Guida alle autorizzazioni di Active Directory Federation Services (AD FS)
Microsoft Entra ID offre un'esperienza di accesso semplice basata sul cloud a tutte le risorse e le app con autenticazione avanzata e criteri di accesso adattivi basati sul rischio in tempo reale per concedere l'accesso alle risorse, riducendo i costi operativi di gestione e manutenzione di un ambiente AD FS e aumentando l'efficienza IT.
Per maggiori informazioni sul motivo per cui è consigliabile eseguire l'aggiornamento da AD FS a Microsoft Entra ID, consultare la sezione Passaggio da AD FS a Microsoft Entra ID. Vedere migrazione dalla federazione all'autenticazione nel cloud per comprendere come eseguire l'aggiornamento da AD FS.
Questo documento fornisce i passaggi consigliati per rimuovere le autorizzazioni dei server AD FS.
Prerequisiti per la rimozione delle autorizzazioni dei server AD FS
Prima di iniziare a rimuovere le autorizzazioni dei server AD FS, verificare che gli elementi seguenti siano completati. Per altre informazioni, vedere Migrazione dalla federazione all'autenticazione cloud.
Installare Microsoft Entra Connect Health per fornire un monitoraggio affidabile dell'infrastruttura di identità locale.
Completare il processo preliminare per l'accesso Single Sign-On (SSO).
Eseguire la migrazione dell'autenticazione utente a Microsoft Entra ID. Con l'autenticazione cloud abilitata, Microsoft Entra ID è in grado di gestire il processo di accesso degli utenti in modo sicuro. Microsoft Entra ID offre tre opzioni per l'autenticazione cloud sicura degli utenti:
- Microsoft Entra Password Hash Synchronization (PHS): consente agli utenti di accedere alle applicazioni locali e basate sul cloud usando le stesse password. Microsoft Entra Connect consente di sincronizzare un hash della password di un utente da un'istanza di Active Directory locale a un'istanza di Microsoft Entra basata sul cloud. I due livelli di hashing assicurano che le password non vengano mai esposte o trasmesse ai sistemi cloud.
- Autenticazione basata su certificato (CBA) Microsoft Entra: consente di adottare un metodo di autenticazione resistente al phishing e di autenticare gli utenti con un certificato X.509 nell'infrastruttura a chiave pubblica (PKI).
- Autenticazione pass-through (PTA) Microsoft Entra: consente agli utenti di accedere ad applicazioni locali e basate sul cloud usando le stesse password. Installa un agente in Active Directory locale e convalida le password degli utenti direttamente in Active Directory locale.
È possibile provare l'autenticazione cloud per gli utenti usando l'implementazione a fasi. Consente di testare in modo selettivo gruppi di utenti con le funzionalità di autenticazione cloud indicate in precedenza.
Nota
- PHS & CBA sono le opzioni preferite per l'autenticazione gestita dal cloud. Il PTA deve essere usato solo nei casi in cui sono previsti requisiti normativi per non sincronizzare le informazioni sulle password nel cloud.
- L'autenticazione utente e la migrazione delle app possono essere eseguite in qualsiasi ordine, ma è consigliabile completare prima la migrazione dell'autenticazione utente.
- Assicurarsi di valutare gli scenari supportati e non supportati per l'implementazione a fasi.
Eseguire la migrazione di tutte le applicazioni che attualmente usano AD FS per l'autenticazione all'ID Microsoft Entra, in quanto offre un unico piano di controllo per la gestione delle identità e degli accessi a Microsoft Entra ID. Assicurarsi di eseguire anche la migrazione delle applicazioni di Office 365 e dei dispositivi aggiunti a Microsoft Entra ID.
- Migration Assistant può essere usato per la migrazione di applicazioni da AD FS a Microsoft Entra ID.
- Se non si trova l'applicazione SaaS corretta nella raccolta di app, può essere richiesta da https://aka.ms/AzureADAppRequest.
Assicurarsi di eseguire Microsoft Entra Connect Health per almeno una settimana per osservare l'utilizzo delle app in Microsoft Entra ID. Dovrebbe anche essere possibile visualizzare i log di accesso degli utenti in Microsoft Entra ID.
Procedura per rimuovere le autorizzazioni dei server AD FS
Questa sezione illustra il processo dettagliato per rimuovere le autorizzazioni dei server AD FS.
Prima di raggiungere questo punto, è necessario verificare che non esistano relying party (trust di parte di risposta) con traffico ancora presente nei server AD FS.
Prima di iniziare, controllare i registri eventi di AD FS e/o Microsoft Entra Connect Health per verificare la presenza di eventuali errori di accesso o di esito positivo, in quanto ciò significherebbe che questi server sono ancora in uso per qualcosa. Nel caso in cui vengano visualizzati errori o successi di accesso, controllare come eseguire la migrazione delle app da AD FS o spostare l'autenticazione a Microsoft Entra ID.
Dopo aver verificato quanto sopra, è possibile eseguire i passaggi seguenti (presupponendo che i server AD FS non vengano usati per altri elementi):
Nota
Dopo aver spostato l'autenticazione a Microsoft Entra ID, testare l'ambiente per almeno una settimana per verificare che l'autenticazione cloud funzioni senza problemi e senza problemi.
- Prendere in considerazione l'esecuzione di un backup finale facoltativo prima di rimuovere le autorizzazioni dei server AD FS.
- Rimuovere tutte le voci di AD FS dai servizi di bilanciamento del carico (interni ed esterni) configurati nell'ambiente.
- Eliminare tutte le voci DNS corrispondenti dei rispettivi nomi di farm per i server AD FS nell'ambiente in uso.
- Nel server AD FS primario eseguire
Get-ADFSProperties
e cercare CertificateSharingContainer. Tenere presente questo DN, perché sarà necessario eliminarlo alla fine dell'installazione (dopo alcuni riavvii e quando non è più disponibile) - Se il database di configurazione di AD FS usa un'istanza di database di SQL Server come archivio, assicurarsi di eliminare il database prima di disinstallare i server AD FS.
- Disinstallare i server WAP (proxy).
- Accedere a ogni server WAP, aprire la Console di gestione accesso remoto e cercare le applicazioni Web pubblicate.
- Rimuovere qualsiasi elemento correlato ai server AD FS che non vengono più usati.
- Quando tutte le applicazioni Web pubblicate vengono rimosse, disinstallare WAP con il comando seguente Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
- Disinstallare i server AD FS.
- A partire dai nodi secondari, disinstallare AD FS con uninstall-WindowsFeature ADFS-Federation, comando Windows-Internal-Database. Dopo l'esecuzione del comando C:\Windows\WID\data\adfs* per eliminare tutti i file di database
- Eliminare i certificati SSL (Secure Socket Layer) di AD FS da ogni archiviazione del server.
- Ricrea l'immagine dei server AD FS con formattazione completa del disco.
- È ora possibile eliminare in modo sicuro l'account AD FS.
- Rimuovere il contenuto del DN CertificateSharingContainer usando Modifica ADSI dopo la disinstallazione.