Migrera till molnautentisering med stegvis distribution
Med stegvis distribution kan du selektivt testa grupper av användare med molnautentiseringsfunktioner som Microsoft Entra multifaktorautentisering, villkorsstyrd åtkomst, Microsoft Entra ID Protection för läckta autentiseringsuppgifter, identitetsstyrning och andra innan du skär över dina domäner. I den här artikeln beskrivs hur du gör växeln.
Innan du påbörjar den stegvisa distributionen bör du överväga konsekvenserna om ett eller flera av följande villkor är uppfyllda:
- Du använder för närvarande en lokal multifaktorautentiseringsserver.
- Du använder smartkort för autentisering.
- Den aktuella servern erbjuder vissa federationsfunktioner.
- Du går från en federationslösning från tredje part till hanterade tjänster.
Innan du provar den här funktionen rekommenderar vi att du läser vår guide om hur du väljer rätt autentiseringsmetod. Mer information finns i tabellen "Jämföra metoder" i Välj rätt autentiseringsmetod för din Hybrididentitetslösning i Microsoft Entra.
En översikt över funktionen finns i videon "Vad är stegvis distribution?":
Förutsättningar
Du har en Microsoft Entra-klientorganisation med federerade domäner.
Du har bestämt dig för att flytta något av följande alternativ:
- Synkronisering av lösenordshash (synkronisering). Mer information finns i Vad är synkronisering av lösenordshash
- Direktautentisering. Mer information finns i Vad är direktautentisering
- Inställningar för Microsoft Entra-certifikatbaserad autentisering (CBA). Mer information finns i Översikt över Microsoft Entra-certifikatbaserad autentisering
För båda alternativen rekommenderar vi att du aktiverar enkel inloggning (SSO) för att uppnå en tyst inloggningsupplevelse. För domänanslutna Windows 7- eller 8.1-enheter rekommenderar vi att du använder sömlös enkel inloggning. Mer information finns i Vad är sömlös enkel inloggning. För Windows 10, Windows Server 2016 och senare versioner rekommenderar vi att du använder enkel inloggning via primär uppdateringstoken (PRT) med Microsoft Entra-anslutna enheter, Microsoft Entra-hybridanslutna enheter eller personliga registrerade enheter via Lägg till arbets- eller skolkonto.
Du har konfigurerat alla lämpliga principer för klientanpassning och villkorsstyrd åtkomst som du behöver för användare som migreras till molnautentisering.
Om du har flyttat från federerad till molnautentisering måste du kontrollera att DirSync-inställningen
SynchronizeUpnForManagedUsers
är aktiverad, annars tillåter inte Microsoft Entra-ID synkroniseringsuppdateringar till UPN eller alternativt inloggnings-ID för licensierade användarkonton som använder hanterad autentisering. Mer information finns i Microsoft Entra Connect Sync-tjänstfunktioner.Om du planerar att använda Microsoft Entra multifaktorautentisering rekommenderar vi att du använder kombinerad registrering för självbetjäning av lösenordsåterställning (SSPR) och multifaktorautentisering för att låta användarna registrera sina autentiseringsmetoder en gång. Obs! När du använder SSPR för att återställa lösenord eller ändra lösenord med hjälp av MyProfile-sidan under mellanlagrad distribution måste Microsoft Entra Connect synkronisera den nya lösenordshash som kan ta upp till 2 minuter efter återställningen.
Om du vill använda funktionen Stegvis distribution måste du vara hybrididentitetsadministratör för din klientorganisation.
Om du vill aktivera sömlös enkel inloggning i en specifik Active Directory-skog måste du vara domänadministratör.
Om du distribuerar Hybrid Microsoft Entra-ID eller Microsoft Entra-anslutning måste du uppgradera till Windows 10 1903-uppdateringen.
Scenarier som stöds
Följande scenarier stöds för stegvis distribution. Funktionen fungerar bara för:
Användare som etableras till Microsoft Entra-ID med hjälp av Microsoft Entra Connect. Det gäller inte för molnbaserade användare.
Användarinloggningstrafik i webbläsare och moderna autentiseringsklienter . Program eller molntjänster som använder äldre autentisering återgår till federerade autentiseringsflöden. Ett exempel på äldre autentisering kan vara Exchange Online med modern autentisering inaktiverad, eller Outlook 2010, som inte stöder modern autentisering.
Gruppstorleken är för närvarande begränsad till 50 000 användare. Om du har grupper som är större än 50 000 användare rekommenderar vi att du delar den här gruppen över flera grupper för stegvis distribution.
Windows 10 Hybrid Join eller Microsoft Entra join primary refresh token acquisition without line-of-sight to the federation server for Windows 10 version 1903 and newer, when user's UPN is routable and domain suffix is verified in Microsoft Entra ID.
Autopilot-registrering stöds i stegvis distribution med Windows 10 version 1909 eller senare.
Scenarier som inte stöds
Följande scenarier stöds inte för stegvis distribution:
Äldre autentisering som POP3 och SMTP stöds inte.
Vissa program skickar frågeparametern "domain_hint" till Microsoft Entra-ID under autentiseringen. Dessa flöden fortsätter och användare som är aktiverade för stegvis distribution fortsätter att använda federation för autentisering.
Administratörer kan distribuera molnautentisering med hjälp av säkerhetsgrupper. För att undvika synkroniseringsfördröjning när du använder lokal Active Directory säkerhetsgrupper rekommenderar vi att du använder molnsäkerhetsgrupper. Följande villkor gäller:
- Du kan använda högst 10 grupper per funktion. Du kan alltså använda 10 grupper vardera för synkronisering av lösenordshash, direktautentisering och sömlös enkel inloggning.
- Kapslade grupper stöds inte.
- Dynamiska grupper stöds inte för stegvis distribution.
- Kontaktobjekt i gruppen blockerar gruppen från att läggas till.
När du först lägger till en säkerhetsgrupp för stegvis distribution är du begränsad till 200 användare för att undvika en UX-timeout. När du har lagt till gruppen kan du lägga till fler användare direkt till den efter behov.
Medan användarna är i stegvis distribution med synkronisering av lösenordshash (PHS) tillämpas som standard inget förfallodatum för lösenord. Lösenordets giltighetstid kan tillämpas genom att aktivera "CloudPasswordPolicyForPasswordSyncedUsersEnabled". När "CloudPasswordPolicyForPasswordSyncedUsersEnabled" har aktiverats anges principen för lösenordsförfallotid till 90 dagar från det att lösenordet angavs i förväg utan något alternativ för att anpassa det. Programmatiskt uppdatering av attributet PasswordPolicies stöds inte när användarna är i stegvis distribution. Mer information om hur du anger "CloudPasswordPolicyForPasswordSyncedUsersEnabled" finns i Lösenordsförfalloprincip.
Windows 10 Hybrid Join eller Microsoft Entra join primary refresh token acquisition for Windows 10 version äldre än 1903. Det här scenariot återgår till WS-Trust-slutpunkten för federationsservern, även om användaren som loggar in omfattas av stegvis distribution.
Windows 10 Hybrid Join eller Microsoft Entra join primary refresh token acquisition for all versions, when user's on-premises UPN isn't routable. Det här scenariot återgår till WS-Trust-slutpunkten i mellanlagrat distributionsläge, men slutar fungera när stegvis migrering är klar och användarens inloggning inte längre förlitar sig på federationsservern.
Om du har en icke-befintlig VDI-installation med Windows 10, version 1903 eller senare, måste du vara kvar på en federerad domän. Att flytta till en hanterad domän stöds inte på icke-existerande VDI. Mer information finns i Enhetsidentitet och skrivbordsvirtualisering.
Om du har ett Windows Hello för företag hybridcertifikatförtroende med certifikat som utfärdas via din federationsserver som fungerar som registreringsutfärdare eller smartkortanvändare stöds inte scenariot i en stegvis distribution.
Not
Du måste fortfarande göra den slutliga snabbväxlingen från federerad till molnautentisering med hjälp av Microsoft Entra Connect eller PowerShell. Stegvis distribution växlar inte domäner från federerade till hanterade. Mer information om domänsnedskärning finns i Migrera från federation till synkronisering av lösenordshash och Migrera från federation till direktautentisering.
Kom igång med stegvis distribution
Om du vill testa inloggningen för synkronisering av lösenordshash med stegvis distribution följer du anvisningarna för förarbete i nästa avsnitt.
Information om vilka PowerShell-cmdletar som ska användas finns i Förhandsversionen av Microsoft Entra ID 2.0.
Förarbete för synkronisering av lösenordshash
Aktivera synkronisering av lösenordshash från sidan Valfria funktioner i Microsoft Entra Connect.
Kontrollera att en fullständig synkroniseringscykel för lösenordshash har körts så att alla användares lösenordshashvärden har synkroniserats med Microsoft Entra-ID. Om du vill kontrollera statusen för synkronisering av lösenordshash kan du använda PowerShell-diagnostiken i Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync.
Om du vill testa inloggning med direktautentisering med stegvis distribution aktiverar du det genom att följa förinstruktionerna i nästa avsnitt.
Förarbete för direktautentisering
Identifiera en server som kör Windows Server 2012 R2 eller senare där du vill att direktautentiseringsagenten ska köras.
Välj inte Microsoft Entra Connect-servern. Kontrollera att servern är domänansluten, kan autentisera valda användare med Active Directory och kan kommunicera med Microsoft Entra-ID på utgående portar och URL:er. Mer information finns i avsnittet "Steg 1: Kontrollera förutsättningarna" i Snabbstart: Sömlös enkel inloggning med Microsoft Entra.
Ladda ned Microsoft Entra Connect-autentiseringsagenten och installera den på servern.
Om du vill aktivera hög tillgänglighet installerar du extra autentiseringsagenter på andra servrar.
Kontrollera att du har konfigurerat inställningarna för smart utelåsning på rätt sätt. Om du gör det ser du till att användarnas lokal Active Directory konton inte låses ut av dåliga aktörer.
Vi rekommenderar att du aktiverar sömlös enkel inloggning oavsett vilken inloggningsmetod (synkronisering av lösenordshash eller direktautentisering) som du väljer för stegvis distribution. Om du vill aktivera sömlös enkel inloggning följer du anvisningarna för förarbete i nästa avsnitt.
Förarbete för sömlös enkel inloggning
Aktivera sömlös enkel inloggning i Active Directory-skogarna med hjälp av PowerShell. Om du har fler än en Active Directory-skog aktiverar du den för varje skog individuellt. Sömlös enkel inloggning utlöses endast för användare som har valts för stegvis distribution. Det påverkar inte din befintliga federationskonfiguration.
Aktivera sömlös enkel inloggning genom att utföra följande uppgifter:
Logga in på Microsoft Entra Connect Server.
Gå till mappen %programfiles%\Microsoft Entra Connect .
Importera den sömlösa PowerShell-modulen för enkel inloggning genom att köra följande kommando:
Import-Module .\AzureADSSO.psd1
Kör PowerShell som administratör. I PowerShell anropar du
New-AzureADSSOAuthenticationContext
. Det här kommandot öppnar ett fönster där du kan ange autentiseringsuppgifterna för din klientorganisations hybrididentitetsadministratör.Ring
Get-AzureADSSOStatus | ConvertFrom-Json
. Det här kommandot visar en lista över Active Directory-skogar (se listan "Domäner") där den här funktionen har aktiverats. Som standard är den inställd på false på klientnivå.Ring
$creds = Get-Credential
. Ange autentiseringsuppgifterna för domänadministratören för den avsedda Active Directory-skogen i prompten.Ring
Enable-AzureADSSOForest -OnPremCredentials $creds
. Det här kommandot skapar AZUREADSSOACC-datorkontot från den lokala domänkontrollanten för Active Directory-skogen som krävs för sömlös enkel inloggning.Sömlös enkel inloggning kräver att URL:er finns i intranätzonen. Information om hur du distribuerar dessa URL:er med hjälp av grupprinciper finns i Snabbstart: Sömlös enkel inloggning med Microsoft Entra.
För en fullständig genomgång kan du också ladda ned våra distributionsplaner för sömlös enkel inloggning.
Aktivera stegvis distribution
Om du vill distribuera en specifik funktion (direktautentisering, synkronisering av lösenordshash eller sömlös enkel inloggning) till en utvald uppsättning användare i en grupp följer du anvisningarna i nästa avsnitt.
Aktivera en stegvis distribution av en specifik funktion i din klientorganisation
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Du kan distribuera följande alternativ:
- Synkronisering av lösenordshash + sömlös enkel inloggning
- Smidig enkel inloggning med direktautentisering +
- Lösenordshashsynkronisering med lösenordssynkronisering + + – sömlös enkel inloggning stöds inte -
- Inställningar för certifikatbaserad autentisering
- Azure multifaktorautentisering
Följ dessa steg för att konfigurera stegvis distribution:
Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
Bläddra till Microsoft Entra Connect>Connect-synkronisering för identitetshybridhantering.>>
På sidan Microsoft Entra Connect går du till den stegvisa distributionen av molnautentisering och väljer länken Aktivera stegvis distribution för hanterad användares inloggning.
På sidan Aktivera stegvis distribution väljer du de alternativ som du vill aktivera: Synkronisering av lösenordshash, direktautentisering, sömlös enkel inloggning eller certifikatbaserad autentisering. Om du till exempel vill aktivera synkronisering av lösenordshash och sömlös enkel inloggning skjuter du båda kontrollerna till På.
Lägg till grupper i de funktioner som du har valt. Till exempel direktautentisering och sömlös enkel inloggning. För att undvika en timeout kontrollerar du att säkerhetsgrupperna inte innehåller fler än 200 medlemmar från början.
Not
Medlemmarna i en grupp aktiveras automatiskt för stegvis distribution. Kapslade och dynamiska medlemskapsgrupper stöds inte för stegvis distribution. När du lägger till en ny grupp uppdateras användare i gruppen (upp till 200 användare för en ny grupp) för att använda hanterad autentisering omedelbart. Det kan ta upp till 24 timmar innan ändringarna börjar gälla om du redigerar en grupp (lägger till eller tar bort användare). Sömlös enkel inloggning gäller endast om användarna är i gruppen Sömlös enkel inloggning och även i en PTA- eller PHS-grupp.
Granskning
Vi har aktiverat granskningshändelser för de olika åtgärder som vi utför för stegvis distribution:
Granskningshändelse när du aktiverar en stegvis distribution för synkronisering av lösenordshash, direktautentisering eller sömlös enkel inloggning.
Not
En granskningshändelse loggas när sömlös enkel inloggning aktiveras med hjälp av stegvis distribution.
Granskningshändelse när en grupp läggs till i synkronisering av lösenordshash, direktautentisering eller sömlös enkel inloggning.
Not
En granskningshändelse loggas när en grupp läggs till i synkroniseringen av lösenordshash för stegvis distribution.
Granskningshändelse när en användare som lades till i gruppen är aktiverad för stegvis distribution.
Validering
Utför följande uppgifter för att testa inloggningen med synkronisering av lösenordshash eller direktautentisering (användarnamn och lösenordsinloggning):
I extranätet går du till sidan Appar i en privat webbläsarsession och anger sedan UserPrincipalName (UPN) för det användarkonto som har valts för stegvis distribution.
Användare som har varit mål för stegvis distribution omdirigeras inte till din federerade inloggningssida. I stället uppmanas de att logga in på inloggningssidan för Microsoft Entra-klientorganisationen.
Kontrollera att inloggningen visas i inloggningsaktivitetsrapporten för Microsoft Entra genom att filtrera med UserPrincipalName.
Så här testar du inloggning med sömlös enkel inloggning:
I intranätet går du till sidan Appar med hjälp av en webbläsarsession och anger sedan UserPrincipalName (UPN) för det användarkonto som har valts för stegvis distribution.
Användare som har varit mål för stegvis distribution av sömlös enkel inloggning visas med en "Försöker logga in dig ..." innan de är tyst inloggade.
Kontrollera att inloggningen visas i inloggningsaktivitetsrapporten för Microsoft Entra genom att filtrera med UserPrincipalName.
Om du vill spåra användarinloggningar som fortfarande inträffar på Active Directory Federation Services (AD FS) (AD FS) för valda mellanlagrade distributionsanvändare följer du anvisningarna i AD FS-felsökning: Händelser och loggning. Kontrollera leverantörsdokumentationen om hur du kontrollerar detta på tredjeparts federationsleverantörer.
Not
När användarna är i stegvis distribution med PHS kan det ta upp till 2 minuter att ändra lösenord på grund av synkroniseringstiden. Se till att ställa in förväntningar hos användarna för att undvika supportsamtal efter att de har ändrat sitt lösenord.
Övervakning
Du kan övervaka användare och grupper som har lagts till eller tagits bort från stegvis distribution och användare loggar in under stegvis distribution med hjälp av de nya Hybrid Auth-arbetsböckerna i administrationscentret för Microsoft Entra.
Ta bort en användare från mellanlagrad distribution
Om du tar bort en användare från gruppen inaktiveras stegvis distribution för den användaren. Om du vill inaktivera funktionen Mellanlagrad distribution skjuter du tillbaka kontrollen till Av.
Vanliga frågor och svar
F: Kan jag använda den här funktionen i produktion?
S: Ja, du kan använda den här funktionen i produktionsklientorganisationen, men vi rekommenderar att du först provar den i testklientorganisationen.
F: Kan den här funktionen användas för att upprätthålla en permanent "samexistens", där vissa användare använder federerad autentisering och andra använder molnautentisering?
S: Nej, den här funktionen är utformad för att testa molnautentisering. Efter lyckad testning bör några grupper av användare som du behöver gå över till molnautentisering. Vi rekommenderar inte att du använder ett permanent blandat tillstånd eftersom den här metoden kan leda till oväntade autentiseringsflöden.
F: Kan jag använda PowerShell för att utföra stegvis distribution?
S: Ja. Information om hur du använder PowerShell för att utföra stegvis distribution finns i Förhandsversion av Microsoft Entra ID.