Migrálás felhőalapú hitelesítésre szakaszos bevezetéssel
A szakaszos bevezetés lehetővé teszi a felhasználók csoportjainak szelektív tesztelését olyan felhőalapú hitelesítési képességekkel, mint a Microsoft Entra többtényezős hitelesítése, a feltételes hozzáférés, a kiszivárgott hitelesítő adatok identitásvédelme, az identitásszabályozás és mások, mielőtt átvágja a tartományait. Ez a cikk a kapcsoló létrehozásának módját ismerteti.
A szakaszos bevezetés megkezdése előtt vegye figyelembe a következményeket, ha az alábbi feltételek közül egy vagy több igaz:
- Jelenleg helyszíni Multi-Factor Authentication-kiszolgálót használ.
- Intelligens kártyákat használ a hitelesítéshez.
- Az aktuális kiszolgáló bizonyos összevonási funkciókat kínál.
- Egy harmadik féltől származó összevonási megoldásról a felügyelt szolgáltatásokra lép át.
Mielőtt kipróbálná ezt a funkciót, javasoljuk, hogy tekintse át a megfelelő hitelesítési módszer kiválasztásáról szóló útmutatót. További információt a Microsoft Entra hibrid identitásmegoldás megfelelő hitelesítési módszerének kiválasztása című témakör "Módszerek összehasonlítása" című táblázatában talál.
A funkció áttekintéséhez tekintse meg ezt a "Mi a szakaszos bevezetés?" videót:
Előfeltételek
Összevont tartományokkal rendelkező Microsoft Entra-bérlője van.
Úgy döntött, hogy a következő lehetőségek egyikét helyezi át:
- Jelszókivonat-szinkronizálás (szinkronizálás). További információ: Mi az a jelszókivonat-szinkronizálás?
- Átmenő hitelesítés. További információ: Mi az átmenő hitelesítés?
- A Microsoft Entra tanúsítványalapú hitelesítési (CBA) beállításai. További információ: A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése
Mindkét lehetőség esetében javasoljuk, hogy engedélyezze az egyszeri bejelentkezést (SSO) a csendes bejelentkezési élmény eléréséhez. Windows 7 vagy 8.1 tartományhoz csatlakoztatott eszközök esetén javasoljuk a közvetlen egyszeri bejelentkezés használatát. További információ: Mi a közvetlen egyszeri bejelentkezés? Windows 10, Windows Server 2016 és újabb verziók esetén ajánlott az egyszeri bejelentkezés használata elsődleges frissítési jogkivonaton (PRT) keresztül a Microsoft Entra-hoz csatlakoztatott eszközökkel, a Microsoft Entra hibrid csatlakoztatott eszközökkel vagy a személyes regisztrált eszközökkel munkahelyi vagy iskolai fiók hozzáadása révén.
Konfigurálta a felhőhitelesítésbe migrált felhasználók számára szükséges bérlői védjegyzési és feltételes hozzáférési szabályzatokat.
Ha az összevontról a felhőbeli hitelesítésre váltott, ellenőriznie kell, hogy a DirSync-beállítás
SynchronizeUpnForManagedUsers
engedélyezve van-e, ellenkező esetben a Microsoft Entra-azonosító nem engedélyezi a felügyelt hitelesítést használó licencelt felhasználói fiókok upn- vagy másodlagos bejelentkezési azonosítójának szinkronizálási frissítéseit. További információ: Microsoft Entra Csatlakozás Sync szolgáltatás funkciói.Ha többtényezős Microsoft Entra-hitelesítést szeretne használni, javasoljuk, hogy az önkiszolgáló jelszó-visszaállításhoz (SSPR) és a többtényezős hitelesítéshez kombinált regisztrációt használjon, hogy a felhasználók egyszer regisztrálhassák a hitelesítési módszereiket. Megjegyzés: ha SSPR-t használ a jelszó alaphelyzetbe állításához vagy a jelszó módosításához a MyProfile oldal használatával a szakaszos bevezetés során, a Microsoft Entra Csatlakozás szinkronizálnia kell az új jelszókivonatot, amely az alaphelyzetbe állítás után akár 2 percet is igénybe vehet.
A szakaszos bevezetés funkció használatához hibrid identitás-Rendszergazda istratornak kell lennie a bérlőn.
Ha egy adott Active Directory-erdőben szeretné engedélyezni a közvetlen egyszeri bejelentkezést , tartományi rendszergazdának kell lennie.
Ha hibrid Microsoft Entra-azonosítót vagy Microsoft Entra-csatlakozást helyez üzembe, frissítenie kell a Windows 10 1903-ra.
Támogatott esetek
A szakaszos bevezetéshez az alábbi forgatókönyvek támogatottak. A funkció csak a következő célokra használható:
A Microsoft Entra-azonosítóhoz a Microsoft Entra Csatlakozás használatával kiosztott felhasználók. Ez nem vonatkozik a csak felhőalapú felhasználókra.
Felhasználói bejelentkezési forgalom böngészőkben és modern hitelesítési ügyfeleken. Az örökölt hitelesítést használó alkalmazások vagy felhőszolgáltatások visszaállnak az összevont hitelesítési folyamatokra. Az örökölt hitelesítésre példa lehet az Exchange Online, ha a modern hitelesítés ki van kapcsolva, vagy az Outlook 2010, amely nem támogatja a modern hitelesítést.
A csoport mérete jelenleg 50 000 felhasználóra korlátozódik. Ha 50 000 felhasználónál nagyobb csoportokkal rendelkezik, javasoljuk, hogy több csoportra ossza fel ezt a csoportot a szakaszos bevezetéshez.
A Windows 10 Hibrid csatlakozás vagy a Microsoft Entra csatlakozik az elsődleges frissítési jogkivonat beszerzéséhez a Windows 10 1903-as és újabb verziójának összevonási kiszolgálójához, ha a felhasználó UPN-je nem érhető el, és a tartomány utótagja a Microsoft Entra-azonosítóban van ellenőrizve.
Az Autopilot-regisztráció támogatott a Szakaszos bevezetésben a Windows 10 1909-es vagy újabb verziójával.
Nem támogatott forgatókönyvek
A szakaszos bevezetés esetében a következő forgatókönyvek nem támogatottak:
Az örökölt hitelesítés, például a POP3 és az SMTP nem támogatott.
Egyes alkalmazások a hitelesítés során elküldik a "domain_hint" lekérdezési paramétert a Microsoft Entra ID-nak. Ezek a folyamatok folytatódnak, és azok a felhasználók, akik engedélyezve vannak a szakaszos bevezetéshez, továbbra is összevonást használnak a hitelesítéshez.
Rendszergazda biztonsági csoportok használatával hozhatják létre a felhőhitelesítést. A helyi Active Directory biztonsági csoportok használatakor a szinkronizálás késésének elkerülése érdekében javasoljuk, hogy felhőbeli biztonsági csoportokat használjon. A következő feltételeket kell figyelembe venni:
- Funkciónként legfeljebb 10 csoportot használhat. Vagyis 10 csoportot használhat a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez és a zökkenőmentes egyszeri bejelentkezéshez.
- A beágyazott csoportok nem támogatottak.
- A dinamikus csoportok nem támogatottak a szakaszos bevezetéshez.
- A csoporton belüli partnerobjektumok letiltják a csoport hozzáadását.
Amikor először ad hozzá biztonsági csoportot a szakaszos bevezetéshez, 200 felhasználóra van korlátozva, hogy elkerülje a UX időtúllépését. Miután hozzáadta a csoportot, szükség szerint további felhasználókat is hozzáadhat közvetlenül hozzá.
Míg a felhasználók szakaszos bevezetést használnak jelszókivonat-szinkronizálással (PHS), alapértelmezés szerint nincs jelszó lejárata. A jelszó lejárata a "CloudPasswordPolicyForPasswordSyncedUsersEnabled" engedélyezésével alkalmazható. Ha a "CloudPasswordPolicyForPasswordSyncedUsersEnabled" engedélyezve van, a jelszó lejárati szabályzata a jelszó helyszíni beállításától számított 90 napra van beállítva, és nincs lehetőség a testreszabására. A PasswordPolicies attribútum programozott frissítése nem támogatott, amíg a felhasználók szakaszos bevezetésben vannak. A "CloudPasswordPolicyForPasswordSyncedUsersEnabled" beállításáról a Jelszó lejárati szabályzatában olvashat.
Windows 10 Hybrid Join vagy Microsoft Entra join elsődleges frissítési jogkivonat beszerzése a Windows 10 1903-nál régebbi verziójához. Ez a forgatókönyv visszaesik az összevonási kiszolgáló WS-Trust végpontjára, még akkor is, ha a bejelentkező felhasználó a szakaszos bevezetés hatókörébe tartozik.
A Windows 10 Hibrid csatlakozás vagy a Microsoft Entra csatlakozik az elsődleges frissítési jogkivonat beszerzéséhez az összes verzióhoz, ha a felhasználó helyszíni UPN-je nem érhető el. Ez a forgatókönyv a szakaszos bevezetési módban visszaesik a WS-Trust végpontra, de a szakaszos migrálás befejeztével leáll, és a felhasználói bejelentkezés már nem az összevonási kiszolgálóra támaszkodik.
Ha a Windows 10 1903-at vagy újabb verzióját futtató, nem időszakos VDI-beállítással rendelkezik, összevont tartományon kell maradnia. A nem időszakos VDI-n nem támogatott a felügyelt tartományba való áttérés. További információ: Eszközidentitás és asztali virtualizálás.
Ha Vállalati Windows Hello hibrid tanúsítvány megbízhatósága van a regisztrációs szolgáltatóként vagy smartcard-felhasználókként eljáró összevonási kiszolgálón keresztül kibocsátott tanúsítványokkal, a forgatókönyv nem támogatott szakaszos bevezetés esetén.
Feljegyzés
A Microsoft Entra Csatlakozás vagy a PowerShell használatával továbbra is át kell helyeznie a végső átállást az összevonttól a felhőhitelesítésig. A szakaszos bevezetés nem vált tartományokat összevontról felügyeltre. További információ a tartományátvételről: Migrálás összevonásról jelszókivonat-szinkronizálásra , migrálás összevonásról átmenő hitelesítésre.
Bevezetés a szakaszos bevezetésbe
A jelszókivonat-szinkronizálási bejelentkezés szakaszos bevezetéssel való teszteléséhez kövesse a következő szakaszban található előmunkára vonatkozó utasításokat.
A PowerShell-parancsmagok használatáról a Microsoft Entra ID 2.0 előzetes verziójában olvashat.
A jelszókivonat-szinkronizálás előmunkája
Engedélyezze a jelszókivonat szinkronizálását a Microsoft Entra Csatlakozás Választható funkciók lapján.
Győződjön meg arról, hogy a jelszókivonatok teljes szinkronizálási ciklusa lefutott, hogy az összes felhasználó jelszókivonata szinkronizálva legyen a Microsoft Entra-azonosítóval. A jelszókivonat-szinkronizálás állapotának ellenőrzéséhez használja a PowerShell-diagnosztikát a Microsoft Entra Csatlakozás Synctel való jelszókivonat-szinkronizálás hibaelhárítása című témakörben.
Ha szakaszos bevezetéssel szeretné tesztelni az átmenő hitelesítési bejelentkezést, engedélyezze azt a következő szakaszban található előmunkára vonatkozó utasítások követésével.
Az átmenő hitelesítés előkészülete
Azonosítsa a Windows Server 2012 R2 vagy újabb rendszert futtató kiszolgálót, ahol az átmenő hitelesítési ügynököt futtatni szeretné.
Ne válassza a Microsoft Entra Csatlakozás kiszolgálót. Győződjön meg arról, hogy a kiszolgáló tartományhoz csatlakozik, hitelesíteni tudja a kijelölt felhasználókat az Active Directoryval, és képes kommunikálni a Microsoft Entra-azonosítóval a kimenő portokon és URL-címeken. További információ: "1. lépés: Az előfeltételek ellenőrzése" című rövid útmutató: Microsoft Entra közvetlen egyszeri bejelentkezés.
Töltse le a Microsoft Entra Csatlakozás hitelesítési ügynököt, és telepítse a kiszolgálóra.
A magas rendelkezésre állás engedélyezéséhez telepítsen további hitelesítési ügynököket más kiszolgálókra.
Győződjön meg arról, hogy megfelelően konfigurálta az intelligens zárolási beállításokat . Ezzel biztosíthatja, hogy a felhasználók helyi Active Directory fiókjait ne zárják ki a rossz szereplők.
Javasoljuk, hogy a zökkenőmentes egyszeri bejelentkezést a szakaszos bevezetéshez választott bejelentkezési módszertől (jelszókivonat-szinkronizálástól vagy átmenő hitelesítéstől) függetlenül engedélyezze. A közvetlen egyszeri bejelentkezés engedélyezéséhez kövesse a következő szakaszban található előmunkálati utasításokat.
Előzetes munka a közvetlen egyszeri bejelentkezéshez
Engedélyezze a közvetlen egyszeri bejelentkezést az Active Directory-erdőkben a PowerShell használatával. Ha egynél több Active Directory-erdőt is használhat, egyenként engedélyezze az egyes erdőkhöz. A közvetlen egyszeri bejelentkezés csak a szakaszos bevezetéshez kiválasztott felhasználók esetében aktiválódik. Ez nincs hatással a meglévő összevonási beállításra.
Engedélyezze a közvetlen egyszeri bejelentkezést a következő feladatok végrehajtásával:
Jelentkezzen be a Microsoft Entra Csatlakozás-kiszolgálóra.
Nyissa meg a %programfiles%\Microsoft Entra Csatlakozás mappát.
Importálja a közvetlen SSO PowerShell-modult az alábbi parancs futtatásával:
Import-Module .\AzureADSSO.psd1
Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt:
New-AzureADSSOAuthenticationContext
. Ez a parancs megnyit egy panelt, ahol megadhatja a bérlő hibrid identitásának Rendszergazda istrator hitelesítő adatait.Hívja meg a következőt:
Get-AzureADSSOStatus | ConvertFrom-Json
. Ez a parancs megjeleníti azon Active Directory-erdők listáját (lásd a "Tartományok" listát), amelyeken ez a funkció engedélyezve van. Alapértelmezés szerint a bérlői szinten hamis értékre van állítva.Hívja meg a következőt:
$creds = Get-Credential
. A parancssorba írja be a tartományi rendszergazda hitelesítő adatait a kívánt Active Directory-erdőhöz.Hívja meg a következőt:
Enable-AzureADSSOForest -OnPremCredentials $creds
. Ez a parancs létrehozza az AZUREADSSOACC számítógépfiókot a közvetlen egyszeri bejelentkezéshez szükséges Active Directory-erdő helyszíni tartományvezérlőjén.A közvetlen egyszeri bejelentkezéshez az URL-címeknek az intranetes zónában kell lenniük. Az URL-címek csoportházirendek használatával történő üzembe helyezéséhez tekintse meg a Microsoft Entra közvetlen egyszeri bejelentkezésről szóló rövid útmutatót.
A teljes útmutatóhoz letöltheti az üzembehelyezési terveket a közvetlen egyszeri bejelentkezéshez.
Szakaszos bevezetés engedélyezése
Ha egy adott funkciót (átmenő hitelesítést, jelszókivonat-szinkronizálást vagy közvetlen egyszeri bejelentkezést) szeretne létrehozni egy csoport egyes felhasználóinak, kövesse a következő szakaszok utasításait.
Adott funkció szakaszos bevezetésének engedélyezése a bérlőn
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ezeket a beállításokat a következő lehetőségek közül választhatja ki:
- Jelszókivonat szinkronizálása + közvetlen egyszeri bejelentkezés
- Átmenő hitelesítés + – közvetlen egyszeri bejelentkezés
- Nem támogatott - jelszókivonat szinkronizálása + átmenő hitelesítés + közvetlen egyszeri bejelentkezéssel
- Tanúsítványalapú hitelesítési beállítások
- Többtényezős Azure-hitelesítés
A szakaszos bevezetés konfigurálásához kövesse az alábbi lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
Keresse meg az Identity>Hybrid management>Microsoft Entra Csatlakozás> Csatlakozás szinkronizálást.
A Microsoft Entra Csatlakozás lapon, a felhőalapú hitelesítés szakaszos bevezetése alatt válassza a felügyelt felhasználói bejelentkezési hivatkozás szakaszos bevezetésének engedélyezése lehetőséget.
A szakaszos bevezetés engedélyezése funkciólapon válassza ki az engedélyezni kívánt beállításokat: Jelszókivonat-szinkronizálás, átmenő hitelesítés, közvetlen egyszeri bejelentkezés vagy tanúsítványalapú hitelesítés. Ha például engedélyezni szeretné a jelszókivonat-szinkronizálást és a közvetlen egyszeri bejelentkezést, húzza mindkét vezérlőt a Be gombra.
Csoportok hozzáadása a kiválasztott funkciókhoz. Például átmenő hitelesítés és közvetlen egyszeri bejelentkezés. Az időtúllépés elkerülése érdekében győződjön meg arról, hogy a biztonsági csoportok kezdetben legfeljebb 200 tagot tartalmaznak.
Feljegyzés
A csoport tagjai automatikusan engedélyezve vannak a szakaszos bevezetéshez. A beágyazott és dinamikus csoportok nem támogatottak a szakaszos bevezetéshez. Új csoport hozzáadásakor a csoport felhasználói (új csoport esetén legfeljebb 200 felhasználó) azonnal frissülnek a felügyelt hitelesítés használatára. A csoportok szerkesztése (felhasználók hozzáadása vagy eltávolítása) akár 24 órát is igénybe vehet a módosítások érvénybe lépéséhez. A közvetlen egyszeri bejelentkezés csak akkor érvényes, ha a felhasználók a közvetlen egyszeri bejelentkezés csoporthoz tartoznak, valamint PTA- vagy PHS-csoportban is.
Naplózás
Engedélyeztük a naplózási eseményeket a szakaszos bevezetéshez végrehajtott különböző műveletekhez:
Naplózási esemény, ha engedélyezi a szakaszos bevezetést a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez vagy a zökkenőmentes egyszeri bejelentkezéshez.
Feljegyzés
A rendszer naplózza a naplózási eseményt, ha a közvetlen egyszeri bejelentkezés be van kapcsolva a szakaszos bevezetés használatával.
Naplózási esemény, ha egy csoport hozzáadódik a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez vagy a közvetlen egyszeri bejelentkezéshez.
Feljegyzés
Naplóz egy naplózási eseményt, amikor egy csoport hozzáadódik a szakaszos bevezetés jelszókivonat-szinkronizálásához .
Naplózási esemény, ha a csoporthoz hozzáadott felhasználó engedélyezve van a szakaszos bevezetéshez.
Érvényesítés
Ha jelszókivonat-szinkronizálással vagy átmenő hitelesítéssel (felhasználónév és jelszó-bejelentkezés) szeretné tesztelni a bejelentkezést, végezze el a következő feladatokat:
Az extraneten nyissa meg az Alkalmazások lapot egy privát böngésző munkamenetben, majd adja meg a szakaszos bevezetéshez kiválasztott felhasználói fiók UserPrincipalName (UPN) értékét.
A szakaszos bevezetésre célzott felhasználók nem lesznek átirányítva az összevont bejelentkezési oldalra. Ehelyett a rendszer arra kéri őket, hogy jelentkezzenek be a Microsoft Entra bérlői márkajelzésű bejelentkezési oldalán.
Győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik a Microsoft Entra bejelentkezési tevékenységjelentésében a UserPrincipalName szűrésével.
A közvetlen egyszeri bejelentkezéssel történő bejelentkezés tesztelése:
Az intraneten nyissa meg az Alkalmazások lapot egy privát böngésző munkamenetben, majd adja meg a szakaszos bevezetéshez kiválasztott felhasználói fiók UserPrincipalName (UPN) értékét.
Azok a felhasználók, akik a közvetlen egyszeri bejelentkezés szakaszos bevezetésére lettek megcélzva, a következőhöz hasonló szöveg jelenik meg: "Megpróbáljuk bejelentkezni..." üzenet, mielőtt csendben bejelentkeznének.
Győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik a Microsoft Entra bejelentkezési tevékenységjelentésében a UserPrincipalName szűrésével.
A Active Directory összevonási szolgáltatások (AD FS) (AD FS) a kijelölt szakaszos bevezetési felhasználók esetében továbbra is előforduló felhasználói bejelentkezések nyomon követéséhez kövesse az AD FS hibaelhárítási útmutatóját: Események és naplózás. Tekintse meg a szállító dokumentációját arról, hogyan ellenőrizheti ezt a külső összevonási szolgáltatókon.
Feljegyzés
Amíg a felhasználók a PHS-sel együtt szakaszos bevezetésben vannak, a jelszavak módosítása a szinkronizálási idő miatt akár 2 percet is igénybe vehet. Győződjön meg arról, hogy elvárásokat támaszt a felhasználókkal, hogy elkerüljék a segélyhívásokat, miután megváltoztatták a jelszavukat.
Figyelés
A Szakaszos bevezetésben hozzáadott vagy eltávolított felhasználókat és csoportokat, valamint a szakaszos bevezetés során bejelentkezett felhasználókat és csoportokat a Microsoft Entra felügyeleti központban található új hibrid hitelesítésű munkafüzetek használatával figyelheti.
Felhasználó eltávolítása a szakaszos bevezetésből
Ha eltávolít egy felhasználót a csoportból, azzal letiltja a szakaszos bevezetést. A szakaszos bevezetés funkció letiltásához húzza vissza a vezérlőt kikapcsolva.
Gyakori kérdések
K: Használhatom ezt a képességet éles környezetben?
Válasz: Igen, használhatja ezt a funkciót az éles bérlőben, de javasoljuk, hogy először próbálja ki a tesztbérlében.
K: Használható ez a funkció egy állandó "együttlét" fenntartásához, ahol egyes felhasználók összevont hitelesítést használnak, míg mások felhőalapú hitelesítést használnak?
Válasz: Nem, ez a funkció a felhőhitelesítés tesztelésére lett tervezve. A sikeres tesztelés után néhány felhasználócsoportot át kell vágnia a felhőhitelesítésre. Nem javasoljuk, hogy állandó vegyes állapotot használjon, mert ez a megközelítés váratlan hitelesítési folyamatokat eredményezhet.
K: Használhatom a PowerShellt a szakaszos bevezetés végrehajtásához?
V: Igen. A PowerShell szakaszos bevezetés végrehajtásának módjáról a Microsoft Entra ID előzetes verziójában olvashat.