Миграция на облачную проверку подлинности с помощью поэтапного развертывания

Поэтапное развертывание позволяет выборочно тестировать группы пользователей с возможностями облачной проверки подлинности, такими как многофакторная проверка подлинности Microsoft Entra, условный доступ, Защита идентификации Microsoft Entra для утечки учетных данных, управления удостоверениями и других пользователей, прежде чем сократить количество доменов. В этой статье описывается, как сделать переключатель.

Прежде чем начать поэтапное развертывание, следует рассмотреть последствия, если одно или несколько следующих условий имеет значение true:

  • В настоящее время вы используете локальный сервер многофакторной идентификации.
  • Вы используете смарт-карты для проверки подлинности.
  • Текущий сервер предлагает определенные функции, доступные только для федерации.
  • Вы переходите из стороннего решения федерации в управляемые службы.

Прежде чем попробовать эту функцию, мы рекомендуем ознакомиться с нашим руководством по выбору правильного метода проверки подлинности. Дополнительные сведения см. в таблице "Сравнение методов" в разделе "Выбор подходящего метода проверки подлинности для решения гибридного удостоверения Microsoft Entra".

Общие сведения о функции см. в этом видеоролике "Что такое поэтапное развертывание?":

Необходимые условия

  • У вас есть клиент Microsoft Entra с федеративными доменами.

  • Вы решили переместить один из следующих вариантов:

    Для обоих вариантов рекомендуется включить единый вход ( единый вход) для обеспечения автоматического входа. Для устройств, присоединенных к домену Windows 7 или 8.1, рекомендуется использовать простой единый вход. Дополнительные сведения см. в разделе "Что такое простой единый вход". Для Windows 10, Windows Server 2016 и более поздних версий рекомендуется использовать единый вход с помощью первичного маркера обновления (PRT) с устройствами, присоединенными к Microsoft Entra, гибридными устройствами Microsoft Entra или личными зарегистрированными устройствами с помощью добавления рабочей или учебной учетной записи.

  • Вы настроили все соответствующие политики фирменной символики клиента и условного доступа, необходимые для пользователей, которые переносятся в облачную проверку подлинности.

  • Если вы перешли из федеративной в облачную проверку подлинности, убедитесь, что параметр SynchronizeUpnForManagedUsers DirSync включен, в противном случае идентификатор Microsoft Entra ID не разрешает синхронизацию обновлений имени участника-пользователя или альтернативного идентификатора входа для лицензированных учетных записей пользователей, использующих управляемую проверку подлинности. Дополнительные сведения см. в разделе "Функции службы синхронизации Microsoft Entra Connect".

  • Если вы планируете использовать многофакторную проверку подлинности Microsoft Entra, рекомендуется использовать объединенную регистрацию для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности , чтобы пользователи регистрировали свои методы проверки подлинности один раз. Примечание. При использовании SSPR для сброса пароля или изменения пароля с помощью страницы MyProfile во время поэтапного развертывания Microsoft Entra Connect необходимо синхронизировать новый хэш паролей, который может занять до 2 минут после сброса.

  • Чтобы использовать функцию поэтапного развертывания, необходимо быть администратором гибридных удостоверений в клиенте.

  • Чтобы включить простой единый вход в определенном лесу Active Directory, необходимо быть администратором домена.

  • При развертывании гибридного идентификатора Microsoft Entra id или присоединения к Microsoft Entra необходимо обновить до обновления Windows 10 1903.

Поддерживаемые сценарии

Для поэтапного развертывания поддерживаются следующие сценарии. Эта функция работает только для следующих компонентов:

  • Пользователи, которые подготовлены к идентификатору Microsoft Entra Id с помощью Microsoft Entra Connect. Это не относится к пользователям только в облаке.

  • Трафик входа пользователей в браузеры и современные клиенты проверки подлинности . Приложения или облачные службы, использующие устаревшую проверку подлинности , возвращаются в федеративные потоки проверки подлинности. Примером устаревшей проверки подлинности может быть Exchange Online с современной проверкой подлинности или Outlook 2010, которая не поддерживает современную проверку подлинности.

  • Размер группы в настоящее время ограничен 50 000 пользователями. Если у вас есть группы, превышающие 50 000 пользователей, рекомендуется разделить эту группу по нескольким группам для поэтапного развертывания.

  • Гибридное присоединение Windows 10 или Microsoft Entra присоединяется к основному приобретению маркера обновления без прямой видимости на сервер федерации для Windows 10 версии 1903 и более поздних версий, когда имя участника-пользователя является маршрутизируемым, и суффикс домена проверяется в идентификаторе Microsoft Entra ID.

  • Регистрация Autopilot поддерживается в staged Rollout с Windows 10 версии 1909 или более поздней.

Неподдерживаемые сценарии

Следующие сценарии не поддерживаются для поэтапного развертывания.

  • Устаревшая проверка подлинности, например POP3 и SMTP, не поддерживается.

  • Некоторые приложения отправляют параметр запроса "domain_hint" идентификатору Microsoft Entra во время проверки подлинности. Эти потоки продолжаются, и пользователи, которые включены для поэтапного развертывания, продолжают использовать федерацию для проверки подлинности.

  • Администраторы могут развертывать облачную проверку подлинности с помощью групп безопасности. Чтобы избежать задержки синхронизации при использовании групп безопасности локальная служба Active Directory, рекомендуется использовать группы безопасности облака. Применяются следующие условия:

    • Можно использовать не более 10 групп на каждую функцию. То есть можно использовать 10 групп для синхронизации хэша паролей, сквозной проверки подлинности и простого единого входа.
    • Вложенные группы не поддерживаются.
    • Динамические группы не поддерживаются для поэтапного развертывания.
    • Контактные объекты внутри группы блокируют добавление группы.
  • При первом добавлении группы безопасности для поэтапного развертывания вы можете ограничиться 200 пользователями, чтобы избежать истечения времени ожидания пользовательского интерфейса. После добавления группы вы можете добавить в нее дополнительных пользователей по мере необходимости.

  • Хотя пользователи находятся в поэтапном выпуске с синхронизацией хэша паролей (PHS), по умолчанию срок действия пароля не применяется. Срок действия пароля можно применить, включив "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Если включен параметр CloudPasswordPolicyForPasswordSyncedUsersEnabled, политика истечения срока действия пароля имеет значение 90 дней с момента установки пароля без возможности настройки. Программное обновление атрибута PasswordPolicies не поддерживается, пока пользователи находятся в промежуточном выпуске. Сведения о настройке CloudPasswordPolicyForPasswordSyncedUsersEnabled см . в политике истечения срока действия пароля.

  • Гибридное присоединение Windows 10 или Microsoft Entra присоединяются к основному приобретению маркера обновления для Windows 10 более ранней версии 1903. Этот сценарий возвращается к конечной точке WS-Trust сервера федерации, даже если вход пользователя находится в области поэтапного развертывания.

  • Гибридное присоединение Windows 10 или Microsoft Entra присоединяются к основному приобретению маркера обновления для всех версий, если локальная сеть участника-пользователя не может быть routable. Этот сценарий возвращается к конечной точке WS-Trust в режиме поэтапного развертывания, но перестает работать при завершении поэтапной миграции, а вход пользователя больше не зависит от сервера федерации.

  • Если у вас есть непреднамеренная настройка VDI с Windows 10 версии 1903 или более поздней, необходимо остаться в федеративном домене. Перемещение в управляемый домен не поддерживается в непредусмотрительном VDI. Дополнительные сведения см. в разделе "Идентификация устройств" и виртуализация рабочих столов.

  • Если у вас есть Windows Hello для бизнеса доверия гибридных сертификатов с сертификатами, выданными через сервер федерации, действующий в качестве центра регистрации или пользователей смарт-карт, сценарий не поддерживается в поэтапном развертывании.

    Заметка

    Вам по-прежнему необходимо сделать окончательный переход от федеративной к облачной проверке подлинности с помощью Microsoft Entra Connect или PowerShell. Поэтапное развертывание не переключает домены с федеративных на управляемые. Дополнительные сведения о переключение домена см. в разделе "Миграция из федерации в синхронизацию хэша паролей" и "Миграция из федерации" на сквозную проверку подлинности.

Начало работы со этапным развертыванием

Чтобы проверить вход синхронизации хэша паролей с помощью staged Rollout, следуйте предварительным инструкциям в следующем разделе.

Сведения о том, какие командлеты PowerShell следует использовать, см. в предварительной версии Microsoft Entra ID 2.0.

Предварительная работа для синхронизации хэша паролей

  1. Включите синхронизацию хэша паролей на странице "Необязательные функции " в Microsoft Entra Connect. 

    Снимок экрана: страница

  2. Убедитесь, что выполняется полный цикл синхронизации хэша паролей, чтобы все хэши паролей пользователей были синхронизированы с идентификатором Microsoft Entra. Чтобы проверить состояние синхронизации хэша паролей, можно использовать диагностика PowerShell в разделе "Устранение неполадок синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".

    Снимок экрана: журнал устранения неполадок Microsoft Entra Connect

Если вы хотите проверить вход сквозной проверки подлинности с помощью поэтапного развертывания, включите его, выполнив инструкции по предварительной работе в следующем разделе.

Предварительная работа для сквозной проверки подлинности

  1. Определите сервер под управлением Windows Server 2012 R2 или более поздней версии, где требуется запустить агент сквозной проверки подлинности .

    Не выбирайте сервер Microsoft Entra Connect. Убедитесь, что сервер присоединен к домену, может пройти проверку подлинности выбранных пользователей с помощью Active Directory и взаимодействовать с идентификатором Microsoft Entra в исходящих портах и URL-адресах. Дополнительные сведения см. в разделе "Шаг 1. Проверка предварительных требований" краткого руководства: Microsoft Entra с простым единым входом.

  2. Скачайте агент проверки подлинности Microsoft Entra Connect и установите его на сервере. 

  3. Чтобы обеспечить высокий уровень доступности, установите дополнительные агенты проверки подлинности на других серверах.

  4. Убедитесь, что параметры Smart Lockout настроены соответствующим образом. Это помогает гарантировать, что учетные записи локальная служба Active Directory пользователей не заблокированы плохими субъектами.

Рекомендуется включить простой единый вход независимо от метода входа (синхронизации хэша паролей или сквозной проверки подлинности), выбранного для поэтапного развертывания. Чтобы включить простой единый вход, следуйте предварительным инструкциям в следующем разделе.

Предварительная работа для простого единого входа

Включите простой единый вход в лесах Active Directory с помощью PowerShell. Если у вас несколько лесов Active Directory, включите его для каждого леса по отдельности. Простой единый вход активируется только для пользователей, которые выбраны для поэтапного развертывания. Это не влияет на существующую настройку федерации.

Включите простой единый вход , выполнив следующие задачи:

  1. Войдите на сервер Microsoft Entra Connect.

  2. Перейдите в папку %programfiles%\Microsoft Entra Connect .

  3. Импортируйте простой модуль PowerShell единого входа , выполнив следующую команду:

    Import-Module .\AzureADSSO.psd1

  4. Запустите PowerShell от имени администратора. В PowerShell вызовите New-AzureADSSOAuthenticationContext. Эта команда открывает область, в которой можно ввести учетные данные администратора гибридного удостоверения клиента.

  5. Вызов Get-AzureADSSOStatus | ConvertFrom-Json. Эта команда отображает список лесов Active Directory (см. список "Домены"), для которого включена эта функция. По умолчанию для него задано значение false на уровне клиента.

    Пример выходных данных PowerShell

  6. Вызов $creds = Get-Credential. В командной строке введите учетные данные администратора домена для предполагаемого леса Active Directory.

  7. Вызов Enable-AzureADSSOForest -OnPremCredentials $creds. Эта команда создает учетную запись компьютера AZUREADSOACC из локального контроллера домена для леса Active Directory, необходимого для простого единого входа.

  8. Простой единый вход требует, чтобы URL-адреса были в зоне интрасети. Сведения о развертывании этих URL-адресов с помощью групповых политик см . в кратком руководстве. Microsoft Entra — простой единый вход.

  9. Для полного пошагового руководства вы также можете скачать наши планы развертывания для простого единого входа.

Включение поэтапного развертывания

Чтобы развернуть определенную функцию (сквозную проверку подлинности, синхронизацию хэша паролей или простой единый вход) для выбранного набора пользователей в группе, следуйте инструкциям в следующих разделах.

Включение поэтапного развертывания определенной функции в клиенте

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Эти параметры можно развернуть:

  • Простой единый вход синхронизации + хэша паролей
  • Простой единый вход сквозной проверки подлинности +
  • Не поддерживается - сквозная сквозная проверка подлинности синхронизации хэша + + паролей
  • Параметры проверки подлинности на основе сертификатов
  • Многофакторная проверка подлинности Azure

Чтобы настроить поэтапное развертывание, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

  2. Перейдите к синхронизации Microsoft Entra Connect Для>гибридного управления удостоверениями>>.

  3. На странице Microsoft Entra Connect в разделе поэтапного развертывания облачной проверки подлинности выберите ссылку "Включить поэтапное развертывание" для управляемого пользователя.

  4. На странице функции включения поэтапного развертывания выберите параметры, которые вы хотите включить: синхронизация хэша паролей, сквозная проверка подлинности, простой единый вход или проверка подлинности на основе сертификатов. Например, если вы хотите включить синхронизацию хэша паролей и простой единый вход, переместите оба элемента управления в On.

  5. Добавьте группы в выбранные функции. Например, сквозная проверка подлинности и простой единый вход. Чтобы избежать времени ожидания, убедитесь, что группы безопасности изначально содержат не более 200 членов.

    Заметка

    Участники группы автоматически включены для поэтапного развертывания. Вложенные и динамические группы членства не поддерживаются для поэтапного развертывания. При добавлении новой группы пользователи в группе (до 200 пользователей для новой группы) будут обновлены, чтобы использовать управляемую проверку подлинности немедленно. Изменение группы (добавление или удаление пользователей) может занять до 24 часов, чтобы изменения вступили в силу. Простой единый вход применяется только в том случае, если пользователи находятся в группе простого единого входа, а также в группе PTA или PHS.

Аудита

Мы включили события аудита для различных действий, выполняемых для поэтапного развертывания:

  • Событие аудита при включении поэтапного развертывания для синхронизации хэша паролей, сквозной проверки подлинности или простого единого входа.

    Заметка

    Событие аудита регистрируется при включении простого единого входа с помощью поэтапного развертывания.

    Панель

    Панель

  • Событие аудита при добавлении группы в синхронизацию хэша паролей, сквозную проверку подлинности или простой единый вход.

    Заметка

    Событие аудита регистрируется при добавлении группы в синхронизацию хэша паролей для поэтапного развертывания.

    Панель

    Панель

  • Событие аудита, когда пользователь, добавленный в группу, включен для поэтапного развертывания.

    Панель

    Панель

Ратификация

Чтобы проверить вход с помощью синхронизации хэша паролей или сквозной проверки подлинности (вход с именем пользователя и паролем), выполните следующие задачи:

  1. В экстрасети перейдите на страницу "Приложения" в сеансе частного браузера, а затем введите userPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного развертывания.

    Пользователи, предназначенные для поэтапного развертывания, не перенаправляются на страницу федеративного входа. Вместо этого им предлагается войти на страницу входа с фирменной символией клиента Microsoft Entra.

  2. Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra, отфильтровав значение UserPrincipalName.

Чтобы проверить вход с помощью простого единого входа:

  1. В интрасети перейдите на страницу "Приложения" с помощью сеанса браузера, а затем введите userPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного развертывания.

    Пользователи, предназначенные для поэтапного развертывания простого единого входа , представлены с помощью инструкции "Попытка входа в ..." сообщение, прежде чем они автоматически вошли в систему.

  2. Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra, отфильтровав значение UserPrincipalName.

    Чтобы отслеживать входы пользователей, которые по-прежнему происходят на службы федерации Active Directory (AD FS) (AD FS) для выбранных пользователей поэтапного развертывания, следуйте инструкциям по устранению неполадок AD FS: события и ведение журнала. Ознакомьтесь с документацией поставщика о том, как проверить эту документацию у сторонних поставщиков федерации.

    Заметка

    Хотя пользователи находятся в поэтапном выпуске с PHS, изменение паролей может занять до 2 минут, чтобы ввести силу из-за времени синхронизации. Не забудьте задать ожидания для пользователей, чтобы избежать вызовов службы поддержки после изменения пароля.

Контроль

Вы можете отслеживать пользователей и группы, добавленные или удаленные из поэтапного развертывания, а также вход пользователей во время поэтапного развертывания с помощью новых книг гибридной проверки подлинности в Центре администрирования Microsoft Entra.

Книги гибридной проверки подлинности

Удаление пользователя из поэтапного развертывания

Удаление пользователя из группы отключает поэтапное развертывание для этого пользователя. Чтобы отключить функцию поэтапного развертывания, переместите элемент управления обратно в off.

Часто задаваемые вопросы

Вопрос. Можно ли использовать эту возможность в рабочей среде?

Ответ. Да, эту функцию можно использовать в рабочем клиенте, но мы рекомендуем сначала попробовать ее в тестовом клиенте.

Вопрос. Можно ли использовать эту функцию для поддержания постоянного "сосуществования", где некоторые пользователи используют федеративную проверку подлинности и другие используют облачную проверку подлинности?

Ответ. Нет, эта функция предназначена для тестирования облачной проверки подлинности. После успешного тестирования несколько групп пользователей следует сократить до облачной проверки подлинности. Мы не рекомендуем использовать постоянное смешанное состояние, так как этот подход может привести к непредвиденным потокам проверки подлинности.

Вопрос. Можно ли использовать PowerShell для выполнения поэтапного развертывания?

Ответ. Да. Сведения о том, как использовать PowerShell для выполнения поэтапного развертывания, см. в предварительной версии идентификатора Microsoft Entra ID.

Дальнейшие действия