Migrálás az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre
A többtényezős hitelesítés fontos az infrastruktúra és az eszközök biztonságossá tételéhez a rossz szereplőktől. Az Azure Multi-Factor Authentication Server (MFA-kiszolgáló) nem érhető el az új üzemelő példányokhoz, ezért elavultak lesznek. Az MFA-kiszolgálót használó ügyfeleknek át kell lépnie a felhőalapú Microsoft Entra többtényezős hitelesítés használatára.
Ebben a cikkben feltételezzük, hogy hibrid környezettel rendelkezik, ahol:
- Többtényezős hitelesítéshez MFA-kiszolgálót használ.
- Összevonást használ a Microsoft Entra-azonosítón Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy más identitásszolgáltatói összevonási termékkel.
- Bár ez a cikk az AD FS-re terjed ki, hasonló lépések vonatkoznak más identitásszolgáltatókra is.
- Az MFA-kiszolgáló integrálva van az AD FS-sel.
- Előfordulhat, hogy az alkalmazások AD FS-t használnak hitelesítésre.
A migrálásnak több lehetséges végpontja is lehet, a céltól függően.
Cél: Csak az MFA-kiszolgáló leszerelése | Cél: Az MFA-kiszolgáló leszerelése és a Microsoft Entra-hitelesítésre való áttérés | Cél: Az MFA-kiszolgáló és az AD FS leszerelése | |
---|---|---|---|
MFA-szolgáltató | Módosítsa az MFA-szolgáltatót az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre. | Módosítsa az MFA-szolgáltatót az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre. | Módosítsa az MFA-szolgáltatót az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre. |
Felhasználói hitelesítés | Továbbra is használja az összevonást a Microsoft Entra-hitelesítéshez. | Lépjen a Microsoft Entra-azonosítóra jelszókivonat-szinkronizálással (előnyben részesített) vagy átmenő hitelesítéssel és közvetlen egyszeri bejelentkezéssel (SSO). | Lépjen a Microsoft Entra-azonosítóra jelszókivonat-szinkronizálással (előnyben részesített) vagy átmenő hitelesítéssel és egyszeri bejelentkezéssel. |
Alkalmazáshitelesítés | Továbbra is használja az AD FS-hitelesítést az alkalmazásokhoz. | Továbbra is használja az AD FS-hitelesítést az alkalmazásokhoz. | Az alkalmazások áthelyezése a Microsoft Entra-azonosítóra, mielőtt a Microsoft Entra többtényezős hitelesítésre migrál. |
Ha teheti, helyezze át a többtényezős hitelesítést és a felhasználói hitelesítést is az Azure-ba. Részletes útmutatásért tekintse meg a Microsoft Entra többtényezős hitelesítésre és a Microsoft Entra felhasználói hitelesítésre való áttérést ismertető témakört.
Ha nem tudja áthelyezni a felhasználói hitelesítést, tekintse meg a Többtényezős Microsoft Entra-hitelesítésre való áttérésre vonatkozó részletes útmutatót összevonással.
Előfeltételek
- AD FS-környezet (kötelező, ha nem migrálja az összes alkalmazást a Microsoft Entra-ba az MFA-kiszolgáló migrálása előtt)
- Frissítés AD FS-re Windows Server 2019, Farm viselkedési szintje (FBL) 4. Ez a frissítés lehetővé teszi, hogy a csoporttagság alapján válassza ki a hitelesítésszolgáltatót a zökkenőmentesebb felhasználói átmenet érdekében. Bár a Windows Server 2016 FBL 3 AD FS-jén migrálható, a felhasználók számára nem olyan zökkenőmentes. Az áttelepítés során a rendszer arra kéri a felhasználókat, hogy válasszanak ki egy hitelesítési szolgáltatót (MFA-kiszolgáló vagy Microsoft Entra többtényezős hitelesítés) a migrálás befejezéséig.
- Engedélyek
- Vállalati rendszergazdai szerepkör az Active Directoryban az AD FS-farm konfigurálásához a Microsoft Entra többtényezős hitelesítéshez
- Globális rendszergazdai szerepkör a Microsoft Entra ID-ban a Microsoft Entra ID PowerShell használatával történő konfigurálásához
Az összes migrálási útvonal szempontjai
Az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre való migrálás nem csupán a regisztrált MFA-telefonszámok áthelyezését foglalja magában. A Microsoft MFA-kiszolgálója számos rendszerrel integrálható, és értékelnie kell, hogy ezek a rendszerek hogyan használják az MFA-kiszolgálót a Microsoft Entra többtényezős hitelesítéssel való integrálásának legjobb módjainak megértéséhez.
Az MFA felhasználói adatainak migrálása
A felhasználók kötegekben való áthelyezésének gyakori módjai közé tartozik a régiók, részlegek vagy szerepkörök, például rendszergazdák szerinti áthelyezés. A felhasználói fiókokat iteratív módon kell áthelyeznie, kezdve a teszt- és próbacsoportokkal, és győződjön meg arról, hogy rendelkezik visszaállítási tervvel.
Az MFA-kiszolgáló áttelepítési segédprogramja segítségével szinkronizálhatja a helyszíni Azure MFA-kiszolgálón tárolt MFA-adatokat a Microsoft Entra többtényezős hitelesítéssel, és szakaszos bevezetéssel átirányíthatja a felhasználókat az Azure MFA-ba. A szakaszos bevezetés segít a tesztelésben anélkül, hogy módosítanák a tartomány összevonási beállításait.
Annak érdekében, hogy a felhasználók megkülönböztessék az újonnan hozzáadott fiókot az MFA-kiszolgálóhoz társított régi fióktól, győződjön meg arról, hogy az MFA-kiszolgálón található mobilalkalmazás fiókneve el van nevezve a két fiók megkülönböztetése érdekében. Az MFA-kiszolgálón a Mobile App alatt megjelenő fióknév például a helyszíni MFA-kiszolgálóra lett átnevezve. A Microsoft Authenticator fiókneve a következő leküldéses értesítéssel módosul a felhasználó számára.
A telefonszámok migrálása azt is eredményezheti, hogy elavult számok migrálva lesznek, és a felhasználók nagyobb valószínűséggel maradnak telefonalapú MFA-n ahelyett, hogy biztonságosabb módszereket állítanának be, például a Microsoft Authenticatort jelszó nélküli módban. Ezért azt javasoljuk, hogy a választott migrálási útvonaltól függetlenül minden felhasználó regisztráljon a kombinált biztonsági információkra.
Hardveres biztonsági kulcsok migrálása
A Microsoft Entra ID támogatja az OATH hardveres jogkivonatait. Az MFA-kiszolgáló áttelepítési segédprogramja segítségével szinkronizálhatja az MFA-beállításokat az MFA-kiszolgáló és a Microsoft Entra többtényezős hitelesítés között, és szakaszos bevezetéssel tesztelheti a felhasználói migrálásokat a tartomány összevonási beállításainak módosítása nélkül.
Ha csak OATH hardveres jogkivonatokat szeretne migrálni, fel kell töltenie a jogkivonatokat a Microsoft Entra-azonosítóba egy CSV-fájl, más néven "magfájl" használatával. A kezdőfájl tartalmazza a titkos kulcsokat, a jogkivonat sorozatszámait és a jogkivonatok Microsoft Entra-azonosítóba való feltöltéséhez szükséges egyéb szükséges információkat.
Ha már nem rendelkezik a titkos kulcsokkal rendelkező magfájllal, nem exportálható a titkos kulcsok az MFA-kiszolgálóról. Ha már nem fér hozzá a titkos kulcsokhoz, forduljon a hardver gyártójához támogatásért.
Az MFA Server Web Service SDK-val exportálhatja az adott felhasználóhoz rendelt OATH-jogkivonatok sorozatszámát. Ezeket az információkat a kezdőfájllal együtt használhatja a jogkivonatok Microsoft Entra-azonosítóba való importálásához, és az OATH-jogkivonatot a megadott felhasználóhoz rendelheti a sorozatszám alapján. A felhasználót az importáláskor is fel kell venni a kapcsolatot, hogy az eszközről otp-adatokat adjon meg a regisztráció befejezéséhez. Tekintse meg a GetUserInfo>felhasználó Gépház> OathTokenSerialNumber súgófájlt az MFA-kiszolgálón található Multi-Factor Authentication-kiszolgálón.
További áttelepítések
Az MFA-kiszolgálóról a Microsoft Entra többtényezős hitelesítésre való migrálásról szóló döntés megnyitja az ajtót a többi migráláshoz. A további migrálások elvégzése számos tényezőtől függ, többek között az alábbiaktól:
- Ön hajlandó a Microsoft Entra-hitelesítés használatára a felhasználók számára
- Ön hajlandó áthelyezni az alkalmazásokat a Microsoft Entra-azonosítóba
Mivel az MFA-kiszolgáló az alkalmazás- és a felhasználói hitelesítés szerves része, érdemes lehet mindkét függvényt az Azure-ba áthelyezni az MFA-migrálás részeként, és végül le kell szerelni az AD FS-t.
Javaslataink:
- A Microsoft Entra ID használata hitelesítéshez, mivel robusztusabb biztonságot és szabályozást tesz lehetővé
- Alkalmazások áthelyezése a Microsoft Entra-azonosítóba, ha lehetséges
A szervezet számára legmegfelelőbb felhasználói hitelesítési módszer kiválasztásáról a Microsoft Entra hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása című témakörben olvashat. Javasoljuk, hogy használja a jelszókivonat-szinkronizálást (PHS).
Jelszó nélküli hitelesítés
A microsoft authenticator második tényezőként való regisztrálásának részeként javasoljuk, hogy engedélyezze a jelszó nélküli telefonos bejelentkezést a regisztráció részeként. További információkért, beleértve az egyéb jelszó nélküli módszereket, például a FIDO2 biztonsági kulcsokat és a Vállalati Windows Hello, látogasson el a Jelszó nélküli hitelesítés központi telepítésének megtervezése a Microsoft Entra-azonosítóval.
A Microsoft Identity Manager önkiszolgáló jelszó-alaphelyzetbe állítása
A Microsoft Identity Manager (MIM) SSPR az MFA-kiszolgálóval egyszeri SMS-pin-kódokat hívhat meg a jelszó-visszaállítási folyamat részeként. A MIM nem konfigurálható a Microsoft Entra többtényezős hitelesítés használatára. Javasoljuk, hogy értékelje az SSPR szolgáltatás Microsoft Entra SSPR-be való áthelyezését. A Microsoft Entra többtényezős hitelesítésre regisztráló felhasználók a kombinált regisztrációs felület használatával regisztrálhatnak a Microsoft Entra SSPR-re.
Ha nem tudja áthelyezni az SSPR szolgáltatást, vagy az MFA-kiszolgálót használja a Privileged Access Management (PAM) forgatókönyvek MFA-kéréseinek meghívásához, javasoljuk, hogy frissítsen egy másik, harmadik féltől származó MFA-lehetőségre.
RADIUS-ügyfelek és a Microsoft Entra többtényezős hitelesítése
Az MFA-kiszolgáló támogatja a RADIUS-t a protokollt támogató alkalmazások és hálózati eszközök többtényezős hitelesítésének meghívásához. Ha RADIUS-t használ az MFA-kiszolgálóval, javasoljuk, hogy az ügyfélalkalmazásokat modern protokollokra, például SAML, OpenID Csatlakozás vagy OAuth protokollra helyezhesse át a Microsoft Entra ID-n. Ha az alkalmazás nem frissíthető, akkor üzembe helyezheti a Hálózati házirend-kiszolgálót (NPS) a Microsoft Entra többtényezős hitelesítési bővítményével. A hálózati házirend-kiszolgáló (NPS) bővítmény adapterként működik a RADIUS-alapú alkalmazások és a Microsoft Entra többtényezős hitelesítés között, hogy a hitelesítés második tényezője legyen. Ez az "adapter" lehetővé teszi, hogy a RADIUS-ügyfeleket a Microsoft Entra többtényezős hitelesítésre helyezze át, és szerelje le az MFA-kiszolgálót.
Fontos tényezők
Az NPS RADIUS-ügyfelekhez való használata korlátozott, ezért javasoljuk, hogy értékelje a RADIUS-ügyfeleket annak megállapításához, hogy frissíthető-e a modern hitelesítési protokollokra. Érdeklődjön a szolgáltatónál a támogatott termékverziókról és azok képességeiről.
- Az NPS-bővítmény nem használja a Microsoft Entra feltételes hozzáférési szabályzatokat. Ha a RADIUS-t használja, és az NPS-bővítményt használja, az NPS-hez érkező összes hitelesítési kéréshez a felhasználónak MFA-t kell végrehajtania.
- A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre az NPS-bővítmény használata előtt. Ellenkező esetben a bővítmény nem hitelesíti a felhasználót, amely ügyfélszolgálati hívásokat tud generálni.
- Amikor az NPS-bővítmény meghívja az MFA-t, a rendszer elküldi az MFA-kérést a felhasználó alapértelmezett MFA-metódusának.
- Mivel a bejelentkezés nem Microsoft-alkalmazásokban történik, a felhasználó gyakran nem lát vizuális értesítést arról, hogy többtényezős hitelesítésre van szükség, és hogy a rendszer kérést küldött az eszközére.
- A többtényezős hitelesítési követelmény során a felhasználónak hozzáféréssel kell rendelkeznie az alapértelmezett hitelesítési módszerhez a követelmény teljesítéséhez. Nem választhatnak alternatív módszert. Az alapértelmezett hitelesítési módszer akkor is használható, ha le van tiltva a bérlői hitelesítési módszerekben és a többtényezős hitelesítési házirendekben.
- A felhasználók módosíthatják alapértelmezett többtényezős hitelesítési módszerüket a Biztonsági információk lapon (aka.ms/mysecurityinfo).
- A RADIUS-ügyfelek számára elérhető MFA-metódusokat a RADIUS-hozzáférési kéréseket küldő ügyfélrendszerek vezérlik.
- Azok az MFA-metódusok, amelyek a jelszó megadása után felhasználói bemenetet igényelnek, csak olyan rendszerekben használhatók, amelyek támogatják a radius-nal való hozzáféréssel kapcsolatos kihívásokra adott válaszokat. A bemeneti módszerek közé tartozhatnak az OTP, a hardveres OATH-jogkivonatok vagy a Microsoft Authenticator.
- Egyes rendszerek korlátozhatják az elérhető többtényezős hitelesítési módszereket a Microsoft Authenticator leküldéses értesítései és telefonhívásai számára.
Feljegyzés
A RADIUS-ügyfél és az NPS-rendszer között használt jelszótitkosítási algoritmus, valamint az ügyfél által használható bemeneti módszerek befolyásolhatják, hogy mely hitelesítési módszerek érhetők el. További információ: A felhasználók által használható hitelesítési módszerek meghatározása.
A RADIUS-ügyfél gyakori integrációi közé tartoznak az olyan alkalmazások, mint a távoli asztali átjárók és a VPN-kiszolgálók. Mások a következők lehetnek:
- Citrix-átjáró
- A Citrix Gateway támogatja a RADIUS- és NPS-bővítményintegrációt és az SAML-integrációt is.
- Cisco VPN
- A Cisco VPN támogatja az egyszeri bejelentkezés RADIUS- és SAML-hitelesítését is.
- A RADIUS-hitelesítésről az SAML-ra való áttéréssel integrálhatja a Cisco VPN-t az NPS-bővítmény üzembe helyezése nélkül.
- Minden VPN
- Ha lehetséges, javasoljuk, hogy a VPN-t SAML-alkalmazásként összevonta. Ez az összevonás lehetővé teszi a feltételes hozzáférés használatát. További információkért tekintse meg a Microsoft Entra ID alkalmazáskatalógusába integrált VPN-gyártók listáját.
Erőforrások az NPS üzembe helyezéséhez
- Új NPS-infrastruktúra hozzáadása
- Az NPS üzembe helyezésének ajánlott eljárásai
- Microsoft Entra többtényezős hitelesítés NPS-bővítmény állapot-ellenőrző szkriptje
- Meglévő NPS-infrastruktúra integrálása a Microsoft Entra többtényezős hitelesítéssel