Переход с федерации на облачную проверку подлинности

В этой статье вы узнаете, как развернуть облачную проверку подлинности пользователей с помощью синхронизации хэша паролей (PHS) Microsoft Entra Password (PHS) или сквозной проверки подлинности (PTA). Мы рассматриваем сценарий перехода со служб федерации Active Directory (AD FS) на облачные методы проверки подлинности, однако эти рекомендации в основном применимы и к другим локальным системам.

Прежде чем продолжать, рекомендуем ознакомиться с нашим руководством по выбору правильного метода проверки подлинности и, сравнив методы, определить оптимальные для вашей организации.

Для проверки подлинности в облаке мы рекомендуем использовать PHS.

Поэтапное развертывание

Поэтапное развертывание — отличный способ выборочного тестирования групп пользователей с возможностями облачной проверки подлинности, такими как многофакторная проверка подлинности Microsoft Entra, условный доступ, Защита идентификации Microsoft Entra для утечки учетных данных, управления удостоверениями и других пользователей, прежде чем сократить количество доменов.

Ознакомиться с поддерживаемыми и неподдерживаемыми сценариями можно в плане реализации с поэтапным развертыванием. Поэтапное развертывание рекомендуется использовать для тестирования перед переключением доменов.

Схема процесса миграции

Процедура перехода на облачную проверку подлинности

Необходимые компоненты

Прежде чем начинать миграцию, убедитесь, что соблюдены все необходимые условия.

Обязательные роли

Для поэтапного развертывания необходимо быть администратором гибридных удостоверений в клиенте.

Шаг сервера Microsoft Entra Connect

Установите Microsoft Entra Connect (Microsoft Entra Connect) или обновите до последней версии. При переходе на сервер Microsoft Entra Connect сокращается время миграции из AD FS в методы облачной проверки подлинности с потенциально часов до минут.

Документирование текущих параметров федерации

Чтобы отобразить текущие значения параметров федерации, запустите Get-MgDomainFederationConfiguration.

Get-MgDomainFederationConfiguration - DomainID yourdomain.com

Проверьте все параметры, которые могли быть настроены в соответствии с документацией по проектированию и развертыванию федерации, В частности, найдите настройки в PreferredAuthenticationProtocol, федеративныйIdpMfaBehavior, SupportsMfa (если федеративныйIdpMfaBehavior не задан) и PromptLoginBehavior.

Резервное копирование параметров федерации

Хотя это развертывание не вносит никаких изменений для других проверяющих сторон на ферме AD FS, вы можете создать резервную копию своих параметров:

  • С помощью инструмента быстрого восстановления AD FS Rapid Restore вы можете восстановить существующую ферму или создать новую.

  • Экспортируйте отношение доверия с проверяющей стороной платформы удостоверений Microsoft 365 и все связанные настраиваемые правила утверждений с помощью следующего примера PowerShell:

    
    (Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
    
    

Планирование проекта

Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их возможностей, результатов и обязанностей. Чтобы избежать этих ловушек, убедитесь, что вы привлекаете соответствующих заинтересованных лиц и их роли в проекте очевидны.

Планирование информирования

После миграции на облачную проверку подлинности пользователь может получить доступ к Microsoft 365 и другим ресурсам, прошедшим проверку подлинности с помощью изменений идентификатора Microsoft Entra. Пользователи, которые находятся за пределами сети, видят только страницу входа Microsoft Entra.

Упреждающее взаимодействие с пользователями о том, как изменяется их опыт, когда он изменяется, и как получить поддержку при возникновении проблем.

Планирование периода обслуживания

Современные клиенты проверки подлинности (Office 2016 и Office 2013, приложения IOS и Android) применяют действительный маркер обновления для получения новых маркеров доступа, что обеспечит непрерывный доступ к ресурсам без перехода к службам AD FS. Этим клиентам не будут отправляться запросы на ввод пароля после преобразования доменов. Клиенты продолжают функционировать без дополнительной конфигурации.

Примечание.

При переходе с федеративной проверки подлинности на облачную преобразование домена из федеративного в управляемый может занять до 60 минут. В ходе этого процесса пользователи могут не запрашивать учетные данные для новых имен входа в Центр администрирования Microsoft Entra или другие приложения на основе браузера, защищенные идентификатором Microsoft Entra. Рекомендуется учитывать эту задержку в периоде обслуживания.

Планирование отката

Совет

Вы можете запланировать переключение доменов на нерабочее время на случай, если потребуется выполнить откат.

Чтобы спланировать откат, ознакомьтесь с документацией по настройкам текущей схемы федерации, а также документацией по развертыванию и проектированию федерации.

Процесс отката должен включать преобразование управляемых доменов в федеративные домены с помощью командлета New-MgDomainFederationConfiguration . При необходимости настройте дополнительные правила утверждений.

Вопросы миграции

Вот несколько основных моментов и соображений, касающихся миграции.

Планирование настроек

Файл onload.js нельзя дублировать в идентификаторе Microsoft Entra. Если экземпляр AD FS сильно настраивается и зависит от определенных параметров настройки в файле onload.js, убедитесь, что идентификатор Microsoft Entra может соответствовать вашим текущим требованиям к настройке и плану соответствующим образом. Сообщите о предстоящих изменениях пользователям.

Процедура входа

Вы не можете настроить интерфейс входа в Microsoft Entra. Независимо от того, как пользователи вошли ранее, вам потребуется полное доменное имя, например имя участника-пользователя (UPN) или электронная почта для входа в идентификатор Microsoft Entra.

Фирменная символика организации

Вы можете настроить страницу входа Microsoft Entra. После перехода следует ожидать определенных визуальных отличий от интерфейса AD FS на страницах входа.

Примечание.

Фирменная символика организации недоступна в бесплатных лицензиях На идентификатор Microsoft Entra, если у вас нет лицензии Microsoft 365.

Планирование политик условного доступа

Оцените, используется ли в настоящее время условный доступ для проверки подлинности или используется ли политика управления доступом в AD FS.

Рекомендуется заменить политики управления доступом AD FS эквивалентными политиками условного доступа Microsoft Entra и правилами клиентского доступа Exchange Online. Для условного доступа можно использовать идентификатор Microsoft Entra или локальные группы.

Отключите устаревшую проверку подлинности: из-за увеличения рисков, связанных с устаревшими протоколами проверки подлинности, следует создать политику условного доступа для блокирования устаревшего метода проверки подлинности.

Планирование поддержки MFA

Для федеративных доменов MFA может применяться условным доступом Microsoft Entra или локальным поставщиком федерации. Вы можете включить защиту для предотвращения обхода многофакторной проверки подлинности Microsoft Entra, настроив параметр безопасности федеративныйIdpMfaBehavior. Включите защиту федеративного домена в клиенте Microsoft Entra. Убедитесь, что многофакторная проверка подлинности Microsoft Entra всегда выполняется, когда федеративный пользователь обращается к приложению, управляемому политикой условного доступа, требующей многофакторной проверки подлинности. Это включает в себя выполнение многофакторной проверки подлинности Microsoft Entra, даже если федеративный поставщик удостоверений выпустил федеративные утверждения токена, которые были выполнены локальной MFA. Принудительное применение многофакторной проверки подлинности Microsoft Entra каждый раз гарантирует, что недопустимый субъект не может обойти многофакторную проверку подлинности Microsoft Entra, имитируя этот поставщик удостоверений уже выполненную MFA и настоятельно рекомендуется, если не выполнять MFA для федеративных пользователей с помощью стороннего поставщика MFA.

В следующей таблице описано поведение каждого параметра. Дополнительные сведения приведены в разделе federatedIdpMfaBehavior.

значение Описание
acceptIfMfaDoneByFederatedIdp Идентификатор Microsoft Entra принимает MFA, который выполняет федеративный поставщик удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, идентификатор Microsoft Entra выполняет MFA.
enforceMfaByFederatedIdp Идентификатор Microsoft Entra принимает MFA, который выполняет федеративный поставщик удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, он перенаправляет запрос о выполнении MFA федеративному поставщику удостоверений.
rejectMfaByFederatedIdp Идентификатор Microsoft Entra всегда выполняет MFA и отклоняет MFA, который выполняет федеративный поставщик удостоверений.

Параметр federatedIdpMfaBehavior является измененной версией свойства SupportsMfa командлета PowerShell Set-MsolDomainFederationSettings MSOnline v1.

Для доменов, которые уже установили свойство SupportsMfa, эти правила определяют, как federatedIdpMfaBehavior и SupportsMfa будут работать вместе:

  • Переключение между federatedIdpMfaBehavior и SupportsMfa не поддерживается.
  • После установки свойства federatedIdpMfaBehavior идентификатор Microsoft Entra игнорирует параметр SupportMfa .
  • Если свойство федеративногоIdpMfaBehavior никогда не задано, идентификатор Microsoft Entra продолжает учитывать параметр SupportMfa.
  • Если не задано ни федеративное удостоверениеIdpMfaBehavior, ни SupportMfa, идентификатор Microsoft Entra по умолчанию используется для acceptIfMfaDoneByFederatedIdp поведения.

Чтобы проверить состояние защиты, выполните команду Get-MgDomainFederationConfiguration:

Get-MgDomainFederationConfiguration -DomainId yourdomain.com

Планирование реализации

В этом разделе описана предварительная работа перед переключением метода входа и преобразованием доменов.

Создание необходимых групп для поэтапного развертывания

Если вы не используете поэтапное развертывание, пропустите этот шаг.

Создайте группы для поэтапного развертывания, а также для политик условного доступа, если вы решите добавить их.

Рекомендуется использовать группу, размещенную в идентификаторе Microsoft Entra ID, также называемой облачной группой. Группы безопасности Microsoft Entra можно использовать или Группы Microsoft 365 для перемещения пользователей в MFA и для политик условного доступа. Дополнительные сведения см. в статье о создании группы безопасности Microsoft Entra и этом обзоре Группы Microsoft 365 для администраторов.

Члены в группе автоматически включаются для промежуточного развертывания. Вложенные и динамические группы членства не поддерживаются для поэтапного развертывания.

Предварительная работа для единого входа

Используемая вами версия единого входа зависит от ОС устройства и состояния присоединения.

Предварительная работа для PHS и PTA

В зависимости от выбора метода входа выполните предварительную работу для PHS или PTA.

Внедрение решения

Последним шагом будет смена метода входа на PHS или PTA в соответствии с планом и преобразование доменов из федеративных в домены для облачной проверки подлинности.

С использованием поэтапного развертывания

Если вы используете поэтапное развертывание, выполните действия, указанные по ссылкам ниже.

  1. Включение поэтапного развертывания для определенной функции в арендаторе.

  2. После завершения тестирования преобразуйте домены из федеративного, чтобы управлять.

Без поэтапного развертывания

Вы можете включить это изменение двумя способами:

  • Вариант A. Переключение с помощью Microsoft Entra Connect.

    Доступно при первоначальной настройке среды AD FS/ ping-федеративной среды с помощью Microsoft Entra Connect.

  • Вариант B. Переключение с помощью Microsoft Entra Connect и PowerShell

    Доступно, если вы изначально не настроили федеративные домены с помощью Microsoft Entra Connect или используете сторонние службы федерации.

Чтобы выбрать один из этих вариантов, вы должны знать, как настроены текущие параметры.

Проверка текущих параметров Microsoft Entra Connect

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
  2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.Снимок экрана: домашняя страница облачной синхронизации.
  1. Проверьте параметры user SIGN_IN, как показано на этой схеме:

Проверка текущих параметров Microsoft Entra Connect

Проверка настройки федерации

  1. На сервере Microsoft Entra Connect откройте Microsoft Entra Connect и выберите "Настроить".

  2. В разделе Дополнительные задачи > Управление федерацией выберите Просмотр конфигурации федерации.

    Просмотр конфигурации управления федерацией

    Если конфигурация AD FS отображается в этом разделе, вы можете безопасно предположить, что AD FS изначально настроена с помощью Microsoft Entra Connect. Пример см. на изображении ниже.

    Просмотр конфигурации AD FS

    Если службы федерации Active Directory не указаны в текущих параметрах, необходимо вручную перевести домены с федеративных удостоверений на управляемые с помощью PowerShell.

Вариант А

Переход с федерации на новый метод входа с помощью Microsoft Entra Connect

  1. На сервере Microsoft Entra Connect откройте Microsoft Entra Connect и выберите "Настроить".

  2. На странице Дополнительные задачи выберите Смена имени пользователя для входа и нажмите кнопку Далее.

    Просмотр дополнительных задач

  3. На странице "Подключение к идентификатору Microsoft Entra" введите учетные данные учетной записи глобального администратора.

  4. На странице единого входа пользователей:

    • Если выбрана кнопка "Сквозная проверка подлинности ", а для устройств Windows 7 и 8.1 требуется единый вход, установите флажок "Включить единый вход" и нажмите кнопку "Далее".

    • Если вы выбрали параметр Синхронизация хэша паролей, установите флажок Не преобразовывать учетные записи пользователей. Этот параметр является устаревшим. Если для устройств Windows 7 и 8.1 требуется единый вход, установите флажок "Включить единый вход" и нажмите кнопку "Далее".

      Установка флажка

    Дополнительные сведения. Включение простого единого входа с помощью PowerShell.

  5. На странице Включить единый вход введите учетные данные администратора домена и щелкните Далее.

    Страница включения единого входа

    Учетные данные администратора домена нужны для включения эффективного единого входа. Эта процедура включает описанные ниже действия, которые требуют повышенных привилегий.

    • Учетная запись компьютера с именем AZUREADSSO (представляющая идентификатор Microsoft Entra) создается в вашем локальная служба Active Directory экземпляре.
    • Ключ расшифровки Kerberos учетной записи компьютера безопасно предоставлен идентификатору Microsoft Entra.
    • Два имена субъектов-служб Kerberos создаются для представления двух URL-адресов, используемых во время входа в Microsoft Entra.

    Учетные данные администратора домена не хранятся в Microsoft Entra Connect или Идентификаторе Microsoft Entra и удаляются после успешного завершения процесса. Они используются для включения этой функции.

    Дополнительные сведения: простое техническое погружение единого входа.

  6. Убедитесь, что на странице Готово к настройке установлен флажок Start the synchronization process when configuration completes (Начать синхронизацию после завершения настройки). Затем выберите Настроить.

    Страница

    Внимание

    На этом этапе все федеративные домены изменяются на управляемую проверку подлинности. Выбранный способ входа в систему является новым методом проверки подлинности.

  7. В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra, а затем выберите Microsoft Entra Connect.

  8. Проверьте настройку следующих параметров:

    • Для параметра Федерация должно быть установлено значение Отключено.
    • Для параметра Эффективный единый вход должно быть установлено значение Включено.
    • Для параметра Синхронизация хэша паролей установите значение Включено.

    Проверка текущих параметров пользователя

  9. В случае переключения на PTA выполните указанные ниже действия.

Развертывание дополнительных агентов проверки подлинности для PTA

Примечание.

PTA требует развертывания упрощенных агентов на сервере Microsoft Entra Connect и на локальном компьютере под управлением Windows Server. Чтобы уменьшить задержку, установите эти агенты как можно ближе к контроллерам домена Active Directory.

Для большинства клиентов достаточно двух или трех агентов проверки подлинности, чтобы поддерживать высокий уровень доступности и производительности. В клиенте можно зарегистрировать не более 12 агентов. Первый агент всегда устанавливается на самом сервере Microsoft Entra Connect. Дополнительные сведения об ограничениях агента и параметрах развертывания агента см. в статье "Сквозная проверка подлинности Microsoft Entra": текущие ограничения.

  1. Выберите Сквозная проверка подлинности.

  2. На странице Сквозная проверка подлинности нажмите кнопку Скачать.

  3. На странице "Скачать агент" выберите "Принять условия" и download.f

    Начнется скачивание дополнительных агентов проверки подлинности. Установите дополнительный агент проверки подлинности на сервере, присоединенном к домену.

  4. Запустите установку агентов проверки подлинности. Во время установки вам потребуется предоставить учетные данные глобального администратора.

  5. После установки агента проверки подлинности можно вернуться на страницу работоспособности агента сквозной проверки подлинности, чтобы проверить состояние дополнительных агентов.

Вариант Б

Переход с федерации на новый метод входа с помощью Microsoft Entra Connect и PowerShell

Доступно, если вы изначально не настроили федеративные домены с помощью Microsoft Entra Connect или используете сторонние службы федерации.

На сервере Microsoft Entra Connect выполните действия 1–5 в варианте A. Обратите внимание, что на странице входа пользователя параметр "Не настроить " предварительно выбран.

Параметр

  1. В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra, а затем выберите Microsoft Entra Connect.

  2. Проверьте настройку следующих параметров:

  • Для параметра Федерация должно быть установлено значение Включено.

  • установлено ли для параметра Эффективный единый вход значение Отключено;

  • Для параметра Синхронизация хэша паролей установите значение Включено.

    Проверка текущих параметров пользователя в Центре администрирования Microsoft Entra

Если вы используете PTA, выполните указанные действия, чтобы установить дополнительные серверы агента PTA.

  1. В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra, а затем выберите Microsoft Entra Connect.

  2. Выберите Сквозная проверка подлинности. Убедитесь, что для параметра "Состояние" задано значение Активно.

    Настройки сквозной проверки подлинности

    Если агент проверки подлинности неактивен, выполните действия по устранению неполадок, прежде чем переходить к преобразованию доменов на следующем шаге. Риск возникновения сбоя проверки подлинности при преобразовании доменов перед успешной установкой агентов PTA и их состояние активно в Центре администрирования Microsoft Entra.

  3. Разверните дополнительные агенты проверки подлинности.

Преобразование федеративных доменов в управляемые

На этом этапе федеративная проверка подлинности остается активной и действующей для ваших доменов. Чтобы продолжить развертывание, необходимо преобразовать удостоверение каждого домена из федеративного в управляемое.

Внимание

Не обязательно преобразовывать все домены одновременно. Вы можете начать с тестового домена на рабочем клиенте или с домена с наименьшим числом пользователей.

Завершите преобразование с помощью пакета SDK Для Microsoft Graph PowerShell:

  1. В PowerShell войдите в идентификатор Microsoft Entra с помощью учетной записи глобального администратора.

     Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    
  2. Для преобразования первого домена выполните приведенную ниже команду.

     Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"
    
  3. В Центре администрирования Microsoft Entra выберите Microsoft Entra ID > Microsoft Entra Connect.

  4. Убедитесь, что домен был преобразован в управляемый, выполнив приведенную ниже команду. Тип проверки подлинности должен быть задан для управления.

    Get-MgDomain -DomainId yourdomain.com
    

Чтобы убедиться, что Microsoft Entra Connect распознает сквозную проверку подлинности как включенную после преобразования домена в управляемую проверку подлинности, обновите параметры метода входа в Microsoft Entra Connect, чтобы отразить изменения. Дополнительные сведения см. в документации по сквозной проверке подлинности Microsoft Entra.

Завершение миграции

Выполните указанные ниже задачи, чтобы проверить способ регистрации и завершить процесс преобразования.

Проверка нового метода входа

Когда клиент использовал федеративное удостоверение, пользователи были перенаправлены с страницы входа Microsoft Entra в среду AD FS. Теперь, когда арендатор использует новый метод входа вместо федеративной проверки подлинности, пользователи не перенаправляются в AD FS.

Вместо этого пользователи войдите непосредственно на страницу входа Microsoft Entra.

При необходимости выполните действия, описанные в разделе Проверка входа с помощью PHS/PTA и простого единого входа

Удаление пользователя из промежуточного развертывания

Если вы использовали поэтапное развертывание, следует помнить, чтобы отключить поэтапное развертывание после завершения вырезания.

Чтобы отключить функцию поэтапного развертывания, передвиньте ползунок управления обратно в положение "Выкл".

Синхронизация обновлений атрибута userPrincipalName

Обновления атрибута userPrincipalName, использующего службу синхронизации из локальной среды, блокируются, за исключением тех случаев, когда выполняются два следующих условия:

  • Пользователь находится в управляемом (нефедерированном) домене удостоверения.
  • пользователю не назначена лицензия.

Инструкции о том, как проверить и (или) включить эту функцию, см. в статье Функции службы синхронизации Azure AD Connect.

Управление реализацией

Смена ключа расшифровки Kerberos для простого единого входа

Мы рекомендуем менять ключ расшифровки Kerberos не реже чем раз в 30 дней в соответствии с периодом изменения паролей для членов домена Active Directory. К объекту учетной записи компьютера AZUREADSSO не подключено связанное устройство, поэтому смену необходимо выполнять вручную.

См. раздел Как можно сменить ключ расшифровки Kerberos учетной записи компьютера AZUREADSSO.

Мониторинг и ведение журналов

Отслеживайте работу серверов, на которых выполняются агенты проверки подлинности, чтобы поддерживать доступность решения. Помимо общих счетчиков производительности сервера, агенты проверки подлинности предоставляют объекты производительности, которые помогают изучать статистику и ошибки проверки подлинности.

Агенты проверки подлинности записывают события в журналы событий Windows в разделе журналов приложений и служб. Кроме того, вы можете включить ведение журнала для устранения неполадок.

Чтобы проверить выполнение различных действий при поэтапном развертывании, можно провести аудит событий для PHS, PTA или простого единого входа.

Устранение неполадок

Ваша группа поддержки должна знать, как устранить любые неполадки аутентификации, возникающие во время или после перехода с федеративных доменов на управляемые. Предоставьте приведенную документацию по устранению неполадок своей группе поддержки, чтобы она ознакомилась с общими инструкциями по устранению неполадок и соответствующими действиями, которые могут помочь выявить и устранить проблему.

Вывод из эксплуатации инфраструктуры AD FS

Перенос проверки подлинности приложения из AD FS в идентификатор Microsoft Entra

Миграция требует оценки настройки приложения в локальной среде, а затем сопоставления конфигурации с идентификатором Microsoft Entra.

Если вы планируете использовать AD FS с локальными приложениями SaaS с помощью протокола SAML/ WS-FED или Oauth, вы будете использовать ad FS и Идентификатор Microsoft Entra после преобразования доменов для проверки подлинности пользователей. В этом случае вы можете защитить локальные приложения и ресурсы с помощью безопасного гибридного доступа (SHA) через прокси приложения Microsoft Entra или одну из интеграции партнеров Microsoft Entra ID. С помощью Application Proxy или решения от одного из наших партнеров можно реализовать безопасный удаленный доступ к локальным веб-приложениям. Пользователи получают возможность легко подключаться к своим приложениям с любого устройства после единого входа.

Вы можете переместить приложения SaaS, которые в настоящее время федеративны с ADFS, в идентификатор Microsoft Entra. Перенастройка для проверки подлинности с помощью идентификатора Microsoft Entra id либо через встроенный соединитель из коллекции приложение Azure, либо путем регистрации приложения в идентификаторе Microsoft Entra ID.

Дополнительные сведения см. в статье "Перемещение проверки подлинности приложения из службы федерации Active Directory (AD FS) в идентификатор Microsoft Entra.

Удаление отношения доверия проверяющей стороны

Если у вас есть Microsoft Entra Connect Health, вы можете отслеживать использование из Центра администрирования Microsoft Entra. Если использование не отображает новый запрос проверки подлинности, и вы проверяете, успешно ли выполняется проверка подлинности всех пользователей и клиентов с помощью идентификатора Microsoft Entra ID, это безопасно для удаления доверия проверяющей стороны Microsoft 365.

Если компонент AD FS не используется для других целей (других отношений доверия проверяющей стороны), его теперь спокойно можно перестать использовать.

Удаление AD FS

Полный список действий по полному удалению AD FS из среды следует руководству по выводу службы федерации Active Directory (AD FS) (AD FS).

Следующие шаги