Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie die Cloudbenutzerauthentifizierung entweder mit microsoft Entra Password Hash Synchronization (PHS) oder pass-through Authentication (PTA) bereitstellen. Während wir den Anwendungsfall für den Wechsel von Active Directory-Verbunddiensten (AD FS) zu Cloudauthentifizierungsmethoden präsentieren, gilt die Anleitung erheblich auch für andere lokale Systeme.
Bevor Sie fortfahren, empfehlen wir Ihnen, unseren Leitfaden zur Auswahl der richtigen Authentifizierungsmethode zu überprüfen und Methoden zu vergleichen, die für Ihre Organisation am besten geeignet sind.
Wir empfehlen, PHS für die Cloudauthentifizierung zu verwenden.
Gestaffelter Rollout
Gestaffelte Rollouts eignen sich ideal zum selektiven Testen von Benutzergruppen mit Cloudauthentifizierungsfunktionen (z. B Microsoft Entra Multi-Factor Authentication, bedingter Zugriff, Microsoft Entra ID Protection für kompromittierte Anmeldeinformationen, Identity Governance und weitere) vor der Umstellung Ihrer Domänen.
Lesen Sie den Implementierungsplan für mehrstufige Rollouts, um die unterstützten und nicht unterstützten Szenarien zu verstehen. Wir empfehlen Tests mithilfe von gestaffeltem Rollout vor der Umstellung von Domänen.
Ablauf des Migrationsprozesses
Voraussetzungen
Bevor Sie mit der Migration beginnen, müssen Sie diese Voraussetzungen erfüllen.
Erforderliche Rollen
Für gestaffelte Rollouts müssen Sie Hybrididentitätsadministrator für Ihren Mandanten sein.
Step-up Microsoft Entra Connect-Server
Installieren Sie Microsoft Entra Connect (Microsoft Entra Connect) oder aktualisieren Sie auf die neueste Version. Wenn Sie bei Microsoft Entra Connect-Server ein Step-up durchführen, verkürzt sich dadurch die Zeit für die Migration von AD FS zu den Cloudauthentifizierungsmethoden von potenziell Stunden auf Minuten.
Dokumentieren der aktuellen Verbundeinstellungen
Um Ihre aktuellen Verbundeinstellungen zu finden, führen Sie Get-MgDomainFederationConfiguration aus.
Get-MgDomainFederationConfiguration -DomainID yourdomain.com
Überprüfen Sie alle Einstellungen, die für Ihren Verbundentwurf ggf. angepasst wurden, und die Bereitstellungsdokumentation. Suchen Sie insbesondere nach Anpassungen in PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (wenn federatedIdpMfaBehavior nicht festgelegt ist) und PromptLoginBehavior.
Sichern von Verbundeinstellungen
Obwohl diese Bereitstellung keine anderen vertrauenden Seiten in Ihrer AD FS-Farm ändert, können Sie Ihre Einstellungen sichern:
Verwenden Sie das Microsoft AD FS Rapid Restore Tool , um eine vorhandene Farm wiederherzustellen oder eine neue Farm zu erstellen.
Exportieren Sie die Microsoft 365 Identity Platform-Vertrauensstellung der vertrauenden Seite und alle zugeordneten benutzerdefinierten Anspruchsregeln, die Sie hinzugefügt haben, anhand des folgenden PowerShell-Beispiels:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
Planen des Projekts
Wenn Technologieprojekte nicht gelingen, ist dies in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, stellen Sie sicher, dass Sie die richtigen Projektbeteiligten einbeziehen und dass die Rollen der Projektbeteiligten im Projekt gut verstanden werden.
Planen der Benachrichtigungen
Nach der Migration zur Cloudauthentifizierung ändert sich die Anmeldeerfahrung für Benutzer beim Zugriff auf Microsoft 365 und andere Ressourcen, die über Microsoft Entra ID authentifiziert werden. Benutzern außerhalb des Netzwerks wird nur die Microsoft Entra-Anmeldeseite angezeigt.
Kommunizieren Sie proaktiv mit Ihren Benutzern darüber, wie sich ihre Erfahrung ändern wird, wann es sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.
Planen des Wartungsfensters
Moderne Authentifizierungsclients (Office 2016-/Office 2013-, iOS- und Android-Apps) nutzen ein gültiges Aktualisierungstoken, um neue Zugriffstoken für den weiteren Zugriff auf Ressourcen abzurufen, anstatt zurück zu AD FS zu wechseln. Diese Clients sind „immun“ gegen Aufforderungen zur Kennworteingabe, die sich aus dem Prozess der Domänenkonvertierung ergeben. Die Clients werden auch ohne eine zusätzliche Konfiguration weiterhin funktionieren.
Hinweis
Wenn Sie von der föderierten zur Cloud-Authentifizierung migrieren, kann der Vorgang zum Konvertieren der Domäne von föderiert in verwaltet bis zu 60 Minuten dauern. Während dieses Vorgangs werden Benutzer möglicherweise nicht zur Eingabe von Anmeldeinformationen für neue Anmeldungen beim Microsoft Entra Admin Center oder anderen browserbasierten Anwendungen aufgefordert, die mit Der Microsoft Entra-ID geschützt sind. Wir empfehlen Ihnen, diese Verzögerung in Ihr Wartungsfenster aufzunehmen.
Planen der Zurücksetzung
Tipp
Erwägen Sie die Planung der Umstellung von Domänen außerhalb der Geschäftszeiten, falls eine Zurücksetzung angefordert wird.
Verwenden Sie zum Planen des Rollbacks die dokumentierten aktuellen Verbundeinstellungen und überprüfen Sie die Entwurfs- und Bereitstellungsdokumentation des Verbunds.
Der Rollbackprozess sollte das Konvertieren verwalteter Domänen in Verbunddomänen mithilfe des Cmdlets New-MgDomainFederationConfiguration umfassen. Konfigurieren Sie bei Bedarf zusätzliche Anspruchsregeln.
Migrationsüberlegungen
Hier sind wichtige Überlegungen zur Migration.
Planen von Anpassungseinstellungen
Die onload.js-Datei kann nicht in Microsoft Entra ID dupliziert werden. Wenn Ihre AD FS-Instanz stark angepasst wurde und auf bestimmten Anpassungseinstellungen in der Datei „onload.js“ basiert, überprüfen Sie, ob Microsoft Entra ID Ihre aktuellen Anpassungsanforderungen erfüllen kann, und planen Sie entsprechend. Teilen Sie Ihren Benutzern diese bevorstehenden Änderungen mit.
Anmeldevorgang
Sie können den Microsoft Entra-Anmeldevorgang nicht anpassen. Unabhängig davon, wie sich Ihre Benutzer zuvor angemeldet haben, benötigen Sie einen vollqualifizierten Domänennamen wie Benutzerprinzipalname (User Principal Name, UPN) oder E-Mail für die Anmeldung bei Microsoft Entra ID.
Organisationsbranding
Sie können die Microsoft Entra-Anmeldeseite anpassen. Nach der Konvertierung sollte mit einigen visuellen Änderungen von AD FS auf Anmeldeseiten gerechnet werden.
Hinweis
Organisationsbranding ist in kostenlosen Microsoft Entra ID-Lizenzen nur dann verfügbar, wenn Sie eine Microsoft 365-Lizenz haben.
Planen von Richtlinien für Conditional Access
Bewerten Sie, ob Sie zurzeit den bedingten Zugriff für die Authentifizierung oder die Zugriffssteuerungsrichtlinien in AD FS verwenden.
Erwägen Sie, AD FS-Zugriffssteuerungsrichtlinien durch die entsprechenden Microsoft Entra-Richtlinien für bedingten Zugriff und Exchange Online-Clientzugriffsregeln zu ersetzen. Sie können für den bedingten Zugriff entweder Microsoft Entra ID- oder lokale Gruppen verwenden.
Legacyauthentifizierung deaktivieren – Aufgrund des erhöhten Risikos, das legacyauthentifizierungsprotokollen zugeordnet ist, erstellen Richtlinien für bedingten Zugriff, um die Legacyauthentifizierung zu blockieren.
Planen der Unterstützung für MFA
Bei Verbunddomänen kann MFA durch bedingten Microsoft Entra-Zugriff oder durch den lokalen Verbundanbieter erzwungen werden. Sie können den Schutz aktivieren, um die Umgehung der mehrstufigen Authentifizierung von Microsoft Entra zu verhindern, indem Sie die Sicherheitseinstellung "federatedIdpMfaBehavior" konfigurieren. Aktivieren Sie den Schutz für eine Verbunddomäne in Ihrem Microsoft Entra-Mandanten. Stellen Sie sicher, dass die Microsoft Entra Multi-Faktor-Authentifizierung immer durchgeführt wird, wenn ein Verbundbenutzer auf eine Anwendung zugreift, die einer Richtlinie für bedingten Zugriff unterliegt, die MFA erfordert. Dazu gehört, dass die Microsoft Entra Multi-Faktor-Authentifizierung auch dann ausgeführt wird, wenn ein Verbundidentitätsanbieter Verbundtokenansprüche ausgestellt hat, dass die lokale MFA ausgeführt wurde. Wenn Sie die Microsoft Entra Multi-Faktor-Authentifizierung jedes Mal erzwingen, wird sichergestellt, dass ein böswilliger Akteur die Microsoft Entra Multi-Faktor-Authentifizierung nicht umgehen kann, indem er vorgibt, dass der Identitätsanbieter die MFA bereits ausgeführt hat. Es wird empfohlen, die MFA jedes Mal zu erzwingen, es sei denn Sie führen die MFA für Ihre Verbundbenutzer mithilfe eines MFA-Drittanbieter aus.
In der folgenden Tabelle wird das Verhalten für jede Option erläutert. Weitere Informationen finden Sie unter "federatedIdpMfaBehavior".
value | Beschreibung |
---|---|
acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID akzeptiert die MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, führt Microsoft Entra ID die MFA aus. |
enforceMfaByFederatedIdp | Microsoft Entra ID akzeptiert die MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter die MFA nicht ausgeführt hat, wird die Anforderung zur Ausführung der MFA an den Verbundidentitätsanbieter umgeleitet. |
rejectMfaByFederatedIdp | Microsoft Entra ID führt immer eine MFA aus und lehnt die MFA ab, die vom Verbundidentitätsanbieter ausgeführt wird. |
Die Einstellung "federatedIdpMfaBehavior" ist eine weiterentwickelte Version der SupportsMfa-Eigenschaft des CmdletsSet-MsolDomainFederationSettings MSOnline v1 PowerShell.
Bei Domänen, die die SupportsMfa-Eigenschaft bereits festgelegt haben, bestimmen diese Regeln, wie federatedIdpMfaBehavior und SupportsMfa zusammenarbeiten:
- Der Wechsel zwischen federatedIdpMfaBehavior und SupportsMfa wird nicht unterstützt.
- Sobald die Eigenschaft "federatedIdpMfaBehavior " festgelegt wurde, ignoriert die Microsoft Entra-ID die Einstellung "SupportsMfa ".
- Wenn die federatedIdpMfaBehavior-Eigenschaft nie festgelegt ist, berücksichtigt die Microsoft Entra ID weiterhin die SupportsMfa-Einstellung.
- Wenn weder federatedIdpMfaBehavior noch SupportsMfa festgelegt ist, verwendet Microsoft Entra ID standardmäßig das
acceptIfMfaDoneByFederatedIdp
Verhalten.
Sie können den Status des Schutzes überprüfen, indem Sie Get-MgDomainFederationConfiguration ausführen:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
Planen der Implementierung
Dieser Abschnitt enthält die Vorarbeiten, die auszuführen sind, bevor Sie Ihre Anmeldemethode umstellen und die Domänen konvertieren.
Erstellen der erforderlichen Gruppen für den gestaffelten Rollout
Wenn Sie das mehrstufige Rollout nicht verwenden, überspringen Sie diesen Schritt.
Erstellen Sie Gruppen für den gestaffelten Rollout und auch für Richtlinien für bedingten Zugriff, wenn Sie sie hinzufügen möchten.
Wir empfehlen die Verwendung einer Gruppe, die in Microsoft Entra ID gemastert wurde. Dies wird auch als „reine Cloudgruppe“ bezeichnet. Sie können Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen sowohl für das Verschieben von Benutzer*innen nach MFA als auch für Richtlinien für bedingten Zugriff verwenden. Weitere Informationen finden Sie unter Erstellen einer Microsoft Entra-Sicherheitsgruppe und dieser Übersicht über Microsoft 365-Gruppen für Administratoren.
Die Mitglieder einer Gruppe werden automatisch für den gestaffelten Rollout aktiviert. Geschachtelte und dynamische Mitgliedschaftsgruppen werden für gestaffelte Rollouts nicht unterstützt.
Vorarbeiten für einmaliges Anmelden
Die Version des von Ihnen verwendeten einmaligen Anmeldens ist abhängig vom Betriebssystem Ihres Geräts und dem Verknüpfungsstatus.
Für Windows 10, Windows Server 2016 und höhere Versionen empfehlen wir die Verwendung von SSO über primäres Aktualisierungstoken (PRT) mit in Microsoft Entra eingebundenen Geräten, mit Microsoft Entrahybrid verbundenen Geräten und registrierten Microsoft Entra-Geräten.
Für macOS- und iOS-Geräte empfehlen wir die Verwendung von SSO über das Microsoft Enterprise SSO-Plug-In für Apple-Geräte. Dieses Feature erfordert, dass Ihre Apple-Geräte mittels MDM verwaltet werden. Wenn Sie Intune als MDM verwenden, folgen Sie dem Microsoft Enterprise-SSO-Plug-in für Apple Intune-Bereitstellungshandbuch. Wenn Sie ein anderes MDM verwenden, folgen Sie dem Jamf Pro/generischen MDM-Bereitstellungshandbuch.
Für Windows 7- und 8.1-Geräte empfehlen wir die Verwendung von nahtlosem einmaligem Anmelden mit Domäneneinbindung zum Registrieren des Computers in Microsoft Entra ID. Sie müssen diese Konten nicht wie bei Ihren Windows 10-Geräten synchronisieren. Sie müssen diese Vorbereitungen jedoch für nahtlose SSO mithilfe von PowerShell abschließen.
Vorarbeiten für PHS und PTA
Je nach Auswahl der Anmeldemethode füllen Sie die Vorarbeiten für PHS oder PTA aus.
Implementieren Ihrer Lösung
Schließlich stellen Sie die Anmeldemethode wie geplant auf PHS oder PTA um und konvertieren die Domänen von der Verbund- zur Cloudauthentifizierung.
Mithilfe von gestaffeltem Rollout
Wenn Sie gestaffeltes Rollout verwenden, führen Sie die Schritte unter den folgenden Links aus:
Aktivieren Sie den mehrstufigen Rollout eines spezifischen Features auf Ihrem Mandanten.
Konvertieren Sie Domänen von Verbunddomänen in verwaltete Domänen, nach Abschluss der Tests.
Ohne gestaffelten Rollout
Sie haben zwei Optionen zum Aktivieren dieser Änderung:
Option A: Wechseln Sie mit Microsoft Entra Connect.
Verfügbar, wenn Sie Ihre AD FS-/Ping-Verbundumgebung zunächst mithilfe von Microsoft Entra Connect konfiguriert haben.
Option B: Wechseln mit Microsoft Entra Connect und PowerShell
Verfügbar, wenn Sie Ihre Verbunddomänen anfänglich nicht mithilfe von Microsoft Entra Connect konfiguriert haben oder wenn Sie Verbunddienste von Drittanbietern verwenden.
Zum Auswählen einer dieser Optionen müssen Sie wissen, wie Ihre aktuellen Einstellungen lauten.
Überprüfen der aktuellen Microsoft Entra Connect-Einstellungen
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.
- Überprüfen Sie die Einstellungen des USER-SIGN_IN wie in diesem Diagramm dargestellt:
So überprüfen Sie, wie die Föderation konfiguriert wurde:
Öffnen Sie auf Ihrem Microsoft Entra Connect-Server Microsoft Entra Connect , und wählen Sie "Konfigurieren" aus.
Wählen Sie unter "Zusätzliche Aufgaben > Verwalten des Partnerverbunds" die Option "Verbundkonfiguration anzeigen" aus.
Wenn die AD FS-Konfiguration in diesem Abschnitt angezeigt wird, können Sie mit Sicherheit davon ausgehen, dass AD FS ursprünglich mit Microsoft Entra Connect konfiguriert wurde. Ein Beispiel zeigt die folgende Abbildung:
Wenn AD FS in den aktuellen Einstellungen nicht aufgeführt ist, müssen Sie Ihre Domänen per PowerShell manuell von der Verbundidentität auf die verwaltete Identität umstellen.
Option A
Wechseln vom Partnerverbund zur neuen Anmeldemethode mithilfe von Microsoft Entra Connect
Öffnen Sie auf Ihrem Microsoft Entra Connect-Server Microsoft Entra Connect , und wählen Sie "Konfigurieren" aus.
Wählen Sie auf der Seite "Weitere Aufgaben " die Option " Benutzeranmeldung ändern" und dann "Weiter" aus.
Geben Sie auf der Seite "Mit Microsoft Entra ID verbinden " Ihre Anmeldeinformationen für ihr globales Administratorkonto ein.
Auf der Benutzeranmeldungsseite :
Wenn Sie auf die Schaltfläche Passthrough-Authentifizierung klicken und SSO für Geräte mit Windows 7 und 8.1 erforderlich ist, aktivieren Sie Einmaliges Anmelden aktivieren, und wählen Sie anschließend Weiter aus.
Wenn Sie das Optionsfeld Kennwort-Hashsynchronisierung auswählen, müssen Sie das Kontrollkästchen Benutzerkonten nicht konvertieren aktivieren. Diese Option ist veraltet. Wenn SSO für Windows 7- und 8.1-Geräte erforderlich ist, aktivieren Sie Single Sign-On und wählen Sie dann "Weiter" aus.
Weitere Informationen: Aktivieren sie nahtloses SSO mithilfe von PowerShell.
Geben Sie auf der Seite "Einmaliges Anmelden aktivieren " die Anmeldeinformationen eines Domänenadministratorkontos ein, und wählen Sie dann "Weiter" aus.
Die Kontoanmeldeinformationen des Domänenadministrators sind erforderlich, um nahtloses einmaliges Anmelden zu aktivieren. Im Rahmen des Prozesses werden die folgenden Aktionen durchgeführt, für die diese erhöhten Berechtigungen benötigt werden:
- In Ihrer lokalen Active Directory-Instanz wird ein Computerkonto mit dem Namen „AZUREADSSO“ (steht für „Microsoft Entra ID“) erstellt.
- Der Kerberos-Entschlüsselungsschlüssel des Computerkontos wird für Microsoft Entra ID auf sichere Weise freigegeben.
- Es werden zwei Kerberos-Dienstprinzipalnamen (Service Principal Names, SPNs) zur Darstellung der beiden URLs erstellt, die während der Microsoft Entra-Anmeldung verwendet werden.
Die Anmeldeinformationen des Domänenadministrators werden in Microsoft Entra Connect oder Microsoft Entra ID nicht gespeichert und verworfen, wenn der Prozess erfolgreich abgeschlossen wurde. Sie werden verwendet, um diese Funktion einzuschalten.
Erfahren Sie mehr: Nahtloses technisches Tieftauchen bei SSO.
Stellen Sie auf der Seite "Bereit zum Konfigurieren " sicher, dass das Kontrollkästchen " Synchronisierung starten" aktiviert ist, wenn die Konfiguration abgeschlossen ist. Wählen Sie dann "Konfigurieren" aus.
Wichtig
An diesem Punkt werden Ihre gesamten Verbunddomänen auf die verwaltete Authentifizierung umgestellt. Ihre ausgewählte Benutzeranmeldemethode ist die neue Authentifizierungsmethode.
Wählen Sie im Microsoft Entra Admin CenterDie Microsoft Entra-ID und dann Microsoft Entra Connect aus.
Überprüfen Sie diese Einstellungen:
- Der Verbund ist auf Deaktiviert festgelegt.
- Das nahtlose einmalige Anmelden ist auf "Aktiviert" festgelegt.
- Die Kennworthashsynchronisierung ist auf "Aktiviert" eingestellt.
Falls Sie auf PTA umstellen, führen Sie die nächsten Schritte aus.
Bereitstellen von weiteren Authentifizierungs-Agents für PTA
Hinweis
Für PTA müssen auf dem Microsoft Entra Connect-Server und Ihrem lokalen Computer, auf dem Windows Server ausgeführt wird, einfache Agents bereitgestellt werden. Installieren Sie die Agents so nah wie möglich bei Ihren Active Directory-Domänencontrollern, um die Latenz zu verringern.
Für die meisten Kunden reichen zwei oder drei Authentifizierungs-Agents aus, um Hochverfügbarkeit und die erforderliche Kapazität bereitzustellen. Für einen Mandanten können maximal zwölf Agents registriert werden. Der erste Agent wird immer auf dem Microsoft Entra Connect-Server selbst installiert. Informationen zu Agenteinschränkungen und Agentbereitstellungsoptionen finden Sie unter Microsoft Entra Pass-Through-Authentifizierung: Aktuelle Einschränkungen.
Wählen Sie pass-through-Authentifizierung aus.
Wählen Sie auf der Pass-Through-Authentifizierungsseite die Schaltfläche "Herunterladen " aus.
Wählen Sie auf der Download-Agent-Seite die Option "Bedingungen akzeptieren und herunterladen" aus.
Der Download von weiteren Authentifizierungs-Agents beginnt. Installieren Sie den sekundären Authentifizierungs-Agent auf einem mit einer Domäne verknüpften Server.
Führen Sie die Installation des Authentifizierungs-Agents durch. Während der Installation müssen Sie die Anmeldeinformationen eines Kontos vom Typ „Globaler Administrator“ eingeben.
Wenn der Authentifizierungs-Agent installiert wurde, können Sie zur Seite für PTA-Integrität zurückkehren, um den Status der weiteren Agents zu überprüfen.
Option B
Wechseln vom Partnerverbund zur neuen Anmeldemethode mithilfe von Microsoft Entra Connect und PowerShell
Verfügbar, wenn Sie Ihre Verbunddomänen anfänglich nicht mithilfe von Microsoft Entra Connect konfiguriert haben oder wenn Sie Verbunddienste von Drittanbietern verwenden.
Führen Sie auf Ihrem Microsoft Entra Connect-Server die Schritte 1 bis 5 in Option A aus. Beachten Sie, dass auf der Benutzeranmeldungsseite die Option " Nicht konfigurieren" vorab ausgewählt ist.
Wählen Sie im Microsoft Entra Admin CenterDie Microsoft Entra-ID und dann Microsoft Entra Connect aus.
Überprüfen Sie diese Einstellungen:
Federation ist auf Aktiviert eingestellt.
Das nahtlose einmalige Anmelden ist auf "Deaktiviert" festgelegt.
Die Kennworthashsynchronisierung ist auf "Aktiviert" eingestellt.
Führen Sie im Fall von PTA nur die folgenden Schritte aus, um weitere PTA-Agent-Server zu installieren.
Wählen Sie im Microsoft Entra Admin CenterDie Microsoft Entra-ID und dann Microsoft Entra Connect aus.
Wählen Sie pass-through-Authentifizierung aus. Stellen Sie sicher, dass der Status "Aktiv" ist.
Wenn der Authentifizierungs-Agent nicht aktiv ist, führen Sie diese Schritte zur Problembehandlung aus, bevor Sie mit dem Domänenkonvertierungsprozess im nächsten Schritt fortfahren. Sie riskieren einen Authentifizierungsausfall, wenn Sie Ihre Domänen konvertieren, bevor Sie überprüfen, ob Ihre PTA-Agents erfolgreich installiert wurden und dass ihr Status im Microsoft Entra Admin Centeraktiv ist.
Konvertieren von Domänen von Verbunddomänen in verwaltete Domänen
An diesem Punkt ist die Verbundauthentifizierung für Ihre Domänen noch aktiv und funktionsfähig. Zum Fortsetzen der Bereitstellung müssen Sie jede Domäne von Verbundidentität in verwaltete Identität konvertieren.
Wichtig
Sie müssen nicht alle Domänen gleichzeitig konvertieren. Sie können auch mit einer Testdomäne auf Ihrem Produktionsmandanten oder mit der Domäne beginnen, die bei Ihnen die niedrigste Anzahl von Benutzern aufweist.
Schließen Sie die Konvertierung mit dem Microsoft Graph PowerShell SDK ab:
Melden Sie sich in PowerShell an Microsoft Entra ID an, indem Sie ein Konto vom Typ „Globaler Administrator“ verwenden.
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
Führen Sie folgenden Befehl aus, um die erste Domäne zu konvertieren:
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"
Wählen Sie im Microsoft Entra Admin CenterMicrosoft Entra ID > Microsoft Entra Connect aus.
Stellen Sie mithilfe des folgenden Befehls sicher, dass die Domäne in eine verwaltete Domäne konvertiert wurde. Der Authentifizierungstyp muss auf „Verwaltet“ festgelegt sein.
Get-MgDomain -DomainId yourdomain.com
Aktualisieren Sie in Microsoft Entra Connect die Einstellungen für die Anmeldemethode, damit die Änderungen wiedergespiegelt werden und Microsoft Entra Connect die Passthrough-Authentifizierung nach der Konvertierung Ihrer Domäne in die verwaltete Authentifizierung erkennt. Weitere Details finden Sie in der Dokumentation zur Pass-Through-Authentifizierung von Microsoft Entra .
Abschließen Ihrer Migration
Führen Sie die folgenden Aufgaben aus, um die Registrierungsmethode zu überprüfen und den Konvertierungsprozess abzuschließen.
Testen der neuen Anmeldemethode
Als für Ihren Mandanten die Verbundidentität verwendet wurde, wurden Benutzer von der Microsoft Entra-Anmeldeseite in Ihre AD FS-Umgebung umgeleitet. Nachdem der Mandant für die Verwendung der neuen Anmeldemethode statt der Verbundauthentifizierung konfiguriert wurde, werden Benutzer ab jetzt nicht mehr an AD FS umgeleitet.
Stattdessen melden sich Benutzer direkt auf der Microsoft Entra-Anmeldeseite an.
Führen Sie die Schritte in diesem Link aus – Überprüfen der Anmeldung mit PHS/ PTA und nahtloser SSO (sofern erforderlich)
Entfernen eines Benutzers aus dem gestaffelten Rollout
Wenn Sie einen gestaffelten Rollout durchgeführt haben, sollten Sie daran denken, die Features dafür nach Abschluss der Übernahme zu deaktivieren.
Um das Feature für das mehrstufige Rollout zu deaktivieren, ziehen Sie das Steuerelement zurück zu "Aus".
Synchronisieren von „userPrincipalName“-Updates
In der Vergangenheit werden Aktualisierungen des UserPrincipalName-Attributs , das den Synchronisierungsdienst aus der lokalen Umgebung verwendet, blockiert, es sei denn, beide Bedingungen sind erfüllt:
- Der Benutzer befindet sich in einer Domäne mit verwalteter Identität (kein Verbund).
- Dem Benutzer wurde keine Lizenz zugewiesen.
Informationen zum Überprüfen oder Aktivieren dieses Features finden Sie unter Updates von Sync userPrincipalName.
Verwalten Ihrer Implementierung
Durchführen des Rollovers des Kerberos-Entschlüsselungsschlüssels für das einmalige Anmelden
Wir empfehlen, den Rollover für den Kerberos-Entschlüsselungsschlüssel mindestens alle 30 Tage durchzuführen und so anzupassen, wie die Mitglieder der Active Directory-Domäne Kennwortänderungen übermitteln sollen. Weil an das Computerkontoobjekt „AZUREADSSO“ kein zugeordnetes Gerät angefügt ist, müssen Sie den Rollover manuell durchführen.
Weitere Informationen finden Sie in den häufig gestellten Fragen. Wie kann ich den Kerberos-Entschlüsselungsschlüssel des AZUREADSSO-Computerkontos übernehmen?.
Überwachung und Protokollierung
Überwachen Sie die Server, auf denen die Authentifizierungs-Agents ausgeführt werden, um die Verfügbarkeit der Lösung aufrechtzuerhalten. Die Authentifizierungs-Agents stellen nicht nur allgemeine Leistungsindikatoren für die Server bereit, sondern machen auch Leistungsobjekte verfügbar, die Ihnen beim Nachvollziehen der Authentifizierungsstatistiken und -fehler als Hilfe dienen.
Authentifizierungs-Agents protokollieren Vorgänge in den Windows-Ereignisprotokollen, die unter „Anwendungs- und Dienstprotokolle“ gespeichert sind. Sie können auch die Protokollierung für die Problembehandlung aktivieren.
Um die verschiedenen Maßnahmen zu bestätigen, die beim mehrstufigen Rollout ausgeführt wurden, können Sie Ereignisse für PHS, PTA oder nahtlose SSO prüfen.
Problembehandlung
Ihr Supportteam muss wissen, wie jegliche Authentifizierungsprobleme behoben werden können, die entweder während oder nach dem Wechsel von „Verbund“ zu „Verwaltet“ auftreten können. Verwenden Sie die folgende Dokumentation zur Problembehandlung, um Ihrem Supportteam zu helfen, sich mit den allgemeinen Schritten zur Problembehandlung und den entsprechenden Maßnahmen vertraut zu machen, die Ihnen helfen können, das Problem zu isolieren und zu beheben.
Außerbetriebsetzen der AD FS-Infrastruktur
Migrieren der App-Authentifizierung von AD FS zu Microsoft Entra ID
Die Migration erfordert eine Bewertung, wie die Anwendung lokal konfiguriert wird, und anschließend die Zuordnung der Konfiguration zu Microsoft Entra ID.
Wenn Sie beabsichtigen, AD FS weiterhin mit lokalen und SaaS-Anwendungen mit SAML/WS-FED- oder OAuth-Protokollen zu verwenden, verwenden Sie sowohl AD FS- als auch Microsoft Entra-ID, nachdem Sie die Domänen für die Benutzerauthentifizierung konvertiert haben. In diesem Fall können Sie Ihre lokalen Anwendungen und Ressourcen mit Secure Hybrid Access (SHA) über den Microsoft Entra-Anwendungsproxy oder eine der Microsoft Entra ID-Partnerintegrationen schützen. Mithilfe des Anwendungsproxys oder eines unserer Partner können Sie einen sicheren Remotezugriff auf Ihre lokalen Anwendungen bieten. Benutzer profitieren, indem Sie nach einer einmaligen Anmeldung problemlos eine Verbindung mit ihren Anwendungen von jedem Gerät herstellen. Weitere Informationen finden Sie unter Aktivieren des einmaligen Anmeldens für eine Unternehmensanwendung mit einem Sicherheitstokendienst der vertrauenden Seite.
Sie können SaaS-Anwendungen, die zurzeit im Verbund mit AD FS sind, in Microsoft Entra ID verschieben. Konfigurieren Sie die Authentifizierung mit Microsoft Entra-ID entweder über einen integrierten Connector aus dem Azure App-Katalog oder durch Registrieren der Anwendung in der Microsoft Entra-ID neu.
Weitere Informationen finden Sie unter Verschieben der Anwendungsauthentifizierung von Active Directory-Verbunddiensten zu Microsoft Entra ID.
Entfernen der Vertrauensstellung der vertrauenden Seite
Wenn Sie über Microsoft Entra Connect Health verfügen, können Sie die Nutzung über das Microsoft Entra Admin Centerüberwachen. Falls die Nutzung keine neue Authentifizierungsanforderung anzeigt und nachdem Sie überprüft haben, ob alle Benutzenden und Clients über Microsoft Entra ID erfolgreich authentifiziert werden konnten, können Sie die Vertrauensstellung der vertrauenden Seite von Microsoft 365 sicher entfernen.
Wenn Sie AD FS nicht für andere Zwecke nutzen (d. h. für andere Vertrauensstellungen der vertrauenden Seite), können Sie AD FS jetzt außer Betrieb nehmen.
Entfernen von AD FS
Eine vollständige Liste der Schritte zum vollständigen Entfernen von AD FS aus der Umgebung finden Sie im Ad FS-Außerbetriebnahmehandbuch (Active Directory Federation Services, AD FS).