ou registrando o aplicativo no Microsoft Entra ID.
Para obter mais informações, consulte Movendo a autenticação do aplicativo de Serviços de Federação do Active Directory (AD FS) para o Microsoft Entra ID.
Remover relação de confiança de terceira parte confiável
Se você tiver o Microsoft Entra Connect Health, poderá monitorar o uso no centro de administração do Microsoft Entra. Caso o uso não mostre nenhuma nova solicitação de autenticação e você valide que todos os usuários e clientes estão se autenticando com êxito por meio do Microsoft Entra ID, é seguro remover a confiança da parte confiável do Microsoft 365.
Se você não usa o AD FS para outras finalidades (ou seja, para outras relações de confiança de terceira parte confiável), pode encerrar o AD FS neste momento.
Remover o AD FS
Para obter uma lista completa das etapas a serem seguidas para remover completamente o AD FS do ambiente, siga o guia de desativação dos Serviços de Federação do Active Directory (AD FS).