Migrace na vícefaktorové ověřování Microsoft Entra pomocí federace
Přesun řešení vícefaktorového ověřování (MFA) do Microsoft Entra ID je skvělým prvním krokem na cestě ke cloudu. Zvažte také přechod na MICROSOFT Entra ID pro ověřování uživatelů v budoucnu. Další informace najdete v procesu migrace na vícefaktorové ověřování Microsoft Entra s využitím cloudového ověřování.
Pokud chcete migrovat na vícefaktorové ověřování Microsoft Entra s federací, nainstaluje se ve službě AD FS zprostředkovatel vícefaktorového ověřování Microsoft Entra. Vztah důvěryhodnosti předávající strany Microsoft Entra ID a další vztahy důvěryhodnosti předávající strany jsou nakonfigurované tak, aby používaly vícefaktorové ověřování Microsoft Entra pro migrované uživatele.
Následující diagram znázorňuje proces migrace.
Vytvoření skupin migrace
Pokud chcete vytvořit nové zásady podmíněného přístupu, budete je muset přiřadit skupinám. K tomuto účelu můžete použít skupiny zabezpečení Microsoft Entra nebo Skupiny Microsoft 365. Můžete také vytvořit nebo synchronizovat nové.
Budete také potřebovat skupinu zabezpečení Microsoft Entra pro iterativní migraci uživatelů na vícefaktorové ověřování Microsoft Entra. Tyto skupiny se používají v pravidlech deklarací identity.
Nepoužívejte opakovaně skupiny, které se používají k zabezpečení. Pokud k zabezpečení skupiny vysoce hodnotných aplikací používáte skupinu aplikací s podmíněným přístupem, použijte skupinu jenom pro tento účel.
Příprava služby AD FS
Upgrade serverové farmy služby AD FS na verzi 2019, FBL 4
Ve službě AD FS 2019 můžete zadat další metody ověřování pro předávající stranu, například aplikaci. Pomocí členství ve skupině určíte zprostředkovatele ověřování. Zadáním další metody ověřování můžete přejít na vícefaktorové ověřování Microsoft Entra a zároveň zachovat ostatní ověřování beze změny během přechodu. Další informace najdete v tématu Upgrade na službu AD FS ve Windows Serveru 2016 pomocí databáze WID. Tento článek popisuje upgrade farmy na AD FS 2019 i upgrade FBL na verzi 4.
Konfigurace pravidel deklarací identity pro vyvolání vícefaktorového ověřování Microsoft Entra
Teď, když je vícefaktorové ověřování Microsoft Entra další metodou ověřování, můžete přiřadit skupiny uživatelů, kteří ho budou používat. Provedete to konfigurací pravidel deklarací identity, označovaných také jako vztahy důvěryhodnosti předávající strany. Pomocí skupin můžete určit, který zprostředkovatel ověřování se nazývá globálně nebo podle aplikace. Můžete například volat vícefaktorové ověřování Microsoft Entra pro uživatele, kteří si zaregistrovali kombinované bezpečnostní informace, při volání MFA Serveru pro ty, kteří ne.
Poznámka:
Pravidla deklarací identity vyžadují místní skupinu zabezpečení. Před provedením změn pravidel deklarací identity je zálohujte.
Zálohovat pravidla
Před konfigurací nových pravidel deklarací identity zálohujte svá pravidla. Tato pravidla budete muset obnovit jako součást kroků čištění.
V závislosti na konfiguraci může být také potřeba zkopírovat pravidlo a připojit nová pravidla vytvořená pro migraci.
Pokud chcete zobrazit globální pravidla, spusťte:
Get-AdfsAdditionalAuthenticationRule
Pokud chcete zobrazit vztahy důvěryhodnosti předávající strany, spusťte následující příkaz a nahraďte RPTrustName názvem pravidla deklarací důvěryhodnosti předávající strany:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Zásady řízení přístupu
Poznámka:
Zásady řízení přístupu nelze nakonfigurovat tak, aby se na základě členství ve skupině vyvolal konkrétní zprostředkovatel ověřování.
Pokud chcete přejít ze zásad řízení přístupu na další ověřovací pravidla, spusťte následující příkaz pro každý vztah důvěryhodnosti předávající strany pomocí zprostředkovatele ověřování MFA Serveru:
Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null
Tento příkaz přesune logiku z aktuální zásady řízení přístupu do dalších pravidel ověřování.
Nastavení skupiny a vyhledání identifikátoru SID
Budete muset mít konkrétní skupinu, do které umístíte uživatele, pro které chcete vyvolat vícefaktorové ověřování Microsoft Entra. Pro tuto skupinu budete potřebovat identifikátor zabezpečení (SID).
Pokud chcete najít identifikátor SID skupiny, použijte následující příkaz s názvem vaší skupiny.
Get-ADGroup "GroupName"
Nastavení pravidel deklarací identity pro volání vícefaktorového ověřování Microsoft Entra
Následující rutiny PowerShellu vyvolávají vícefaktorové ověřování Microsoft Entra pro uživatele ve skupině, pokud nejsou v podnikové síti. Nahraďte "YourGroupSid" identifikátorem SID nalezeným spuštěním výše uvedené rutiny.
Ujistěte se, že si v roce 2019 projděte další zprostředkovatele ověřování.
Důležité
Zálohování pravidel deklarací identity
Nastavení globálního pravidla deklarací identity
Spusťte v modulu Exchange Online PowerShell následující rutinu:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Příkaz vrátí aktuální další ověřovací pravidla pro vztah důvěryhodnosti předávající strany. Připojte k aktuálním pravidlům deklarací identity následující pravidla:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Následující příklad předpokládá, že aktuální pravidla deklarací identity jsou nakonfigurovaná tak, aby zobrazovala výzvu pro vícefaktorové ověřování, když se uživatelé připojují mimo vaši síť. Tento příklad obsahuje další pravidla, která potřebujete připojit.
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Nastavení pravidla deklarací identity pro jednotlivé aplikace
Tento příklad upraví pravidla deklarací identity pro konkrétní vztah důvěryhodnosti předávající strany (aplikace) a obsahuje informace, které musíte připojit.
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Konfigurace vícefaktorového ověřování Microsoft Entra jako zprostředkovatele ověřování ve službě AD FS
Pokud chcete nakonfigurovat vícefaktorové ověřování Microsoft Entra pro službu AD FS, musíte nakonfigurovat každý server SLUŽBY AD FS. Pokud máte ve farmě více serverů AD FS, můžete je vzdáleně nakonfigurovat pomocí Azure AD PowerShellu.
Podrobné pokyny k tomuto procesu najdete v tématu Konfigurace serverů SLUŽBY AD FS v článku Konfigurace vícefaktorového ověřování Microsoft Entra jako zprostředkovatele ověřování ve službě AD FS.
Jakmile nakonfigurujete servery, můžete přidat vícefaktorové ověřování Microsoft Entra jako další metodu ověřování.
Příprava ID Microsoft Entra a implementace migrace
Tato část popisuje poslední kroky před migrací nastavení vícefaktorového ověřování uživatele.
Nastavení federedIdpMfaBehavior na vynuceníMMfaByFederatedIdp
U federovaných domén může vícefaktorové ověřování vynucovat podmíněný přístup Microsoft Entra nebo místní federační zprostředkovatel. Každá federovaná doména má nastavení zabezpečení Prostředí Microsoft Graph PowerShell s názvem federatedIdpMfaBehavior. Můžete nastavit federované IdpMfaBehavior tak, aby enforceMfaByFederatedIdp Id Microsoft Entra přijímá MFA prováděné zprostředkovatelem federované identity. Pokud zprostředkovatel federované identity neprovádí vícefaktorové ověřování, Microsoft Entra ID přesměruje požadavek na zprostředkovatele federované identity, aby provedl vícefaktorové ověřování. Další informace najdete v tématu federatedIdpMfaBehavior.
Poznámka:
Nastavení federatedIdpMfaBehavior je nová verze vlastnosti SupportsMfa rutiny New-MgDomainFederationConfiguration.
U domén, které nastavují vlastnost SupportsMfa , určují tato pravidla, jak federedIdpMfaBehavior a SupportsMfa spolupracují:
- Přepínání mezi federedIdpMfaBehavior a SupportsMfa se nepodporuje.
- Jakmile je vlastnost federatedIdpMfaBehavior nastavená, id Microsoft Entra ignoruje nastavení SupportsMfa .
- Pokud vlastnost federatedIdpMfaBehavior není nikdy nastavená, bude ID Microsoft Entra dál respektovat nastavení SupportsMfa .
- Pokud není nastavené federedIdpMfaBehavior nebo SupportsMfa , nastaví se ve výchozím nastavení
acceptIfMfaDoneByFederatedIdpchování ID Microsoft Entra.
Stav federedIdpMfaBehavior můžete zkontrolovat pomocí Get-MgDomainFederationConfiguration.
Get-MgDomainFederationConfiguration –DomainID yourdomain.com
Stav příznaku SupportsMfa můžete také zkontrolovat pomocí get-MgDomainFederationConfiguration:
Get-MgDomainFederationConfiguration –DomainName yourdomain.com
Následující příklad ukazuje, jak nastavit federedIdpMfaBehaviorenforceMfaByFederatedIdp pomocí Graph PowerShellu.
Požádat
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}
Response
Poznámka: Objekt odpovědi zobrazený zde může být zkrácen pro čitelnost.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}
V případě potřeby nakonfigurujte zásady podmíněného přístupu.
Pokud používáte podmíněný přístup k určení, kdy se uživatelům zobrazí výzva k vícefaktorové ověřování, neměli byste měnit zásady.
Pokud mají vaše federované domény nastavené hodnoty SupportsMfa na false, analyzujte pravidla deklarací identity na vztahu důvěryhodnosti předávající strany Microsoft Entra ID a vytvořte zásady podmíněného přístupu, které podporují stejné cíle zabezpečení.
Po vytvoření zásad podmíněného přístupu pro vynucení stejných ovládacích prvků jako ad FS můžete zálohovat a odebírat vlastní nastavení pravidel deklarací identity v předávající straně Microsoft Entra ID.
Další informace naleznete v následujících zdrojích:
Registrace uživatelů pro vícefaktorové ověřování Microsoft Entra
Tato část popisuje, jak se uživatelé můžou zaregistrovat ke kombinovanému zabezpečení (MFA a samoobslužné resetování hesla) a jak migrovat nastavení MFA. Microsoft Authenticator se dá použít jako v režimu bez hesla. Dá se také použít jako druhý faktor vícefaktorového ověřování s některou metodou registrace.
Registrace pro kombinovanou registraci zabezpečení (doporučeno)
Doporučujeme uživatelům zaregistrovat kombinované informace o zabezpečení, což je jediné místo pro registraci metod ověřování a zařízení pro vícefaktorové ověřování i samoobslužné resetování hesla.
Microsoft poskytuje komunikační šablony, které můžete uživatelům poskytnout, aby je provedli kombinovaným procesem registrace.
Patří mezi ně šablony pro e-maily, plakáty, stany v tabulkách a různé další prostředky. Uživatelé zaregistrují své informace na https://aka.ms/mysecurityinfoadrese , která je přenese na kombinovanou obrazovku registrace zabezpečení.
Doporučujeme zabezpečit proces registrace zabezpečení pomocí podmíněného přístupu , který vyžaduje registraci z důvěryhodného zařízení nebo umístění. Informace o sledování stavu registrace naleznete v tématu Aktivita metody ověřování pro Id Microsoft Entra.
Poznámka:
Uživatelé, kteří si musí zaregistrovat kombinované bezpečnostní údaje z nedůvěryhodného umístění nebo zařízení, můžou být vydány dočasné přístupové heslo nebo případně dočasně vyloučené ze zásad.
Migrace nastavení MFA ze serveru MFA
Pomocí nástroje MFA Server Migration můžete synchronizovat registrovaná nastavení MFA pro uživatele z MFA Serveru do Microsoft Entra ID. Můžete synchronizovat telefonní čísla, hardwarové tokeny a registrace zařízení, jako jsou nastavení Microsoft Authenticatoru.
Přidání uživatelů do příslušných skupin
Pokud jste vytvořili nové zásady podmíněného přístupu, přidejte do těchto skupin příslušné uživatele.
Pokud jste pro pravidla deklarací identity vytvořili místní skupiny zabezpečení, přidejte do těchto skupin příslušné uživatele.
Nedoporučujeme opakovaně používat skupiny, které se používají pro zabezpečení. Pokud k zabezpečení skupiny vysoce hodnotných aplikací používáte skupinu aplikací s podmíněným přístupem, použijte skupinu jenom pro tento účel.
Sledování
Registraci vícefaktorového ověřování Microsoft Entra je možné monitorovat pomocí sestavy Využití metod ověřování a přehledů. Tuto sestavu najdete v Microsoft Entra ID. Vyberte Monitorování a pak vyberte Využití a přehledy.
V nástroji Usage &insights vyberte metody ověřování.
Podrobné informace o registraci vícefaktorového ověřování Microsoft Entra najdete na kartě Registrace. Pokud chcete zobrazit seznam registrovaných uživatelů, můžete přejít k podrobnostem tak , že vyberete hypertextový odkaz pro vícefaktorové ověřování Azure.
Kroky pro vyčištění
Jakmile dokončíte migraci na vícefaktorové ověřování Microsoft Entra a budete připraveni vyřadit MFA Server z provozu, udělejte tyto tři věci:
Vraťte pravidla deklarací identity ve službě AD FS do konfigurace před migrací a odeberte zprostředkovatele ověřování MFA Serveru.
Odeberte server MFA jako zprostředkovatele ověřování ve službě AD FS. Tím zajistíte, že všichni uživatelé používají vícefaktorové ověřování Microsoft Entra, protože bude jedinou povolenou další metodou ověřování.
Vyřazení MFA Serveru z provozu
Vrácení pravidel deklarací identity ve službě AD FS a odebrání zprostředkovatele ověřování MFA Serveru
Postupujte podle kroků v části Konfigurace pravidel deklarací identity a vyvolejte vícefaktorové ověřování Microsoft Entra, abyste se vrátili k zálohovanými pravidlům deklarací identity a odebrali všechna pravidla deklarací identity AzureMFAServerAuthentication.
Například z pravidel odeberte následující položky:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Zakázání MFA Serveru jako zprostředkovatele ověřování ve službě AD FS
Tato změna zajišťuje, že se jako zprostředkovatel ověřování používá pouze vícefaktorové ověřování Microsoft Entra.
Otevřete konzolu pro správu služby AD FS.
V části Služby klikněte pravým tlačítkem na Metody ověřování a vyberte Upravit metody vícefaktorového ověřování.
Zrušte zaškrtnutí políčka vedle Azure Multi-Factor Authentication Serveru.
Vyřazení MFA Serveru z provozu
Pokud chcete odebrat servery MFA ve vašem prostředí, postupujte podle procesu vyřazení podnikového serveru z provozu.
Mezi možné aspekty při vyřazení serverů MFA z provozu patří:
Než server odeberete, zkontrolujte protokoly serverů MFA a ujistěte se, že je nepoužívají žádní uživatelé ani aplikace.
Odinstalace multi-Factor Authentication Serveru z Ovládací panely na serveru
Volitelně vyčistíte protokoly a datové adresáře, které zůstanou po jejich prvním zálohování.
Pokud je to možné, odinstalujte sadu SDK webového serveru s vícefaktorovým ověřováním, včetně všech souborů, které zůstaly v adresářích etpub\wwwroot\MultiFactorAuthWebServiceSdk nebo MultiFactorAuth.
U verzí MFA Serveru starších než 8.0 může být také nutné odebrat vícefaktorové ověřování Telefon webové službě App Service.