Migrace MFA Serveru
Toto téma popisuje, jak migrovat nastavení MFA pro uživatele Microsoft Entra z místního Azure MFA Serveru na vícefaktorové ověřování Microsoft Entra.
Přehled řešení
Nástroj MFA Server Migration Utility pomáhá synchronizovat data vícefaktorového ověřování uložená na místním serveru Azure MFA přímo s vícefaktorovým ověřováním Microsoft Entra. Po migraci ověřovacích dat do Microsoft Entra ID můžou uživatelé bez problémů provádět cloudové vícefaktorové ověřování bez nutnosti registrace nebo potvrzení metod ověřování. Správa můžou pomocí nástroje MFA Server Migration Utility cílit na jednotlivé uživatele nebo skupiny uživatelů k testování a řízenému zavedení bez nutnosti provádět změny v celém tenantovi.
Video: Jak používat nástroj MFA Server Migration Utility
Podívejte se na naše video, kde najdete přehled nástroje MFA Server Migration Utility a jeho fungování.
Omezení a požadavky
Nástroj MFA Server Migration Utility vyžaduje, aby se na primární server MFA nainstaloval nový build řešení MFA Serveru. Sestavení aktualizuje datový soubor MFA Serveru a obsahuje nový nástroj MFA Server Migration Utility. WebSDK ani User Portal nemusíte aktualizovat. Při instalaci aktualizace se migrace nespustí automaticky.
Poznámka:
Nástroj MFA Server Migration Utility se dá spustit na sekundárním MFA Serveru. Další informace najdete v tématu Spuštění sekundárního MFA Serveru (volitelného).
Nástroj MFA Server Migration Utility zkopíruje data z databázového souboru do uživatelských objektů v Microsoft Entra ID. Během migrace můžou být uživatelé cílem vícefaktorového ověřování Microsoft Entra pro účely testování pomocí postupného uvedení. Fázovaná migrace umožňuje testovat bez jakýchkoli změn nastavení federace domény. Po dokončení migrace je nutné migraci dokončit provedením změn nastavení federace domény.
Služba AD FS s Windows Serverem 2016 nebo novějším se vyžaduje k zajištění vícefaktorového ověřování u všech předávajících stran služby AD FS, a to včetně Microsoft Entra ID a Office 365.
Zkontrolujte zásady řízení přístupu služby AD FS a ujistěte se, že v rámci procesu ověřování není nutné provádět vícefaktorové ověřování místně.
Postupné zavedení může cílit na maximálně 500 000 uživatelů (10 skupin obsahujících maximálně 50 000 uživatelů).
Průvodce migrací
Migrace MFA Serveru obecně zahrnuje kroky v následujícím procesu:
Několik důležitých bodů:
Fáze 1 by se měla opakovat při přidávání testovacích uživatelů.
- Nástroj pro migraci používá skupiny Microsoft Entra k určení uživatelů, pro které se mají ověřovací data synchronizovat mezi MFA Serverem a vícefaktorovým ověřováním Microsoft Entra. Po synchronizaci uživatelských dat je tento uživatel připravený k použití vícefaktorového ověřování Microsoft Entra.
- Postupné uvedení umožňuje přesměrovat uživatele na vícefaktorové ověřování Microsoft Entra, a to také pomocí skupin Microsoft Entra. I když pro oba nástroje určitě můžete použít stejné skupiny, doporučujeme, aby uživatelé mohli být před synchronizací dat přesměrováni na vícefaktorové ověřování Microsoft Entra. Doporučujeme nastavit skupiny Microsoft Entra pro synchronizaci ověřovacích dat nástrojem MFA Server Migration Utility a další sadu skupin pro fázované uvedení tak, aby směrovaly cílové uživatele na vícefaktorové ověřování Microsoft Entra místo místního ověřování.
Fáze 2 by se měla opakovat při migraci uživatelské základny. Na konci fáze 2 by celá uživatelská základna měla používat vícefaktorové ověřování Microsoft Entra pro všechny úlohy federované s ID Microsoft Entra.
V předchozích fázích můžete odebrat uživatele ze složek fázovaného uvedení, abyste je vyřadili z rozsahu vícefaktorového ověřování Microsoft Entra a směrovali je zpět na místní server Azure MFA pro všechny požadavky MFA pocházející z Microsoft Entra ID.
Fáze 3 vyžaduje přesun všech klientů, kteří se ověřují na místním MFA Serveru (SÍTĚ VPN, správci hesel atd.) do federace Microsoft Entra prostřednictvím SAML/OAUTH. Pokud se moderní ověřovací standardy nepodporují, musíte vystát servery NPS s nainstalovaným rozšířením vícefaktorového ověřování Microsoft Entra. Po migraci závislostí by uživatelé už neměli používat Portál User Portal na MFA Serveru, ale měli by spravovat své metody ověřování v Microsoft Entra ID (aka.ms/mfasetup). Jakmile uživatelé začnou spravovat svá ověřovací data v Microsoft Entra ID, tyto metody se nebudou synchronizovat zpět na MFA Server. Pokud se vrátíte zpět na místní MFA Server poté, co uživatelé provedli změny metod ověřování v Microsoft Entra ID, tyto změny budou ztraceny. Po dokončení migrace uživatelů změňte nastavení federace federované doményIdpMfaBehavior . Tato změna informuje Microsoft Entra ID, aby přestalo provádět vícefaktorové ověřování v místním prostředí a provádět všechny žádosti MFA s vícefaktorovým ověřováním Microsoft Entra bez ohledu na členství ve skupinách.
Další podrobnosti o krocích migrace najdete v následujících částech.
Identifikace závislostí serveru Azure Multi-Factor Authentication
Tvrdě jsme pracovali na tom, abychom zajistili, že přechod na cloudové řešení vícefaktorového ověřování Microsoft Entra zachová a dokonce zlepší váš stav zabezpečení. Existují tři obecné kategorie, které by se měly použít k seskupení závislostí:
Abychom vám pomohli s migrací, shodovali jsme široce používané funkce MFA Serveru s funkčním ekvivalentem v vícefaktorovém ověřování Microsoft Entra pro každou kategorii.
Metody vícefaktorového ověřování
Otevřete MFA Server a klikněte na Nastavení společnosti:
| Server MFA | Vícefaktorové ověřování Microsoft Entra |
|---|---|
| Karta Obecné | |
| Oddíl Výchozí nastavení uživatele | |
| Telefon volání (Standard) | Nevyžaduje se žádná akce. |
| Textová zpráva (OTP)* | Nevyžaduje se žádná akce. |
| Mobilní aplikace (Standard) | Nevyžaduje se žádná akce. |
| Telefon hovor (PIN)* | Povolení hlasového jednorázového hesla |
| Textová zpráva (OTP + PIN)** | Nevyžaduje se žádná akce. |
| Mobilní aplikace (PIN)* | Povolení porovnávání čísel |
| Telefon volání, textová zpráva, mobilní aplikace nebo jazyk tokenu OATH | Nastavení jazyka se automaticky použije pro uživatele na základě nastavení národního prostředí v prohlížeči. |
| Oddíl Výchozí pravidla PIN kódu | Nelze použít; zobrazení aktualizovaných metod na předchozím snímku obrazovky |
| Karta Rozlišení uživatelského jména | Nelze použít; Pro vícefaktorové ověřování Microsoft Entra se nevyžaduje překlad uživatelského jména. |
| Text Message tab | Nelze použít; Vícefaktorové ověřování Microsoftu používá výchozí zprávu pro textové zprávy. |
| Karta Token OATH | Nelze použít; Vícefaktorové ověřování Microsoft Entra používá výchozí zprávu pro tokeny OATH. |
| Zprávy | Sestavy aktivit metod ověřování Microsoft Entra |
*Pokud se kód PIN používá k zajištění funkce kontroly přítomnosti, je k dispozici výše uvedený funkční ekvivalent. PIN kódy, které nejsou kryptograficky svázané se zařízením, nechrání dostatečně před scénáři, kdy došlo k ohrožení zabezpečení zařízení. Pokud chcete chránit před těmito scénáři, včetně útoků na prohození SIM adres, přesuňte uživatele na bezpečnější metody podle osvědčených postupů pro ověřování Microsoftu.
**Výchozí prostředí MFA textu v vícefaktorovém ověřování Microsoft Entra odesílá uživatelům kód, který musí v rámci ověřování zadat do přihlašovacího okna. Požadavek na zaokrouhlování kódu poskytuje funkci kontroly přítomnosti.
Portál User Portal
Otevřete MFA Server a klikněte na User Portal:
| Server MFA | Vícefaktorové ověřování Microsoft Entra |
|---|---|
| Karta Nastavení | |
| User portal URL | aka.ms/mfasetup |
| Povolit zápis uživatele | Viz Kombinovaná registrace bezpečnostních údajů |
| - Výzva k zadání záložního telefonu | Viz nastavení služby MFA |
| – Výzva k zadání tokenu OATH třetí strany | Viz nastavení služby MFA |
| Povolit uživatelům inicializovat jednorázové obejití | Viz funkce TAP pro Microsoft Entra ID |
| Povolit uživatelům výběr metody | Viz nastavení služby MFA |
| - Telefon hovor | Viz dokumentace k volání Telefon |
| - Textová zpráva | Viz nastavení služby MFA |
| – Mobilní aplikace | Viz nastavení služby MFA |
| – token OATH | Viz dokumentace k tokenu OATH |
| Povolit uživatelům výběr jazyka | Nastavení jazyka se automaticky použije pro uživatele na základě nastavení národního prostředí v prohlížeči. |
| Povolit uživatelům aktivaci mobilní aplikace | Viz nastavení služby MFA |
| – Limit počtu zařízení | Microsoft Entra ID omezuje uživatele na pět kumulativních zařízení (instance mobilních aplikací + hardwarový token OATH + softwarový token OATH) na uživatele. |
| V nouzové situaci použít bezpečnostní otázky | Microsoft Entra ID umožňuje uživatelům zvolit záložní metodu v době ověřování, pokud zvolená metoda ověřování selže. |
| - Otázky k zodpovězení | Bezpečnostní otázky v Microsoft Entra ID lze použít pouze pro SSPR. Další podrobnosti o vlastních bezpečnostních otázkách společnosti Microsoft Entra |
| Povolit uživatelům přidružení tokenu OATH jiného výrobce | Viz dokumentace k tokenu OATH |
| V nouzové situaci použít token OATH | Viz dokumentace k tokenu OATH |
| Časový limit relace | |
| Karta Bezpečnostní otázky | Bezpečnostní otázky na MFA Serveru se použily k získání přístupu k portálu User Portal. Vícefaktorové ověřování Microsoft Entra podporuje pouze bezpečnostní otázky týkající se samoobslužného resetování hesla. Přečtěte si dokumentaci k bezpečnostním otázkám. |
| Karta Předané relace | Všechny toky registrace metod ověřování se spravují pomocí ID Microsoft Entra a nevyžadují konfiguraci. |
| Důvěryhodné IP adresy | Důvěryhodné IP adresy s ID Microsoft Entra |
Všechny metody MFA dostupné na MFA Serveru musí být povoleny v vícefaktorové ověřování Microsoft Entra pomocí nastavení služby MFA. Uživatelé nemůžou vyzkoušet nově migrované metody MFA, pokud nejsou povolené.
Ověřovací služby
Azure MFA Server může poskytovat funkce vícefaktorového ověřování pro řešení třetích stran, která používají protokol RADIUS nebo LDAP, a to tak, že funguje jako proxy ověřování. Chcete-li zjistit závislosti protokolu RADIUS nebo LDAP, klikněte na možnosti ověřování protokolu RADIUS a ověřování LDAP na serveru MFA. U každé z těchto závislostí určete, jestli tyto třetí strany podporují moderní ověřování. Pokud ano, zvažte federaci přímo s ID Microsoft Entra.
Pro nasazení protokolu RADIUS, která nelze upgradovat, budete muset nasadit server NPS a nainstalovat rozšíření NPS s vícefaktorovým ověřováním Microsoft Entra.
U nasazení protokolu LDAP, která nelze upgradovat nebo přesunout do protokolu RADIUS, určete, jestli je možné použít službu Microsoft Entra Domain Services. Ve většině případů se protokol LDAP nasadil tak, aby podporoval změny hesla v řádku pro koncové uživatele. Po migraci můžou koncoví uživatelé spravovat svá hesla pomocí samoobslužného resetování hesla v Microsoft Entra ID.
Pokud jste ve službě AD FS 2.0 povolili zprostředkovatele ověřování MFA Serveru u všech vztahů důvěryhodnosti předávající strany s výjimkou vztahu důvěryhodnosti předávající strany Office 365, budete muset upgradovat na AD FS 3.0 nebo federovat předávající strany přímo na ID Microsoft Entra, pokud podporují moderní metody ověřování. Určete nejlepší plán akce pro každou závislost.
Zálohování datového souboru Azure Multi-Factor Authentication Serveru
Vytvořte zálohu datového souboru MFA Serveru umístěného v umístění %programfiles%\Multi-Factor Authentication Server\Data\Telefon Factor.pfdata (výchozí umístění) na primárním serveru MFA. Pokud potřebujete vrátit zpět, ujistěte se, že máte kopii instalačního programu pro aktuálně nainstalovanou verzi. Pokud už kopii nemáte, obraťte se na služby zákaznické podpory.
V závislosti na aktivitě uživatele se datový soubor může rychle stát zastaralým. Všechny změny provedené v MFA Serveru nebo jakékoli změny koncového uživatele provedené prostřednictvím portálu po zachytávání zálohy se nezachytí. Pokud se vrátíte zpět, žádné změny provedené po tomto bodu se neobnoví.
Instalace aktualizace MFA Serveru
Spusťte nový instalační program na primárním serveru MFA. Před upgradem serveru ho odeberte z vyrovnávání zatížení nebo sdílení provozu s jinými servery MFA. Před spuštěním instalačního programu nemusíte odinstalovat aktuální MFA Server. Instalační program provede místní upgrade pomocí aktuální instalační cesty (například C:\Program Files\Multi-Factor Authentication Server). Pokud se zobrazí výzva k instalaci balíčku aktualizace Microsoft Visual C++ 2015 Redistributable, přijměte tuto výzvu. Nainstalují se verze balíčku x86 i x64. Není nutné instalovat aktualizace uživatelského portálu, webové sady SDK nebo adaptéru SLUŽBY AD FS.
Poznámka:
Po spuštění instalačního programu na primárním serveru můžou sekundární servery začít protokolovat neošetřené položky SB . Důvodem jsou změny schématu provedené na primárním serveru, které sekundární servery nerozpozná. Tyto chyby se očekávají. V prostředích s 10 000 uživateli nebo více se může výrazně zvýšit množství položek protokolu. Pokud chcete tento problém zmírnit, můžete zvětšit velikost souboru protokolů MFA Serveru nebo upgradovat sekundární servery.
Konfigurace nástroje MFA Server Migration Utility
Po instalaci aktualizace MFA Serveru otevřete příkazový řádek PowerShellu se zvýšenými oprávněními: najeďte myší na ikonu PowerShellu, klikněte pravým tlačítkem myši a klikněte na Spustit jako Správa istrator. Spusťte skript .\Configure-MultiFactorAuthMigrationUtility.ps1 nalezený v instalačním adresáři MFA Serveru (C:\Program Files\Multi-Factor Authentication Server ve výchozím nastavení).
Tento skript bude vyžadovat zadání přihlašovacích údajů pro aplikaci Správa istrator ve vašem tenantovi Microsoft Entra. Skript pak vytvoří novou aplikaci MFA Server Migration Utility v rámci Microsoft Entra ID, která se použije k zápisu metod ověřování uživatelů do každého objektu uživatele Microsoft Entra.
Pro zákazníky cloudu pro státní správu, kteří chtějí provádět migrace, nahraďte položky ".com" ve skriptu textem ".us". Tento skript pak napíše položky registru HKLM:\SOFTWARE\WOW6432Node\Positive Networks\Telefon Factor\ StsUrl a GraphUrl a dá nástroji Migration Utility pokyn, aby používal příslušné koncové body GRAPH.
Budete také potřebovat přístup k následujícím adresám URL:
https://graph.microsoft.com/*(nebohttps://graph.microsoft.us/*pro zákazníky cloudu státní správy)https://login.microsoftonline.com/*(nebohttps://login.microsoftonline.us/*pro zákazníky cloudu státní správy)
Skript vás vyzve k udělení souhlasu správce s nově vytvořenou aplikací. Přejděte na zadanou adresu URL nebo v Centru pro správu Microsoft Entra, klikněte na Registrace aplikací, vyhledejte a vyberte aplikaci MFA Server Migration Utility , klikněte na oprávnění rozhraní API a pak udělte příslušná oprávnění.
Po dokončení přejděte do složky Multi-Factor Authentication Server a otevřete aplikaci MultiFactorAuthMigrationUtilityUI . Měla by se zobrazit následující obrazovka:
Nástroj Migration Utility jste úspěšně nainstalovali.
Poznámka:
Pokud chcete zajistit žádné změny chování během migrace, pokud je váš MFA Server přidružený k poskytovateli MFA bez odkazu na tenanta, budete muset aktualizovat výchozí nastavení vícefaktorového ověřování (například vlastní pozdravy) pro tenanta, který migrujete, aby odpovídal nastavení ve vašem poskytovateli MFA. Doporučujeme to udělat před migrací všech uživatelů.
Spuštění sekundárního MFA Serveru (volitelné)
Pokud má implementace MFA Serveru velký počet uživatelů nebo zaneprázdněný primární MFA Server, můžete zvážit nasazení vyhrazeného sekundárního MFA Serveru pro spuštění nástroje MFA Server Migration Utility a služby Synchronizace migrace. Po upgradu primárního MFA Serveru upgradujte existující sekundární server nebo nasaďte nový sekundární server. Sekundární server, který zvolíte, by neměl zpracovávat jiné přenosy vícefaktorového ověřování.
Skript Configure-MultiFactorAuthMigrationUtility.ps1 by se měl spustit na sekundárním serveru a zaregistrovat certifikát s registrací aplikace MFA Server Migration Utility. Certifikát se používá k ověření v Microsoft Graphu. Spuštění nástrojů pro migraci a synchronizačních služeb na sekundárním MFA Serveru by mělo zlepšit výkon ručních i automatizovaných migrací uživatelů.
Migrace uživatelských dat
Migrace uživatelských dat neodebere ani nezmění žádná data v databázi Multi-Factor Authentication Serveru. Podobně se tento proces nezmění, kde uživatel provádí vícefaktorové ověřování. Tento proces představuje jednosměrnou kopii dat z místního serveru do odpovídajícího objektu uživatele v Microsoft Entra ID.
Nástroj MFA Server Migration cílí na jednu skupinu Microsoft Entra pro všechny aktivity migrace. Uživatele můžete přidat přímo do této skupiny nebo přidat další skupiny. Během migrace je také můžete přidat ve fázích.
Pokud chcete zahájit proces migrace, zadejte název nebo identifikátor GUID skupiny Microsoft Entra, kterou chcete migrovat. Po dokončení stiskněte klávesu Tab nebo klikněte mimo okno a začněte hledat příslušnou skupinu. Vyplní se všichni uživatelé ve skupině. Dokončení velké skupiny může trvat několik minut.
Pokud chcete zobrazit data atributů pro uživatele, zvýrazněte ho a vyberte Zobrazit:
V tomto okně se zobrazí atributy pro vybraného uživatele v Microsoft Entra ID i na místním serveru MFA. Toto okno můžete použít k zobrazení toho, jak se data po migraci zapisovala uživateli.
Možnost Nastavení umožňuje změnit nastavení procesu migrace:
Migrace – existují tři možnosti migrace výchozí metody ověřování uživatele:
- Vždy migrovat
- Migrace pouze v případě, že ještě není nastavená v MICROSOFT Entra ID
- Nastavte na nejbezpečnější dostupnou metodu, pokud ještě není nastavená v ID Microsoft Entra.
Tyto možnosti poskytují flexibilitu při migraci výchozí metody. Kromě toho se během migrace kontroluje zásada metod ověřování. Pokud zásady nepovolují migrovanou výchozí metodu, nastaví se místo toho na nejbezpečnější dostupnou metodu.
Shoda uživatele – Umožňuje zadat jiný atribut místní Active Directory pro porovnávání hlavního názvu uživatele (UPN) Microsoft Entra namísto výchozí shody s userPrincipalName:
- Nástroj pro migraci se pokusí před použitím atributu místní Active Directory přímo přiřadit hlavní název uživatele (UPN).
- Pokud se nenajde žádná shoda, zavolá rozhraní API systému Windows k vyhledání hlavního názvu uživatele Microsoft Entra a získání identifikátoru SID, který používá k vyhledání seznamu uživatelů MFA Serveru.
- Pokud rozhraní API systému Windows nenajde uživatele nebo identifikátor SID není na serveru MFA nalezen, použije nakonfigurovaný atribut Active Directory k vyhledání uživatele v místní Active Directory a následné použití identifikátoru SID k vyhledání seznamu uživatelů MFA Serveru.
Automatická synchronizace – spustí službu na pozadí, která bude průběžně monitorovat změny všech metod ověřování uživatelů na místním MFA Serveru a zapisovat je do Microsoft Entra ID v zadaném časovém intervalu definovaném.
Synchronizační server – Umožňuje službě Synchronizace migrace serveru MFA běžet na sekundárním MFA Serveru, nikoli pouze na primárním serveru. Pokud chcete nakonfigurovat službu Synchronizace migrace tak, aby běžela na sekundárním serveru,
Configure-MultiFactorAuthMigrationUtility.ps1musí být skript spuštěn na serveru, aby se zaregistroval certifikát s registrací aplikace MFA Server Migration Utility. Certifikát se používá k ověření v Microsoft Graphu.
Proces migrace může být automatický nebo ruční.
Postup ručního procesu:
Pokud chcete zahájit proces migrace pro uživatele nebo výběr více uživatelů, stiskněte a podržte klávesu Ctrl a vyberte každého uživatele, kterého chcete migrovat.
Po výběru požadovaných uživatelů klikněte na tlačítko Migrovat vybrané>uživatele>OK.
Chcete-li migrovat všechny uživatele ve skupině, klikněte na tlačítko Migrovat>uživatele všichni uživatelé ve skupině>Microsoft Entra.
Uživatele můžete migrovat i v případě, že se nezmění. Ve výchozím nastavení je nástroj nastavený pouze na migraci uživatelů, kteří se změnili. Chcete-li migrovat dříve migrované uživatele beze změny, klikněte na možnost Migrovat všechny uživatele . Migrace beze změn uživatelů může být užitečná při testování, pokud správce potřebuje resetovat nastavení Azure MFA uživatele a chce je znovu migrovat.
U automatického procesu klikněte na možnost Automatická synchronizace v Nastavení a pak vyberte, jestli chcete, aby se synchronizovali všichni uživatelé, nebo jenom členové dané skupiny Microsoft Entra.
Následující tabulka uvádí logiku synchronizace pro různé metody.
| metoda | Logika |
|---|---|
| Telefon | Pokud neexistuje žádné rozšíření, aktualizujte telefon MFA. Pokud nějaké rozšíření existuje, aktualizujte telefon Office. Výjimka: Pokud je výchozí metoda textová zpráva, zahoďte rozšíření a aktualizujte telefon MFA. |
| Telefon zálohování | Pokud neexistuje žádné rozšíření, aktualizujte alternativní telefon. Pokud nějaké rozšíření existuje, aktualizujte telefon Office. Výjimka: Pokud Telefon i Telefon zálohování mají rozšíření, přeskočte Telefon zálohování. |
| Mobilní aplikace | Maximálně pět zařízení bude migrováno nebo pouze čtyři, pokud má uživatel také hardwarový token OATH. Pokud existuje více zařízení se stejným názvem, migrujte jenom nejnovější zařízení. Zařízení se budou řadit od nejnovějšího po nejstarší. Pokud už zařízení existují v Microsoft Entra ID, shodujte se s tajným klíčem tokenu OATH a aktualizujte ho. – Pokud se tajný klíč tokenu OATH neshoduje, shodte se s tokenem zařízení. -- Pokud se najde, vytvořte softwarový token OATH pro zařízení MFA Serveru, aby metoda tokenu OATH fungovala. Oznámení budou i nadále fungovat pomocí stávajícího vícefaktorového ověřovacího zařízení Microsoft Entra. - Pokud ho nenajdete, vytvořte nové zařízení. Pokud přidání nového zařízení překročí limit pěti zařízení, zařízení se přeskočí. |
| OATH Token | Pokud už zařízení existují v Microsoft Entra ID, shodujte se s tajným klíčem tokenu OATH a aktualizujte ho. – Pokud se nenajde, přidejte nové hardwarové zařízení tokenu OATH. Pokud přidání nového zařízení překročí limit pěti zařízení, token OATH se přeskočí. |
Metody vícefaktorového ověřování budou aktualizovány na základě toho, co bylo migrováno, a nastaví se výchozí metoda. MFA Server bude sledovat časové razítko poslední migrace a migrovat uživatele znovu, pouze pokud se změní nastavení vícefaktorového ověřování uživatele nebo správce změní, co se má migrovat v dialogovém okně Nastavení.
Během testování doporučujeme nejprve provést ruční migraci a otestovat, abyste zajistili, že se daný počet uživatelů chová podle očekávání. Po úspěšném testování zapněte automatickou synchronizaci pro skupinu Microsoft Entra, kterou chcete migrovat. Při přidávání uživatelů do této skupiny se jejich informace automaticky synchronizují s ID Microsoft Entra. Nástroj MFA Server Migration Utility cílí na jednu skupinu Microsoft Entra, ale tato skupina může zahrnovat uživatele i vnořené skupiny uživatelů.
Po dokončení vás potvrzení informuje o dokončených úkolech:
Jak je uvedeno v potvrzovací zprávě, může trvat několik minut, než se migrovaná data zobrazí na uživatelských objektech v rámci Microsoft Entra ID. Uživatelé si můžou zobrazit migrované metody tak, že přejdou na aka.ms/mfasetup.
Tip
Pokud nepotřebujete zobrazit metody Microsoft Entra MFA, můžete zkrátit dobu potřebnou k zobrazení skupin. Kliknutím na Zobrazit>metody Azure AD MFA přepnete zobrazení sloupců pro výchozí nastavení AAD, Telefon AAD, alternativní AAD, AAD Office, zařízení AAD a token OATH AAD. Když jsou sloupce skryté, některá volání rozhraní Microsoft Graph API se přeskočí, což výrazně zlepšuje dobu načítání uživatelů.
Zobrazení podrobností o migraci
Protokoly auditu nebo Log Analytics můžete použít k zobrazení podrobností o MFA Serveru do migrace uživatelů Azure MFA.
Použití protokolů auditu
Pokud chcete získat přístup k protokolům auditu v Centru pro správu Microsoft Entra, abyste zobrazili podrobnosti o migraci uživatelů MFA Serveru do Azure MFA, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň ověřovací Správa istrator.
Přejděte do protokolů auditu monitorování a stavu>identit>. Chcete-li filtrovat protokoly, klepněte na tlačítko Přidat filtry.
Vyberte Inicializován (actor) a klikněte na Použít.
Zadejte Azure MFA Management a klikněte na Použít.
Tento filtr zobrazuje pouze protokoly nástroje MFA Server Migration Utility. Pokud chcete zobrazit podrobnosti o migraci uživatelů, klikněte na řádek a pak zvolte kartu Změněné vlastnosti . Tato karta zobrazuje změny registrovaných metod vícefaktorového ověřování a telefonních čísel.
Následující tabulka uvádí metodu ověřování pro každý kód.
Kód metoda 0 Hlasová mobilní zařízení 2 Hlasová kancelář 3 Hlasová alternativní mobilní zařízení 5 SMS 6 Nabízené oznámení Microsoft Authenticatoru 7 Jednorázové heslo hardwarového nebo softwarového tokenu Pokud byla migrována nějaká uživatelská zařízení, existuje samostatná položka protokolu.
Použití Log Analytics
Podrobnosti o migraci uživatelů MFA Serveru do Azure MFA je možné dotazovat také pomocí Log Analytics.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
Tento snímek obrazovky ukazuje změny migrace uživatelů:
Tento snímek obrazovky ukazuje změny migrace zařízení:
Log Analytics se dá použít také ke shrnutí aktivity migrace uživatelů.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Ověření a test
Po úspěšné migraci uživatelských dat můžete před provedením globální změny tenanta ověřit prostředí koncového uživatele s využitím postupného uvedení. Následující postup vám umožní cílit na konkrétní skupiny Microsoft Entra pro fázované uvedení pro MFA. Postupné uvedení informuje Microsoft Entra ID, aby provádělo vícefaktorové ověřování Microsoft Entra pro uživatele v cílových skupinách, a ne aby je odeslalo místně k provádění vícefaktorového ověřování. Můžete to ověřit a otestovat – doporučujeme použít Centrum pro správu Microsoft Entra, ale pokud chcete, můžete také použít Microsoft Graph.
Povolení postupného uvedení
Přejděte na následující adresu URL: Povolení funkcí postupného zavedení – Microsoft Azure.
Změňte vícefaktorové ověřování Azure na Zapnuto a potom klikněte na Spravovat skupiny.
Klikněte na Přidat skupiny a přidejte skupiny obsahující uživatele, které chcete povolit pro Azure MFA. Vybrané skupiny se zobrazí v zobrazeném seznamu.
Poznámka:
V tomto seznamu se zobrazí také všechny skupiny, které cílíte pomocí níže uvedené metody Microsoft Graphu.
Povolení postupného uvedení pomocí Microsoft Graphu
Vytvoření featureRolloutPolicy
Přejděte na aka.ms/ge a přihlaste se k Graph Exploreru pomocí účtu hybridní identity Správa istratoru v tenantovi, kterého chcete nastavit pro postupné uvedení.
Ujistěte se, že je vybraná možnost POST, která cílí na následující koncový bod:
https://graph.microsoft.com/v1.0/policies/featureRolloutPoliciesText vaší žádosti by měl obsahovat následující (změňte zásadu zavedení vícefaktorového ověřování na název a popis vaší organizace):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Proveďte get se stejným koncovým bodem a poznamenejte si hodnotu ID (křížovou hodnotu na následujícím obrázku):
Cílení na skupiny Microsoft Entra, které obsahují uživatele, které chcete testovat
Vytvořte požadavek POST s následujícím koncovým bodem (nahraďte {ID zásady} hodnotou ID , kterou jste zkopírovali z kroku 1d):
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$refText požadavku by měl obsahovat následující text (nahraďte {ID skupiny} ID objektu skupiny, na kterou chcete cílit pro postupné uvedení):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }Opakujte kroky a a b pro všechny ostatní skupiny, na které chcete cílit s fázovaným uvedením.
Aktuální zásady můžete zobrazit na místě provedením příkazu GET na následující adrese URL:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesToPředchozí proces používá prostředek featureRolloutPolicy. Veřejná dokumentace se ještě neaktualizovala pomocí nové funkce multifactorAuthentication, ale obsahuje podrobné informace o interakci s rozhraním API.
Ověřte, že prostředí vícefaktorového ověřování koncového uživatele. Tady je několik věcí, které je potřeba zkontrolovat:
- Vidí uživatelé své metody v aka.ms/mfasetup?
- Přijímají uživatelé telefonní hovory nebo textové zprávy?
- Podařilo se jim úspěšně ověřit pomocí výše uvedených metod?
- Dostanou uživatelé oznámení Authenticatoru úspěšně? Můžou tato oznámení schválit? Je ověřování úspěšné?
- Jsou uživatelé schopni úspěšně ověřit pomocí hardwarových tokenů OATH?
Vzdělávání uživatelů
Ujistěte se, že uživatelé vědí, co mají očekávat, když se přesunou do Azure MFA, včetně nových toků ověřování. Uživatelům můžete také dát pokyn, aby po dokončení migrace používali portál kombinované registrace Microsoft Entra ID (aka.ms/mfasetup) ke správě metod ověřování, a ne k portálu User Portal. Všechny změny metod ověřování v ID Microsoft Entra se nebudou šířit zpět do vašeho místního prostředí. V situaci, kdy jste museli vrátit zpět na MFA Server, nebudou všechny změny provedené v ID Microsoft Entra dostupné na portálu User Portal MFA Serveru.
Pokud používáte řešení třetích stran, která jsou závislá na Azure MFA Serveru pro ověřování (viz Ověřovací služby), budete chtít, aby uživatelé na portálu User Portal pokračovali v provádění změn svých metod vícefaktorového ověřování. Tyto změny se automaticky synchronizují s ID Microsoft Entra. Po migraci těchto řešení třetích stran můžete uživatele přesunout na kombinovanou registrační stránku Microsoft Entra ID.
Dokončení migrace uživatelů
Opakujte kroky migrace, které najdete v částech Migrace uživatelských dat a Ověření a testování , dokud nebudou migrována všechna uživatelská data.
Migrace závislostí MFA Serveru
Pomocí datových bodů, které jste shromáždili v ověřovacích službách, začněte provádět různé potřebné migrace. Po dokončení zvažte, jestli uživatelé nespravují své metody ověřování na kombinovaném registračním portálu, a ne na portálu User Portal na serveru MFA.
Aktualizace nastavení federace domény
Po dokončení migrace uživatelů a přesunutí všech ověřovacích služeb z MFA Serveru je čas aktualizovat nastavení federace domény. Po aktualizaci už Microsoft Entra neodesílá žádost O vícefaktorové ověřování na místní federační server.
Pokud chcete nakonfigurovat ID Microsoft Entra tak, aby ignorovalo požadavky MFA na váš místní federační server, nainstalujte sadu Microsoft Graph PowerShell SDK a nastavte federedIdpMfaBehaviorrejectMfaByFederatedIdptak, jak je znázorněno v následujícím příkladu.
Požádat
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Response
Poznámka: Objekt odpovědi zobrazený zde může být zkrácen pro čitelnost.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Uživatelé už nebudou přesměrováni na váš místní federační server pro vícefaktorové ověřování bez ohledu na to, jestli jsou cílem nástroje Fázované uvedení, nebo ne. Mějte na paměti, že může trvat až 24 hodin, než se projeví.
Poznámka:
Aktualizace nastavení federace domény může trvat až 24 hodin.
Volitelné: Zakázání portálu User Portal MFA Serveru
Po dokončení migrace všech uživatelských dat můžou koncoví uživatelé začít používat kombinované registrační stránky Microsoft Entra ID ke správě metod vícefaktorového ověřování. Existuje několik způsobů, jak uživatelům zabránit v používání portálu User Portal na MFA Serveru:
- Přesměrujte adresu URL uživatelského portálu MFA Serveru na aka.ms/mfasetup
- Pokud chcete uživatelům zabránit v úplném přihlášení k portálu, zrušte zaškrtnutí políčka Povolit uživatelům přihlášení na kartě Nastavení v části Portál User Portal serveru MFA.
Vyřazení MFA Serveru z provozu
Pokud už server Azure MFA nepotřebujete, postupujte podle běžných postupů vyřazení serveru. V ID Microsoft Entra není vyžadována žádná zvláštní akce, která indikuje vyřazení MFA Serveru.
Plán vrácení zpět
Pokud došlo k problémům s upgradem, postupujte podle těchto kroků a vraťte se zpět:
Odinstalujte MFA Server 8.1.
Před upgradem nahraďte Telefon Factor.pfdata zálohou provedenou.
Poznámka:
Všechny změny od provedení zálohování budou ztraceny, ale pokud bylo zálohování provedeno přímo před upgradem a upgrade bylo neúspěšné, mělo by být minimální.
Spusťte instalační program pro předchozí verzi (například 8.0.x.x).
Nakonfigurujte ID Microsoft Entra tak, aby přijímalo požadavky MFA na místní federační server. Pomocí Graph PowerShellu nastavte federedIdpMfaBehavior na
enforceMfaByFederatedIdp, jak je znázorněno v následujícím příkladu.Požádat
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }Následující objekt odpovědi je zkrácen pro čitelnost.
Response
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Nastavte postupné uvedení azure MFA na vypnuto. Uživatelé se znovu přesměrují na místní federační server pro vícefaktorové ověřování.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro