Megosztás a következőn keresztül:

Upgrade to the latest Azure Multi-Factor Authentication Server

  • Cikk

Ez a cikk végigvezeti az Azure Multi-Factor Authentication Server 6.0-s vagy újabb verziójának frissítési folyamatán. Ha frissítenie kell a Telefon Factor-ügynök egy régi verzióját, tekintse meg a Telefon Factor-ügynök Azure Multi-Factor Authentication-kiszolgálóra való frissítését.

Ha v6.x vagy régebbi verzióról 7.x vagy újabb verzióra frissít, minden összetevő .NET 2.0-ról .NET 4.5-re változik. Minden összetevőhöz szükség van a Microsoft Visual C++ 2015 1. vagy újabb, terjeszthető frissítésre is. Az MFA-kiszolgáló telepítője telepíti az összetevők x86-os és x64-verzióit is, ha még nincsenek telepítve. Ha a Felhasználói portál és a Mobile App Web Service külön kiszolgálókon fut, telepítenie kell ezeket a csomagokat az összetevők frissítése előtt. A Microsoft Letöltőközpontban megkeresheti a Microsoft Visual C++ 2015 legújabb terjeszthető frissítését.

Fontos

2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési kéréseket kiszolgálni, ami a szervezet hitelesítéseinek meghiúsulását okozhatja. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Azure MFA szolgáltatásba az Azure MFA-kiszolgáló legújabb frissítésében szereplő legújabb Migration Utility használatával. További információ: Azure MFA Server Migration.

A felhőalapú MFA használatának megkezdéséhez tekintse meg az oktatóanyagot: Felhasználói bejelentkezési események biztonságossá tételét a Microsoft Entra többtényezős hitelesítésével.

Frissítési lépések egy pillantással:

  • Azure MFA-kiszolgálók frissítése (alárendeltek, majd elsődleges)
  • A felhasználói portál példányainak frissítése
  • Az AD FS-adapterpéldányok frissítése

Az Azure MFA-kiszolgáló frissítése

  1. Az Azure MFA-kiszolgáló telepítőjének legújabb verziójának beszerzéséhez használja az Azure Multi-Factor Authentication-kiszolgáló letöltésével kapcsolatos utasításokat.

  2. Készítsen biztonsági másolatot a C:\Program Files\Multi-Factor Authentication Server\Data\Telefon Factor.pfdata címen található MFA-kiszolgáló adatfájlról (feltételezve az alapértelmezett telepítési helyet) az elsődleges MFA-kiszolgálón.

  3. Ha több kiszolgálót futtat a magas rendelkezésre állás érdekében, módosítsa az MFA-kiszolgálóra hitelesítendő ügyfélrendszereket, hogy azok ne küldjenek forgalmat a frissített kiszolgálókra. Ha terheléselosztót használ, távolítsa el az alárendelt MFA-kiszolgálót a terheléselosztóból, végezze el a frissítést, majd adja hozzá újra a kiszolgálót a farmhoz.

  4. Futtassa az új telepítőt minden MFA-kiszolgálón. Először frissítse az alárendelt kiszolgálókat, mert beolvashatják az elsődleges által replikált régi adatfájlt.

    Megjegyzés:

    A kiszolgáló frissítésekor el kell távolítani a terheléselosztásból vagy a többi MFA-kiszolgálóval való forgalommegosztásból.

    A telepítő futtatása előtt nem kell eltávolítania az aktuális MFA-kiszolgálót. A telepítő helyszíni frissítést hajt végre. A telepítési útvonal az előző telepítésből származik a beállításjegyzékből, így ugyanazon a helyen telepedik (például C:\Program Files\Multi-Factor Authentication Server).

  5. Ha a rendszer egy Microsoft Visual C++ 2015 terjeszthető frissítési csomag telepítésére kéri, fogadja el a kérést. A csomag x86- és x64-verziói is telepítve vannak.

  6. Ha a Web Service SDK-t használja, a rendszer felkéri az új Web Service SDK telepítésére. Az új Web Service SDK telepítésekor győződjön meg arról, hogy a virtuális könyvtár neve megegyezik a korábban telepített virtuális könyvtárral (például MultiFactorAuthWebServiceSdk).

  7. Ismételje meg a lépéseket az összes alárendelt kiszolgálón. Előléptesse az egyik alárendeltet az új elsődlegesként, majd frissítse a régi elsődleges kiszolgálót.

A felhasználói portál frissítése

A szakaszra való áttérés előtt végezze el az MFA-kiszolgálók frissítését.

  1. Készítsen biztonsági másolatot a web.config fájlról, amely a felhasználói portál telepítési helyének virtuális könyvtárában található (például C:\inetpub\wwwroot\MultiFactorAuth). Ha bármilyen módosítás történt az alapértelmezett témában, készítsen biztonsági másolatot az App_Themes\Alapértelmezett mappáról is. Jobb, ha az Alapértelmezett mappa másolatát hozza létre, és hozzon létre egy új témát, mint az Alapértelmezett téma módosítása.

  2. Ha a felhasználói portál ugyanazon a kiszolgálón fut, mint a többi MFA-kiszolgáló-összetevő, az MFA-kiszolgáló telepítése kéri a felhasználói portál frissítését. Fogadja el a kérést, és telepítse a felhasználói portál frissítését. Ellenőrizze, hogy a virtuális könyvtár neve megegyezik-e a korábban telepített virtuális könyvtárral (például MultiFactorAuth).

  3. Ha a felhasználói portál a saját kiszolgálóján található, másolja a MultiFactorAuthenticationUserPortalSetup64.msi fájlt az egyik MFA-kiszolgáló telepítési helyéről, és helyezze el a Felhasználói portál webkiszolgálóra. Indítsa el a telepítőt.

    Ha a "Microsoft Visual C++ 2015 Újraterjeszthető 1. vagy újabb frissítés szükséges" hibaüzenet jelenik meg, töltse le és telepítse a legújabb frissítési csomagot a Microsoft letöltőközpontból. Telepítse az x86-os és az x64-verziót is.

  4. A frissített Felhasználói portál szoftver telepítése után hasonlítsa össze az 1. lépésben létrehozott web.config biztonsági mentést az új web.config fájllal. Ha nem találhatók új attribútumok az új web.config fájlban, másolja a biztonsági másolat web.config fájlját a virtuális könyvtárba az új felülírásához. Egy másik lehetőség az alkalmazás Gépház értékek és a Web Service SDK URL-címének másolása/beillesztése a biztonsági mentési fájlból az új web.config fájlba.

Ha a felhasználói portál több kiszolgálón is található, ismételje meg a telepítést mindegyiken.

A Mobile App Web Service frissítése

Megjegyzés:

Ha az Azure MFA Server 8.0-nál régebbi verziójáról 8.0-s vagy újabb verzióra frissít, a mobilalkalmazás-webszolgáltatás a frissítés után eltávolítható

Az AD FS-adapterek frissítése

A szakaszra való áttérés előtt végezze el az MFA-kiszolgálók és a felhasználói portál frissítését.

Ha az MFA más kiszolgálókon fut, mint az AD FS

Ezek az utasítások csak akkor érvényesek, ha a Multi-Factor Authentication-kiszolgálót az AD FS-kiszolgálóktól elkülönítve futtatja. Ha mindkét szolgáltatás ugyanazon a kiszolgálón fut, hagyja ki ezt a szakaszt, és folytassa a telepítési lépésekkel.

  1. Mentse az AD FS-ben regisztrált MultiFactorAuthenticationAdfsAdapter.config fájl másolatát, vagy exportálja a konfigurációt a következő PowerShell-paranccsal: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file] Az adapter neve a korábban telepített verziótól függően "WindowsAzureMultiFactorAuthentication" vagy "AzureMfaServerAuthentication".

  2. Másolja a következő fájlokat az MFA-kiszolgáló telepítési helyéről az AD FS-kiszolgálókra:

    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config

  3. Szerkessze a Register-MultiFactorAuthenticationAdfsAdapter.ps1 szkriptet úgy, hogy hozzáadja -ConfigurationFilePath [path] a Register-AdfsAuthenticationProvider parancs végéhez. Cserélje le az [elérési utat] a MultiFactorAuthenticationAdfsAdapter.config fájl vagy az előző lépésben exportált konfigurációs fájl teljes elérési útjára.

    Ellenőrizze az új MultiFactorAuthenticationAdfsAdapter.config attribútumait, és ellenőrizze, hogy egyeznek-e a régi konfigurációs fájllal. Ha az új verzióban bármilyen attribútumot hozzáadtak vagy eltávolítottak, másolja az attribútumértékeket a régi konfigurációs fájlból az újba, vagy módosítsa a régi konfigurációs fájlt az egyezésre.

Új AD FS-adapterek telepítése

Fontos

A felhasználóknak nem kell kétlépéses ellenőrzést végezni a szakasz 3–8. lépésében. Ha az AD FS több fürtben van konfigurálva, az állásidő elkerülése érdekében eltávolíthatja, frissítheti és visszaállíthatja a farm egyes fürtöit a többi fürttől függetlenül.

  1. Távolítsa el néhány AD FS-kiszolgálót a farmból. Frissítse ezeket a kiszolgálókat, amíg a többiek még futnak.

  2. Telepítse az új AD FS-adaptert az AD FS-farmból eltávolított kiszolgálókra. Ha az MFA-kiszolgáló minden AD FS-kiszolgálón telepítve van, az MFA-kiszolgáló rendszergazdai UX-ján keresztül frissíthet. Ellenkező esetben frissítse a MultiFactorAuthenticationAdfsAdapterSetup64.msi futtatásával.

    Ha a "Microsoft Visual C++ 2015 Újraterjeszthető 1. vagy újabb frissítés szükséges" hibaüzenet jelenik meg, töltse le és telepítse a legújabb frissítési csomagot a Microsoft letöltőközpontból. Telepítse az x86-os és az x64-verziót is.

  3. Nyissa meg az AD FS>hitelesítési szabályzatait>, és szerkessze a globális többtényezős hitelesítési házirendet. Törölje a Jelet a WindowsAzureMultiFactorAuthentication vagy az AzureMFAServerAuthentication (az aktuális telepített verziótól függően).

    A lépés befejezése után az MFA-kiszolgálón keresztüli kétlépéses ellenőrzés nem érhető el ebben az AD FS-fürtben, amíg el nem végzi a 8. lépést.

  4. Törölje az AD FS-adapter régebbi verziójának regisztrációját a Unregister-MultiFactorAuthenticationAdfsAdapter.ps1 PowerShell-szkript futtatásával. Győződjön meg arról, hogy a -Name paraméter (vagy a "WindowsAzureMultiFactorAuthentication" vagy az "AzureMFAServerAuthentication") megegyezik a 3. lépésben megjelenített névvel. Ez az AD FS-fürt összes kiszolgálója esetében érvényes, mivel központi konfiguráció van érvényben.

  5. Regisztrálja az új AD FS-adaptert a Register-MultiFactorAuthenticationAdfsAdapter.ps1 PowerShell-szkript futtatásával. Ez az AD FS-fürt összes kiszolgálója esetében érvényes, mivel központi konfiguráció van érvényben.

  6. Indítsa újra az AD FS szolgáltatást az AD FS-farmból eltávolított minden kiszolgálón.

  7. Adja hozzá a frissített kiszolgálókat az AD FS-farmhoz, és távolítsa el a többi kiszolgálót a farmból.

  8. Nyissa meg az AD FS>hitelesítési szabályzatait>, és szerkessze a globális többtényezős hitelesítési házirendet. Ellenőrizze az AzureMfaServerAuthentication szolgáltatást.

  9. Ismételje meg a 2. lépést az AD FS-farmból eltávolított kiszolgálók frissítéséhez, és indítsa újra az AD FS szolgáltatást ezeken a kiszolgálókon.

  10. Adja hozzá ezeket a kiszolgálókat az AD FS-farmhoz.

További lépések