Eseguire la migrazione dalla federazione all'autenticazione cloud
Questo articolo illustra come distribuire l'autenticazione utente cloud con la sincronizzazione dell'hash delle password di Microsoft Entra (PHS) o l'autenticazione pass-through (PTA). Anche se viene presentato il caso d'uso per il passaggio da Active Directory Federation Services (AD FS) ai metodi di autenticazione cloud, le linee guida si applicano sostanzialmente anche ad altri sistemi locali.
Prima di continuare, è consigliabile consultare la guida sulla scelta del metodo di autenticazione appropriato e sul confronto dei metodi più adatti per l'organizzazione.
È consigliabile usare PHS per l'autenticazione cloud.
Implementazione a fasi
L'implementazione a fasi è un ottimo modo per testare in modo selettivo gruppi di utenti con funzionalità di autenticazione cloud come l'autenticazione a più fattori Microsoft Entra, l'accesso condizionale, Identity Protection per le credenziali perse, La governance delle identità e altri, prima di tagliare i domini.
Fare riferimento al piano di implementazione a fasi per comprendere gli scenari supportati e non supportati. È consigliabile usare l'implementazione a fasi per testare prima di tagliare i domini.
Flusso del processo di migrazione
Prerequisiti
Prima di iniziare la migrazione, assicurarsi di soddisfare questi prerequisiti.
Ruoli richiesti
Per l'implementazione a fasi, è necessario essere un'identità ibrida Amministrazione istrator nel tenant.
Eseguire il passaggio al server di Connessione Microsoft Entra
Installare Microsoft Entra Connessione (Microsoft Entra Connessione) o eseguire l'aggiornamento alla versione più recente. Quando si esegue il passaggio del server Microsoft Entra Connessione, si riduce il tempo necessario per eseguire la migrazione da AD FS ai metodi di autenticazione cloud da ore a minuti.
Documentare le impostazioni di federazione correnti
Per trovare le impostazioni di federazione correnti, eseguire Get-MgDomainFederationConfiguration.
Get-MgDomainFederationConfiguration - DomainID yourdomain.com
Verificare le impostazioni che potrebbero essere state personalizzate per la documentazione relativa alla progettazione e alla distribuzione della federazione. In particolare, cercare personalizzazioni in PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (se federatedIdpMfaBehavior non è impostato) e PromptLoginBehavior.
Eseguire il backup delle impostazioni di federazione
Anche se questa distribuzione non cambia altre relying party nella farm AD FS, è possibile eseguire il backup delle impostazioni:
Utilizzare lo strumento di ripristino rapido di Microsoft AD FS per ripristinare una farm esistente o creare una nuova farm.
Esportare l'attendibilità della relying party di Microsoft 365 Identity Platform e le regole attestazioni personalizzate associate aggiunte usando l'esempio di PowerShell seguente:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
Pianificare il progetto
Quando i progetti tecnologici non hanno successo, in genere è dovuto alle diverse aspettative in merito a conseguenze, risultati e responsabilità. Per evitare queste insidie, assicurarsi di coinvolgere gli stakeholder giusti e che i ruoli degli stakeholder nel progetto siano ben comprensibili.
Pianificare le comunicazioni
Dopo la migrazione all'autenticazione cloud, l'esperienza di accesso utente per l'accesso a Microsoft 365 e altre risorse autenticate tramite le modifiche all'ID Microsoft Entra. Gli utenti esterni alla rete visualizzano solo la pagina di accesso di Microsoft Entra.
Comunicare in modo proattivo con gli utenti su come cambia l'esperienza, quando viene modificata, e su come ottenere supporto in caso di problemi.
Pianificare l'intervallo di manutenzione
I client di autenticazione moderni (Office 2016 e Office 2013, iOS e app Android) usano un token di aggiornamento valido per ottenere nuovi token per l'accesso continuo alle risorse invece di tornare ad AD FS. Questi client non sono soggetti a richieste di password risultanti dal processo di conversione dei domini. I client continuano a funzionare senza configurazione aggiuntiva.
Nota
Quando si esegue la migrazione dall'autenticazione federata all'autenticazione cloud, il processo per convertire il dominio da federato a gestito può richiedere fino a 60 minuti. Durante questo processo, gli utenti potrebbero non richiedere le credenziali per i nuovi account di accesso all'interfaccia di amministrazione di Microsoft Entra o ad altre applicazioni basate su browser protette con Microsoft Entra ID. È consigliabile includere questo ritardo nella finestra di manutenzione.
Pianificare il rollback
Suggerimento
Prendere in considerazione la pianificazione del cutover dei domini durante gli orari di minore attività in caso di requisiti di rollback.
Per pianificare il rollback, usare le impostazioni di federazione correnti documentate e controllare la documentazione relativa alla progettazione e alla distribuzione della federazione.
Il processo di rollback deve includere la conversione di domini gestiti in domini federati usando il cmdlet New-MgDomainFederationConfiguration . Se necessario, configurare regole aggiuntive per le attestazioni.
Considerazioni sulla migrazione
Ecco alcune considerazioni chiave sulla migrazione.
Pianificare le impostazioni delle personalizzazioni
Il file onload.js non può essere duplicato in Microsoft Entra ID. Se l'istanza di AD FS è fortemente personalizzata e si basa su impostazioni di personalizzazione specifiche nel file onload.js, verificare se Microsoft Entra ID può soddisfare i requisiti di personalizzazione correnti e pianificare di conseguenza. Comunicare queste modifiche imminenti agli utenti.
Esperienza d'accesso
Non è possibile personalizzare l'esperienza di accesso di Microsoft Entra. Indipendentemente dal modo in cui gli utenti hanno eseguito l'accesso in precedenza, è necessario un nome di dominio completo, ad esempio nome dell'entità utente (UPN) o un messaggio di posta elettronica per accedere a Microsoft Entra ID.
Personalizzazione dell'organizzazione
È possibile personalizzare la pagina di accesso di Microsoft Entra. Alcune modifiche visive da AD FS nelle pagine di accesso devono essere previste dopo la conversione.
Nota
La personalizzazione dell'organizzazione non è disponibile nelle licenze gratuite di Microsoft Entra ID a meno che non si abbia una licenza di Microsoft 365.
Pianificare i criteri di accesso condizionale
Valutare se attualmente si usa l'accesso condizionale per l'autenticazione o se si usano criteri di controllo di accesso in AD FS.
Prendere in considerazione la sostituzione dei criteri di controllo di accesso ad AD FS con i criteri di accesso condizionale di Microsoft Entra equivalenti e le regole di accesso client di Exchange Online. È possibile usare Microsoft Entra ID o gruppi locali per l'accesso condizionale.
Disabilitare l'autenticazione legacy: a causa del maggiore rischio associato ai protocolli di autenticazione legacy, creare criteri di accesso condizionale per bloccare l'autenticazione legacy.
Pianificare il supporto per MFA
Per i domini federati, l'autenticazione a più fattori può essere applicata dall'accesso condizionale Microsoft Entra o dal provider federativo locale. È possibile abilitare la protezione per impedire il bypass dell'autenticazione a più fattori di Microsoft Entra configurando l'impostazione di sicurezza federatedIdpMfaBehavior. Abilitare la protezione per un dominio federato nel tenant di Microsoft Entra. Assicurarsi che l'autenticazione a più fattori Di Microsoft Entra venga sempre eseguita quando un utente federato accede a un'applicazione governata da un criterio di accesso condizionale che richiede l'autenticazione a più fattori. Ciò include l'esecuzione dell'autenticazione a più fattori di Microsoft Entra anche quando il provider di identità federato ha emesso attestazioni di token federate che è stata eseguita l'autenticazione a più fattori locale. L'applicazione dell'autenticazione a più fattori Di Microsoft Entra ogni volta garantisce che un attore malintenzionato non possa ignorare l'autenticazione a più fattori Di Microsoft Entra imitando che il provider di identità ha già eseguito l'autenticazione a più fattori ed è altamente consigliata, a meno che non si esegua l'autenticazione a più fattori per gli utenti federati usando un provider MFA di terze parti.
Nella tabella seguente viene illustrato il comportamento per ogni opzione. Per altre informazioni, vedere federatedIdpMfaBehavior.
| Valore | Descrizione |
|---|---|
| acceptIfMfaDoneByFederatedIdp | L'ID Microsoft Entra accetta l'autenticazione a più fattori eseguita dal provider di identità federato. Se il provider di identità federato non ha eseguito l'autenticazione a più fattori, l'ID Microsoft Entra esegue l'autenticazione a più fattori. |
| enforceMfaByFederatedIdp | L'ID Microsoft Entra accetta l'autenticazione a più fattori eseguita dal provider di identità federato. Se il provider di identità federato non ha eseguito l'autenticazione a più fattori, reindirizza la richiesta al provider di identità federato per eseguire l'autenticazione a più fattori. |
| rejectMfaByFederatedIdp | Microsoft Entra ID esegue sempre l'autenticazione a più fattori e rifiuta l'autenticazione a più fattori eseguita dal provider di identità federato. |
L'impostazione federatedIdpMfaBehavior è una versione evoluta della proprietà SupportsMfa del cmdlet Di PowerShell Set-MsolDomainFederation Impostazioni MSOnline v1.
Per i domini che hanno già impostato la proprietà SupportsMfa , queste regole determinano il modo in cui federatedIdpMfaBehavior e SupportsMfa interagiscono:
- Il passaggio tra federatedIdpMfaBehavior e SupportsMfa non è supportato.
- Una volta impostata la proprietà federatedIdpMfaBehavior , Microsoft Entra ID ignora l'impostazione SupportsMfa .
- Se la proprietà federatedIdpMfaBehavior non è mai impostata, l'ID Microsoft Entra continua a rispettare l'impostazione SupportsMfa .
- Se non è impostato né federatedIdpMfaBehavior né SupportsMfa , l'ID Microsoft Entra viene impostato come
acceptIfMfaDoneByFederatedIdpcomportamento predefinito.
È possibile controllare lo stato della protezione eseguendo Get-MgDomainFederationConfiguration:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
Pianificare l'implementazione
Questa sezione include operazioni preliminari prima di cambiare il metodo di accesso e convertire i domini.
Creare gruppi necessari per l'implementazione a fasi
Se non si usa l'implementazione a fasi, ignorare questo passaggio.
Creare gruppi per l'implementazione a fasi e anche per i criteri di accesso condizionale se si decide di aggiungerli.
È consigliabile usare un gruppo mastered in Microsoft Entra ID, noto anche come gruppo solo cloud. È possibile usare i gruppi di sicurezza di Microsoft Entra o Gruppi di Microsoft 365 per spostare gli utenti in MFA e per i criteri di accesso condizionale. Per altre informazioni, vedere Creazione di un gruppo di sicurezza Di Microsoft Entra e questa panoramica di Gruppi di Microsoft 365 per gli amministratori.
I membri di un gruppo vengono automaticamente abilitati per l'implementazione a fasi. I gruppi annidati e dinamici non sono supportati per l'implementazione a fasi.
Prework for SSO
La versione di SSO usata dipende dal sistema operativo del dispositivo e dallo stato di join.
Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare l'accesso SSO tramite token di aggiornamento primario (PRT) con dispositivi aggiunti a Microsoft Entra, dispositivi aggiunti a Microsoft Entra ibridi e dispositivi registrati da Microsoft Entra.
Per i dispositivi macOS e iOS, è consigliabile usare l'accesso SSO tramite il plug-in Microsoft Enterprise SSO per i dispositivi Apple. Questa funzionalità richiede che i dispositivi Apple siano gestiti da un MDM. Se si usa Intune come MDM, seguire la guida alla distribuzione del plug-in Microsoft Enterprise SSO per Apple Intune. Se usi un altro MDM, segui la guida alla distribuzione MDM jamf Pro/generica.
Per i dispositivi Windows 7 e 8.1, è consigliabile usare l'accesso SSO facile con un dominio aggiunto al dominio per registrare il computer in Microsoft Entra ID. Non è necessario sincronizzare questi account come per i dispositivi Windows 10. Tuttavia, è necessario completare questa procedura preliminare per l'accesso Single Sign-On facile usando PowerShell.
Prework for PHS and PTA
A seconda della scelta del metodo di accesso, completare la procedura preliminare per PHS o per PTA.
Implementare la soluzione
Infine, si passa il metodo di accesso a PHS o PTA, come pianificato e si converte i domini dalla federazione all'autenticazione cloud.
Uso dell'implementazione a fasi
Se si usa l'implementazione a fasi, seguire la procedura nei collegamenti seguenti:
Abilitare l'implementazione a fasi di una funzionalità specifica nel tenant.
Al termine del test, convertire i domini da federati per essere gestiti.
Senza usare l'implementazione a fasi
Sono disponibili due opzioni per abilitare questa modifica:
Opzione A: Passare tramite Microsoft Entra Connessione.
Disponibile se è stato configurato inizialmente l'ambiente AD FS/ping federato tramite Microsoft Entra Connessione.
Opzione B: Passare tramite Microsoft Entra Connessione e PowerShell
Disponibile se inizialmente non sono stati configurati i domini federati tramite Microsoft Entra Connessione o se si usano servizi federativi di terze parti.
Per scegliere una di queste opzioni, è necessario conoscere le impostazioni correnti.
Verificare le impostazioni correnti di Microsoft Entra Connessione
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator ibrido.
- Passare a Gestione ibrida delle identità>>Microsoft Entra Connessione> SyncCloud.
- Verificare le impostazioni di SIGN_IN U edizione Standard R, come illustrato in questo diagramma:
Per verificare la configurazione della federazione:
Nel server Microsoft Entra Connessione aprire Microsoft Entra Connessione e selezionare Configura.
In Attività > aggiuntive Gestisci federazione selezionare Visualizza configurazione della federazione.
Se la configurazione di AD FS viene visualizzata in questa sezione, è possibile presupporre che AD FS sia stato originariamente configurato utilizzando Microsoft Entra Connessione. Vedere l'immagine seguente come esempio:
Se AD FS non è elencato nelle impostazioni correnti, è necessario convertire manualmente i domini dall'identità federata all'identità gestita usando PowerShell.
Opzione A
Passare dalla federazione al nuovo metodo di accesso usando Microsoft Entra Connessione
Nel server Microsoft Entra Connessione aprire Microsoft Entra Connessione e selezionare Configura.
Nella pagina Attività aggiuntive selezionare Cambia accesso utente e quindi selezionare Avanti.
Nella pagina Connessione a Microsoft Entra ID immettere le credenziali dell'account Amministrazione istrator globale.
Nella pagina Accesso utente :
Se si seleziona il pulsante di opzione Autenticazione pass-through e se è necessario l'accesso Single Sign-On per i dispositivi Windows 7 e 8.1, selezionare Abilita accesso Single Sign-On e quindi selezionare Avanti.
Se si seleziona il pulsante di opzione Sincronizzazione dell'hash delle password, assicurarsi di selezionare la casella di controllo Non convertire gli account utente. L'opzione è deprecata. Se è necessario l'accesso Single Sign-On per i dispositivi Windows 7 e 8.1, selezionare Abilita accesso Single Sign-On e quindi selezionare Avanti.
Altre informazioni: Abilitare l'accesso Single Sign-On facile con PowerShell.
Nella pagina Abilita Single Sign-on immettere le credenziali dell'account amministratore di dominio e quindi fare clic su Avanti.
Le credenziali dell'account amministratore di dominio sono necessarie per abilitare l'accesso Single Sign-on facile. Il processo completa le azioni seguenti, che richiedono queste autorizzazioni elevate:
- Nell'istanza di Active Directory locale viene creato un account computer denominato AZUREADSSO (che rappresenta l'ID Microsoft Entra).
- La chiave di decrittografia Kerberos dell'account computer viene condivisa in modo sicuro con Microsoft Entra ID.
- Vengono creati due nomi dell'entità servizio Kerberos (SPN) per rappresentare due URL usati durante l'accesso a Microsoft Entra.
Le credenziali di amministratore di dominio non vengono archiviate in Microsoft Entra Connessione o microsoft Entra ID e vengono rimosse al termine del processo. Vengono usati per attivare questa funzionalità.
Altre informazioni: Approfondimento tecnico per l'accesso Single Sign-On facile.
Nella pagina Pronto per la configurazione verificare che la casella di controllo Avvia il processo di sincronizzazione al termine della configurazione sia selezionata. Selezionare quindi Configura.
Importante
A questo punto, tutti i domini federati cambiano per l'autenticazione gestita. Il metodo di accesso utente selezionato è il nuovo metodo di autenticazione.
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Microsoft Entra ID e quindi selezionare Microsoft Entra Connessione.
Verificare le impostazioni di questi campi:
- Federazione deve essere impostato su Disabilitato.
- Accesso Single Sign-On facile deve essere impostato su Abilitato.
- Sincronizzazione dell'hash delle password è impostata su Abilitato.
Se si passa a PTA, seguire i passaggi successivi.
Distribuire altri agenti di autenticazione per PTA
Nota
PTA richiede la distribuzione di agenti leggeri nel server Microsoft Entra Connessione e nel computer locale che esegue Windows Server. Per ridurre la latenza, installare gli agenti il più vicino possibile ai controller di dominio di Active Directory.
Per la maggior parte dei clienti, due o tre agenti di autenticazione sono sufficienti per fornire disponibilità elevata e la capacità necessaria. Un tenant può avere un massimo di 12 agenti registrati. Il primo agente viene sempre installato nel server Connessione Microsoft Entra. Per informazioni sulle limitazioni dell'agente e sulle opzioni di distribuzione degli agenti, vedere Autenticazione pass-through di Microsoft Entra: Limitazioni correnti.
Selezionare Autenticazione pass-through.
Nella pagina Autenticazione pass-through selezionare il pulsante Scarica.
Nella pagina Scarica agente selezionare Accetta termini e download.f
Altri agenti di autenticazione iniziano a scaricare. Installare l'agente di autenticazione secondario in un server aggiunto al dominio.
Eseguire l'installazione degli agenti di autenticazione. Durante l'installazione è necessario specificare le credenziali di un account amministratore globale.
Quando l'agente di autenticazione è installato, è possibile tornare alla pagina di integrità PTA per controllare lo stato di altri agenti.
Opzione B
Passare dalla federazione al nuovo metodo di accesso usando Microsoft Entra Connessione e PowerShell
Disponibile se inizialmente non sono stati configurati i domini federati tramite Microsoft Entra Connessione o se si usano servizi federativi di terze parti.
Nel server Microsoft Entra Connessione seguire i passaggi da 1 a 5 in Opzione A. Si noti che nella pagina Di accesso utente l'opzione Non configurare è selezionata.
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Microsoft Entra ID e quindi selezionare Microsoft Entra Connessione.
Verificare le impostazioni di questi campi:
Federazione deve essere impostato su Abilitata.
Accesso Single Sign-On facile deve essere impostato su Disabilitato.
Sincronizzazione dell'hash delle password è impostata su Abilitato.
In caso di solo PTA, seguire questa procedura per installare più server agente PTA.
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Microsoft Entra ID e quindi selezionare Microsoft Entra Connessione.
Selezionare Autenticazione pass-through. Verificare che lo stato sia Attivo.
Se l'agente di autenticazione non è attivo, completare questi passaggi per la risoluzione dei problemi prima di continuare con il processo di conversione del dominio nel passaggio successivo. Si rischia di causare un'interruzione dell'autenticazione se si convertono i domini prima di verificare che gli agenti PTA siano installati correttamente e che il relativo stato sia Attivo nell'interfaccia di amministrazione di Microsoft Entra.
Distribuire più agenti di autenticazione.
Convertire i domini da federati a gestiti
A questo punto, l'autenticazione federata è ancora attiva e operativa per i domini. Per continuare con la distribuzione, è necessario convertire ogni dominio dall'identità federata all'identità gestita.
Importante
Non è necessario convertire tutti i domini nello stesso momento. È possibile scegliere di iniziare con un dominio di test nel tenant di produzione oppure con il dominio che ha il minor numero di utenti.
Completare la conversione usando Microsoft Graph PowerShell SDK:
In PowerShell accedere a Microsoft Entra ID usando un account globale Amministrazione istrator.
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"Per convertire il primo dominio, usare il comando seguente:
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"Nell'interfaccia di amministrazione di Microsoft Entra selezionare Microsoft Entra ID > Microsoft Entra Connessione.
Verificare che il dominio sia stato convertito in gestito eseguendo il comando seguente. Il tipo di autenticazione deve essere impostato su gestito.
Get-MgDomain -DomainId yourdomain.com
Completare la migrazione
Completare le attività seguenti per verificare il metodo di iscrizione e completare il processo di conversione.
Testare il nuovo metodo di accesso
Quando il tenant ha usato l'identità federata, gli utenti sono stati reindirizzati dalla pagina di accesso di Microsoft Entra all'ambiente AD FS. Ora che il tenant è configurato per l'uso del nuovo metodo di accesso anziché dell'autenticazione federata, gli utenti non vengono reindirizzati ad AD FS.
Gli utenti accedono direttamente alla pagina di accesso di Microsoft Entra.
Seguire la procedura descritta in questo collegamento - Convalidare l'accesso con PHS/PTA e l'accesso SSO facile (se necessario)
Rimuovere un utente dall'implementazione a fasi
Se è stata usata l'implementazione a fasi, ricordarsi di disattivare le funzionalità di implementazione a fasi al termine del taglio.
Per disabilitare la funzionalità di implementazione a fasi, scorrere nuovamente il controllo su Disattivato.
Sincronizzare gli aggiornamenti di UserPrincipalName
In genere, gli aggiornamenti dell'attributo UserPrincipalName, che usa il servizio di sincronizzazione dall'ambiente locale, vengono bloccati a meno che non siano vere entrambe le condizioni seguenti:
- L'utente si trova in un dominio di identità gestito (nonfederated).
- All'utente non è stata assegnata una licenza.
Per informazioni su come verificare o attivare questa funzionalità, vedere Sincronizzare gli aggiornamenti di userPrincipalName.
Gestire l'implementazione
Rinnovare la chiave di decrittografia di Kerberos per l'accesso Single Sign-On facile
È consigliabile eseguire il rollover della chiave di decrittografia Kerberos almeno ogni 30 giorni per allinearsi al modo in cui i membri del dominio Active Directory inviano modifiche alle password. Nessun dispositivo associato all'oggetto account computer AZUREADSSO, pertanto è necessario eseguire manualmente il rollover.
Vedere Domande frequenti Ricerca per categorie eseguire il rollover della chiave di decrittografia Kerberos dell'account computer AZUREADSSO?.
Monitoraggio e registrazione
Monitorare i server che eseguono gli agenti di autenticazione per garantire la disponibilità della soluzione. Oltre ai contatori delle prestazioni generali del server, gli agenti di autenticazione espongono oggetti prestazioni che possono essere utili per riconoscere gli errori e le statistiche di autenticazione.
Gli agenti di autenticazione registrano le operazioni nei registri eventi di Windows che si trovano in Registri applicazioni e servizi. È anche possibile attivare la registrazione per la risoluzione dei problemi.
Per verificare le varie azioni eseguite nell'implementazione a fasi, è possibile controllare gli eventi per PHS, PTA o seamless SSO.
Risoluzione dei problemi
Il team di supporto della propria organizzazione dovrebbe essere in grado di comprendere come risolvere i problemi di autenticazione che si verificano durante o dopo la conversione dei domini da federati a gestiti. Usare la documentazione seguente per consentire al team di supporto di acquisire familiarità con i passaggi comuni per la risoluzione dei problemi e le azioni appropriate che possono essere utili per isolare e risolvere un problema.
Rimuovere le autorizzazioni dell'infrastruttura AD FS
Eseguire la migrazione dell'autenticazione dell'app da AD FS a Microsoft Entra ID
La migrazione richiede la valutazione del modo in cui l'applicazione è configurata in locale e quindi il mapping di tale configurazione all'ID Microsoft Entra.
Se si prevede di continuare a usare AD FS con applicazioni SaaS e locali usando il protocollo SAML/WS-FED o Oauth, si useranno sia AD FS che Microsoft Entra ID dopo aver convertito i domini per l'autenticazione utente. In questo caso, è possibile proteggere le applicazioni e le risorse locali con Secure Hybrid Access (SHA) tramite il proxy dell'applicazione Microsoft Entra o una delle integrazioni dei partner Microsoft Entra ID. L'uso del proxy di applicazione o di uno dei partner può fornire l'accesso remoto sicuro alle applicazioni locali. Gli utenti possono sfruttare facilmente la connessione alle applicazioni da qualsiasi dispositivo dopo un accesso Single Sign-On.
È possibile spostare le applicazioni SaaS attualmente federate con ADFS in Microsoft Entra ID. Riconfigurare per l'autenticazione con Microsoft Entra ID tramite un connettore predefinito dalla raccolta app Azure o registrando l'applicazione in Microsoft Entra ID.
Per altre informazioni, vedere Spostamento dell'autenticazione dell'applicazione da Active Directory Federation Services a Microsoft Entra ID.
Rimuovere l'attendibilità della relying party
Se si ha Microsoft Entra Connessione Health, è possibile monitorare l'utilizzo dall'interfaccia di amministrazione di Microsoft Entra. Nel caso in cui l'utilizzo non mostri un nuovo auth req e si verifica che tutti gli utenti e i client eseseguono correttamente l'autenticazione tramite Microsoft Entra ID, è possibile rimuovere l'attendibilità della relying party di Microsoft 365.
Se non si usa AD FS per altri scopi,vale a dire per altri trust della relying party, è possibile rimuovere le autorizzazioni di AD FS a questo punto.
Rimuovere AD FS
Per un elenco completo dei passaggi da eseguire per rimuovere completamente AD FS dall'ambiente, seguire la guida alle autorizzazioni di Active Directory Federation Services (AD FS).