Migrasi dari MFA Server ke autentikasi multifaktor Microsoft Entra

Autentikasi multifaktor penting untuk mengamankan infrastruktur dan aset Anda dari pelaku jahat. Azure Multi-Factor Authentication Server (MFA Server) tidak tersedia untuk penyebaran baru dan tidak akan digunakan lagi. Pelanggan yang menggunakan MFA Server harus beralih menggunakan autentikasi multifaktor Microsoft Entra berbasis cloud.

Dalam artikel ini, kami berasumsi bahwa Anda memiliki lingkungan hibrida di mana:

  • Anda menggunakan MFA Server untuk autentikasi multifaktor.
  • Anda menggunakan federasi pada ID Microsoft Entra dengan Layanan Federasi Direktori Aktif (AD FS) atau produk federasi penyedia identitas lainnya.
    • Meskipun artikel ini tercakup ke AD FS, langkah serupa berlaku untuk IdP lainnya.
  • MFA Server Anda terintegrasi dengan AD FS.
  • Anda mungkin memiliki aplikasi yang menggunakan AD FS untuk autentikasi.

Ada beberapa kemungkinan status akhir untuk migrasi Anda, bergantung pada tujuan Anda.


Tujuan: Menonaktifkan MFA Server SAJA Tujuan: Menonaktifkan MFA Server dan pindah ke autentikasi Microsoft Entra Tujuan: Menonaktifkan MFA Server dan AD FS
Penyedia MFA Ubah penyedia MFA dari MFA Server ke autentikasi multifaktor Microsoft Entra. Ubah penyedia MFA dari MFA Server ke autentikasi multifaktor Microsoft Entra. Ubah penyedia MFA dari MFA Server ke autentikasi multifaktor Microsoft Entra.
Autentikasi pengguna Terus gunakan federasi untuk autentikasi Microsoft Entra. Pindah ke MICROSOFT Entra ID dengan Sinkronisasi Hash Kata Sandi (pilihan) atau Autentikasi Passthrough dan Akses menyeluruh (SSO) Tanpa Hambatan. Pindah ke MICROSOFT Entra ID dengan Sinkronisasi Hash Kata Sandi (lebih disukai) atau Autentikasi Passthrough dan SSO.
Autentikasi aplikasi Terus gunakan autentikasi AD FS untuk aplikasi Anda. Terus gunakan autentikasi AD FS untuk aplikasi Anda. Pindahkan aplikasi ke ID Microsoft Entra sebelum bermigrasi ke autentikasi multifaktor Microsoft Entra.

Jika bisa, pindahkan autentikasi multifaktor dan autentikasi pengguna Anda ke Azure. Untuk panduan langkah demi langkah, lihat Pindah ke autentikasi multifaktor Microsoft Entra dan autentikasi pengguna Microsoft Entra.

Jika Anda tidak dapat memindahkan autentikasi pengguna, lihat panduan langkah demi langkah untuk Memindahkan ke autentikasi multifaktor Microsoft Entra dengan federasi.

Prasyarat

  • Lingkungan Layanan Federasi Direktori Aktif (diperlukan jika Anda tidak memigrasikan semua aplikasi Anda ke Microsoft Entra sebelum memigrasikan MFA Server)
    • Tingkatkan ke AD FS untuk Windows Server 2019, Tingkat perilaku Farm (FBL) 4. Peningkatan ini memungkinkan Anda untuk memilih penyedia autentikasi berdasarkan keanggotaan grup untuk transisi pengguna tanpa hambatan. Meskipun dimungkinkan untuk bermigrasi saat berada di Active Directory Federation Services untuk Windows Server 2016 FBL 3, proses tersebut tidak tanpa hambatan bagi pengguna. Selama migrasi, pengguna diminta untuk memilih penyedia autentikasi (MFA Server atau autentikasi multifaktor Microsoft Entra) hingga migrasi selesai.
  • Izin
    • Peran administrator perusahaan di Direktori Aktif untuk mengonfigurasi farm LAYANAN Federasi Direktori Aktif untuk autentikasi multifaktor Microsoft Entra
    • Peran administrator global di MICROSOFT Entra ID untuk mengonfigurasi ID Microsoft Entra dengan menggunakan PowerShell

Pertimbangan untuk semua jalur migrasi

Migrasi dari MFA Server ke autentikasi multifaktor Microsoft Entra melibatkan lebih dari sekadar memindahkan nomor telepon MFA terdaftar. Server MFA Microsoft dapat diintegrasikan dengan banyak sistem, dan Anda harus mengevaluasi bagaimana sistem ini menggunakan MFA Server untuk memahami cara terbaik untuk berintegrasi dengan autentikasi multifaktor Microsoft Entra.

Memigrasikan informasi pengguna MFA

Cara umum yang terpikir tentang memindahkan pengguna dalam batch termasuk memindahkan mereka berdasarkan wilayah, departemen, atau peran seperti administrator. Anda harus memindahkan akun pengguna secara berulang, dimulai dengan grup pengujian dan pilot, dan memastikan bahwa Anda memiliki rencana putar kembali.

Anda dapat menggunakan Utilitas Migrasi Server MFA untuk menyinkronkan data MFA yang disimpan di Azure MFA Server lokal ke autentikasi multifaktor Microsoft Entra dan menggunakan Peluncuran Bertahap untuk mengalihkan pengguna ke Azure MFA. Peluncuran Bertahap membantu Anda dalam menguji tanpa membuat perubahan apa pun pada pengaturan federasi domain Anda.

Untuk membantu pengguna membedakan akun yang baru ditambahkan dari akun lama yang ditautkan ke MFA Server, pastikan nama Akun untuk Aplikasi Ponsel di MFA Server diberi nama dengan cara membedakan kedua akun. Sebagai contohnya, nama Akun yang muncul di bawah Aplikasi Ponsel di Server MFA telah berganti nama menjadi Server MFA Lokal. Nama akun di Aplikasi Microsoft Authenticator akan berubah pada pemberitahuan push berikutnya yang dikirim kepada pengguna.

Memigrasikan nomor telepon juga dapat menyebabkan nomor kedaluwarsa dimigrasikan dan membuat pengguna lebih cenderung tetap menggunakan MFA berbasis telepon daripada menyiapkan metode yang lebih aman seperti Microsoft Authenticator dalam mode tanpa kata sandi. Oleh karena itu, kami menyarankan agar terlepas dari jalur migrasi yang Anda pilih, agar semua pengguna mendaftar untuk informasi keamanan gabungan.

Memigrasikan kunci keamanan perangkat keras

MICROSOFT Entra ID menyediakan dukungan untuk token perangkat keras OATH. Anda dapat menggunakan MFA Server Migration Utility untuk menyinkronkan pengaturan MFA antara MFA Server dan autentikasi multifaktor Microsoft Entra dan menggunakan Peluncuran Bertahap untuk menguji migrasi pengguna tanpa mengubah pengaturan federasi domain.

Jika Anda hanya ingin memigrasikan token perangkat keras OATH, Anda perlu mengunggah token ke ID Microsoft Entra dengan menggunakan file CSV, yang biasa disebut sebagai "file benih". File seed berisi kunci rahasia, nomor seri token, dan informasi lain yang diperlukan untuk mengunggah token ke ID Microsoft Entra.

Jika Anda tidak lagi memiliki file nilai awal yang berisi kunci rahasia, tidak mungkin untuk mengekspor kunci rahasia dari MFA Server. Jika Anda tidak lagi memiliki akses ke kunci rahasia, silakan hubungi vendor perangkat keras Anda untuk mendapatkan dukungan.

MFA Server Web Service SDK dapat digunakan untuk mengekspor nomor seri untuk token OATH yang ditetapkan kepada pengguna tertentu. Anda dapat menggunakan informasi ini bersama dengan file seed untuk mengimpor token ke ID Microsoft Entra dan menetapkan token OATH ke pengguna yang ditentukan berdasarkan nomor seri. Pengguna juga perlu dihubungi pada saat impor untuk memberikan informasi OTP dari perangkat untuk menyelesaikan pendaftaran. Jadikan topik file bantuan berikut sebagai referensi: GetUserInfo>userSettings>OathTokenSerialNumber di Server Multi-Factor Authentication pada Server MFA Anda.

Migrasi lainnya

Keputusan untuk bermigrasi dari MFA Server ke autentikasi multifaktor Microsoft Entra membuka pintu untuk migrasi lain. Menyelesaikan migrasi tambahan bergantung pada banyak faktor, termasuk khususnya:

  • Kesediaan Anda untuk menggunakan autentikasi Microsoft Entra untuk pengguna
  • Kesediaan Anda untuk memindahkan aplikasi Anda ke ID Microsoft Entra

Karena Server MFA sangat penting bagi aplikasi dan autentikasi pengguna, pertimbangkan untuk memindahkan kedua fungsi tersebut ke Azure sebagai bagian dari migrasi MFA Anda, sehingga akhirnya menonaktifkan Active Directory Federation Services.

Rekomendasi kami:

  • Menggunakan ID Microsoft Entra untuk autentikasi karena memungkinkan keamanan dan tata kelola yang lebih kuat
  • Memindahkan aplikasi ke ID Microsoft Entra jika memungkinkan

Untuk memilih metode autentikasi pengguna terbaik untuk organisasi Anda, lihat Memilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda. Sebaiknya Anda menggunakan Sinkronisasi Hash Kata Sandi (PHS).

Autentikasi tanpa kata sandi

Sebagai bagian dari mendaftarkan pengguna untuk menggunakan Microsoft Authenticator sebagai faktor kedua, sebaiknya Anda mengaktifkan masuk telepon tanpa kata sandi sebagai bagian dari pendaftaran mereka. Untuk informasi selengkapnya, termasuk metode tanpa kata sandi lainnya seperti kunci keamanan FIDO2 dan Windows Hello untuk Bisnis, kunjungi Merencanakan penyebaran autentikasi tanpa kata sandi dengan ID Microsoft Entra.

Pengaturan ulang kata sandi mandiri Microsoft Identity Manager

Microsoft Identity Manager (MIM) SSPR dapat menggunakan MFA Server untuk memanggil kode sandi satu kali SMS sebagai bagian dari alur pengaturan ulang kata sandi. MIM tidak dapat dikonfigurasi untuk menggunakan autentikasi multifaktor Microsoft Entra. Kami sarankan Anda mengevaluasi pemindahan layanan SSPR Anda ke Microsoft Entra SSPR. Anda dapat menggunakan kesempatan pengguna yang mendaftar untuk autentikasi multifaktor Microsoft Entra untuk menggunakan pengalaman pendaftaran gabungan untuk mendaftar ke Microsoft Entra SSPR.

Jika Anda tidak dapat memindahkan layanan SSPR, atau memanfaatkan MFA Server untuk memanggil permintaan MFA untuk skenario Privileged Access Management (PAM), kami sarankan Anda memperbarui ke opsi MFA pihak ketiga alternatif.

Klien RADIUS dan autentikasi multifaktor Microsoft Entra

MFA Server mendukung RADIUS untuk memanggil autentikasi multifaktor untuk aplikasi dan perangkat jaringan yang mendukung protokol. Jika Anda menggunakan RADIUS dengan MFA Server, sebaiknya pindahkan aplikasi klien ke protokol modern seperti SAML, OpenID Koneksi, atau OAuth di MICROSOFT Entra ID. Jika aplikasi tidak dapat diperbarui, maka Anda dapat menyebarkan Server Kebijakan Jaringan (NPS) dengan ekstensi autentikasi multifaktor Microsoft Entra. Ekstensi server kebijakan jaringan (NPS) bertindak sebagai adaptor antara aplikasi berbasis RADIUS dan autentikasi multifaktor Microsoft Entra untuk menyediakan faktor autentikasi kedua. "Adaptor" ini memungkinkan Anda memindahkan klien RADIUS Anda ke autentikasi multifaktor Microsoft Entra dan menonaktifkan MFA Server Anda.

Pertimbangan penting

Ada batasan saat menggunakan NPS untuk klien RADIUS, dan sebaiknya Anda mengevaluasi klien RADIUS untuk menentukan apakah Anda dapat meningkatkannya ke protokol autentikasi modern. Hubungi penyedia layanan untuk mengetahui versi produk yang didukung dan kemampuannya.

  • Ekstensi NPS tidak menggunakan kebijakan Microsoft Entra Conditional Access. Jika Anda tetap dengan RADIUS dan menggunakan ekstensi NPS, semua permintaan autentikasi yang masuk ke NPS akan mengharuskan pengguna untuk melakukan MFA.
  • Pengguna harus mendaftar untuk autentikasi multifaktor Microsoft Entra sebelum menggunakan ekstensi NPS. Jika tidak, ekstensi gagal mengautentikasi pengguna, yang dapat menghasilkan panggilan staf dukungan.
  • Ketika ekstensi NPS memanggil MFA, permintaan MFA dikirim ke metode MFA default pengguna.
    • Karena aktivitas masuk terjadi pada aplikasi non-Microsoft, pengguna tidak akan melihat pemberitahuan visual bahwa autentikasi multifaktor diperlukan dan bahwa permintaan telah dikirim ke perangkat mereka.
    • Selama persyaratan autentikasi multifaktor, pengguna harus memiliki akses ke metode autentikasi default mereka untuk menyelesaikan persyaratannya. Pengguna tidak dapat memilih metode alternatif. Metode autentikasi default mereka akan digunakan bahkan jika telah dinonaktifkan dalam metode autentikasi penyewa dan kebijakan autentikasi multifaktor.
    • Pengguna dapat mengubah metode autentikasi multifaktor default mereka di halaman Info Keamanan (aka.ms/mysecurityinfo).
  • Metode MFA yang tersedia untuk klien RADIUS dikendalikan oleh sistem klien yang mengirimkan permintaan akses RADIUS.
    • Metode MFA yang memerlukan input pengguna setelah mereka memasukkan kata sandi hanya dapat digunakan dengan sistem yang mendukung respons tantangan akses dengan RADIUS. Metode input mungkin termasuk OTP, token OATH perangkat keras atau aplikasi Microsoft Authenticator.
    • Beberapa sistem mungkin membatasi metode autentikasi multifaktor yang tersedia untuk pemberitahuan push dan panggilan telepon Microsoft Authenticator.

Catatan

Algoritme enkripsi kata sandi yang digunakan antara klien RADIUS dan sistem NPS, dan metode input yang dapat digunakan klien memengaruhi metode autentikasi mana yang tersedia. Untuk informasi selengkapnya, lihat Menentukan metode autentikasi yang dapat digunakan pengguna Anda.

Integrasi klien RADIUS yang umum mencakup aplikasi seperti Gateway Desktop Jauh dan Server VPN. Yang lain mungkin termasuk:

  • Citrix Gateway
    • Gateway Citrix mendukung integrasi ekstensi RADIUS dan NPS, dan integrasi SAML.
  • Cisco VPN
    • Cisco VPN mendukung autentikasi RADIUS dan SAML untuk SSO.
    • Dengan berpindah dari autentikasi RADIUS ke SAML, Anda dapat mengintegrasikan Cisco VPN tanpa menyebarkan ekstensi NPS.
  • Semua VPN

Sumber daya untuk menyebarkan NPS

Langkah berikutnya