Migrasi ke autentikasi cloud menggunakan Peluncuran Bertahap
Peluncuran Bertahap memungkinkan Anda menguji grup pengguna secara selektif dengan kemampuan autentikasi cloud seperti autentikasi multifaktor Microsoft Entra, Akses Bersyarat, Perlindungan ID Entra Microsoft untuk kredensial bocor, Tata Kelola Identitas, dan lainnya, sebelum memotong domain Anda. Artikel ini membahas cara beralih.
Sebelum memulai Peluncuran Bertahap, Anda harus mempertimbangkan implikasi jika satu atau beberapa kondisi berikut ini benar:
- Saat ini Anda menggunakan Server Autentikasi Multifaktor lokal.
- Anda menggunakan kartu pintar untuk autentikasi.
- Server Anda saat ini menawarkan fitur khusus federasi tertentu.
- Anda berpindah dari solusi federasi pihak ketiga ke layanan terkelola.
Sebelum Anda mencoba fitur ini, kami sarankan Anda meninjau panduan kami tentang memilih metode autentikasi yang tepat. Untuk informasi selengkapnya, lihat tabel "Membandingkan metode" di Memilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda.
Untuk gambaran umum fitur, lihat video "Apa itu Peluncuran Bertahap?" ini:
Prasyarat
Anda memiliki penyewa Microsoft Entra dengan domain federasi.
Anda telah memutuskan untuk memindahkan salah satu opsi berikut:
- Sinkronisasi hash kata sandi (sinkronisasi). Untuk informasi selengkapnya, lihat Apa itu sinkronisasi hash kata sandi
- Autentikasi pass-through. Untuk informasi selengkapnya, lihat Apa itu autentikasi pass-through
- Pengaturan autentikasi berbasis Sertifikat (CBA) Microsoft Entra. Untuk informasi selengkapnya, lihat Gambaran Umum autentikasi berbasis sertifikat Microsoft Entra
Untuk kedua opsi, sebaiknya aktifkan akses menyeluruh (SSO) untuk mencapai pengalaman masuk senyap. Untuk perangkat yang bergabung dengan domain Windows 7 atau 8.1, sebaiknya gunakan SSO yang mulus. Untuk informasi selengkapnya, lihat Apa itu SSO tanpa hambatan. Untuk Windows 10, Windows Server 2016 dan versi yang lebih baru, disarankan untuk menggunakan SSO melalui Token Refresh Utama (PRT) dengan perangkat gabungan Microsoft Entra, perangkat gabungan hibrid Microsoft Entra, atau perangkat terdaftar pribadi melalui Tambahkan Akun Kerja atau Sekolah.
Anda telah mengonfigurasi semua kebijakan branding penyewa dan Akses Bersyar yang sesuai yang Anda butuhkan untuk pengguna yang sedang dimigrasikan ke autentikasi cloud.
Jika Anda telah berpindah dari federasi ke autentikasi cloud, Anda harus memverifikasi bahwa pengaturan
SynchronizeUpnForManagedUsers
DirSync diaktifkan, jika tidak, ID Microsoft Entra tidak mengizinkan pembaruan sinkronisasi ke UPN atau ID masuk alternatif untuk akun pengguna berlisensi yang menggunakan autentikasi terkelola. Untuk informasi selengkapnya, lihat Fitur layanan Sinkronisasi Microsoft Entra Connect.Jika Anda berencana menggunakan autentikasi multifaktor Microsoft Entra, kami sarankan Anda menggunakan pendaftaran gabungan untuk pengaturan ulang kata sandi mandiri (SSPR) dan autentikasi multifaktor agar pengguna Anda mendaftarkan metode autentikasi mereka sekali. Catatan- saat menggunakan SSPR untuk mengatur ulang kata sandi atau mengubah kata sandi menggunakan halaman MyProfile saat berada di Peluncuran Bertahap, Microsoft Entra Connect perlu menyinkronkan hash kata sandi baru yang dapat memakan waktu hingga 2 menit setelah reset.
Untuk menggunakan fitur Peluncuran Bertahap, Anda harus menjadi Administrator Identitas Hibrid di penyewa Anda.
Untuk mengaktifkan SSO tanpa hambatan pada forest Active Directory tertentu, Anda harus menjadi administrator domain.
Jika Anda menyebarkan ID Microsoft Entra Hibrid atau gabungan Microsoft Entra, Anda harus meningkatkan ke pembaruan Windows 10 1903.
Skenario yang didukung
Skenario berikut didukung untuk Peluncuran Bertahap. Fitur ini hanya berfungsi untuk:
Pengguna yang diprovisikan ke ID Microsoft Entra dengan menggunakan Microsoft Entra Connect. Ini tidak berlaku untuk pengguna khusus cloud.
Lalu lintas masuk pengguna di browser dan klien autentikasi modern. Aplikasi atau layanan cloud yang menggunakan autentikasi lama kembali ke alur autentikasi gabungan. Contoh autentikasi warisan mungkin Exchange online dengan autentikasi modern dinonaktifkan, atau Outlook 2010, yang tidak mendukung autentikasi modern.
Ukuran grup saat ini dibatasi hingga 50.000 pengguna. Jika Anda memiliki grup yang lebih besar dari 50.000 pengguna, disarankan untuk membagi grup ini melalui beberapa grup untuk Peluncuran Bertahap.
Windows 10 Hybrid Join atau Microsoft Entra bergabung dengan akuisisi token refresh utama tanpa garis pandang ke server federasi untuk Windows 10 versi 1903 dan yang lebih baru, ketika UPN pengguna dapat dirutekan dan akhiran domain diverifikasi dalam ID Microsoft Entra.
Pendaftaran autopilot didukung dalam Peluncuran Bertahap dengan Windows 10 versi 1909 atau yang lebih baru.
Skenario yang tidak didukung
Skenario berikut tidak didukung untuk Peluncuran Bertahap:
Autentikasi warisan seperti POP3 dan SMTP tidak didukung.
Aplikasi tertentu mengirim parameter kueri "domain_hint" ke ID Microsoft Entra selama autentikasi. Alur ini berlanjut, dan pengguna yang diaktifkan untuk Peluncuran Bertahap terus menggunakan federasi untuk autentikasi.
Admin dapat meluncurkan autentikasi cloud dengan menggunakan grup keamanan. Untuk menghindari latensi sinkronisasi saat Anda menggunakan grup keamanan Active Directory lokal, kami sarankan Anda menggunakan grup keamanan cloud. Ketentuan berikut berlaku:
- Anda dapat menggunakan maksimal 10 grup per fitur. Artinya, Anda dapat menggunakan masing-masing 10 grup untuk sinkronisasi hash kata sandi, autentikasi pass-through, dan SSO yang mulus.
- Grup berlapis tidak didukung.
- Grup dinamis tidak didukung untuk Peluncuran Bertahap.
- Objek kontak di dalam grup memblokir grup agar tidak ditambahkan.
Saat pertama kali menambahkan grup keamanan untuk Peluncuran Bertahap, Anda dibatasi hingga 200 pengguna untuk menghindari batas waktu UX. Setelah menambahkan grup, Anda dapat menambahkan lebih banyak pengguna langsung ke grup tersebut, sesuai kebutuhan.
Saat pengguna berada dalam Peluncuran Bertahap dengan Sinkronisasi Hash Kata Sandi (PHS), secara default tidak ada kedaluwarsa kata sandi yang diterapkan. Kedaluwarsa kata sandi dapat diterapkan dengan mengaktifkan "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Ketika "CloudPasswordPolicyForPasswordSyncedUsersEnabled" diaktifkan, kebijakan kedaluwarsa kata sandi diatur ke 90 hari sejak kata sandi waktu diatur lokal tanpa opsi untuk menyesuaikannya. Memperbarui atribut PasswordPolicies secara terprogram tidak didukung saat pengguna berada dalam Peluncuran Bertahap. Untuk mempelajari cara mengatur 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' lihat Kebijakan kedaluwarsa kata sandi.
Windows 10 Hybrid Join atau Microsoft Entra bergabung dengan akuisisi token refresh utama untuk versi Windows 10 yang lebih lama dari 1903. Skenario ini kembali ke titik akhir WS-Trust dari server federasi, bahkan jika pengguna yang masuk berada dalam cakupan Peluncuran Bertahap.
Gabungan Hibrid Windows 10 atau Microsoft Entra bergabung dengan akuisisi token refresh utama untuk semua versi, saat UPN lokal pengguna tidak dapat dirutekan. Skenario ini kembali ke titik akhir WS-Trust saat dalam mode Peluncuran Bertahap, tetapi berhenti berfungsi ketika migrasi bertahap selesai dan masuk pengguna tidak lagi mengandalkan server federasi.
Jika Anda memiliki penyiapan VDI nonpersisten dengan Windows 10, versi 1903 atau yang lebih baru, Anda harus tetap berada di domain federasi. Pindah ke domain terkelola tidak didukung pada VDI nonpersisten. Untuk informasi selengkapnya, lihat Identitas perangkat dan virtualisasi desktop.
Jika Anda memiliki kepercayaan sertifikat hibrid Windows Hello untuk Bisnis dengan sertifikat yang dikeluarkan melalui server federasi Anda yang bertindak sebagai Otoritas Pendaftaran atau pengguna kartu pintar, skenario tidak didukung pada Peluncuran Bertahap.
Nota
Anda masih perlu membuat cutover akhir dari federasi ke autentikasi cloud dengan menggunakan Microsoft Entra Connect atau PowerShell. Peluncuran Bertahap tidak mengalihkan domain dari federasi ke terkelola. Untuk informasi selengkapnya tentang cutover domain, lihat Migrasi dari federasi ke sinkronisasi hash kata sandi dan Migrasi dari federasi ke autentikasi pass-through.
Mulai menggunakan Peluncuran Bertahap
Untuk menguji masuk sinkronisasi hash kata sandi dengan menggunakan Peluncuran Bertahap, ikuti instruksi pra-kerja di bagian berikutnya.
Untuk informasi tentang cmdlet PowerShell mana yang akan digunakan, lihat Pratinjau Microsoft Entra ID 2.0.
Prapekerjaan untuk sinkronisasi hash kata sandi
Aktifkan sinkronisasi hash kata sandi dari halaman Fitur opsional di Microsoft Entra Connect.
Pastikan siklus sinkronisasi hash kata sandi lengkap telah berjalan sehingga semua hash kata sandi pengguna telah disinkronkan ke ID Microsoft Entra. Untuk memeriksa status sinkronisasi hash kata sandi, Anda dapat menggunakan diagnostik PowerShell di Memecahkan masalah sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect.
Jika Anda ingin menguji masuk autentikasi pass-through dengan menggunakan Peluncuran Bertahap, aktifkan dengan mengikuti instruksi pra-kerja di bagian berikutnya.
Prapekerjaan untuk autentikasi pass-through
Identifikasi server yang menjalankan Windows Server 2012 R2 atau yang lebih baru di mana Anda ingin agen autentikasi pass-through berjalan.
Jangan pilih server Microsoft Entra Connect. Pastikan server bergabung dengan domain, dapat mengautentikasi pengguna yang dipilih dengan Direktori Aktif, dan dapat berkomunikasi dengan ID Microsoft Entra pada port dan URL keluar. Untuk informasi selengkapnya, lihat bagian "Langkah 1: Periksa prasyarat" mulai cepat: Microsoft Entra akses menyeluruh yang mulus.
Unduh agen autentikasi Microsoft Entra Connect, dan instal di server.
Untuk mengaktifkan ketersediaan tinggi, instal agen autentikasi tambahan di server lain.
Pastikan Anda telah mengonfigurasi pengaturan Smart Lockout dengan tepat. Melakukannya membantu memastikan bahwa akun Active Directory lokal pengguna Anda tidak dikunci oleh pelaku jahat.
Sebaiknya aktifkan SSO tanpa hambatan terlepas dari metode masuk (sinkronisasi hash kata sandi atau autentikasi pass-through) yang Anda pilih untuk Peluncuran Bertahap. Untuk mengaktifkan SSO tanpa hambatan, ikuti instruksi prakerja di bagian berikutnya.
Prapekerjaan untuk SSO tanpa hambatan
Aktifkan SSO tanpa hambatan pada forest Direktori Aktif dengan menggunakan PowerShell. Jika Anda memiliki lebih dari satu forest Direktori Aktif, aktifkan untuk setiap forest satu per satu. SSO Tanpa Hambatan dipicu hanya untuk pengguna yang dipilih untuk Peluncuran Bertahap. Ini tidak memengaruhi penyiapan federasi Anda yang ada.
Aktifkan SSO tanpa hambatan dengan melakukan tugas-tugas berikut:
Masuk ke Microsoft Entra Connect Server.
Buka folder %programfiles%\Microsoft Entra Connect.
Impor modul PowerShell SSO tanpa hambatan dengan menjalankan perintah berikut:
Import-Module .\AzureADSSO.psd1
Jalankan PowerShell sebagai administrator. Di PowerShell, panggil
New-AzureADSSOAuthenticationContext
. Perintah ini membuka panel tempat Anda bisa memasukkan kredensial Administrator Identitas Hibrid penyewa Anda.Panggil
Get-AzureADSSOStatus | ConvertFrom-Json
. Perintah ini menampilkan daftar forest Direktori Aktif (lihat daftar "Domain") tempat fitur ini telah diaktifkan. Secara default, ini diatur ke false di tingkat penyewa.Panggil
$creds = Get-Credential
. Pada perintah, masukkan kredensial administrator domain untuk forest Direktori Aktif yang dimaksudkan.Panggil
Enable-AzureADSSOForest -OnPremCredentials $creds
. Perintah ini membuat akun komputer AZUREADSSOACC dari pengontrol domain lokal untuk forest Direktori Aktif yang diperlukan untuk SSO yang mulus.SSO Tanpa Hambatan mengharuskan URL berada di zona intranet. Untuk menyebarkan URL tersebut dengan menggunakan kebijakan grup, lihat Mulai Cepat: Akses menyeluruh Tanpa Hambatan Microsoft Entra.
Untuk panduan lengkap, Anda juga dapat mengunduh rencana penyebaran kami untuk SSO yang mulus.
Aktifkan Peluncuran Bertahap
Untuk meluncurkan fitur tertentu (autentikasi pass-through, sinkronisasi hash kata sandi, atau SSO tanpa hambatan) ke sekumpulan pengguna tertentu dalam grup, ikuti instruksi di bagian berikutnya.
Mengaktifkan Peluncuran Bertahap fitur tertentu pada penyewa Anda
Ujung
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Anda dapat meluncurkan opsi ini:
- Sinkronisasi + hash kata sandi SSO Tanpa Hambatan
- Autentikasi + pass-through SSO Tanpa Hambatan
- Tidak didukung - Sinkronisasi + hash kata sandi Autentikasi + pass-through Seamless SSO
- Pengaturan autentikasi berbasis sertifikat
- Autentikasi multifaktor Azure
Untuk mengonfigurasi Peluncuran Bertahap, ikuti langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
Telusuri ke Manajemen Identitas>Hibrid Sinkronisasi> Microsoft Entra Connect>Connect.
Pada halaman Microsoft Entra Connect , di bawah peluncuran autentikasi cloud bertahap, pilih tautan Aktifkan peluncuran bertahap untuk masuk pengguna terkelola.
Pada halaman Aktifkan fitur peluncuran bertahap, pilih opsi yang ingin Anda aktifkan: Sinkronisasi Hash Kata Sandi, Autentikasi pass-through, Akses menyeluruh Tanpa Hambatan, atau Autentikasi berbasis Sertifikat. Misalnya, jika Anda ingin mengaktifkan Sinkronisasi Hash Kata Sandi dan Akses menyeluruh Tanpa Hambatan, geser kedua kontrol ke Aktif.
Tambahkan grup ke fitur yang Anda pilih. Misalnya, autentikasi pass-through dan SSO yang mulus. Untuk menghindari waktu habis, pastikan bahwa kelompok keamanan awalnya berisi tidak lebih dari 200 anggota.
Nota
Anggota dalam grup diaktifkan secara otomatis untuk Peluncuran Bertahap. Grup keanggotaan berlapis dan dinamis tidak didukung untuk Peluncuran Bertahap. Saat menambahkan grup baru, pengguna dalam grup (hingga 200 pengguna untuk grup baru) akan segera diperbarui untuk menggunakan autentikasi terkelola. Mengedit grup (menambahkan atau menghapus pengguna), diperlukan waktu hingga 24 jam agar perubahan diterapkan. SSO Tanpa Hambatan hanya akan berlaku jika pengguna berada dalam grup SSO Tanpa Hambatan dan juga dalam grup PTA atau PHS.
Audit
Kami telah mengaktifkan peristiwa audit untuk berbagai tindakan yang kami lakukan untuk Peluncuran Bertahap:
Peristiwa audit saat Anda mengaktifkan Peluncuran Bertahap untuk sinkronisasi hash kata sandi, autentikasi pass-through, atau SSO tanpa hambatan.
Nota
Peristiwa audit dicatat saat SSO tanpa hambatan diaktifkan dengan menggunakan Peluncuran Bertahap.
Peristiwa audit saat grup ditambahkan ke sinkronisasi hash kata sandi, autentikasi pass-through, atau SSO tanpa hambatan.
Nota
Peristiwa audit dicatat saat grup ditambahkan ke sinkronisasi hash kata sandi untuk Peluncuran Bertahap.
Peristiwa audit saat pengguna yang ditambahkan ke grup diaktifkan untuk Peluncuran Bertahap.
Validasi
Untuk menguji masuk dengan sinkronisasi hash kata sandi atau autentikasi pass-through (masuk nama pengguna dan kata sandi), lakukan tugas berikut:
Di ekstranet, buka halaman Aplikasi di sesi browser privat, lalu masukkan UserPrincipalName (UPN) akun pengguna yang dipilih untuk Peluncuran Bertahap.
Pengguna yang telah ditargetkan untuk Peluncuran Bertahap tidak dialihkan ke halaman masuk federasi Anda. Sebagai gantinya, mereka diminta untuk masuk di halaman masuk bermerek penyewa Microsoft Entra.
Pastikan bahwa rincian masuk berhasil muncul di laporan aktivitas masuk Microsoft Entra dengan memfilter dengan UserPrincipalName.
Untuk menguji rincian masuk dengan SSO tanpa hambatan:
Di intranet, buka halaman Aplikasi menggunakan sesi browser, lalu masukkan UserPrincipalName (UPN) akun pengguna yang dipilih untuk Peluncuran Bertahap.
Pengguna yang telah ditargetkan untuk Peluncuran Bertahap SSO tanpa hambatan disajikan dengan "Mencoba memasukkan Anda ke ..." pesan sebelum masuk secara diam-diam.
Pastikan bahwa rincian masuk berhasil muncul di laporan aktivitas masuk Microsoft Entra dengan memfilter dengan UserPrincipalName.
Untuk melacak rincian masuk pengguna yang masih terjadi di Layanan Federasi Direktori Aktif (AD FS) untuk pengguna Peluncuran Bertahap yang dipilih, ikuti instruksi di pemecahan masalah Layanan Federasi Direktori Aktif: Peristiwa dan pengelogan. Periksa dokumentasi vendor tentang cara memeriksa ini pada penyedia federasi pihak ketiga.
Nota
Saat pengguna berada dalam Peluncuran Bertahap dengan PHS, mengubah kata sandi mungkin memakan waktu hingga 2 menit untuk diterapkan karena waktu sinkronisasi. Pastikan untuk menetapkan harapan dengan pengguna Anda untuk menghindari panggilan helpdesk setelah mereka mengubah kata sandi mereka.
Pemantauan
Anda dapat memantau pengguna dan grup yang ditambahkan atau dihapus dari Peluncuran Bertahap dan pengguna masuk saat berada di Peluncuran Bertahap, menggunakan buku kerja Hybrid Auth baru di pusat admin Microsoft Entra.
Menghapus pengguna dari Peluncuran Bertahap
Menghapus pengguna dari grup menonaktifkan Peluncuran Bertahap untuk pengguna tersebut. Untuk menonaktifkan fitur Peluncuran Bertahap, geser kontrol kembali ke Nonaktif.
Tanya jawab umum
T: Dapatkah saya menggunakan kemampuan ini dalam produksi?
A: Ya, Anda dapat menggunakan fitur ini di penyewa produksi Anda, tetapi kami sarankan Anda terlebih dahulu mencobanya di penyewa pengujian Anda.
T: Dapatkah fitur ini digunakan untuk mempertahankan "ko-eksistensi" permanen di mana beberapa pengguna menggunakan autentikasi federasi dan yang lain menggunakan autentikasi cloud?
A: Tidak, fitur ini dirancang untuk menguji autentikasi cloud. Setelah pengujian berhasil, beberapa grup pengguna harus Anda potong ke autentikasi cloud. Kami tidak merekomendasikan penggunaan status campuran permanen, karena pendekatan ini dapat menyebabkan alur autentikasi yang tidak terduga.
T: Dapatkah saya menggunakan PowerShell untuk melakukan Peluncuran Bertahap?
A: Ya. Untuk mempelajari cara menggunakan PowerShell untuk melakukan Peluncuran Bertahap, lihat Pratinjau ID Microsoft Entra.