Eseguire la migrazione all'autenticazione cloud con implementazione a fasi

L'implementazione a fasi consente di testare in modo selettivo gruppi di utenti con funzionalità di autenticazione cloud come l'autenticazione a più fattori Microsoft Entra, l'accesso condizionale, Microsoft Entra ID Protection per le credenziali perse, la governance delle identità e altri utenti, prima di tagliare i domini. Questo articolo illustra come eseguire il passaggio.

Prima di iniziare l'implementazione a fasi, è necessario considerare i possibili effetti in presenza di uno o più delle condizioni seguenti:

• È attualmente in uso un server Multi-Factor Authentication locale.
• Si usano smart card per l'autenticazione.
• Il server corrente offre alcune funzionalità solo per la federazione.
• Si passa da una soluzione federativa di terze parti ai servizi gestiti.

Prima di provare questa funzionalità, è consigliabile rivedere la guida relativa alla scelta del metodo di autenticazione appropriato. Per altre informazioni, vedere la tabella "Confronto dei metodi" in Scegliere il metodo di autenticazione appropriato per la soluzione ibrida di gestione delle identità di Microsoft Entra.

Per una panoramica della funzionalità, vedere questo video "What is Staged Rollout?" (Che cos'è l'implementazione a fasi?):

Prerequisiti

• Si dispone di un tenant di Microsoft Entra con domini federati.

• Si è deciso di spostare una delle opzioni seguenti:

  • Sincronizzazione dell'hash delle password (sincronizzare). Per altre informazioni, vedere Che cos'è la sincronizzazione dell'hash delle password?
  • Autenticazione pass-through. Per altre informazioni, vedere Informazioni sull'autenticazione pass-through
  • Impostazioni dell’autenticazione basata su certificati (CBA) di Microsoft Entra. Per altre informazioni, vedere Informazioni generali dell'autenticazione basata su certificati di Microsoft Entra

  Per entrambe le opzioni, è consigliabile abilitare l'accesso Single Sign-On (SSO) per ottenere un'esperienza di accesso invisibile all'utente. Per i dispositivi Windows 7 o 8.1 aggiunti a un dominio, è consigliabile usare l'accesso Single Sign-On facile. Per altre informazioni, vedere Che cos'è l’accesso Single Sign-On facile. Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare l'accesso Single Sign-On tramite il Token di aggiornamento primario (PRT) con dispositivi aggiunti a Microsoft Entra, dispositivi aggiunti a Microsoft Entra ibridi o dispositivi registrati personali tramite Aggiungi account aziendale o dell'istituto di istruzione.

• Sono stati configurati tutti i criteri appropriati di personalizzazione del tenant e di accesso condizionale necessari per gli utenti di cui viene eseguita la migrazione all'autenticazione cloud.

• Se si è passati dall'autenticazione federata all'autenticazione cloud, è necessario verificare che l'impostazione DirSync SynchronizeUpnForManagedUsers sia abilitata. In caso contrario, Microsoft Entra ID non consente gli aggiornamenti della sincronizzazione all'UPN o all'ID di accesso alternativo per gli account utente con licenza che usano l'autenticazione gestita. Per altre informazioni, vedere Funzionalità del servizio Microsoft Entra Connect Sync.

• Se si prevede di usare l’autenticazione a più fattori di Microsoft Entra, è consigliabile usare la registrazione combinata per la reimpostazione password self-service (SSPR) e l’autenticazione a più fattori in modo che gli utenti registrino i metodi di autenticazione una sola volta. Nota: quando si usa la reimpostazione della password self-service per reimpostare la password o modificare la password usando la pagina MyProfile durante l'implementazione a fasi, Microsoft Entra Connect deve sincronizzare il nuovo hash della password che può richiedere fino a 2 minuti dopo la reimpostazione.

• Per usare la funzionalità di implementazione a fasi, è necessario essere un amministratore dell’identità ibrida del tenant.

• Per abilitare l'accesso Single Sign-On facile in una foresta di Active Directory specifica, è necessario essere un amministratore di dominio.

• Se si sta distribuendo Microsoft Entra ID ibrido o l'aggiunta a Microsoft Entra, è necessario eseguire l'aggiornamento a Windows 10 1903.

Scenari supportati

Per l'implementazione a fasi sono supportati gli scenari riportati di seguito. La funzionalità può essere usata solo nei casi seguenti:

• Utenti di cui viene effettuato il provisioning in Microsoft Entra ID usando Microsoft Entra Connect. Non si applica a utenti solo cloud.

• Traffico di accesso utente in browser e client con autenticazione moderna. Le applicazioni o i servizi cloud che usano l'autenticazione legacy eseguiranno il fallback ai flussi di autenticazione federati. Un esempio di autenticazione legacy potrebbe essere Exchange Online con l'autenticazione moderna disattivata, oppure Outlook 2010, che non supporta l'autenticazione moderna.

• Le dimensioni del gruppo sono attualmente limitate a 50.000 utenti. Se i gruppi hanno più di 50.000 utenti, è consigliabile suddividerli in più gruppi per poter usare l'implementazione a fasi.

• Acquisizione del token di aggiornamento primario di Windows 10 Hybrid Join o Microsoft Entra Join senza visuale sul server federativo per Windows 10 versione 1903 e successive, quando l’UPN dell’utente è indirizzabile e il suffisso del dominio è verificato in Microsoft Entra ID.

• La registrazione di Autopilot è supportata nell'implementazione a fasi con Windows 10 versione 1909 o successiva.

Scenari non supportati

Per l'implementazione a fasi non sono supportati gli scenari riportati di seguito:

• L'autenticazione legacy, ad esempio POP3 e SMTP, non è supportata.

• Alcune applicazioni inviano il parametro di query "domain_hint" a Microsoft Entra ID durante l'autenticazione. Questi flussi sono ancora possibili e gli utenti abilitati per l'implementazione a fasi continuano a usare la federazione per l'autenticazione.

• Gli amministratori possono implementare l'autenticazione cloud usando i gruppi di sicurezza. Per evitare latenza di sincronizzazione durante l'uso dei gruppi di sicurezza Active Directory locali, è consigliabile usare gruppi di sicurezza cloud. Vengono applicate le seguenti condizioni:

  • È possibile usare un massimo di 10 gruppi per ogni funzionalità, vale a dire 10 gruppi per sincronizzazione dell'hash delle password, 10 per autenticazione pass-through e 10 per accesso Single Sign-On facile.
  • I gruppi annidati non sono supportati.
  • I gruppi dinamici non sono supportati per l'implementazione a fasi.
  • Gli oggetti Contact all'interno del gruppo impediscono l'aggiunta del gruppo.

• Quando un gruppo di sicurezza viene aggiunto per l'implementazione a fasi per la prima volta, il limite di utenti è 200 per evitare che si verifichi un timeout nell'esperienza utente. Dopo aver aggiunto il gruppo, è possibile aggiungervi altri utenti direttamente, se necessario.

• Mentre gli utenti sono in fase di implementazione con sincronizzazione dell'hash delle password (PHS), per impostazione predefinita non viene applicata alcuna scadenza della password. La scadenza della password può essere applicata abilitando "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Quando "CloudPasswordPolicyForPasswordSyncedUsersEnabled" è abilitato, i criteri di scadenza della password vengono impostati su 90 giorni dal momento in cui la password è stata impostata in locale senza alcuna opzione per personalizzarla. L'aggiornamento dell'attributo PasswordPolicies a livello di codice non è supportato mentre gli utenti sono in fase di implementazione. Per informazioni su come impostare "CloudPasswordPolicyForPasswordSyncedUsersEnabled", vedere Criteri di scadenza delle password.

• Windows 10 Hybrid Join o Microsoft Entra join primary refresh token acquisition for Windows 10 version older than 1903 .Windows 10 hybrid join or Microsoft Entra join primary refresh token acquisition for Windows 10 version older than 1903. Questo scenario esegue il fallback all'endpoint WS-Trust del server federativo, anche se l'utente che esegue l'accesso è nell'ambito dell'implementazione a fasi.

• Aggiunta ibrida a Windows 10 o acquisizione del token di aggiornamento primario di Microsoft Entra per tutte le versioni, quando l'UPN locale dell'utente non è instradabile. Questo scenario esegue il fallback all'endpoint WS-Trust in modalità implementazione temporanea, ma smette di funzionare al termine della migrazione a fasi e l'accesso utente non si basa più sul server federativo.

• Se si dispone di una configurazione VDI non persistente con Windows 10, versione 1903 o successiva, è necessario rimanere in un dominio federato. Il passaggio a un dominio gestito non è supportato in VDI non persistente. Per altre informazioni, vedere Identità del dispositivo e virtualizzazione del desktop.

• Se si dispone di un trust certificato ibrido di Windows Hello for Business con certificati emessi tramite il server federativo che funge da autorità di registrazione o utenti di smart card, lo scenario non è supportato in un'implementazione a fasi.

  Nota

  È comunque necessario eseguire il passaggio finale dall'autenticazione federata all'autenticazione cloud usando Microsoft Entra Connect o PowerShell. L'implementazione a fasi non cambia i domini da federati a gestiti. Per altre informazioni sul cutover del dominio, vedere Eseguire la migrazione dalla federazione alla sincronizzazione dell'hash delle password e eseguire la migrazione dalla federazione all'autenticazione pass-through.

Introduzione all'implementazione a fasi

Per testare l'accesso tramitesincronizzazione dell'hash delle password usando l'implementazione a fasi, seguire le istruzioni preliminari illustrate nella sezione successiva.

Per informazioni sui cmdlet di PowerShell da usare, vedere Anteprima di Microsoft Entra ID 2.0.

Istruzioni preliminari per la sincronizzazione dell'hash delle password

1. Abilitare la sincronizzazione dell'hash delle password nella pagina Funzionalità facoltative di Microsoft Entra Connect. 

   

2. Verificare che sia stato eseguito un ciclo completo di sincronizzazione dell'hash delle password in modo che tutti gli hash delle password degli utenti siano stati sincronizzati con Microsoft Entra ID. Per controllare lo stato di sincronizzazione dell'hash delle password, è possibile usare la diagnostica di PowerShell descritta in Risolvere i problemi di sincronizzazione degli hash delle password con Microsoft Entra Connect Sync.

   

Se si desidera testare l'accesso tramite autenticazione pass-through usando l'implementazione a fasi, abilitare la funzionalità seguendo le istruzioni preliminari illustrate nella sezione successiva.

Pre-lavoro per l'autenticazione pass-through

1. Identificare un server che esegue Windows Server 2012 R2 o versione successiva in cui si vuole eseguire l'autenticazione l'agente di autenticazione pass-through.

   Non scegliere il server Microsoft Entra Connect. Verificare che il server sia aggiunto a un dominio, possa autenticare gli utenti selezionati con Active Directory e possa comunicare con Microsoft Entra ID sulle porte e sugli URL in uscita. Per altre informazioni, vedere la sezione "Passaggio 1: Controllare i prerequisiti" di Avvio rapido: accesso Single Sign-On facile di Microsoft Entra.

2. Scaricare l'agente di autenticazione di Microsoft Entra Connect e installarlo nel server. 

3. Per abilitare la disponibilità elevata, installare agenti di autenticazione aggiuntivi in altri server.

4. Assicurarsi di aver configurato le impostazione di blocco intelligente in modo appropriato. In questo modo è possibile assicurarsi che gli account Active Directory locali degli utenti non vengano bloccati da utenti malintenzionati.

È consigliabile abilitare l'accesso Single Sign-On facile indipendentemente dal metodo di accesso (sincronizzazione dell'hash delle password o autenticazione pass-through) selezionato per l'implementazione a fasi. Per abilitare l'accesso Single Sign-On facile, seguire le istruzioni preliminari illustrate nella sezione successiva.

Istruzioni preliminari per l'accesso Single Sign-On facile

Abilitare l'accesso Single Sign-On facile nelle foreste di Active Directory usando PowerShell. Se sono presenti più foreste di Active Directory, abilitarla singolarmente per ogni foresta. L’accesso Single Sign-On facile viene attivato solo per gli utenti selezionati per l'implementazione a fasi. Non condiziona la configurazione della federazione esistente.

Abilitare l'accesso Single Sign-On facile eseguendo le operazioni seguenti:

1. Accedere al server Microsoft Entra Connect.

2. Passare alla cartella %programfiles%\Microsoft Entra Connect.

3. Importare il modulo PowerShell dell'accesso Single Sign-On facile eseguendo il comando seguente:

   Import-Module .\AzureADSSO.psd1

4. Esegui PowerShell come amministratore. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext. Il comando apre un riquadro in cui è possibile immettere le credenziali dell'amministratore dell’identità ibrida del tenant.

5. Chiamare Get-AzureADSSOStatus | ConvertFrom-Json. Questo comando visualizza un elenco di foreste di Active Directory (vedere l'elenco "Domini") in cui è stata abilitata questa funzionalità. Il valore predefinito a livello di tenant è false.

   

6. Chiamare $creds = Get-Credential. Al prompt dei comandi, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.

7. Chiamare Enable-AzureADSSOForest -OnPremCredentials $creds. Questo comando crea l'account computer AZUREADSSOACC dal controller di dominio locale per la foresta di Active Directory necessaria per l'accesso Single Sign-On facile.

8. Per l'accesso Single Sign-On facile è necessario che gli URL siano nell'area Intranet. Per distribuire tali URL usando i criteri di gruppo, vedere Avvio rapido: accesso Single Sign-On facile di Microsoft Entra.

9. Per una procedura dettagliata completa, è anche possibile scaricare i piani di distribuzione per l'accesso Single Sign-On facile.

Abilitare l'implementazione a fasi

Per implementare una funzionalità specifica (autenticazione pass-through, sincronizzazione dell'hash delle password o accesso Single Sign-On facile) per una serie di utenti in un gruppo, seguire le istruzioni illustrate nelle sezioni successive.

Abilitare un'implementazione a fasi di una funzionalità specifica nel tenant

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

È possibile implementare queste opzioni:

• Sincronizzazione dell'hash delle password + Accesso Single Sign-On facile
• Autenticazione pass-through + Accesso Single Sign-On facile
• Non supportato - sincronizzazione dell'hash delle password + autenticazione pass-through + accesso Single Sign-On facile
• Impostazioni dell’autenticazione basata su certificati
• Autenticazione a più fattori di Azure

Per configurare l'implementazione a fasi, seguire questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.

2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione Connect.

3. Nella pagina Microsoft Entra Connect, sotto il link Implementazione a fasi dell'autenticazione cloud selezionare il link Abilita implementazione a fasi per l'accesso utente gestito.

4. Nella pagina Abilitare la funzionalità di implementazione a fasi selezionare le opzioni da abilitare: Sincronizzazione dell'hash delle password, Autenticazione pass-through, Accesso Single Sign-On facile o Autenticazione basata su certificati. Ad esempio, se si desidera abilitare Sincronizzazione dell'hash delle password e Accesso Single Sign-On facile, spostare entrambi i comandi su Sì.

5. Aggiungere gruppi alle funzionalità selezionate. Ad esempio, autenticazione pass-through e accesso Single Sign-On facile. Per evitare un timeout, assicurarsi che i gruppi di sicurezza non contengano inizialmente più di 200 membri.

   Nota

   I membri di un gruppo vengono automaticamente abilitati per l'implementazione a fasi. I gruppi di appartenenza annidati e dinamici non sono supportati per l'implementazione a fasi. Quando si aggiunge un nuovo gruppo, gli utenti nel gruppo (fino a 200 utenti per un nuovo gruppo) verranno aggiornati per usare immediatamente l'autenticazione gestita. La modifica di un gruppo (aggiunta o rimozione di utenti) può richiedere fino a 24 ore prima che le modifiche siano effettive. L'accesso Single Sign-On facile verrà applicato solo se gli utenti si trovano nel gruppo Seamless SSO e anche in un gruppo PTA o PHS.

Eseguire i controlli

Sono stati abilitati gli eventi di audit per le varie azioni eseguite per l'implementazione a fasi:

• Evento di audit durante l'abilitazione dell'implementazione a fasi per sincronizzazione dell'hash delle password, autenticazione pass-through o accesso Single Sign-On facile.

  Nota

  Un evento di audit viene registrato quando si attiva l'accesso Single Sign-On facile tramite l'implementazione a fasi.

  

  

• Evento di controllo durante l'aggiunta di un gruppo alla sincronizzazione dell'hash delle password, all'autenticazione pass-through o all'accesso Single Sign-On facile.

  Nota

  Un evento di audit viene registrato quando un gruppo viene aggiunto alla sincronizzazione dell'hash delle password per l'implementazione a fasi.

  

  

• Evento di audit durante l'abilitazione a fasi per un utente che è stato aggiunto a un gruppo.

  

  

Convalida

Per testare l'accesso tramite sincronizzazione dell'hash delle password o autenticazione pass-through (accesso tramite nome utente e password), eseguire queste operazioni:

1. Nella Extranet andare alla pagina App in una sessione privata del browser, quindi immettere il valore UserPrincipalName (UPN) dell'account utente selezionato per l'implementazione a fasi.

   Gli utenti selezionati per l'implementazione a fasi non vengono reindirizzati alla pagina di accesso federato. A loro viene invece chiesto di accedere alla pagina di accesso di personalizzazione del tenant di Microsoft Entra.

2. Verificare che l'accesso sia visualizzato nel report delle attività di accesso di Microsoft Entra, usando UserPrincipalName come filtro.

Per verificare l'accesso tramite accesso Single Sign-On facile:

1. Sull'Intranet, andare alla pagina App utilizzando una sessione del browser, quindi immettere il valore UserPrincipalName (UPN) dell'account utente selezionato per l'implementazione a fasi.

   Gli utenti selezionati per l'implementazione a fase dell'accesso Single Sign-on facile visualizzano il messaggio "Tentativo di accesso per conto dell'utente" prima di accedere automaticamente.

2. Verificare che l'accesso sia visualizzato nel report delle attività di accesso di Microsoft Entra, usando UserPrincipalName come filtro.

   Per tenere traccia degli accessi utente eseguiti ancora in Active Directory Federation Services (AD FS) per gli utenti selezionati per l'implementazione a fasi, seguire le istruzioni riportate in Risoluzione dei problemi di AD FS: eventi e registrazione. Vedere la documentazione del fornitore per informazioni su come eseguire il controllo in provider di federazione di terze parti.

   Nota

   Mentre gli utenti sono in fase di implementazione con PHS, la modifica delle password potrebbe richiedere fino a 2 minuti per rendere effettiva la sincronizzazione. Assicurarsi di impostare le aspettative con gli utenti per evitare chiamate al supporto tecnico dopo aver modificato la password.

Monitoraggio

È possibile monitorare gli utenti e i gruppi aggiunti o rimossi dall'implementazione temporanea e dagli accessi degli utenti durante l'implementazione a fasi, usando le nuove cartelle di lavoro di Autenticazione ibrida nell'interfaccia di amministrazione di Microsoft Entra.

Rimuovere un utente dall'implementazione a fasi

La rimozione di un utente dal gruppo disabilita l'implementazione a fasi per tale utente. Per disabilitare la funzionalità di implementazione a fasi, riportare il controllo su Off.

Domande frequenti

D: È possibile usare questa funzionalità in un tenant di produzione?

R: Sì, è possibile usare questa funzionalità nel tenant di produzione, ma è consigliabile provare prima di tutto nel tenant di test.

D: È possibile usare questa funzionalità per gestire una "coesistenza permanente", in cui alcuni utenti usano l'autenticazione federata e altri usano l'autenticazione cloud?

R: No, questa funzionalità è progettata per il test dell'autenticazione cloud. Dopo aver completato il test, alcuni gruppi di utenti è necessario passare all'autenticazione cloud. Non è consigliabile usare uno stato misto permanente, poiché questo approccio potrebbe generare flussi di autenticazione imprevisti.

D: È possibile usare PowerShell per eseguire l'implementazione a fasi?

R: Sì. Per informazioni su come usare PowerShell per eseguire l'implementazione a fasi, vedere Anteprima di Microsoft Entra ID.

Passaggi successivi

• Anteprima di Microsoft Entra ID 2.0
• Cambiare il metodo di accesso alla sincronizzazione degli hash delle password
• Modificare il metodo di accesso per l'autenticazione pass-through