Perguntas frequentes sobre Migração do Servidor de Federação do Active Directory para o Microsoft Entra

O Microsoft Entra ID fornece uma experiência de entrada simples baseada em nuvem para todos os seus recursos e aplicativos com autenticação forte e políticas de acesso adaptável baseadas em risco em tempo real para conceder acesso a recursos que reduzem os custos operacionais de gerenciamento e manutenção de um ambiente do AD FS e aumento da eficiência de TI.

Para obter mais informações sobre por que você deve atualizar do AD FS para o Microsoft Entra ID, visite Mudar do AD FS para o Microsoft Entra ID. Confira migrar da federação para a autenticação de nuvem para entender como atualizar do AD FS.

Perguntas gerais

Este documento fornecerá respostas a perguntas frequentes sobre a migração do AD FS para o Microsoft Entra ID.

Posso executar o AD FS lado a lado com a sincronização de hash de senha ou a autenticação de passagem?

Sim, pode. Isso é bastante comum. Usar a distribuição em etapas pode ajudar você a validar se um subconjunto dos usuários pode se autenticar no Microsoft Entra ID diretamente enquanto o domínio permanece federado. O documento Migrar da federação para a autenticação na nuvem orientará você no processo.

Ao acessar sites por meio do AD FS internamente, os usuários obtêm uma experiência de logon único. Como manter a experiência que já temos ao migrarmos para o Microsoft Entra ID?

Há algumas maneiras. A primeira maneira e a e recomendada é o ingresso híbrido no Microsoft Entra dos computadores Windows 10/11 existentes ingressados no domínio ou o uso do ingresso no Microsoft Entra. Isso fornecerá a você a mesma experiência de logon contínuo. A segunda maneira é aproveitar o logon único contínuo nos computadores ingressados no Microsoft Entra não híbrido ou os clientes Windows de nível inferior ainda podem ter a mesma experiência.

Estou registrando dispositivos ingressados no Microsoft Entra híbrido usando declarações de dispositivo do AD FS. Como fazer para permitir que os dispositivos continuem a conclusão do processo do AADJ híbrido com o AD FS?

Siga o processo Configurar o ingresso no Microsoft Entra híbrido para que os dispositivos concluam o processo de registro sem o AD FS.

Tenho regras de autorização no AD FS. Quais são as maneiras equivalentes de fazer isso no Microsoft Entra ID?

Isso é convertido nas políticas de acesso condicional do Microsoft Entra. Há vários modelos de políticas predefinidos para começar a usá-los.

Ao colocar os usuários em um grupo de distribuição em etapas, as sessões atuais deles são afetadas e forçadas a uma nova autenticação?

Não, a sessão atual permanecerá válida e, na próxima vez em que eles precisarem se autenticar, serão autenticados por meio da autenticação gerenciada em vez de a federação.

Tenho uma relação de confiança do provedor de declarações com outra empresa para acessar os recursos? Como devo mover essa relação de confiança?

Você deve procurar aproveitar o Microsoft Entra B2B para realizar o mesmo acesso de autenticação.

Temos regras de declaração personalizadas. O Microsoft Entra ID pode oferecer suporte a elas?

Sim, dependendo das regras necessárias. O melhor lugar para investigar isso é usando o relatório de atividades de aplicativo do AD FS e vendo como personalizar as declarações SAML

Ao alternar um domínio de federado para gerenciado, quanto tempo leva para que a alteração ocorra?

Pode levar até quatro horas para fazer uma substituição completa. Portanto, planeje a janela de manutenção de acordo

O AD FS precisa usar o O365?

Não, o O365 pode autenticar você diretamente sem precisar do ADFS.

Depois de eu migrar a configuração do aplicativo para o Microsoft Entra, há mais alguma coisa que é preciso fazer para concluir a migração?

Sim, a migração de um aplicativo para o Microsoft Entra só é concluída quando você reconfigura o próprio aplicativo (substituição) para usar o Microsoft Entra.

O ADFS é necessário para que os usuários possam fazer logon com o endereço de email ou o UPN?

Não, o Microsoft Entra dá suporte à entrada com um endereço de email ou o UPN.

Próximas etapas