Memigrasikan ke autentikasi cloud dengan menggunakan Peluncuran Bertahap

Peluncuran Bertahap memungkinkan Anda menguji grup pengguna secara selektif dengan kemampuan autentikasi cloud seperti autentikasi multifaktor Microsoft Entra, Akses Bersyarat, Perlindungan Identitas untuk kredensial bocor, Tata Kelola Identitas, dan lainnya, sebelum memotong domain Anda. Artikel ini membahas cara beralih.

Sebelum memulai Peluncuran Bertahap, Anda harus mempertimbangkan implikasi jika satu atau beberapa kondisi berikut ini benar:

• Saat ini Anda menggunakan Server Autentikasi Multifaktor lokal.
• Anda menggunakan kartu pintar untuk autentikasi.
• Server Anda saat ini menawarkan fitur khusus gabungan tertentu.
• Anda berpindah dari solusi federasi pihak ketiga ke layanan terkelola.

Sebelum mencoba fitur ini, Anda sebaiknya meninjau panduan kami tentang memilih metode autentikasi yang tepat. Untuk informasi selengkapnya, lihat tabel "Membandingkan metode" di Memilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda.

Untuk gambaran umum fitur, lihat video "Apa itu Peluncuran Bertahap?" ini:

Prasyarat

• Anda memiliki penyewa Microsoft Entra dengan domain federasi.

• Anda telah memutuskan untuk memindahkan salah satu opsi berikut:

  • Sinkronisasi (sinkron) hash kata sandi. Untuk informasi selengkapnya, lihat Apa itu sinkronisasi hash kata sandi
  • Autentikasi langsung. Untuk informasi selengkapnya, lihat Apa itu autentikasi pass-through
  • Pengaturan autentikasi berbasis Sertifikat (CBA) Microsoft Entra. Untuk informasi selengkapnya, lihat Gambaran Umum autentikasi berbasis sertifikat Microsoft Entra

  Untuk kedua opsi tersebut, Anda sebaiknya mengaktifkan single sign-on (SSO) untuk mencapai pengalaman masuk senyap. Untuk perangkat dengan domain bersama Windows 7 atau 8.1, sebaiknya gunakan seamless SSO. Untuk informasi selengkapnya, lihat Apa itu seamless SSO. Untuk Windows 10, Windows Server 2016 dan versi yang lebih baru, disarankan untuk menggunakan SSO melalui Token Refresh Utama (PRT) dengan perangkat gabungan Microsoft Entra, perangkat gabungan hibrid Microsoft Entra, atau perangkat terdaftar pribadi melalui Tambahkan Akun Kerja atau Sekolah.

• Anda telah mengonfigurasi semua kebijakan branding penyewa dan Akses Bersyar yang sesuai yang Anda butuhkan untuk pengguna yang sedang dimigrasikan ke autentikasi cloud.

• Jika Anda telah berpindah dari federasi ke autentikasi cloud, Anda harus memverifikasi bahwa pengaturan SynchronizeUpnForManagedUsers DirSync diaktifkan, jika tidak, ID Microsoft Entra tidak mengizinkan pembaruan sinkronisasi ke UPN atau ID masuk alternatif untuk akun pengguna berlisensi yang menggunakan autentikasi terkelola. Untuk informasi selengkapnya, lihat Fitur layanan Microsoft Entra Koneksi Sync.

• Jika Anda berencana menggunakan autentikasi multifaktor Microsoft Entra, kami sarankan Anda menggunakan pendaftaran gabungan untuk pengaturan ulang kata sandi mandiri (SSPR) dan autentikasi multifaktor agar pengguna Anda mendaftarkan metode autentikasi mereka sekali. Catatan- saat menggunakan SSPR untuk mengatur ulang kata sandi atau mengubah kata sandi menggunakan halaman MyProfile saat berada di Peluncuran Bertahap, Microsoft Entra Koneksi perlu menyinkronkan hash kata sandi baru yang dapat memakan waktu hingga 2 menit setelah reset.

• Untuk menggunakan fitur Peluncuran Bertahap, Anda harus menjadi Administrator Identitas Hibrid di penyewa Anda.

• Untuk mengaktifkan seamless SSO di area Active Directory tertentu, Anda harus menjadi administrator domain.

• Jika Anda menyebarkan ID Microsoft Entra Hibrid atau gabungan Microsoft Entra, Anda harus meningkatkan ke pembaruan Windows 10 1903.

Skenario yang didukung

Skenario berikut didukung untuk Peluncuran Bertahap. Fitur ini hanya berfungsi untuk:

• Pengguna yang diprovisikan ke ID Microsoft Entra dengan menggunakan Microsoft Entra Koneksi. Ini tidak berlaku untuk pengguna khusus cloud.

• Lalu lintas masuk pengguna di browser dan klien autentikasi modern. Aplikasi atau layanan cloud yang menggunakan autentikasi lama kembali ke alur autentikasi gabungan. Contoh autentikasi warisan mungkin Exchange online dengan autentikasi modern dinonaktifkan, atau Outlook 2010, yang tidak mendukung autentikasi modern.

• Ukuran grup saat ini terbatas pada 50.000 pengguna. Jika Anda memiliki grup yang lebih besar dari 50.000 pengguna, disarankan untuk membagi grup ini melalui beberapa grup untuk Peluncuran Bertahap.

• Windows 10 Hybrid Join atau Microsoft Entra bergabung dengan akuisisi token refresh utama tanpa garis pandang ke server federasi untuk Windows 10 versi 1903 dan yang lebih baru, ketika UPN pengguna dapat dirutekan dan akhiran domain diverifikasi dalam ID Microsoft Entra.

• Pendaftaran autopilot didukung dalam Peluncuran Bertahap dengan Windows 10 versi 1909 atau yang lebih baru.

Skenario yang tidak didukung

Skenario berikut tidak didukung untuk Peluncuran Bertahap:

• Autentikasi warisan seperti POP3 dan SMTP tidak didukung.

• Aplikasi tertentu mengirim parameter kueri "domain_hint" ke ID Microsoft Entra selama autentikasi. Alur ini berlanjut, dan pengguna yang diaktifkan untuk Peluncuran Bertahap terus menggunakan federasi untuk autentikasi.

• Admin dapat meluncurkan autentikasi cloud menggunakan grup keamanan. Untuk menghindari latensi sinkronisasi saat Anda menggunakan grup keamanan Active Directory lokal, Anda sebaiknya menggunakan grup keamanan cloud. Ketentuan berikut berlaku:

  • Anda dapat menggunakan maksimal 10 grup per fitur. Artinya, Anda dapat menggunakan masing-masing 10 grup untuk sinkronisasi hash kata sandi, autentikasi pass-through,dan seamless SSO.
  • Grup berlapis tidak didukung.
  • Grup dinamis tidak didukung untuk Peluncuran Bertahap.
  • Objek kontak di dalam grup memblokir grup agar tidak ditambahkan.

• Saat pertama kali menambahkan grup keamanan untuk Peluncuran Bertahap, Anda dibatasi hingga 200 pengguna untuk menghindari batas waktu UX. Setelah menambahkan grup, Anda dapat menambahkan lebih banyak pengguna langsung ke grup tersebut sesuai kebutuhan.

• Sementara pengguna berada dalam Peluncuran Bertahap dengan Sinkronisasi Hash Kata Sandi (PHS), tidak ada kedaluwarsa kata sandi yang diterapkan secara default. Kedaluwarsa kata sandi dapat diterapkan dengan mengaktifkan "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Ketika "CloudPasswordPolicyForPasswordSyncedUsersEnabled" diaktifkan, kebijakan kedaluwarsa kata sandi diatur ke 90 hari sejak kata sandi waktu diatur lokal tanpa opsi untuk menyesuaikannya. Memperbarui atribut PasswordPolicies secara terprogram tidak didukung saat pengguna berada dalam Peluncuran Bertahap. Untuk mempelajari cara mengatur 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' lihat Kebijakan kedaluwarsa kata sandi.

• Windows 10 Hybrid Join atau Microsoft Entra bergabung dengan akuisisi token refresh utama untuk versi Windows 10 yang lebih lama dari 1903. Skenario ini kembali ke titik akhir WS-Trust dari server federasi, bahkan jika pengguna yang masuk berada dalam cakupan Peluncuran Bertahap.

• Gabungan Hibrid Windows 10 atau Microsoft Entra bergabung dengan akuisisi token refresh utama untuk semua versi, saat UPN lokal pengguna tidak dapat dirutekan. Skenario ini kembali ke titik akhir WS-Trust saat dalam mode Peluncuran Bertahap, tetapi berhenti berfungsi ketika migrasi bertahap selesai dan masuk pengguna tidak lagi mengandalkan server federasi.

• Jika Anda memiliki penyiapan VDI nonpersisten dengan Windows 10, versi 1903 atau yang lebih baru, Anda harus tetap berada di domain federasi. Pindah ke domain terkelola tidak didukung pada VDI nonpersisten. Untuk informasi selengkapnya, lihat Identitas perangkat dan virtualisasi desktop.

• Jika Anda memiliki kepercayaan sertifikat hibrid Windows Hello untuk Bisnis dengan sertifikat yang dikeluarkan melalui server federasi Anda yang bertindak sebagai Otoritas Pendaftaran atau pengguna smartcard, skenario tidak didukung pada Peluncuran Bertahap.

  Catatan

  Anda masih perlu membuat cutover akhir dari federasi ke autentikasi cloud dengan menggunakan Microsoft Entra Koneksi atau PowerShell. Peluncuran Bertahap tidak mengalihkan domain dari gabungan ke terkelola. Untuk informasi selengkapnya tentang pemotongan domain, lihat Melakukan migrasi dari gabungan ke sinkronisasi hash kata sandi dan Migrasi dari gabungan ke autentikasi pass-through.

Mulai melakukan Peluncuran Bertahap

Untuk menguji masuk sinkronisasi hash kata sandi dengan menggunakan Peluncuran Bertahap, ikuti instruksi pra-kerja di bagian berikutnya.

Untuk informasi tentang cmdlet PowerShell mana yang akan digunakan, lihat Pratinjau Microsoft Entra ID 2.0.

Prapekerjaan untuk sinkronisasi hash kata sandi

1. Aktifkan sinkronisasi hash kata sandi dari halaman Fitur opsional di Microsoft Entra Koneksi. 

   

2. Pastikan siklus sinkronisasi hash kata sandi lengkap telah berjalan sehingga semua hash kata sandi pengguna telah disinkronkan ke ID Microsoft Entra. Untuk memeriksa status sinkronisasi hash kata sandi, Anda dapat menggunakan diagnostik PowerShell di Memecahkan masalah sinkronisasi hash kata sandi dengan Microsoft Entra Koneksi Sync.

   

Jika Anda ingin menguji masuk autentikasi pass-through dengan menggunakan Peluncuran Bertahap, aktifkan dengan mengikuti instruksi pra-kerja di bagian berikutnya.

Prapekerjaan untuk autentikasi pass-through

1. Identifikasi server yang menjalankan Windows Server 2012 R2 atau yang lebih baru tempat Anda ingin menjalankan agen autentikasi pass-through.

   Jangan pilih server Microsoft Entra Koneksi. Pastikan server bergabung dengan domain, dapat mengautentikasi pengguna yang dipilih dengan Direktori Aktif, dan dapat berkomunikasi dengan ID Microsoft Entra pada port dan URL keluar. Untuk informasi selengkapnya, lihat bagian "Langkah 1: Periksa prasyarat" mulai cepat: Microsoft Entra akses menyeluruh yang mulus.

2. Unduh agen autentikasi Microsoft Entra Koneksi, dan instal di server. 

3. Untuk mengaktifkan ketersediaan tinggi, instal agen autentikasi tambahan di server lain.

4. Pastikan Anda telah mengonfigurasi pengaturan Smart Lockout dengan tepat. Hal ini dapat membantu memastikan bahwa akun Active Directory pengguna di tempat Anda tidak dikunci oleh actor yang buruk.

Anda sebaiknya mengaktifkan seamless SSO, terlepas dari metode masuk (sinkronisasi hash kata sandi atau autentikasi pass-through) yang Anda pilih untuk Peluncuran Bertahap. Untuk mengaktifkan SSO tanpa hambatan, ikuti instruksi prakerja di bagian berikutnya.

Prapekerjaan untuk SSO tanpa hambatan

Aktifkan seamless SSO di area Active Directory menggunakan PowerShell. Jika Anda memiliki lebih dari satu area Active Directory, aktifkan untuk setiap area secara individu. Seamless SSO dipicu hanya untuk pengguna yang dipilih untuk Peluncuran Bertahap. Ini tidak memengaruhi pengaturan gabungan Anda yang ada.

Aktifkan SSO tanpa hambatan dengan melakukan tugas-tugas berikut:

1. Masuk ke Microsoft Entra Koneksi Server.

2. Buka folder %programfiles%\Microsoft Entra Koneksi.

3. Impor modul PowerShell SSO tanpa hambatan dengan menjalankan perintah berikut:

   Import-Module .\AzureADSSO.psd1

4. Jalankan PowerShell sebagai Administrator. Pada PowerShell, panggil New-AzureADSSOAuthenticationContext. Perintah ini membuka panel tempat Anda bisa memasukkan kredensial Administrator Identitas Hibrid penyewa Anda.

5. Panggil Get-AzureADSSOStatus | ConvertFrom-Json. Perintah ini menampilkan daftar area Active Directory (lihat daftar "Domain") tempat fitur ini telah diaktifkan. Secara default, ini diatur ke false di tingkat penyewa.

   

6. Panggil $creds = Get-Credential. Pada perintah, masukkan kredensial administrator domain untuk area Active Directory yang dimaksudkan.

7. Panggil Enable-AzureADSSOForest -OnPremCredentials $creds. Perintah ini membuat akun komputer AZUREADSSOACC dari pengontrol domain lokal untuk area Active Directory yang diperlukan untuk seamless SSO.

8. seamless SSO mengharuskan URL berada di zona intranet. Untuk menyebarkan URL tersebut dengan menggunakan kebijakan grup, lihat Mulai Cepat: Akses menyeluruh Tanpa Hambatan Microsoft Entra.

9. Untuk panduan lengkap, Anda juga dapat mengunduh rencana penyebaran kami untuk seamless SSO.

Mengaktifkan Peluncuran Bertahap

Untuk meluncurkan fitur tertentu (autentikasi pass-through, sinkronisasi hash kata sandi, atau seamless SSO) ke set pengguna tertentu dalam grup, ikuti instruksi di bagian berikutnya.

Mengaktifkan Peluncuran Bertahap fitur tertentu pada penyewa Anda

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Anda dapat meluncurkan salah satu opsi berikut:

• Sinkronisasi hash kata sandi + SSO Tanpa Hambatan
• Autentikasi pass-through + SSO Tanpa Hambatan
• Tidak didukung - Sinkronisasi hash kata sandi + Autentikasi pass-through + SSO Tanpa Hambatan
• Pengaturan autentikasi berbasis sertifikat
• Autentikasi multifaktor Azure

Untuk mengonfigurasi Peluncuran Bertahap, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

2. Telusuri ke >Manajemen>Identitas Hibrid Microsoft Entra Koneksi> Koneksi sinkronisasi.

3. Pada halaman Microsoft Entra Koneksi, di bawah peluncuran autentikasi cloud bertahap, pilih tautan Aktifkan peluncuran bertahap untuk masuk pengguna terkelola.

4. Pada halaman Aktifkan fitur peluncuran bertahap, pilih opsi yang ingin Anda aktifkan: Sinkronisasi Hash Kata Sandi, Autentikasi pass-through, Akses menyeluruh Tanpa Hambatan, atau Autentikasi berbasis Sertifikat. Misalnya, jika Anda ingin mengaktifkan Sinkronisasi Hash Kata Sandi dan Akses menyeluruh tanpa hambatan, geser kedua kontrol ke Aktif.

5. Tambahkan grup ke fitur yang Anda pilih. Misalnya, autentikasi pass-through dan SSO tanpa hambatan. Untuk menghindari batas waktu, pastikan bahwa kelompok keamanan awalnya tidak berisi lebih dari 200 anggota.

   Catatan

   Anggota dalam grup secara otomatis diaktifkan untuk Peluncuran Bertahap. Grup berlapis dan dinamis tidak didukung untuk Peluncuran Bertahap. Saat menambahkan grup baru, pengguna dalam grup (hingga 200 pengguna untuk grup baru) akan diperbarui untuk segera menggunakan autentikasi terkelola. Mengedit grup (menambahkan atau menghapus pengguna), ini dapat membutuhkan waktu hingga 24 jam agar perubahan diterapkan. Seamless SSO hanya akan berlaku jika pengguna berada di grup Seamless SSO dan di grup PTA atau PHS.

Audit

Kita telah mengaktifkan peristiwa audit untuk berbagai tindakan yang kita lakukan untuk Peluncuran Bertahap:

• Peristiwa audit ketika Anda mengaktifkan Peluncuran Bertahap untuk sinkronisasi hash kata sandi, autentikasi pass-through, atau seamless SSO.

  Catatan

  Peristiwa audit dicatat saat seamless SSO diaktifkan menggunakan Peluncuran Bertahap.

  

  

• Peristiwa audit ketika grup ditambahkan ke sinkronisasi hash kata sandi, autentikasi pass-through, atau seamless SSO.

  Catatan

  Peristiwa audit dicatat ketika grup ditambahkan ke sinkronisasi hash kata sandi untuk Peluncuran Bertahap.

  

  

• Peristiwa audit ketika pengguna yang ditambahkan ke grup diaktifkan untuk Peluncuran Bertahap.

  

  

Validasi

Untuk menguji masuk dengan sinkronisasi hash kata sandi atau autentikasi pass-through (masuk nama pengguna dan kata sandi), lakukan tugas berikut:

1. Pada ekstranet, buka halaman Aplikasi di sesi browser pribadi, lalu masukkan UserPrincipalName (UPN) akun pengguna yang dipilih untuk Peluncuran Bertahap.

   Pengguna yang telah ditargetkan untuk Peluncuran Bertahap tidak dialihkan ke halaman masuk federasi Anda. Sebagai gantinya, mereka diminta untuk masuk di halaman masuk bermerek penyewa Microsoft Entra.

2. Pastikan bahwa rincian masuk berhasil muncul di laporan aktivitas masuk Microsoft Entra dengan memfilter dengan UserPrincipalName.

Untuk menguji masuk dengan seamless SSO:

1. Pada intranet, buka halaman Aplikasi di sesi browser pribadi, lalu masukkan UserPrincipalName (UPN) akun pengguna yang dipilih untuk Peluncuran Bertahap.

   Pengguna yang telah ditargetkan untuk Peluncuran Bertahap SSO tanpa hambatan disajikan dengan "Mencoba memasukkan Anda ke ..." pesan sebelum masuk secara diam-diam.

2. Pastikan bahwa rincian masuk berhasil muncul di laporan aktivitas masuk Microsoft Entra dengan memfilter dengan UserPrincipalName.

   Untuk melacak login pengguna yang masih terjadi pada Active Directory Federation Services (AD FS) untuk pengguna Peluncuran Bertahap yang dipilih, ikuti instruksi di Pemecahan masalah AD FS: Peristiwa dan pembuatan log. Periksa dokumentasi vendor tentang cara memeriksa ini pada penyedia federasi pihak ketiga.

   Catatan

   Saat pengguna dalam Peluncuran Bertahap dengan PHS, perubahan kata sandi mungkin memerlukan waktu hingga 2 menit untuk diterapkan karena waktu sinkronisasi. Pastikan untuk menetapkan harapan dengan pengguna Anda untuk menghindari panggilan bantuan teknis setelah mereka mengubah kata sandi mereka.

Pemantauan

Anda dapat memantau pengguna dan grup yang ditambahkan atau dihapus dari Peluncuran Bertahap dan pengguna masuk saat berada di Peluncuran Bertahap, menggunakan buku kerja Hybrid Auth baru di pusat admin Microsoft Entra.

Menghapus pengguna dari Peluncuran Bertahap

Menghapus pengguna dari grup menonaktifkan Peluncuran Bertahap untuk pengguna tersebut. Untuk menonaktifkan fitur Peluncuran Bertahap, geser kontrol kembali ke Off.

Tanya jawab umum

T: Dapatkah saya menggunakan kemampuan ini dalam produksi?

J: Ya, Anda dapat menggunakan fitur ini di penyewa produksi Anda, tetapi Anda sebaiknya terlebih dahulu mencobanya di penyewa pengujian Anda.

T: Dapatkah fitur ini digunakan untuk mempertahankan "ko-eksistensi" permanen saat beberapa pengguna menggunakan autentikasi gabungan dan yang lain menggunakan autentikasi cloud?

J: Tidak, fitur ini dirancang untuk menguji autentikasi cloud. Setelah pengujian berhasil, beberapa grup pengguna harus Anda potong ke autentikasi cloud. Kami tidak merekomendasikan penggunaan status campuran permanen, karena pendekatan ini dapat menyebabkan alur autentikasi yang tidak terduga.

T: Dapatkah saya menggunakan PowerShell untuk melakukan Peluncuran Bertahap?

J: Ya. Untuk mempelajari cara menggunakan PowerShell untuk melakukan Peluncuran Bertahap, lihat Pratinjau ID Microsoft Entra.

Langkah berikutnya

• Pratinjau Microsoft Entra ID 2.0
• Mengubah metode masuk ke sinkronisasi hash kata sandi
• Mengubah metode masuk ke autentikasi pass-through