Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Peluncuran Bertahap memungkinkan Anda menguji fitur autentikasi cloud secara bertahap dengan grup pengguna yang dipilih. Fitur-fitur ini termasuk autentikasi multifaktor Microsoft Entra, Akses Bersyarkat, Perlindungan Identitas untuk kredensial bocor, Tata Kelola Identitas, dan banyak lagi. Pendekatan ini memungkinkan Anda memvalidasi fungsionalitas dan pengalaman pengguna sebelum sepenuhnya transisi domain Anda.
Sebelum memulai Peluncuran Bertahap, Anda harus mempertimbangkan implikasi jika satu atau beberapa kondisi berikut ini benar:
- Saat ini Anda menggunakan Server Autentikasi Multifaktor lokal.
- Anda menggunakan kartu pintar untuk autentikasi.
- Server Anda saat ini menawarkan fitur khusus gabungan tertentu.
- Anda berpindah dari solusi federasi pihak ketiga ke layanan terkelola.
Sebelum mencoba fitur ini, Anda sebaiknya meninjau panduan kami tentang memilih metode autentikasi yang tepat. Untuk informasi selengkapnya, lihat tabel "Membandingkan metode" di Memilih metode autentikasi yang tepat untuk solusi identitas hibrid Microsoft Entra Anda.
Untuk gambaran umum fitur, lihat video "Apa itu Peluncuran Bertahap?" ini:
Prasyarat
Anda memiliki penyewa Microsoft Entra dengan domain terfederasi.
Anda telah memutuskan untuk memindahkan salah satu opsi berikut:
- Sinkronisasi hash kata sandi. Untuk informasi selengkapnya, lihat Apa itu sinkronisasi hash kata sandi
- Autentikasi langsung. Untuk informasi selengkapnya, lihat Apa itu autentikasi pass-through
- Pengaturan autentikasi berbasis Sertifikat (CBA) Microsoft Entra. Untuk informasi selengkapnya, lihat Gambaran Umum autentikasi berbasis sertifikat Microsoft Entra
Untuk kedua opsi tersebut, Anda sebaiknya mengaktifkan single sign-on (SSO) untuk mencapai pengalaman masuk senyap. Untuk perangkat dengan domain bersama Windows 7 atau 8.1, sebaiknya gunakan seamless SSO. Untuk informasi selengkapnya, lihat Apa itu SSO tanpa hambatan. Untuk Windows 10, Windows Server 2016 dan versi yang lebih baru, gunakan SSO melalui Token Refresh Utama (PRT). Untuk perangkat yang bergabung dengan Microsoft Entra, perangkat yang tergabung dalam hibrida Microsoft Entra atau perangkat terdaftar pribadi, gunakan Tambahkan Akun Kerja atau Sekolah.
Anda perlu mengonfigurasi semua kebijakan pencitraan penyewa dan Akses Bersyarat yang diperlukan untuk pengguna yang sedang dimigrasikan ke autentikasi cloud.
Jika Anda pindah dari federasi ke autentikasi cloud, Anda harus memverifikasi bahwa pengaturan
synchronizeUpnForManagedUsersEnabled
DirSync diatur ketrue
, jika tidak, ID Microsoft Entra tidak mengizinkan pembaruan sinkronisasi ke UPN atau ID masuk alternatif untuk akun pengguna berlisensi yang menggunakan autentikasi terkelola. Untuk informasi selengkapnya, lihat Fitur layanan Sinkronisasi Microsoft Entra Connect.Jika Anda berencana menggunakan autentikasi multifaktor Microsoft Entra, sebaiknya aktifkan pendaftaran gabungan. Ini memungkinkan pengguna untuk mendaftarkan metode autentikasi mereka sekali untuk pengaturan ulang kata sandi mandiri (SSPR) dan autentikasi multifaktor. Catatan- saat menggunakan SSPR untuk mengatur ulang kata sandi atau mengubah kata sandi menggunakan halaman MyProfile saat berada di Peluncuran Bertahap, Microsoft Entra Connect perlu menyinkronkan hash kata sandi baru yang dapat memakan waktu hingga 2 menit setelah reset.
Untuk menggunakan fitur Peluncuran Bertahap, Anda harus menjadi Administrator Identitas Hibrid di penyewa Anda.
Untuk mengaktifkan SSO tanpa hambatan pada forest Active Directory tertentu, Anda harus menjadi administrator domain.
Jika Anda mengimplementasikan ID Microsoft Entra Hibrid atau bergabung dengan Microsoft Entra, Anda harus meningkatkan ke pembaruan Windows 10 1903.
Skenario yang didukung
Skenario berikut didukung untuk Peluncuran Bertahap. Fitur ini hanya berfungsi untuk:
Pengguna yang diprovisikan ke ID Microsoft Entra dengan menggunakan Microsoft Entra Connect. Ini tidak berlaku untuk pengguna khusus cloud.
Lalu lintas masuk pengguna di browser dan klien autentikasi modern . Aplikasi atau layanan cloud yang menggunakan autentikasi lama kembali ke alur autentikasi gabungan. Contoh autentikasi warisan mungkin Exchange online dengan autentikasi modern dinonaktifkan, atau Outlook 2010, yang tidak mendukung autentikasi modern.
Peluncuran bertahap mendukung grup dengan ukuran apa pun, asalkan mematuhi batas dan batasan layanan direktori Microsoft Entra
Windows 10 Hybrid Join atau bergabung dengan Microsoft Entra untuk perolehan token refresh utama tanpa akses langsung ke server federasi untuk Windows 10 versi 1903 dan yang lebih baru, ketika UPN pengguna dapat dirutekan dan akhiran domain diverifikasi dalam ID Microsoft Entra.
Pendaftaran Autopilot didukung dalam Peluncuran Bertahap dengan Windows 10 versi 1909 atau yang lebih baru.
Skenario yang tidak didukung
Skenario berikut tidak didukung untuk Peluncuran Bertahap:
Autentikasi warisan seperti POP3 dan SMTP tidak didukung.
Aplikasi tertentu mengirim parameter kueri "domain_hint" ke ID Microsoft Entra selama autentikasi. Alur ini berlanjut, dan pengguna yang diaktifkan untuk Peluncuran Bertahap terus menggunakan federasi untuk autentikasi.
Admin dapat meluncurkan autentikasi cloud menggunakan grup keamanan. Untuk menghindari latensi sinkronisasi saat Anda menggunakan grup keamanan Active Directory lokal, Anda sebaiknya menggunakan grup keamanan cloud. Ketentuan berikut berlaku:
- Anda dapat menggunakan maksimal 10 grup per fitur. Artinya, Anda dapat menggunakan masing-masing 10 grup untuk sinkronisasi hash kata sandi, autentikasi pass-through, dan SSO yang mulus.
- Grup bersarang tidak didukung.
- Grup dinamis tidak didukung untuk Peluncuran Bertahap.
- Objek kontak di dalam grup memblokir grup agar tidak ditambahkan.
Saat pertama kali menambahkan grup keamanan untuk Peluncuran Bertahap, Anda dibatasi hingga 200 pengguna untuk menghindari batas waktu UX. Setelah menambahkan grup, Anda dapat menambahkan lebih banyak pengguna langsung ke grup tersebut sesuai kebutuhan.
Sementara pengguna berada dalam Peluncuran Bertahap dengan Sinkronisasi Hash Kata Sandi (PHS), secara default tidak diterapkan kedaluwarsa kata sandi. Kedaluwarsa sandi dapat diberlakukan dengan mengaktifkan "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Ketika "CloudPasswordPolicyForPasswordSyncedUsersEnabled" diaktifkan, kebijakan kedaluwarsa kata sandi diatur ke 90 hari sejak kata sandi diatur di lokal tanpa opsi untuk menyesuaikannya. Mengubah atribut PasswordPolicies secara terprogram tidak didukung saat pengguna berada dalam Peluncuran Bertahap. Untuk mengetahui cara menerapkan 'CloudPasswordPolicyForPasswordSyncedUsersEnabled', lihat Kebijakan kedaluwarsa kata sandi.
Windows 10 Hybrid Join atau Microsoft Entra bergabung dengan proses perolehan token refresh utama untuk Windows 10 versi yang lebih lama dari 1903. Skenario ini kembali ke titik akhir WS-Trust dari server federasi, bahkan jika pengguna yang masuk berada dalam cakupan Peluncuran Bertahap.
Gabungan Hibrid Windows 10 atau Microsoft Entra bergabung dengan akuisisi token refresh utama untuk semua versi, saat UPN lokal pengguna tidak dapat dirutekan. Skenario ini kembali ke titik akhir WS-Trust saat dalam mode Peluncuran Bertahap, tetapi tidak lagi berfungsi ketika migrasi bertahap selesai dan autentikasi pengguna tidak lagi bergantung pada server federasi.
Jika Anda memiliki penyiapan VDI nonpersisten dengan Windows 10, versi 1903 atau yang lebih baru, Anda harus tetap berada di domain federasi. Pindah ke domain terkelola tidak didukung pada VDI nonpersisten. Untuk informasi selengkapnya, lihat Identitas perangkat dan virtualisasi desktop.
Jika Anda memiliki kepercayaan sertifikat hibrid Windows Hello untuk Bisnis dengan sertifikat yang dikeluarkan melalui server federasi Anda, yang berperan sebagai Otoritas Pendaftaran atau pengguna smartcard, skenario tersebut tidak didukung pada Staged Rollout.
Catatan
Anda masih perlu melakukan perpindahan akhir dari federasi ke autentikasi cloud dengan menggunakan Microsoft Entra Connect atau PowerShell. Peluncuran Bertahap tidak mengalihkan domain dari terfederasi ke terkelola. Untuk informasi lebih lanjut tentang perpindahan domain, lihat Migrasi dari federasi ke sinkronisasi hash kata sandi dan Migrasi dari federasi ke autentikasi pass-through.
Mulai melakukan Peluncuran Bertahap
Untuk menguji sinkronisasi hash kata sandi dengan menggunakan Peluncuran Bertahap, ikuti instruksi persiapan di bagian berikutnya.
Untuk informasi tentang cmdlet PowerShell mana yang akan digunakan, lihat Pratinjau Microsoft Entra ID 2.0.
Persiapan untuk sinkronisasi hash kata sandi
Aktifkan sinkronisasi hash kata sandi dari halaman Fitur opsional di Microsoft Entra Connect.
Pastikan siklus sinkronisasi hash kata sandi lengkap telah berjalan sehingga semua hash kata sandi pengguna telah disinkronkan ke ID Microsoft Entra. Untuk memeriksa status sinkronisasi hash kata sandi, Anda dapat menggunakan diagnostik PowerShell di Pemecahan Masalah Sinkronisasi Hash Kata Sandi dengan Microsoft Entra Connect Sync.
Jika Anda ingin menguji log masuk autentikasi pass-through dengan menggunakan Peluncuran Bertahap, aktifkan dengan mengikuti instruksi persiapan pada bagian berikut.
Persiapan untuk autentikasi pass-through
Identifikasi server yang menjalankan Windows Server 2012 R2 atau yang lebih baru di mana Anda ingin agen autentikasi pass-through berjalan.
Jangan pilih server Microsoft Entra Connect. Pastikan server bergabung dengan domain, dapat mengautentikasi pengguna yang dipilih dengan Direktori Aktif, dan dapat berkomunikasi dengan ID Microsoft Entra pada port dan URL keluar. Untuk informasi selengkapnya, lihat bagian "Langkah 1: Periksa prasyarat" dari Quickstart: Microsoft Entra pemasukan tunggal tanpa hambatan.
Unduh agen autentikasi Microsoft Entra Connect, dan instal di server.
Untuk mengaktifkan ketersediaan tinggi, instal agen autentikasi tambahan di server lain.
Pastikan Anda telah mengonfigurasi pengaturan Smart Lockout dengan tepat. Dengan melakukan hal tersebut, Anda dapat memastikan bahwa akun Active Directory pengguna lokal Anda tidak terkunci akibat tindakan pihak yang tidak bertanggung jawab.
Sebaiknya aktifkan SSO tanpa hambatan terlepas dari metode masuk (sinkronisasi hash kata sandi atau autentikasi pass-through) yang Anda pilih untuk Peluncuran Bertahap. Untuk mengaktifkan SSO tanpa hambatan, ikuti instruksi prakerja di bagian berikutnya.
Persiapan untuk SSO tanpa kendala
Aktifkan SSO terintegrasi pada Active Directory forest dengan menggunakan PowerShell. Jika Anda memiliki lebih dari satu area Active Directory, aktifkan untuk setiap area secara individu. SSO Tanpa Hambatan dipicu hanya untuk pengguna yang dipilih untuk Peluncuran Bertahap. Ini tidak memengaruhi pengaturan federasi Anda yang ada.
Aktifkan SSO tanpa hambatan dengan melakukan tugas-tugas berikut:
Masuk ke Microsoft Entra Connect Server.
Pergi ke folder %programfiles%\Microsoft Entra Connect.
Impor modul PowerShell SSO tanpa hambatan dengan menjalankan perintah berikut:
Import-Module .\AzureADSSO.psd1
Jalankan PowerShell sebagai Administrator. Pada PowerShell, panggil
New-AzureADSSOAuthenticationContext
. Perintah ini membuka panel tempat Anda bisa memasukkan kredensial Administrator Identitas Hibrid penyewa Anda.Panggil
Get-AzureADSSOStatus | ConvertFrom-Json
. Perintah ini menampilkan daftar area Active Directory (lihat daftar "Domain") tempat fitur ini telah diaktifkan. Secara bawaan, ini diatur ke false di tingkat penyewa.Contoh output PowerShell
Panggil
$creds = Get-Credential
. Pada perintah, masukkan kredensial administrator domain untuk area Active Directory yang dimaksudkan.Panggil
Enable-AzureADSSOForest -OnPremCredentials $creds
. Perintah ini membuat akun komputer AZUREADSSOACC dari pengontrol domain di lokasi untuk Active Directory forest yang diperlukan untuk SSO tanpa hambatan.SSO Tanpa Hambatan mengharuskan URL berada di zona intranet. Untuk menyebarkan URL tersebut dengan menggunakan kebijakan grup, lihat Panduan Cepat: Microsoft Entra Single Sign-On Tanpa Hambatan.
Untuk panduan lengkap, Anda juga dapat mengunduh rencana penyebaran kami untuk SSO yang mulus.
Mengaktifkan Peluncuran Bertahap
Untuk meluncurkan fitur tertentu (autentikasi pass-through, sinkronisasi hash kata sandi, atau SSO tanpa hambatan) ke sekumpulan pengguna tertentu dalam grup, ikuti instruksi di bagian berikutnya.
Mengaktifkan Peluncuran Bertahap fitur tertentu pada penyewa Anda
Anda dapat meluncurkan salah satu opsi berikut:
- Sinkronisasi hash kata sandi + SSO Tanpa Hambatan
- Autentikasi Langsung + SSO Mulus
- Tidak didukung - Sinkronisasi hash kata sandi + Autentikasi Pass-through + SSO Tanpa Hambatan
- Pengaturan autentikasi berbasis sertifikat
- Autentikasi multifaktor Azure
Untuk mengonfigurasi Peluncuran Bertahap, ikuti langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
Telusuri ke Entra ID>Entra Connect>Sinkronkan Koneksi.
Pada halaman Microsoft Entra Connect , di bawah peluncuran autentikasi cloud bertahap, pilih tautan Aktifkan peluncuran bertahap untuk masuk pengguna terkelola .
Pada halaman Aktifkan fitur peluncuran bertahap , pilih opsi yang ingin Anda aktifkan: Sinkronisasi Hash Kata Sandi, Autentikasi pass-through, Akses menyeluruh Tanpa Hambatan, atau Autentikasi berbasis Sertifikat. Misalnya, jika Anda ingin mengaktifkan Sinkronisasi Hash Kata Sandi dan Akses menyeluruh Tanpa Hambatan, geser kedua kontrol ke Aktif.
Tambahkan grup ke fitur yang Anda pilih. Misalnya, autentikasi pass-through dan SSO yang mulus. Untuk menghindari pemutusan, pastikan bahwa kelompok keamanan awalnya tidak berisi lebih dari 200 anggota.
Catatan
Anggota dalam grup secara otomatis diaktifkan untuk Peluncuran Bertahap. Grup keanggotaan berlapis dan dinamis tidak didukung untuk Peluncuran Bertahap. Saat menambahkan grup baru, pengguna dalam grup (hingga 200 pengguna untuk grup baru) akan diperbarui untuk segera menggunakan autentikasi terkelola. Mengedit grup (menambahkan atau menghapus pengguna), ini dapat membutuhkan waktu hingga 24 jam agar perubahan diterapkan. Seamless SSO hanya akan berlaku jika pengguna berada di grup Seamless SSO dan di grup PTA atau PHS.
Perilaku Autentikasi Pengguna pada Saat Transisi Peluncuran Secara Bertahap
Ketika seorang pengguna ditambahkan ke grup Peluncuran Bertahap (SR) atau ketika grup yang mereka miliki dimasukkan ke dalam SR, metode autentikasi mereka akan berubah dari federasi ke dikelola. Perubahan ini berlaku setelah pengguna menyelesaikan satu lagi masuk interaktif menggunakan login federasi yang ada. Setelah masuk ini, Microsoft Entra menerapkan pengalaman autentikasi terkelola untuk masuk berikutnya.
Demikian pula, ketika pengguna dihapus dari grup SR atau ketika grup mereka dihapus dari SR, mereka akan terus menggunakan autentikasi terkelola sampai mereka menyelesaikan satu lagi masuk interaktif. Setelah itu, federasi diterapkan kembali dan login di masa mendatang akan dialihkan ke penyedia identitas federasi.
Perilaku ini memastikan transisi yang mulus antara metode autentikasi sambil mempertahankan kelangsungan akses dan keamanan pengguna.
Pengauditan
Kita telah mengaktifkan peristiwa audit untuk berbagai tindakan yang kita lakukan untuk Peluncuran Bertahap:
Peristiwa audit saat Anda mengaktifkan Peluncuran Bertahap untuk sinkronisasi hash kata sandi, autentikasi pass-through, atau SSO tanpa hambatan.
Catatan
Peristiwa audit dicatat saat SSO tanpa hambatan diaktifkan dengan menggunakan Peluncuran Bertahap.
Peristiwa audit saat grup ditambahkan ke sinkronisasi hash kata sandi, autentikasi pass-through, atau SSO tanpa hambatan.
Catatan
Peristiwa audit dicatat saat grup ditambahkan ke sinkronisasi hash kata sandi untuk Peluncuran Bertahap.
Peristiwa audit ketika pengguna yang ditambahkan ke grup diaktifkan untuk Peluncuran Bertahap.
Validasi
Untuk menguji masuk dengan sinkronisasi hash kata sandi atau autentikasi pass-through (masuk nama pengguna dan kata sandi), lakukan tugas berikut:
Di ekstranet, buka halaman Aplikasi di sesi browser privat, lalu masukkan UserPrincipalName (UPN) akun pengguna yang dipilih untuk Peluncuran Bertahap.
Pengguna yang telah ditargetkan untuk Peluncuran Bertahap tidak dialihkan ke halaman masuk federasi Anda. Sebagai gantinya, mereka diminta untuk masuk di halaman masuk bermerek penyewa Microsoft Entra.
Pastikan bahwa aktivitas masuk berhasil dicatat di laporan aktivitas masuk Microsoft Entra dengan memfilter berdasarkan UserPrincipalName.
Untuk menguji masuk dengan SSO tanpa hambatan:
Di intranet, buka halaman Aplikasi menggunakan sesi browser, lalu masukkan UserPrincipalName (UPN) akun pengguna yang dipilih untuk Peluncuran Bertahap.
Pengguna yang terkena Peluncuran Bertahap dari SSO yang mulus akan diberikan pesan "Mencoba memasukkan Anda ..." sebelum mereka masuk secara otomatis.
Pastikan bahwa aktivitas masuk berhasil dicatat di laporan aktivitas masuk Microsoft Entra dengan memfilter berdasarkan UserPrincipalName.
Untuk melacak rincian masuk pengguna yang masih terjadi di Layanan Federasi Direktori Aktif (AD FS) untuk pengguna Peluncuran Bertahap yang dipilih, ikuti instruksi di pemecahan masalah Layanan Federasi Direktori Aktif: Peristiwa dan pengelogan. Periksa dokumentasi vendor tentang cara memeriksa ini pada penyedia federasi pihak ketiga.
Catatan
Saat pengguna dalam Peluncuran Bertahap dengan PHS, perubahan kata sandi mungkin memerlukan waktu hingga 2 menit untuk diterapkan karena waktu sinkronisasi. Pastikan untuk menetapkan harapan dengan pengguna Anda untuk menghindari panggilan bantuan teknis setelah mereka mengubah kata sandi mereka.
Pemantauan
Anda dapat memantau pengguna dan grup yang ditambahkan atau dihapus dari Peluncuran Bertahap, serta aktivitas masuk pengguna saat berada di Peluncuran Bertahap, dengan menggunakan buku kerja Hybrid Auth baru di Pusat Admin Microsoft Entra.
Menghapus pengguna dari Peluncuran Bertahap
Menghapus pengguna dari grup menonaktifkan Peluncuran Bertahap untuk pengguna tersebut. Untuk menonaktifkan fitur Peluncuran Bertahap, geser kontrol kembali ke Nonaktif.
Penting
Saat menghapus pengguna dari grup dalam peluncuran bertahap (staged rollout) untuk autentikasi berbasis sertifikat, di mana pengguna telah masuk ke perangkat Windows dengan sertifikat, disarankan untuk tetap mengaktifkan pengguna untuk metode autentikasi berbasis sertifikat di Entra ID. Pengguna harus tetap diaktifkan untuk autentikasi berbasis sertifikat setelah penghapusan dari peluncuran bertahap untuk jangka waktu yang cukup lama sehingga pengguna dapat masuk ke Windows dan memperbarui token penyegaran utama mereka menggunakan penyedia identitas federasi.
Tanya jawab umum
T: Dapatkah saya menggunakan kemampuan ini dalam produksi?
J: Ya, Anda dapat menggunakan fitur ini di tenant produksi Anda, namun kami sarankan Anda mencobanya terlebih dahulu di tenant pengujian Anda.
T: Dapatkah fitur ini digunakan untuk mempertahankan "ko-eksistensi" permanen di mana beberapa pengguna menggunakan autentikasi federasi dan yang lain menggunakan autentikasi cloud?
J: Tidak, fitur ini dirancang untuk menguji autentikasi cloud. Setelah pengujian berhasil, Anda harus membuat beberapa kelompok pengguna beralih ke autentikasi cloud. Kami tidak merekomendasikan penggunaan status campuran permanen, karena pendekatan ini dapat menyebabkan alur autentikasi yang tidak terduga.
T: Dapatkah saya menggunakan PowerShell untuk melakukan Peluncuran Bertahap?
J: Ya. Untuk mempelajari cara menggunakan PowerShell untuk melakukan Peluncuran Bertahap, lihat Pratinjau ID Microsoft Entra.