Share via

Upgrade na nejnovější server Azure Multi-Factor Authentication

  • Článek

Tento článek vás provede procesem upgradu Azure Multi-Factor Authentication Serveru verze 6.0 nebo vyšší. Pokud potřebujete upgradovat starou verzi agenta Telefon Factor, přečtěte si informace o upgradu agenta Telefon Factor na Azure Multi-Factor Authentication Server.

Pokud upgradujete z verze 6.x nebo starší na verzi 7.x nebo novější, všechny komponenty se změní z .NET 2.0 na .NET 4.5. Všechny komponenty také vyžadují Microsoft Visual C++ 2015 Redistributable Update 1 nebo vyšší. Instalační program MFA Serveru nainstaluje obě verze těchto komponent x86 i x64, pokud ještě nejsou nainstalované. Pokud portál User Portal a webová služba mobilní aplikace běží na samostatných serverech, musíte tyto balíčky před upgradem těchto komponent nainstalovat. Nejnovější aktualizaci Microsoft Visual C++ 2015 Redistributable můžete vyhledat na webu Microsoft Download Center.

Důležité

V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat žádosti o vícefaktorové ověřování, což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistilo nepřerušované ověřování a aby zůstaly v podporovaném stavu, organizace by měly migrovat ověřovací data uživatelů do cloudové služby Azure MFA pomocí nejnovějšího nástroje pro migraci, který je součástí nejnovější aktualizace Azure MFA Serveru. Další informace najdete v tématu Migrace serverů Azure MFA.

Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.

Kroky upgradu na první pohled:

  • Upgrade serverů Azure MFA (podřízených serverů a následných primárních)
  • Upgrade instancí portálu User Portal
  • Upgrade instancí adaptéru služby AD FS

Upgrade Azure MFA Serveru

  1. Podle pokynů ve stažení Azure Multi-Factor Authentication Serveru získejte nejnovější verzi instalačního programu Azure MFA Serveru.

  2. Vytvořte zálohu datového souboru MFA Serveru umístěného v umístění C:\Program Files\Multi-Factor Authentication Server\Data\Telefon Factor.pfdata (za předpokladu výchozího umístění instalace) na primárním MFA Serveru.

  3. Pokud spouštíte více serverů s vysokou dostupností, změňte klientské systémy, které se ověřují na MFA Serveru, aby přestaly odesílat provoz na servery, které upgradují. Pokud používáte nástroj pro vyrovnávání zatížení, odeberte podřízený MFA Server z nástroje pro vyrovnávání zatížení, proveďte upgrade a pak server přidejte zpět do farmy.

  4. Na každém serveru MFA spusťte nový instalační program. Nejprve upgradujte podřízené servery, protože můžou číst starý datový soubor replikovaný primárním serverem.

    Poznámka:

    Při upgradu serveru by se mělo odebrat z jakéhokoli vyrovnávání zatížení nebo sdílení provozu s jinými servery MFA.

    Před spuštěním instalačního programu nemusíte odinstalovat aktuální MFA Server. Instalační program provede místní upgrade. Instalační cesta se vyzvedne z registru z předchozí instalace, takže se nainstaluje do stejného umístění (například C:\Program Files\Multi-Factor Authentication Server).

  5. Pokud se zobrazí výzva k instalaci balíčku aktualizace Microsoft Visual C++ 2015 Redistributable, přijměte tuto výzvu. Nainstalují se verze balíčku x86 i x64.

  6. Pokud používáte sadu SDK webové služby, zobrazí se výzva k instalaci nové sady SDK webové služby. Při instalaci nové sady SDK webové služby se ujistěte, že název virtuálního adresáře odpovídá dříve nainstalovanému virtuálnímu adresáři (například MultiFactorAuthWebServiceSdk).

  7. Opakujte kroky na všech podřízených serverech. Zvyšte úroveň jednoho z podřízených na nový primární server a potom upgradujte starý primární server.

Upgrade portálu User Portal

Před přechodem na tuto část dokončete upgrade serverů MFA.

  1. Vytvořte zálohu souboru web.config, který je ve virtuálním adresáři umístění instalace portálu User Portal (například C:\inetpub\wwwroot\MultiFactorAuth). Pokud byly u výchozího motivu provedeny nějaké změny, zálohujte také složku App_Themes\Default. Je lepší vytvořit kopii výchozí složky a vytvořit nový motiv než změnit výchozí motiv.

  2. Pokud portál User Portal běží na stejném serveru jako ostatní součásti MFA Serveru, instalace MFA Serveru vás vyzve k aktualizaci portálu User Portal. Přijměte výzvu a nainstalujte aktualizaci portálu User Portal. Zkontrolujte, že název virtuálního adresáře odpovídá dříve nainstalovanému virtuálnímu adresáři (například MultiFactorAuth).

  3. Pokud je user Portal na vlastním serveru, zkopírujte soubor MultiFactorAuthenticationUserPortalSetup64.msi z umístění instalace jednoho ze serverů MFA a vložte ho na webový server Portál User Portal. Spusťte instalační program.

    Pokud dojde k chybě s oznámením,"Microsoft Visual C++ 2015 Redistributable Update 1 nebo vyšší je vyžadována", stáhněte a nainstalujte nejnovější aktualizační balíček z webu Microsoft Download Center. Nainstalujte verze x86 i x64.

  4. Po instalaci aktualizovaného softwaru portálu User Portal porovnejte zálohu web.config, kterou jste provedli v kroku 1, s novým souborem web.config. Pokud v nové souboru web.config neexistují žádné nové atributy, zkopírujte záložní web.config do virtuálního adresáře a přepište nový. Další možností je zkopírovat nebo vložit aplikaci Nastavení hodnoty a adresu URL sady SDK webové služby ze záložního souboru do nové web.config.

Pokud máte portál User Portal na více serverech, opakujte instalaci na všech z nich.

Upgrade webové služby mobilní aplikace

Poznámka:

Při upgradu z verze Azure MFA Serveru starší než 8.0 na 8.0 nebo novější je možné webovou službu mobilní aplikace odinstalovat po upgradu.

Upgrade adaptérů služby AD FS

Před přechodem na tuto část dokončete upgrade serverů MFA a portálu User Portal.

Pokud vícefaktorové ověřování běží na různých serverech než AD FS

Tyto pokyny platí jenom v případě, že spouštíte Multi-Factor Authentication Server odděleně od serverů SLUŽBY AD FS. Pokud obě služby běží na stejných serverech, přeskočte tuto část a přejděte k krokům instalace.

  1. Uložte kopii souboru MultiFactorAuthenticationAdfsAdapter.config zaregistrovaného ve službě AD FS nebo pomocí následujícího příkazu PowerShellu exportujte konfiguraci: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file] Název adaptéru je buď WindowsAzureMultiFactorAuthentication, nebo AzureMfaServerAuthentication v závislosti na dříve nainstalované verzi.

  2. Zkopírujte následující soubory z umístění instalace MFA Serveru na servery SLUŽBY AD FS:

    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config

  3. Upravte skript Register-MultiFactorAuthenticationAdfsAdapter.ps1 přidáním -ConfigurationFilePath [path] na konec Register-AdfsAuthenticationProvider příkazu. Nahraďte [path] úplnou cestou k souboru MultiFactorAuthenticationAdfsAdapter.config nebo konfiguračnímu souboru exportu v předchozím kroku.

    Zkontrolujte atributy v novém souboru MultiFactorAuthenticationAdfsAdapter.config a zjistěte, jestli odpovídají původnímu konfiguračnímu souboru. Pokud byly v nové verzi přidány nebo odebrány nějaké atributy, zkopírujte hodnoty atributů ze starého konfiguračního souboru do nového nebo upravte starý konfigurační soubor tak, aby odpovídal.

Instalace nových adaptérů služby AD FS

Důležité

Vaši uživatelé nebudou muset provést dvoustupňové ověření během kroků 3–8 této části. Pokud máte službu AD FS nakonfigurovanou ve více clusterech, můžete odebrat, upgradovat a obnovit každý cluster ve farmě nezávisle na ostatních clusterech, abyste se vyhnuli výpadkům.

  1. Odeberte některé servery SLUŽBY AD FS z farmy. Aktualizujte tyto servery, zatímco ostatní jsou stále spuštěné.

  2. Nainstalujte nový adaptér služby AD FS na každý server odebraný z farmy služby AD FS. Pokud je na každém serveru AD FS nainstalovaný MFA Server, můžete ho aktualizovat pomocí uživatelského rozhraní správce MFA Serveru. V opačném případě aktualizujte spuštěním multiFactorAuthenticationAdfsAdapterSetup64.msi.

    Pokud dojde k chybě s oznámením,"Microsoft Visual C++ 2015 Redistributable Update 1 nebo vyšší je vyžadována", stáhněte a nainstalujte nejnovější aktualizační balíček z webu Microsoft Download Center. Nainstalujte verze x86 i x64.

  3. Přejděte do zásad>ověřování služby AD FS>a upravte globální zásady vícefaktorového ověřování. Zrušte zaškrtnutí políčka WindowsAzureMultiFactorAuthentication nebo AzureMFAServerAuthentication (v závislosti na aktuální nainstalované verzi).

    Po dokončení tohoto kroku není v tomto clusteru AD FS k dispozici dvoustupňové ověření prostřednictvím MFA Serveru, dokud nedokončíte krok 8.

  4. Zrušením registrace starší verze adaptéru SLUŽBY AD FS spusťte skript PowerShellu Unregister-MultiFactorAuthenticationAdfsAdapter.ps1. Ujistěte se, že parametr -Name (WindowsAzureMultiFactorAuthentication nebo AzureMFAServerAuthentication) odpovídá názvu zobrazenému v kroku 3. To platí pro všechny servery ve stejném clusteru SLUŽBY AD FS, protože existuje centrální konfigurace.

  5. Zaregistrujte nový adaptér služby AD FS spuštěním skriptu PowerShellu Register-MultiFactorAuthenticationAdfsAdapter.ps1. To platí pro všechny servery ve stejném clusteru SLUŽBY AD FS, protože existuje centrální konfigurace.

  6. Restartujte službu AD FS na každém serveru odebrané z farmy služby AD FS.

  7. Přidejte aktualizované servery zpět do farmy služby AD FS a odeberte ostatní servery z farmy.

  8. Přejděte do zásad>ověřování služby AD FS>a upravte globální zásady vícefaktorového ověřování. Zkontrolujte azureMfaServerAuthentication.

  9. Opakováním kroku 2 aktualizujte servery odebrané z farmy služby AD FS a restartujte službu AD FS na těchto serverech.

  10. Přidejte tyto servery zpět do farmy služby AD FS.

Další kroky