Bagikan melalui

Migrasi MFA Server

Topik ini membahas cara memigrasikan pengaturan MFA untuk pengguna Microsoft Entra dari Server autentikasi multifaktor Microsoft Entra lokal ke autentikasi multifaktor Microsoft Entra.

Gambaran umum solusi

MFA Server Migration Utility membantu menyinkronkan data autentikasi multifaktor yang disimpan di Server autentikasi multifaktor Microsoft Entra lokal langsung ke autentikasi multifaktor Microsoft Entra. Setelah data autentikasi dimigrasikan ke ID Microsoft Entra, pengguna dapat melakukan MFA berbasis cloud dengan mulus tanpa harus mendaftar lagi atau mengonfirmasi metode autentikasi. Admin dapat menggunakan Utilitas Migrasi Server MFA untuk menargetkan pengguna tunggal atau grup pengguna untuk pengujian dan peluncuran terkontrol tanpa harus membuat perubahan di seluruh penyewa.

Video: Cara menggunakan Utilitas Migrasi Server MFA

Lihat video kami untuk gambaran umum MFA Server Migration Utility dan cara kerjanya.

Batasan dan persyaratan

  • Utilitas Migrasi Server MFA memerlukan build baru solusi MFA Server untuk diinstal di Server MFA Utama Anda. Build melakukan pembaruan pada file data MFA Server, dan menyertakan Utilitas Migrasi Server MFA baru. Anda tidak perlu memperbarui WebSDK atau portal Pengguna. Menginstal pembaruan tidak memulai migrasi secara otomatis.

    Nota

    Utilitas Migrasi Server MFA dapat dijalankan di Server MFA sekunder. Untuk informasi selengkapnya, silakan periksa Jalankan Server MFA sekunder (opsional).

  • Utilitas Migrasi Server MFA menyalin data dari file database ke objek pengguna di ID Microsoft Entra. Selama migrasi, pengguna dapat ditargetkan untuk autentikasi multifaktor Microsoft Entra untuk tujuan pengujian menggunakan Peluncuran Bertahap. Migrasi bertahap memungkinkan Anda menguji tanpa membuat perubahan apa pun pada pengaturan federasi domain Anda. Setelah migrasi selesai, Anda harus menyelesaikan migrasi dengan membuat perubahan pada pengaturan federasi domain Anda.

  • Layanan Federasi Direktori Aktif yang menjalankan Windows Server 2016 atau yang lebih tinggi diperlukan untuk menyediakan autentikasi MFA pada pihak yang mengandalkan Layanan Federasi Direktori Aktif apa pun, tidak termasuk ID Microsoft Entra dan Office 365.

  • Tinjau kebijakan kontrol akses Layanan Federasi Direktori Aktif (AD FS) Anda dan pastikan tidak ada yang mengharuskan MFA dilakukan di tempat sebagai bagian dari proses autentikasi.

  • Peluncuran bertahap dapat menargetkan maksimum 500.000 pengguna (10 grup yang masing-masing berisi maksimal 50.000 pengguna).

Panduan migrasi

Fase Langkah
Persiapan Identifikasi ketergantungan Server Autentikasi Multifaktor Microsoft Entra
Mencadangkan data Server autentikasi multifaktor Microsoft Entra
Menginstal pembaruan MFA Server
Mengonfigurasi Utilitas Migrasi Server MFA
Migrasi Memigrasikan data pengguna
Memvalidasi dan menguji
Peluncuran Bertahap
Mendidik pengguna
Menyelesaikan migrasi pengguna
Selesaikan Memigrasikan dependensi MFA Server
Memperbarui pengaturan federasi domain
Menonaktifkan portal Pengguna MFA Server
Menonaktifkan server MFA

Migrasi MFA Server umumnya menyertakan langkah-langkah dalam proses berikut:

Diagram fase migrasi MFA Server.

Beberapa poin penting:

Fase 1 harus diulang saat Anda menambahkan pengguna uji.

  • Alat migrasi menggunakan grup Microsoft Entra untuk menentukan pengguna yang data autentikasinya harus disinkronkan antara MFA Server dan autentikasi multifaktor Microsoft Entra. Setelah data pengguna disinkronkan, pengguna tersebut kemudian siap menggunakan autentikasi multifaktor Microsoft Entra.
  • Peluncuran Bertahap memungkinkan Anda untuk mengalihkan pengguna ke autentikasi multifaktor Microsoft Entra, juga menggunakan grup Microsoft Entra. Meskipun Anda pasti dapat menggunakan grup yang sama untuk kedua alat, kami tidak menyarankannya karena pengguna kemungkinan dialihkan ke autentikasi multifaktor Microsoft Entra sebelum alat telah menyinkronkan data mereka. Sebaiknya buat grup Microsoft Entra untuk menyinkronkan data autentikasi menggunakan Utilitas Migrasi Server MFA, serta sekumpulan grup lain untuk Peluncuran Bertahap yang mengarahkan pengguna yang ditargetkan ke autentikasi multifaktor Microsoft Entra, daripada menggunakan autentikasi lokal.

Fase 2 harus diulang saat Anda memigrasikan basis pengguna Anda. Pada akhir Fase 2, seluruh basis pengguna Anda harus menggunakan autentikasi multifaktor Microsoft Entra untuk semua beban kerja yang digabungkan terhadap ID Microsoft Entra.

Selama fase sebelumnya, Anda dapat menghapus pengguna dari folder Peluncuran Bertahap untuk mengeluarkannya dari cakupan autentikasi multifaktor Microsoft Entra dan merutekannya kembali ke server autentikasi multifaktor Microsoft Entra lokal Anda untuk semua permintaan MFA yang berasal dari ID Microsoft Entra.

Fase 3 mengharuskan memindahkan semua klien yang mengautentikasi ke Server MFA lokal (VPN, pengelola kata sandi, dan sebagainya) ke federasi Microsoft Entra melalui SAML/OAUTH. Jika standar autentikasi modern tidak didukung, Anda diharuskan untuk menyiapkan server NPS dengan ekstensi autentikasi multifaktor Microsoft Entra yang telah diinstal. Setelah dependensi dimigrasikan, pengguna tidak boleh lagi menggunakan portal Pengguna di MFA Server, melainkan harus mengelola metode autentikasi mereka di ID Microsoft Entra (aka.ms/mfasetup). Setelah pengguna mulai mengelola data autentikasi mereka di ID Microsoft Entra, metode tersebut tidak disinkronkan kembali ke MFA Server. Jika Anda kembali ke Server MFA lokal setelah pengguna membuat perubahan pada Metode Autentikasi mereka di ID Microsoft Entra, perubahan tersebut akan hilang. Setelah migrasi pengguna selesai, ubah pengaturan federasi domain untuk federatedIdpMfaBehavior. Perubahan ini memberi tahu Microsoft Entra ID untuk tidak lagi melakukan MFA lokal dan melakukan semua permintaan MFA dengan autentikasi multifaktor Microsoft Entra, terlepas dari keanggotaan grup.

Bagian berikut menjelaskan langkah-langkah migrasi secara lebih rinci.

Identifikasi dependensi autentikasi multifaktor Server Microsoft Entra

Kami telah bekerja keras untuk memastikan bahwa beralih ke solusi autentikasi multifaktor Microsoft Entra berbasis cloud kami mempertahankan dan meningkatkan postur keamanan Anda. Ada tiga kategori luas yang harus digunakan untuk mengelompokkan dependensi:

Untuk membantu migrasi Anda, kami telah mencocokkan fitur MFA Server yang banyak digunakan dengan fungsional yang setara dalam autentikasi multifaktor Microsoft Entra untuk setiap kategori.

Metode MFA

Buka MFA Server, pilih Pengaturan Perusahaan:

Cuplikan layar Pengaturan Perusahaan.

MFA Server Autentikasi multifaktor Microsoft Entra
Tab Umum
Bagian Default Pengguna
Panggilan telepon (Standar) Tidak ada tindakan yang diperlukan
Pesan teks (OTP)* Tidak ada tindakan yang diperlukan
Aplikasi seluler (Standar) Tidak ada tindakan yang diperlukan
Panggilan Telepon (PIN)* Aktifkan Voice OTP
Pesan teks (OTP + PIN)** Tidak ada tindakan yang diperlukan
Aplikasi seluler (PIN)* Aktifkan pencocokan angka
Panggilan telepon/pesan teks/aplikasi seluler/bahasa token OATH Pengaturan bahasa secara otomatis diterapkan ke pengguna berdasarkan pengaturan lokal di browser mereka
Bagian aturan PIN default Tidak berlaku; lihat metode yang diperbarui di cuplikan layar sebelumnya
Tab Resolusi Nama Pengguna Tidak berlaku; resolusi nama pengguna tidak diperlukan untuk autentikasi multifaktor Microsoft Entra
Tab Pesan Teks Tidak berlaku; Autentikasi multifaktor Microsoft Entra menggunakan pesan default untuk pesan teks
Tab Token OATH Tidak berlaku; Autentikasi multifaktor Microsoft Entra menggunakan pesan default untuk token OATH
Laporan Laporan Aktivitas Metode autentikasi Microsoft Entra

*Saat PIN digunakan untuk memberikan fungsi bukti hadir, setara fungsional disediakan di atas. PIN yang tidak terkait secara kriptografis dengan perangkat tidak cukup melindungi dari skenario di mana perangkat telah disusupi. Untuk melindungi dari skenario ini, termasuk serangan pertukaran SIM, pindahkan pengguna ke metode yang lebih aman sesuai dengan praktik terbaik metode autentikasi Microsoft.

**Pengalaman MFA Teks default dalam otentikasi multifaktor Microsoft Entra mengirimkan kode kepada pengguna, yang harus mereka masukkan di jendela masuk sebagai bagian dari otentikasi. Persyaratan untuk melakukan siklus penuh kode menyediakan fungsionalitas bukti kehadiran.

Portal pengguna

Buka MFA Server, pilih Portal Pengguna:

Cuplikan layar portal Pengguna.

MFA Server Autentikasi multifaktor Microsoft Entra
Tab Pengaturan
URL portal pengguna aka.ms/mfasetup
Izinkan pendaftaran pengguna Lihat Pendaftaran informasi keamanan gabungan
- Permintaan untuk telepon cadangan Lihat Pengaturan Layanan MFA
- Meminta token OATH pihak ketiga Lihat Pengaturan Layanan MFA
Mengizinkan pengguna untuk memulai Bypass One-Time Lihat fungsionalitas Microsoft Entra ID TAP
Perbolehkan pengguna memilih metode Lihat Pengaturan Layanan MFA
- Panggilan Telepon Lihat dokumentasi panggilan telepon
- Pesan teks Lihat Pengaturan Layanan MFA
- Aplikasi seluler Lihat Pengaturan Layanan MFA
- Token OATH Lihat dokumentasi token OATH
Perbolehkan pengguna memilih bahasa Pengaturan bahasa secara otomatis diterapkan ke pengguna berdasarkan pengaturan lokal di browser mereka
Mengizinkan pengguna mengaktifkan aplikasi seluler Lihat Pengaturan Layanan MFA
- Batas perangkat MICROSOFT Entra ID membatasi pengguna ke lima perangkat kumulatif (instans aplikasi seluler + token OATH perangkat keras + token OATH perangkat lunak) per pengguna
Gunakan pertanyaan keamanan sebagai cadangan MICROSOFT Entra ID memungkinkan pengguna untuk memilih metode fallback pada waktu autentikasi jika metode autentikasi yang dipilih gagal
- Pertanyaan untuk dijawab Pertanyaan Keamanan di ID Microsoft Entra hanya dapat digunakan untuk SSPR. Lihat detail selengkapnya untuk Pertanyaan Keamanan Kustom Microsoft Entra
Mengizinkan pengguna untuk mengaitkan token OATH pihak ketiga Lihat dokumentasi token OATH
Gunakan token OATH untuk cadangan Lihat dokumentasi token OATH
Habis Waktu Sesi
Tab Pertanyaan Keamanan Pertanyaan keamanan di MFA Server digunakan untuk mendapatkan akses ke portal Pengguna. Autentikasi multifaktor Microsoft Entra hanya mendukung pertanyaan keamanan untuk pengaturan ulang kata sandi mandiri. Lihat dokumentasi pertanyaan keamanan .
Tab Sesi yang Dilewatkan Semua alur pendaftaran metode autentikasi dikelola oleh MICROSOFT Entra ID dan tidak memerlukan konfigurasi
IP tepercaya IP tepercaya Microsoft Entra ID

Metode MFA apa pun yang tersedia di MFA Server harus diaktifkan dalam autentikasi multifaktor Microsoft Entra dengan menggunakan pengaturan Layanan MFA. Pengguna tidak dapat mencoba metode MFA yang baru dimigrasikan kecuali mereka diaktifkan.

Layanan autentikasi

Server autentikasi multifaktor Microsoft Entra dapat menyediakan fungsionalitas MFA untuk solusi pihak ketiga yang menggunakan RADIUS atau LDAP dengan bertindak sebagai proksi autentikasi. Untuk menemukan dependensi RADIUS atau LDAP, pilih Autentikasi RADIUS dan opsi Autentikasi LDAP di MFA Server. Untuk setiap dependensi ini, tentukan apakah pihak ketiga ini mendukung autentikasi modern. Jika demikian, pertimbangkan federasi secara langsung dengan ID Microsoft Entra.

Untuk penyebaran RADIUS yang tidak dapat ditingkatkan, Anda harus menyebarkan Server NPS dan menginstal ekstensi NPS autentikasi multifaktor Microsoft Entra .

Untuk penyebaran LDAP yang tidak dapat ditingkatkan atau dipindahkan ke RADIUS, tentukan apakah Microsoft Entra Domain Services dapat digunakan. Dalam kebanyakan kasus, LDAP disebarkan untuk mendukung perubahan kata sandi secara langsung untuk pengguna akhir. Setelah dimigrasikan, pengguna akhir dapat mengelola kata sandi mereka dengan menggunakan pengaturan ulang kata sandi layanan mandiri di ID Microsoft Entra.

Jika Anda mengaktifkan penyedia Autentikasi Server MFA di AD FS 2.0 pada kepercayaan pihak yang mengandalkan, kecuali untuk Office 365, Anda perlu memutakhirkan ke AD FS 3.0 atau menghubungkan secara langsung pihak yang mengandalkan tersebut ke Microsoft Entra ID jika mereka mendukung metode autentikasi modern. Tentukan rencana tindakan terbaik untuk setiap dependensi.

Mencadangkan berkas data autentikasi multifaktor Microsoft Entra Server

Buat cadangan file data MFA Server yang terletak di %programfiles%\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (lokasi default) di Server MFA utama Anda. Pastikan Anda memiliki salinan alat penginstal untuk versi yang sedang Anda gunakan jika Anda perlu mengembalikan. Jika Anda tidak lagi memiliki salinan, hubungi Layanan Dukungan Pelanggan.

Bergantung pada aktivitas pengguna, file data dapat menjadi kedaluarsa dengan cepat. Setiap perubahan yang dilakukan pada MFA Server, atau perubahan pengguna akhir apa pun yang dilakukan melalui portal setelah pencadangan, tidak akan tercatat. Jika Anda mengembalikan versi sebelumnya, perubahan apa pun yang dilakukan setelah titik ini tidak dapat dipulihkan.

Menginstal pembaruan MFA Server

Jalankan penginstal baru di Server MFA Utama. Sebelum Anda meningkatkan server, hapus server dari penyeimbangan beban atau berbagi lalu lintas dengan Server MFA lainnya. Anda tidak perlu menghapus instalan Server MFA Anda saat ini sebelum menjalankan alat penginstal. Penginstal perangkat melakukan pembaruan di lokasi menggunakan jalur penginstalan saat ini (misalnya, C:\Program Files\Multi-Factor Authentication Server). Jika Anda diminta untuk menginstal paket pembaruan Microsoft Visual C++ 2015 Redistributable, terima perintah. Kedua versi paket, yaitu x86 dan x64, telah diinstal. Tidak diperlukan untuk menginstal pembaruan untuk Portal Pengguna, Web SDK, atau AD FS Adapter.

Nota

Setelah Anda menjalankan penginstal di server utama Anda, server sekunder mungkin mulai mencatat entri SB yang tidak tertangani. Hal ini disebabkan oleh perubahan skema yang dilakukan pada server utama yang tidak dikenali oleh server sekunder. Kesalahan ini diharapkan. Di lingkungan dengan 10.000 pengguna atau lebih, jumlah entri log dapat meningkat secara signifikan. Untuk mengurangi masalah ini, Anda dapat meningkatkan ukuran file log MFA Server Anda, atau meningkatkan server sekunder Anda.

Konfigurasikan Utilitas Migrasi Server MFA

Setelah menginstal pembaruan MFA Server, buka prompt perintah PowerShell yang ditinggikan: arahkan mouse ke atas ikon PowerShell, pilih kanan, dan pilih Jalankan sebagai Administrator. Jalankan skrip\Configure-MultiFactorAuthMigrationUtility.ps1 yang ditemukan di direktori instalasi MFA Server Anda (C:\Program Files\Multi-Factor Authentication Server secara default).

Skrip ini mengharuskan Anda memberikan kredensial untuk Administrator Aplikasi di penyewa Microsoft Entra Anda. Ini membuat aplikasi Utilitas Migrasi Server MFA baru dalam ID Microsoft Entra, yang digunakan untuk menulis metode autentikasi pengguna ke setiap objek pengguna Microsoft Entra.

Untuk pelanggan cloud pemerintah yang ingin melakukan migrasi, ganti entri ".com" dalam skrip dengan ".us". Skrip ini menulis entri registri HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl dan GraphUrl dan menginstruksikan Utilitas Migrasi untuk menggunakan titik akhir GRAPH yang sesuai.

Anda juga memerlukan akses ke URL berikut:

  • https://graph.microsoft.com/* (atau https://graph.microsoft.us/* untuk pelanggan cloud pemerintah)
  • https://login.microsoftonline.com/* (atau https://login.microsoftonline.us/* untuk pelanggan cloud pemerintah)

Skrip ini menginstruksikan Anda untuk memberikan persetujuan admin ke aplikasi yang baru dibuat. Navigasikan ke URL yang disediakan, atau dalam pusat admin Microsoft Entra, pilih Pendaftaran Aplikasi, temukan dan pilih aplikasi Utilitas Migrasi Server MFA , pilih izin API lalu berikan izin yang sesuai.

Cuplikan layar izin.

Setelah selesai, navigasikan ke folder Server Autentikasi Multifaktor, dan buka aplikasi MultiFactorAuthMigrationUtilityUI . Anda akan melihat layar berikut:

Cuplikan layar Utilitas Migrasi Server MFA.

Anda berhasil menginstal Utilitas Migrasi.

Nota

Untuk memastikan tidak ada perubahan perilaku selama migrasi, jika Server MFA Anda dikaitkan dengan Penyedia MFA tanpa referensi penyewa, Anda harus memperbarui pengaturan MFA default (seperti salam kustom) untuk penyewa yang Anda migrasikan agar sesuai dengan pengaturan di Penyedia MFA Anda. Sebaiknya lakukan ini sebelum memigrasikan pengguna apa pun.

Menjalankan MFA Server sekunder (opsional)

Jika implementasi MFA Server Anda memiliki sejumlah besar pengguna atau Server MFA utama yang sibuk, Anda mungkin ingin mempertimbangkan untuk menyebarkan MFA Server sekunder khusus untuk menjalankan layanan MFA Server Migration Utility dan Migration Sync. Setelah memutakhirkan Server MFA utama Anda, tingkatkan server sekunder yang ada atau sebarkan server sekunder baru. Server sekunder yang Anda pilih tidak boleh menangani lalu lintas MFA lainnya.

Skrip Configure-MultiFactorAuthMigrationUtility.ps1 harus dijalankan di server sekunder untuk mendaftarkan sertifikat dengan pendaftaran aplikasi MFA Server Migration Utility. Sertifikat digunakan untuk mengautentikasi ke Microsoft Graph. Menjalankan layanan Utilitas Migrasi dan Sinkronisasi di Server MFA sekunder harus meningkatkan performa migrasi pengguna manual dan otomatis.

Memigrasikan data pengguna

Memigrasikan data pengguna tidak menghapus atau mengubah data apa pun di database Server Autentikasi Multifaktor. Demikian juga, proses ini tidak akan berubah di mana pengguna melakukan MFA. Proses ini adalah salinan data satu arah dari server lokal ke objek pengguna yang sesuai di ID Microsoft Entra.

Utilitas Migrasi Server MFA menargetkan satu grup Microsoft Entra untuk semua aktivitas migrasi. Anda dapat menambahkan pengguna langsung ke grup ini, atau menambahkan grup lain. Anda juga dapat menambahkannya secara bertahap selama migrasi.

Untuk memulai proses migrasi, masukkan nama atau GUID grup Microsoft Entra yang ingin Anda migrasikan. Setelah selesai, tekan Tab atau pilih di luar jendela untuk mulai mencari grup yang sesuai. Semua pengguna dalam grup sudah terdaftar. Grup besar dapat memakan waktu beberapa menit untuk menyelesaikannya.

Untuk melihat data atribut untuk pengguna, sorot pengguna, dan pilih Tampilkan:

Cuplikan layar cara menampilkan pengaturan penggunaan.

Jendela ini menampilkan atribut untuk pengguna yang dipilih di ID Microsoft Entra dan MFA Server lokal. Anda dapat menggunakan jendela ini untuk melihat bagaimana data ditulis kepada pengguna setelah migrasi.

Opsi Pengaturan memungkinkan Anda mengubah pengaturan untuk proses migrasi:

Cuplikan layar pengaturan.

  • Migrasi - ada tiga opsi untuk memigrasikan metode autentikasi default pengguna:

    • Selalu bermigrasi
    • Migrasi hanya jika belum diatur dalam Microsoft Entra ID
    • Atur ke metode paling aman yang tersedia jika belum diatur di ID Microsoft Entra

    Opsi ini memberikan fleksibilitas saat Anda memigrasikan metode default. Selain itu, kebijakan Metode autentikasi diperiksa selama migrasi. Jika metode default yang dimigrasikan tidak diizinkan oleh kebijakan, metode ini diatur ke metode yang paling aman yang tersedia sebagai gantinya.

  • Kecocokan Pengguna – Memungkinkan Anda menentukan atribut Active Directory lokal yang berbeda untuk mencocokkan Microsoft Entra UPN alih-alih kecocokan default dengan userPrincipalName:

    • Utilitas migrasi mencoba pencocokan langsung dengan UPN sebelum menggunakan atribut Active Directory lokal.
    • Jika tidak ada kecocokan yang ditemukan, ia memanggil API Windows untuk menemukan Microsoft Entra UPN dan mendapatkan SID, yang digunakannya untuk mencari daftar pengguna MFA Server.
    • Jika Windows API tidak menemukan pengguna atau SID tidak ditemukan di MFA Server, maka api tersebut menggunakan atribut Direktori Aktif yang dikonfigurasi untuk menemukan pengguna di Active Directory lokal, lalu menggunakan SID untuk mencari daftar pengguna Server MFA.

  • Sinkronisasi otomatis – Memulai layanan latar belakang yang terus memantau perubahan metode autentikasi pada pengguna di MFA Server lokal, dan menulisnya ke ID Microsoft Entra pada interval waktu yang ditentukan.

  • Server sinkronisasi – Memungkinkan layanan Sinkronisasi Migrasi Server MFA berjalan pada Server MFA sekunder daripada hanya berjalan di primer. Untuk mengonfigurasi layanan Sinkronisasi Migrasi agar berjalan di server sekunder, skrip Configure-MultiFactorAuthMigrationUtility.ps1 harus dijalankan di server untuk mendaftarkan sertifikat dengan pendaftaran aplikasi MFA Server Migration Utility. Sertifikat digunakan untuk mengautentikasi ke Microsoft Graph.

Proses migrasi bisa otomatis atau manual.

Langkah-langkah proses manual adalah:

  1. Untuk memulai proses migrasi untuk pengguna atau pilihan beberapa pengguna, tekan dan tahan tombol Ctrl sambil memilih setiap pengguna yang ingin Anda migrasikan.

  2. Setelah Anda memilih pengguna yang diinginkan, pilih Migrasikan Pengguna>yang Dipilih pengguna>OK.

  3. Untuk memigrasikan semua pengguna dalam grup, pilih Migrasikan Pengguna>Semua pengguna di grup> Microsoft EntraOK.

  4. Anda dapat memigrasikan pengguna meskipun mereka tidak berubah. Secara default, utilitas diatur ke Hanya memigrasikan pengguna yang telah berubah. Pilih Migrasikan semua pengguna untuk memigrasikan ulang pengguna yang sebelumnya dimigrasikan yang tidak berubah. Memigrasikan pengguna yang tidak berubah dapat berguna selama pengujian jika administrator perlu mengatur ulang pengaturan autentikasi multifaktor Microsoft Entra pengguna dan ingin memigrasikannya kembali.

    Cuplikan layar dialog Migrasi pengguna.

Untuk proses otomatis, pilih Sinkronisasi otomatis di Pengaturan, lalu pilih apakah Anda ingin semua pengguna disinkronkan, atau hanya anggota grup Microsoft Entra tertentu.

Tabel berikut mencantumkan logika sinkronisasi untuk berbagai metode.

Metode Logika
Telepon Jika tidak ada ekstensi, perbarui ponsel MFA.
Jika ada perpanjangan, perbarui telepon kantor.
Pengecualian: Jika metode defaultnya adalah Pesan Teks, lepaskan ekstensi dan perbarui telepon MFA.
Telepon Cadangan Jika tidak ada ekstensi, perbarui Telepon alternatif.
Jika ada perpanjangan, perbarui telepon kantor.
Pengecualian: Jika Telepon dan Telepon Cadangan memiliki ekstensi, lewati Telepon Cadangan.
Aplikasi Seluler Maksimal lima perangkat dimigrasikan atau hanya empat jika pengguna juga memiliki token OATH perangkat keras.
Jika ada beberapa perangkat dengan nama yang sama, hanya migrasikan yang terbaru.
Perangkat dipesan dari yang terbaru ke yang terlama.
Jika perangkat sudah ada di MICROSOFT Entra ID, cocokkan pada Kunci Rahasia Token OATH dan perbarui.
- Jika tidak ada kecocokan pada Kunci Rahasia Token OATH, cocokkan pada Token Perangkat
-- Jika ditemukan, buat Token OATH Perangkat Lunak untuk perangkat MFA Server untuk memungkinkan metode Token OATH berfungsi. Pemberitahuan masih berfungsi menggunakan perangkat autentikasi multifaktor Microsoft Entra yang ada.
-- Jika tidak ditemukan, buat perangkat baru.
Jika menambahkan perangkat baru melebihi batas lima perangkat, perangkat tersebut tidak akan ditambahkan.
Token OATH Jika perangkat sudah ada di MICROSOFT Entra ID, cocokkan pada Kunci Rahasia Token OATH dan perbarui.
- Jika tidak ditemukan, tambahkan perangkat Token OATH Perangkat Keras baru.
Jika menambahkan perangkat baru melebihi batas lima perangkat, token OATH tidak akan digunakan.

Metode MFA diperbarui berdasarkan hasil migrasi dan metode default ditetapkan. MFA Server melacak tanda waktu migrasi terakhir dan hanya memigrasikan pengguna lagi jika pengaturan MFA pengguna berubah atau admin memodifikasi apa yang harus dimigrasikan dalam dialog Pengaturan .

Selama pengujian, sebaiknya lakukan migrasi manual terlebih dahulu, dan uji untuk memastikan sejumlah pengguna tertentu berulah seperti yang diharapkan. Setelah pengujian berhasil, aktifkan sinkronisasi otomatis untuk grup Microsoft Entra yang ingin Anda migrasikan. Saat Anda menambahkan pengguna ke grup ini, informasi mereka secara otomatis disinkronkan ke ID Microsoft Entra. Utilitas Migrasi Server MFA menargetkan satu grup Microsoft Entra, namun grup tersebut dapat mencakup pengguna dan grup pengguna berlapis.

Setelah selesai, konfirmasi memberi tahu Anda tentang tugas yang selesai:

Cuplikan layar konfirmasi.

Seperti disebutkan dalam pesan konfirmasi, diperlukan waktu beberapa menit agar data yang dimigrasikan muncul pada objek pengguna dalam ID Microsoft Entra. Pengguna dapat melihat metode yang dimigrasikan dengan menavigasi ke aka.ms/mfasetup.

Tips

Anda dapat mengurangi waktu yang diperlukan untuk menampilkan grup jika Anda tidak perlu melihat metode Microsoft Entra MFA. Pilih Tampilkan>Metode Azure AD MFA untuk mengalihkan tampilan kolom untuk Default AAD, Telepon AAD, AAD Alternatif, AAD Office, Perangkat AAD, dan Token OATH AAD. Saat kolom disembunyikan, beberapa panggilan Microsoft Graph API dilewati, yang sangat meningkatkan waktu muat pengguna.

Lihat detail migrasi

Anda dapat menggunakan log Audit atau Log Analytics untuk melihat detail migrasi pengguna dari MFA Server ke autentikasi multifaktor Microsoft Entra.

Menggunakan log audit

Untuk mengakses log Audit di pusat admin Microsoft Entra untuk melihat detail MFA Server ke migrasi pengguna autentikasi multifaktor Microsoft Entra, ikuti langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Autentikasi .

  2. Telusuri ke Entra IDPemantauan & kesehatanLog Audit. Untuk memfilter log, pilih Tambahkan filter.

    Cuplikan layar cara menambahkan filter.

  3. Pilih Dimulai oleh (aktor) dan pilih Terapkan.

    Cuplikan layar opsi Dimulai oleh Aktor.

  4. Ketik Manajemen autentikasi multifaktor Microsoft Entra dan pilih Terapkan.

    Cuplikan layar opsi manajemen MFA.

  5. Filter ini hanya menampilkan log Utilitas Migrasi Server MFA. Untuk melihat detail migrasi pengguna, pilih baris, lalu pilih tab Properti yang Dimodifikasi . Tab ini memperlihatkan perubahan pada metode MFA terdaftar dan nomor telepon.

    Cuplikan layar detail migrasi pengguna.

    Tabel berikut mencantumkan metode autentikasi untuk setiap kode.

    Kode Metode
    0 Ponsel dengan teknologi suara
    2 Kantor suara
    3 Suara seluler pengganti
    5 SMS
    6 Notifikasi dorong dari Microsoft Authenticator
    7 Token OTP perangkat keras atau lunak

  6. Jika ada perangkat pengguna yang dimigrasikan, ada entri log terpisah.

    Cuplikan layar perangkat yang dimigrasikan.

Menggunakan Analitik Log

Detail migrasi pengguna autentikasi multifaktor MFA Server ke Microsoft Entra juga dapat dikueri menggunakan Analitik Log.

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc

Cuplikan layar ini memperlihatkan perubahan untuk migrasi pengguna:

Cuplikan layar Analitik Log untuk pengguna yang dimigrasikan.

Cuplikan layar ini menunjukkan perubahan untuk migrasi perangkat:

Cuplikan layar Analitik Log untuk perangkat yang dimigrasikan.

Analitik Log juga dapat digunakan untuk meringkas aktivitas migrasi pengguna.

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)

Cuplikan layar ringkasan Analitik Log.

Memvalidasi dan menguji

Setelah berhasil memigrasikan data pengguna, Anda dapat memvalidasi pengalaman pengguna akhir dengan menggunakan fitur Peluncuran Bertahap sebelum melakukan perubahan pada penyewa global. Proses berikut memungkinkan Anda menargetkan grup Microsoft Entra tertentu untuk Peluncuran Bertahap untuk MFA. Peluncuran Bertahap memberi tahu Microsoft Entra ID untuk melakukan otentikasi multi-faktor (MFA) dengan menggunakan autentikasi multifaktor Microsoft Entra bagi pengguna di grup yang ditargetkan, daripada mengirim mereka ke lokasi lokal untuk melakukan MFA. Anda dapat memvalidasi dan menguji—sebaiknya gunakan pusat admin Microsoft Entra, tetapi jika mau, Anda juga dapat menggunakan Microsoft Graph.

Aktifkan Peluncuran Bertahap

  1. Navigasi ke url berikut: Aktifkan fitur peluncuran bertahap - Microsoft Azure.

  2. Ubah autentikasi multifaktor Azure menjadi Di, lalu pilih Kelola grup.

    Cuplikan layar Peluncuran Bertahap.

  3. Pilih Tambahkan grup dan tambahkan grup yang berisi pengguna yang ingin Anda aktifkan untuk autentikasi multifaktor Microsoft Entra. Grup yang dipilih muncul dalam daftar yang ditampilkan.

    Nota

    Grup apa pun yang Anda targetkan menggunakan metode Microsoft Graph berikut ini juga muncul dalam daftar ini.

    Cuplikan layar menu Kelola Grup.

Mengaktifkan Peluncuran Bertahap menggunakan Microsoft Graph

  1. Membuat fiturRolloutPolicy

    1. Navigasi ke aka.ms/ge dan masuk ke Graph Explorer menggunakan akun Administrator Identitas Hibrid di penyewa yang ingin Anda siapkan untuk Peluncuran Bertahap.

    2. Pastikan POST dipilih menargetkan titik akhir berikut: https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies

    3. Isi permintaan Anda harus berisi hal berikut (ubah kebijakan peluncuran MFA menjadi nama dan deskripsi untuk organisasi Anda):

      {
     "displayName": "MFA rollout policy",
     "description": "MFA rollout policy",
     "feature": "multiFactorAuthentication",
     "isEnabled": true,
     "isAppliedToOrganization": false
}

      Cuplikan layar permintaan.

    4. Lakukan GET dengan titik akhir yang sama dan catat nilai ID (dicoret dalam gambar berikut):

      Cuplikan layar perintah GET.

  2. Menargetkan grup Microsoft Entra yang berisi pengguna yang ingin Anda uji

    1. Buat permintaan POST dengan titik akhir berikut (ganti {ID kebijakan} dengan nilai ID yang Anda salin dari langkah 1d):

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$ref

    2. Isi permintaan harus berisi berikut (ganti {ID grup} dengan ID objek grup yang ingin Anda targetkan untuk peluncuran bertahap):

      {
"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}"
}

    3. Ulangi langkah a dan b untuk grup lain yang ingin Anda targetkan dengan peluncuran bertahap.

    4. Anda dapat melihat kebijakan saat ini dengan melakukan GET terhadap URL berikut:

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesTo

      Proses sebelumnya menggunakan sumber daya featureRolloutPolicy. Dokumentasi publik belum diperbarui dengan fitur otentikasi multifaktor baru, tetapi memiliki informasi terperinci tentang cara berinteraksi dengan API.

  3. Konfirmasikan pengalaman MFA bagi pengguna akhir. Berikut adalah beberapa hal yang perlu diperiksa:

    1. Apakah pengguna melihat metode mereka di aka.ms/mfasetup?
    2. Apakah pengguna menerima panggilan telepon/pesan teks?
    3. Apakah mereka berhasil mengautentikasi menggunakan metode di atas?
    4. Apakah pengguna berhasil menerima pemberitahuan Authenticator? Apakah mereka dapat menyetujui pemberitahuan ini? Apakah autentikasi berhasil?
    5. Apakah pengguna berhasil mengautentikasi menggunakan token OATH Perangkat Keras?

Mendidik pengguna

Pastikan pengguna tahu apa yang diharapkan saat mereka dipindahkan ke autentikasi multifaktor Microsoft Entra, termasuk alur autentikasi baru. Anda mungkin juga ingin menginstruksikan pengguna untuk menggunakan portal Pendaftaran Gabungan ID Microsoft Entra (aka.ms/mfasetup) untuk mengelola metode autentikasi mereka daripada portal Pengguna setelah migrasi selesai. Setiap perubahan yang dilakukan pada metode autentikasi di ID Microsoft Entra tidak akan disebarluaskan kembali ke lingkungan lokal Anda. Dalam situasi di mana Anda harus kembali ke MFA Server, setiap perubahan yang telah dilakukan pengguna di ID Microsoft Entra tidak akan tersedia di portal Pengguna MFA Server.

Jika Anda menggunakan solusi pihak ketiga yang bergantung pada Server autentikasi multifaktor Microsoft Entra untuk autentikasi (lihat Layanan autentikasi), Anda akan ingin pengguna terus membuat perubahan pada metode MFA mereka di portal Pengguna. Perubahan ini disinkronkan ke ID Microsoft Entra secara otomatis. Setelah memigrasikan solusi pihak ketiga ini, Anda dapat memindahkan pengguna ke halaman pendaftaran gabungan ID Microsoft Entra.

Menyelesaikan migrasi pengguna

Ulangi langkah-langkah migrasi yang ditemukan di Bagian Migrasi data pengguna dan Validasi dan uji hingga semua data pengguna dimigrasikan.

Memigrasikan dependensi MFA Server

Menggunakan titik data yang Anda kumpulkan di layanan Autentikasi, mulai lakukan berbagai migrasi yang diperlukan. Setelah ini selesai, pertimbangkan untuk meminta pengguna mengelola metode autentikasi mereka di portal pendaftaran gabungan, bukan di portal Pengguna di server MFA.

Memperbarui pengaturan federasi domain

Setelah Anda menyelesaikan migrasi pengguna, dan memindahkan semua layanan Autentikasi Anda dari MFA Server, saatnya untuk memperbarui pengaturan federasi domain Anda. Setelah pembaruan, Microsoft Entra tidak lagi mengirim permintaan MFA ke server federasi lokal Anda.

Untuk mengonfigurasi MICROSOFT Entra ID untuk mengabaikan permintaan MFA ke server federasi lokal Anda, instal Microsoft Graph PowerShell SDK dan atur federatedIdpMfaBehavior ke rejectMfaByFederatedIdp, seperti yang ditunjukkan dalam contoh berikut.

Permintaan

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

Jawaban

Nota

Objek respons yang ditampilkan di sini mungkin dipersingkat untuk keterbacaan.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

Pengguna tidak lagi diarahkan ke server federasi lokal Anda untuk autentikasi multi-faktor (MFA), terlepas dari apakah mereka ditargetkan oleh alat Penyebaran Bertahap atau tidak. Perhatikan bahwa proses ini dapat memakan waktu hingga 24 jam untuk diterapkan.

Nota

Pembaruan pengaturan federasi domain dapat memakan waktu hingga 24 jam untuk diterapkan.

Opsional: Menonaktifkan portal Pengguna MFA Server

Setelah Anda menyelesaikan migrasi semua data pengguna, pengguna akhir dapat mulai menggunakan halaman pendaftaran gabungan ID Microsoft Entra untuk mengelola Metode MFA. Ada beberapa cara untuk mencegah pengguna menggunakan portal Pengguna di MFA Server:

  • Alihkan URL portal Pengguna MFA Server Anda ke aka.ms/mfasetup
  • Kosongkan kotak centang Izinkan pengguna untuk masuk di bawah tab Pengaturan di bagian Portal pengguna MFA Server untuk mencegah pengguna masuk ke portal sama sekali.

Menonaktifkan Server MFA

Saat Anda tidak lagi memerlukan server autentikasi multifaktor Microsoft Entra, ikuti praktik penghentian server normal Anda. Tidak ada tindakan khusus yang diperlukan dalam ID Microsoft Entra untuk menunjukkan penghentian MFA Server.

Rencana pemulihan

Jika peningkatan mengalami masalah, ikuti langkah-langkah berikut untuk memulihkan ke versi sebelumnya:

  1. Copot pemasangan MFA Server 8.1.

  2. Ganti PhoneFactor.pfdata dengan cadangan yang dibuat sebelum memutakhirkan.

    Nota

    Setiap perubahan sejak pencadangan dibuat mungkin hilang, tetapi kemungkinan besar akan minimal jika pencadangan dilakukan tepat sebelum pemutakhiran dan pemutakhiran tidak berhasil.

  3. Jalankan penginstal untuk versi Anda sebelumnya (misalnya, 8.0.x.x).

  4. Konfigurasikan ID Microsoft Entra untuk menerima permintaan MFA ke server federasi lokal Anda. Gunakan Graph PowerShell untuk mengatur federatedIdpMfaBehavior ke enforceMfaByFederatedIdp, seperti yang ditunjukkan dalam contoh berikut.

    Minta

    PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

    Objek respons berikut dipersingkat untuk keterbacaan.

    Jawaban

    HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Atur Peluncuran Bertahap untuk autentikasi multifaktor Microsoft Entra ke Nonaktif. Pengguna kembali dialihkan ke server federasi lokal Anda untuk MFA.

Langkah berikutnya