Panduan penonaktifan Layanan Federasi Direktori Aktif (AD FS)

MICROSOFT Entra ID menyediakan pengalaman masuk berbasis cloud sederhana untuk semua sumber daya dan aplikasi Anda dengan autentikasi yang kuat dan kebijakan akses adaptif berbasis risiko real time untuk memberikan akses ke sumber daya yang mengurangi biaya operasional untuk mengelola dan memelihara lingkungan LAYANAN Federasi Direktori Aktif dan meningkatkan efisiensi TI.

Untuk informasi selengkapnya tentang mengapa Anda harus meningkatkan dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra, kunjungi pindah dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra. Lihat migrasi dari federasi ke autentikasi cloud untuk memahami cara meningkatkan dari Layanan Federasi Direktori Aktif.

Dokumen ini akan memberi Anda langkah-langkah yang direkomendasikan untuk menonaktifkan server Layanan Federasi Direktori Aktif Anda.

Prasyarat untuk menonaktifkan server LAYANAN Federasi Direktori Aktif

Sebelum Anda mulai menonaktifkan Server Layanan Federasi Direktori Aktif Anda, pastikan item berikut selesai. Untuk informasi selengkapnya, lihat migrasi dari federasi ke autentikasi cloud.

1. Instal Microsoft Entra Koneksi Health untuk menyediakan pemantauan infrastruktur identitas lokal Anda yang kuat.

2. Selesaikan pra-kerja untuk akses menyeluruh (SSO).

3. Migrasikan autentikasi pengguna Anda ke ID Microsoft Entra. Dengan autentikasi cloud diaktifkan, ID Microsoft Entra mampu menangani proses masuk pengguna dengan aman. MICROSOFT Entra ID memberi Anda tiga opsi untuk autentikasi cloud pengguna yang aman:

   • Sinkronisasi Hash Kata Sandi Microsoft Entra (PHS) – Memungkinkan pengguna Anda untuk masuk ke aplikasi lokal dan berbasis cloud menggunakan kata sandi yang sama. Microsoft Entra Koneksi menyinkronkan hash hash kata sandi pengguna dari instans Active Directory lokal ke instans Microsoft Entra berbasis cloud. Dua lapisan hash memastikan kata sandi Anda tidak pernah diekspos atau ditransmisikan ke sistem cloud.
   • Autentikasi Berbasis Sertifikat (CBA) Microsoft Entra – Memungkinkan Anda mengadopsi metode autentikasi tahan pengelabuan dan mengautentikasi pengguna dengan sertifikat X.509 terhadap Infrastruktur Kunci Umum (PKI) Anda.
   • Autentikasi pass-through (PTA) Microsoft Entra – Memungkinkan pengguna Anda untuk masuk ke aplikasi lokal dan berbasis cloud menggunakan kata sandi yang sama. Ini menginstal agen di Active Directory lokal Anda dan memvalidasi kata sandi pengguna secara langsung terhadap Active Directory lokal Anda.

   Anda dapat mencoba autentikasi cloud untuk pengguna Anda menggunakan Peluncuran Bertahap. Ini memungkinkan Anda untuk menguji grup pengguna secara selektif dengan kemampuan autentikasi cloud yang disebutkan di atas.

   Catatan

   • PHS & CBA adalah opsi pilihan untuk autentikasi terkelola cloud. PTA harus digunakan hanya dalam kasus di mana ada persyaratan peraturan untuk tidak menyinkronkan informasi kata sandi apa pun ke cloud.
   • Autentikasi pengguna dan Migrasi Aplikasi dapat dilakukan dalam urutan apa pun, namun, disarankan untuk menyelesaikan migrasi autentikasi pengguna terlebih dahulu.
   • Pastikan untuk mengevaluasi skenario yang didukung dan tidak didukung untuk Peluncuran Bertahap.

4. Migrasikan semua aplikasi Anda yang saat ini menggunakan Layanan Federasi Direktori Aktif untuk autentikasi ke ID Microsoft Entra, karena memberi Anda satu sarana kontrol untuk manajemen identitas dan akses ke ID Microsoft Entra. Pastikan Anda juga memigrasikan aplikasi Office 365 dan perangkat yang bergabung ke ID Microsoft Entra.

   • Asisten migrasi dapat digunakan untuk memigrasikan aplikasi dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra.
   • Jika Anda tidak menemukan aplikasi SaaS yang tepat di galeri aplikasi, aplikasi tersebut dapat diminta dari https://aka.ms/AzureADAppRequest.

5. Pastikan untuk menjalankan Microsoft Entra Koneksi Health setidaknya selama satu minggu untuk mengamati penggunaan aplikasi di ID Microsoft Entra. Anda juga dapat melihat log masuk pengguna di ID Microsoft Entra.

Langkah-langkah untuk menonaktifkan Server Layanan Federasi Direktori Aktif Anda

Bagian ini memberi Anda proses langkah demi langkah untuk menonaktifkan server Layanan Federasi Direktori Aktif Anda.

Sebelum mencapai titik ini, Anda harus memverifikasi bahwa tidak ada pihak yang mengandalkan (Balas Kepercayaan Bagian) dengan lalu lintas yang masih ada di server LAYANAN Federasi Direktori Aktif.

Sebelum memulai, periksa log peristiwa Layanan Federasi Direktori Aktif dan/atau Microsoft Entra Koneksi Health untuk setiap kegagalan masuk atau keberhasilan karena itu berarti server ini masih digunakan untuk sesuatu. Jika Anda melihat keberhasilan atau kegagalan masuk, periksa cara memigrasikan aplikasi Anda dari Layanan Federasi Direktori Aktif atau pindahkan autentikasi Anda ke ID Microsoft Entra.

Setelah di atas diverifikasi, Anda dapat mengambil langkah-langkah berikut (dengan asumsi server Layanan Federasi Direktori Aktif tidak digunakan untuk hal lain sekarang):

Catatan

Setelah memindahkan autentikasi ke ID Microsoft Entra, uji lingkungan Anda setidaknya selama satu minggu untuk memverifikasi autentikasi cloud berjalan lancar tanpa masalah.

1. Pertimbangkan untuk mengambil cadangan akhir opsional sebelum menonaktifkan server LAYANAN Federasi Direktori Aktif.
2. Hapus entri Layanan Federasi Direktori Aktif apa pun dari salah satu penyeimbang beban (internal serta eksternal) yang mungkin telah Anda konfigurasi di lingkungan Anda.
3. Hapus entri DNS terkait dari masing-masing nama farm untuk server LAYANAN Federasi Direktori Aktif di lingkungan Anda.
4. Pada server Layanan Federasi Direktori Aktif utama, jalankan Get-ADFSProperties dan cari CertificateSharingContainer. Perhatikan DN ini, karena Anda harus menghapusnya di dekat akhir penginstalan (setelah beberapa reboot dan ketika tidak tersedia lagi)
5. Jika database konfigurasi Layanan Federasi Direktori Aktif Anda menggunakan instans database SQL Server sebagai penyimpanan, pastikan untuk menghapus database sebelum menghapus instalasi server LAYANAN Federasi Direktori Aktif.
6. Hapus instalan server WAP (Proksi).
   • Masuk ke setiap server WAP, buka Konsol Manajemen Akses Jarak Jauh dan cari aplikasi web yang diterbitkan.
   • Hapus yang terkait dengan server Layanan Federasi Direktori Aktif yang tidak digunakan lagi.
   • Ketika semua aplikasi web yang diterbitkan dihapus, hapus instalan WAP dengan perintah berikut Hapus instalan-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
7. Hapus instalan server LAYANAN Federasi Direktori Aktif.
   • Dimulai dengan simpul sekunder, hapus instalan LAYANAN Federasi Direktori Aktif dengan perintah Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database . Setelah perintah jalankan del C:\Windows\WID\data\adfs* untuk menghapus file database apa pun
8. Hapus sertifikat Ad FS Secure Socket Layer (SSL) dari setiap penyimpanan server.
9. Gambar ulang server LAYANAN Federasi Direktori Aktif dengan pemformatan disk lengkap.
10. Sekarang Anda dapat menghapus akun Layanan Federasi Direktori Aktif dengan aman.
11. Hapus konten CertificateSharingContainer DN menggunakan ADSI Edit setelah penghapusan instalasi.

Langkah berikutnya

• FAQ Layanan Federasi Direktori Aktif ke Microsoft Entra