Migrálás az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre

A többtényezős hitelesítés fontos az infrastruktúra és az eszközök biztonságossá tételéhez a rossz szereplőktől. Az Azure Multi-Factor Authentication Server (MFA-kiszolgáló) nem érhető el az új üzemelő példányokhoz, ezért elavultak lesznek. Az MFA-kiszolgálót használó ügyfeleknek át kell lépnie a felhőalapú Microsoft Entra többtényezős hitelesítés használatára.

Ebben a cikkben feltételezzük, hogy hibrid környezettel rendelkezik, ahol:

• Többtényezős hitelesítéshez MFA-kiszolgálót használ.
• Összevonást használ a Microsoft Entra-azonosítón Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy más identitásszolgáltatói összevonási termékkel.
  • Bár ez a cikk az AD FS-re terjed ki, hasonló lépések vonatkoznak más identitásszolgáltatókra is.
• Az MFA-kiszolgáló integrálva van az AD FS-sel.
• Előfordulhat, hogy az alkalmazások AD FS-t használnak hitelesítésre.

A migrálásnak több lehetséges végpontja is lehet, a céltól függően.

	Cél: Csak az MFA-kiszolgáló leszerelése	Cél: Az MFA-kiszolgáló leszerelése és a Microsoft Entra-hitelesítésre való áttérés	Cél: Az MFA-kiszolgáló és az AD FS leszerelése
MFA-szolgáltató	Módosítsa az MFA-szolgáltatót az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre.	Módosítsa az MFA-szolgáltatót az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre.	Módosítsa az MFA-szolgáltatót az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre.
Felhasználói hitelesítés	Továbbra is használja az összevonást a Microsoft Entra-hitelesítéshez.	Lépjen a Microsoft Entra-azonosítóra jelszókivonat-szinkronizálással (előnyben részesített) vagy átmenő hitelesítéssel és közvetlen egyszeri bejelentkezéssel (SSO).	Lépjen a Microsoft Entra-azonosítóra jelszókivonat-szinkronizálással (előnyben részesített) vagy átmenő hitelesítéssel és egyszeri bejelentkezéssel.
Alkalmazáshitelesítés	Továbbra is használja az AD FS-hitelesítést az alkalmazásokhoz.	Továbbra is használja az AD FS-hitelesítést az alkalmazásokhoz.	Az alkalmazások áthelyezése a Microsoft Entra-azonosítóra, mielőtt a Microsoft Entra többtényezős hitelesítésre migrál.

Ha teheti, helyezze át a többtényezős hitelesítést és a felhasználói hitelesítést is az Azure-ba. Részletes útmutatásért tekintse meg a Microsoft Entra többtényezős hitelesítésre és a Microsoft Entra felhasználói hitelesítésre való áttérést ismertető témakört.

Ha nem tudja áthelyezni a felhasználói hitelesítést, tekintse meg a Többtényezős Microsoft Entra-hitelesítésre való áttérésre vonatkozó részletes útmutatót összevonással.

Előfeltételek

• AD FS-környezet (kötelező, ha nem migrálja az összes alkalmazást a Microsoft Entra-ba az MFA-kiszolgáló migrálása előtt)
  • Frissítés AD FS-re Windows Server 2019, Farm viselkedési szintje (FBL) 4. Ez a frissítés lehetővé teszi, hogy a csoporttagság alapján válassza ki a hitelesítésszolgáltatót a zökkenőmentesebb felhasználói átmenet érdekében. Bár a Windows Server 2016 FBL 3 AD FS-jén migrálható, a felhasználók számára nem olyan zökkenőmentes. Az áttelepítés során a rendszer arra kéri a felhasználókat, hogy válasszanak ki egy hitelesítési szolgáltatót (MFA-kiszolgáló vagy Microsoft Entra többtényezős hitelesítés) a migrálás befejezéséig.
• Engedélyek
  • Vállalati rendszergazdai szerepkör az Active Directoryban az AD FS-farm konfigurálásához a Microsoft Entra többtényezős hitelesítéshez
  • Globális rendszergazdai szerepkör a Microsoft Entra ID-ban a Microsoft Entra ID PowerShell használatával történő konfigurálásához

Az összes migrálási útvonal szempontjai

Az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre való migrálás nem csupán a regisztrált MFA-telefonszámok áthelyezését foglalja magában. A Microsoft MFA-kiszolgálója számos rendszerrel integrálható, és értékelnie kell, hogy ezek a rendszerek hogyan használják az MFA-kiszolgálót a Microsoft Entra többtényezős hitelesítéssel való integrálásának legjobb módjainak megértéséhez.

Az MFA felhasználói adatainak migrálása

A felhasználók kötegekben való áthelyezésének gyakori módjai közé tartozik a régiók, részlegek vagy szerepkörök, például rendszergazdák szerinti áthelyezés. A felhasználói fiókokat iteratív módon kell áthelyeznie, kezdve a teszt- és próbacsoportokkal, és győződjön meg arról, hogy rendelkezik visszaállítási tervvel.

Az MFA-kiszolgáló áttelepítési segédprogramja segítségével szinkronizálhatja a helyszíni Azure MFA-kiszolgálón tárolt MFA-adatokat a Microsoft Entra többtényezős hitelesítéssel, és szakaszos bevezetéssel átirányíthatja a felhasználókat az Azure MFA-ba. A szakaszos bevezetés segít a tesztelésben anélkül, hogy módosítanák a tartomány összevonási beállításait.

Annak érdekében, hogy a felhasználók megkülönböztessék az újonnan hozzáadott fiókot az MFA-kiszolgálóhoz társított régi fióktól, győződjön meg arról, hogy az MFA-kiszolgálón található mobilalkalmazás fiókneve el van nevezve a két fiók megkülönböztetése érdekében. Az MFA-kiszolgálón a Mobile App alatt megjelenő fióknév például a helyszíni MFA-kiszolgálóra lett átnevezve. A Microsoft Authenticator fiókneve a következő leküldéses értesítéssel módosul a felhasználó számára.

A telefonszámok migrálása azt is eredményezheti, hogy elavult számok migrálva lesznek, és a felhasználók nagyobb valószínűséggel maradnak telefonalapú MFA-n ahelyett, hogy biztonságosabb módszereket állítanának be, például a Microsoft Authenticatort jelszó nélküli módban. Ezért azt javasoljuk, hogy a választott migrálási útvonaltól függetlenül minden felhasználó regisztráljon a kombinált biztonsági információkra.

Hardveres biztonsági kulcsok migrálása

A Microsoft Entra ID támogatja az OATH hardveres jogkivonatait. Az MFA-kiszolgáló áttelepítési segédprogramja segítségével szinkronizálhatja az MFA-beállításokat az MFA-kiszolgáló és a Microsoft Entra többtényezős hitelesítés között, és szakaszos bevezetéssel tesztelheti a felhasználói migrálásokat a tartomány összevonási beállításainak módosítása nélkül.

Ha csak OATH hardveres jogkivonatokat szeretne migrálni, fel kell töltenie a jogkivonatokat a Microsoft Entra-azonosítóba egy CSV-fájl, más néven "magfájl" használatával. A kezdőfájl tartalmazza a titkos kulcsokat, a jogkivonat sorozatszámait és a jogkivonatok Microsoft Entra-azonosítóba való feltöltéséhez szükséges egyéb szükséges információkat.

Ha már nem rendelkezik a titkos kulcsokkal rendelkező magfájllal, nem exportálható a titkos kulcsok az MFA-kiszolgálóról. Ha már nem fér hozzá a titkos kulcsokhoz, forduljon a hardver gyártójához támogatásért.

Az MFA Server Web Service SDK-val exportálhatja az adott felhasználóhoz rendelt OATH-jogkivonatok sorozatszámát. Ezeket az információkat a kezdőfájllal együtt használhatja a jogkivonatok Microsoft Entra-azonosítóba való importálásához, és az OATH-jogkivonatot a megadott felhasználóhoz rendelheti a sorozatszám alapján. A felhasználót az importáláskor is fel kell venni a kapcsolatot, hogy az eszközről otp-adatokat adjon meg a regisztráció befejezéséhez. Tekintse meg a GetUserInfo>felhasználó Gépház> OathTokenSerialNumber súgófájlt az MFA-kiszolgálón található Multi-Factor Authentication-kiszolgálón.

További áttelepítések

Az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre való migrálásról szóló döntés megnyitja az ajtót a többi migráláshoz. A további migrálások elvégzése számos tényezőtől függ, többek között az alábbiaktól:

• Ön hajlandó a Microsoft Entra-hitelesítés használatára a felhasználók számára
• Ön hajlandó áthelyezni az alkalmazásokat a Microsoft Entra-azonosítóba

Mivel az MFA-kiszolgáló az alkalmazás- és a felhasználói hitelesítés szerves része, érdemes lehet mindkét függvényt az Azure-ba áthelyezni az MFA-migrálás részeként, és végül le kell szerelni az AD FS-t.

Javaslataink:

• A Microsoft Entra ID használata hitelesítéshez, mivel robusztusabb biztonságot és szabályozást tesz lehetővé
• Alkalmazások áthelyezése a Microsoft Entra-azonosítóba, ha lehetséges

A szervezet számára legmegfelelőbb felhasználói hitelesítési módszer kiválasztásáról a Microsoft Entra hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása című témakörben olvashat. Javasoljuk, hogy használja a jelszókivonat-szinkronizálást (PHS).

Jelszó nélküli hitelesítés

A microsoft authenticator második tényezőként való regisztrálásának részeként javasoljuk, hogy engedélyezze a jelszó nélküli telefonos bejelentkezést a regisztráció részeként. További információkért, beleértve az egyéb jelszó nélküli módszereket, például a FIDO2 biztonsági kulcsokat és a Vállalati Windows Hello, látogasson el a Jelszó nélküli hitelesítés központi telepítésének megtervezése a Microsoft Entra-azonosítóval.

A Microsoft Identity Manager önkiszolgáló jelszó-alaphelyzetbe állítása

A Microsoft Identity Manager (MIM) SSPR az MFA-kiszolgálóval egyszeri SMS-pin-kódokat hívhat meg a jelszó-visszaállítási folyamat részeként. A MIM nem konfigurálható a Microsoft Entra többtényezős hitelesítés használatára. Javasoljuk, hogy értékelje az SSPR szolgáltatás Microsoft Entra SSPR-be való áthelyezését. A Microsoft Entra többtényezős hitelesítésre regisztráló felhasználók a kombinált regisztrációs felület használatával regisztrálhatnak a Microsoft Entra SSPR-re.

Ha nem tudja áthelyezni az SSPR szolgáltatást, vagy az MFA-kiszolgálót használja a Privileged Access Management (PAM) forgatókönyvek MFA-kéréseinek meghívásához, javasoljuk, hogy frissítsen egy másik, harmadik féltől származó MFA-lehetőségre.

RADIUS-ügyfelek és a Microsoft Entra többtényezős hitelesítése

Az MFA-kiszolgáló támogatja a RADIUS-t a protokollt támogató alkalmazások és hálózati eszközök többtényezős hitelesítésének meghívásához. Ha RADIUS-t használ az MFA-kiszolgálóval, javasoljuk, hogy az ügyfélalkalmazásokat modern protokollokra, például SAML, OpenID Csatlakozás vagy OAuth protokollra helyezhesse át a Microsoft Entra ID-n. Ha az alkalmazás nem frissíthető, akkor üzembe helyezheti a Hálózati házirend-kiszolgálót (NPS) a Microsoft Entra többtényezős hitelesítési bővítményével. A hálózati házirend-kiszolgáló (NPS) bővítmény adapterként működik a RADIUS-alapú alkalmazások és a Microsoft Entra többtényezős hitelesítés között, hogy a hitelesítés második tényezője legyen. Ez az "adapter" lehetővé teszi, hogy a RADIUS-ügyfeleket a Microsoft Entra többtényezős hitelesítésre helyezze át, és szerelje le az MFA-kiszolgálót.

Fontos tényezők

Az NPS RADIUS-ügyfelekhez való használata korlátozott, ezért javasoljuk, hogy értékelje a RADIUS-ügyfeleket annak megállapításához, hogy frissíthető-e a modern hitelesítési protokollokra. Érdeklődjön a szolgáltatónál a támogatott termékverziókról és azok képességeiről.

• Az NPS-bővítmény nem használja a Microsoft Entra feltételes hozzáférési szabályzatokat. Ha a RADIUS-t használja, és az NPS-bővítményt használja, az NPS-hez érkező összes hitelesítési kéréshez a felhasználónak MFA-t kell végrehajtania.
• A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre az NPS-bővítmény használata előtt. Ellenkező esetben a bővítmény nem hitelesíti a felhasználót, amely ügyfélszolgálati hívásokat tud generálni.
• Amikor az NPS-bővítmény meghívja az MFA-t, a rendszer elküldi az MFA-kérést a felhasználó alapértelmezett MFA-metódusának.
  • Mivel a bejelentkezés nem Microsoft-alkalmazásokban történik, a felhasználó gyakran nem lát vizuális értesítést arról, hogy többtényezős hitelesítésre van szükség, és hogy a rendszer kérést küldött az eszközére.
  • A többtényezős hitelesítési követelmény során a felhasználónak hozzáféréssel kell rendelkeznie az alapértelmezett hitelesítési módszerhez a követelmény teljesítéséhez. Nem választhatnak alternatív módszert. Az alapértelmezett hitelesítési módszer akkor is használható, ha le van tiltva a bérlői hitelesítési módszerekben és a többtényezős hitelesítési házirendekben.
  • A felhasználók módosíthatják alapértelmezett többtényezős hitelesítési módszerüket a Biztonsági információk lapon (aka.ms/mysecurityinfo).
• A RADIUS-ügyfelek számára elérhető MFA-metódusokat a RADIUS-hozzáférési kéréseket küldő ügyfélrendszerek vezérlik.
  • Azok az MFA-metódusok, amelyek a jelszó megadása után felhasználói bemenetet igényelnek, csak olyan rendszerekben használhatók, amelyek támogatják a radius-nal való hozzáféréssel kapcsolatos kihívásokra adott válaszokat. A bemeneti módszerek közé tartozhatnak az OTP, a hardveres OATH-jogkivonatok vagy a Microsoft Authenticator.
  • Egyes rendszerek korlátozhatják az elérhető többtényezős hitelesítési módszereket a Microsoft Authenticator leküldéses értesítései és telefonhívásai számára.

Feljegyzés

A RADIUS-ügyfél és az NPS-rendszer között használt jelszótitkosítási algoritmus, valamint az ügyfél által használható bemeneti módszerek befolyásolhatják, hogy mely hitelesítési módszerek érhetők el. További információ: A felhasználók által használható hitelesítési módszerek meghatározása.

A RADIUS-ügyfél gyakori integrációi közé tartoznak az olyan alkalmazások, mint a távoli asztali átjárók és a VPN-kiszolgálók. Mások a következők lehetnek:

• Citrix-átjáró
  • A Citrix Gateway támogatja a RADIUS- és NPS-bővítményintegrációt és az SAML-integrációt is.
• Cisco VPN
  • A Cisco VPN támogatja az egyszeri bejelentkezés RADIUS- és SAML-hitelesítését is.
  • A RADIUS-hitelesítésről az SAML-ra való áttéréssel integrálhatja a Cisco VPN-t az NPS-bővítmény üzembe helyezése nélkül.
• Minden VPN
  • Ha lehetséges, javasoljuk, hogy a VPN-t SAML-alkalmazásként összevonta. Ez az összevonás lehetővé teszi a feltételes hozzáférés használatát. További információkért tekintse meg a Microsoft Entra ID alkalmazáskatalógusába integrált VPN-gyártók listáját.

Erőforrások az NPS üzembe helyezéséhez

• Új NPS-infrastruktúra hozzáadása
• Az NPS üzembe helyezésének ajánlott eljárásai
• Microsoft Entra többtényezős hitelesítés NPS-bővítmény állapot-ellenőrző szkriptje
• Meglévő NPS-infrastruktúra integrálása a Microsoft Entra többtényezős hitelesítéssel

Következő lépések

• Váltás a Többtényezős Microsoft Entra-hitelesítésre összevonással
• Váltás a Microsoft Entra többtényezős hitelesítésre és a Microsoft Entra felhasználói hitelesítésére
• Az MFA-kiszolgáló áttelepítési segédprogramjának használata