Миграция с сервера MFA на многофакторную проверку подлинности Microsoft Entra
Многофакторная проверка подлинности важна для защиты инфраструктуры и ресурсов от плохих субъектов. Сервер Многофакторной идентификации Azure (сервер MFA) недоступен для новых развертываний и не рекомендуется. Клиенты, использующие сервер MFA, должны перейти на использование облачной многофакторной проверки подлинности Microsoft Entra.
В этой статье предполагается, что у вас есть гибридная среда, в которой:
- Сервер MFA используется для многофакторной проверки подлинности.
- Вы используете федерацию в идентификаторе Microsoft Entra с службы федерации Active Directory (AD FS) (AD FS) или другим продуктом федерации поставщика удостоверений.
- Хотя эта статья относится к AD FS, аналогичные действия применяются к другим поставщикам удостоверений.
- Сервер MFA интегрирован с AD FS.
- Возможно, у вас есть приложения, использующие AD FS для проверки подлинности.
В зависимости от цели существует несколько возможных конечных состояний миграции.
| Цель: только сервер MFA для вывода из эксплуатации | Цель. Вывод сервера MFA и переход на проверку подлинности Microsoft Entra | Цель: вывод сервера MFA и AD FS | |
|---|---|---|---|
| Поставщик MFA | Измените поставщик MFA с сервера MFA на многофакторную проверку подлинности Microsoft Entra. | Измените поставщик MFA с сервера MFA на многофакторную проверку подлинности Microsoft Entra. | Измените поставщик MFA с сервера MFA на многофакторную проверку подлинности Microsoft Entra. |
| Проверка подлинности пользователя | Продолжайте использовать федерацию для проверки подлинности Microsoft Entra. | Перейдите к идентификатору Microsoft Entra с синхронизацией хэша паролей (предпочтительно) или сквозной проверкой подлинности и простым единым входом (SSO). | Перейдите к идентификатору Microsoft Entra с синхронизацией хэша паролей (предпочтительно) или сквозной проверкой подлинности и единым входом. |
| Проверка подлинности приложения | Продолжайте использовать проверку подлинности AD FS для приложений. | Продолжайте использовать проверку подлинности AD FS для приложений. | Перед переносом приложений на идентификатор Microsoft Entra перед миграцией на многофакторную проверку подлинности Microsoft Entra. |
Если вы можете, переместите многофакторную проверку подлинности и проверку подлинности пользователей в Azure. Пошаговые инструкции см. в статье "Переход на многофакторную проверку подлинности Microsoft Entra" и проверку подлинности пользователей Microsoft Entra.
Если вы не можете переместить проверку подлинности пользователя, ознакомьтесь с пошаговыми инструкциями по переходу на многофакторную проверку подлинности Microsoft Entra с федерацией.
Необходимые условия
- Среда AD FS (требуется, если вы не переносите все приложения в Microsoft Entra перед переносом сервера MFA)
- Обновление до AD FS для Windows Server 2019, уровень поведения фермы (FBL) 4. Это обновление позволяет выбрать поставщика проверки подлинности на основе членства в группах для более простого перехода пользователей. Хотя миграция в AD FS для Windows Server 2016 FBL 3 возможна, это не так просто для пользователей. Во время миграции пользователям предлагается выбрать поставщика проверки подлинности (сервер MFA или многофакторную проверку подлинности Microsoft Entra) до завершения миграции.
- Разрешения
- Роль администратора предприятия в Active Directory для настройки фермы AD FS для многофакторной проверки подлинности Microsoft Entra
- Для управления этой функцией требуется глобальный администратор .
Рекомендации по всем путям миграции
Миграция с сервера MFA на многофакторную проверку подлинности Microsoft Entra включает в себя больше, чем просто перемещение зарегистрированных номеров телефонов MFA. Сервер MFA Майкрософт можно интегрировать со многими системами, и необходимо оценить, как эти системы используют сервер MFA, чтобы понять лучшие способы интеграции с многофакторной проверкой подлинности Microsoft Entra.
Перенос сведений о пользователе MFA
Распространенные способы перемещения пользователей в пакетах включают перемещение пользователей по регионам, отделам или ролям, таким как администраторы. Необходимо переместить учетные записи пользователей итеративно, начиная с тестовой и пилотной группы, и убедиться, что у вас есть план отката.
С помощью служебной программы миграции сервера MFA можно синхронизировать данные MFA, хранящиеся на локальном сервере Azure MFA, с многофакторной проверкой подлинности Microsoft Entra и использовать поэтапное развертывание для перенаправки пользователей в Azure MFA. Поэтапное развертывание помогает тестировать без внесения изменений в параметры федерации домена.
Чтобы помочь пользователям различать только что добавленную учетную запись от старой учетной записи, связанной с сервером MFA, убедитесь, что имя учетной записи мобильного приложения на сервере MFA называется таким образом, чтобы отличить эти две учетные записи. Например, имя учетной записи, отображаемое в мобильном приложении на сервере MFA, было переименовано на локальный сервер MFA. Имя учетной записи в Microsoft Authenticator изменится со следующим push-уведомлением пользователя.
Перенос номеров телефонов также может привести к переносу устаревших номеров и повысить вероятность того, что пользователи будут оставаться на MFA на основе телефонов, а не настраивать более безопасные методы, такие как Microsoft Authenticator в режиме без пароля. Поэтому рекомендуется, чтобы независимо от выбранного пути миграции все пользователи регистрировались для объединенной информации о безопасности.
Перенос ключей безопасности оборудования
Идентификатор Microsoft Entra предоставляет поддержку аппаратных маркеров OATH. Служебная программа миграции сервера MFA позволяет синхронизировать параметры MFA между сервером MFA и многофакторной проверкой подлинности Microsoft Entra и использовать поэтапное развертывание для тестирования миграции пользователей без изменения параметров федерации домена.
Если требуется перенести только аппаратные маркеры OATH, необходимо передать маркеры в идентификатор Microsoft Entra с помощью CSV-файла, который обычно называется начальным файлом. Начальный файл содержит секретные ключи, серийные номера маркеров и другие необходимые сведения, необходимые для отправки маркеров в идентификатор Microsoft Entra.
Если у вас больше нет начального файла с секретными ключами, невозможно экспортировать секретные ключи с сервера MFA. Если у вас больше нет доступа к секретным ключам, обратитесь к поставщику оборудования за поддержкой.
Пакет SDK веб-службы сервера MFA можно использовать для экспорта серийного номера для любых токенов OATH, назначенных указанному пользователю. Эти сведения можно использовать вместе с начальным файлом для импорта маркеров в идентификатор Microsoft Entra и назначения токена OATH указанному пользователю на основе серийного номера. Пользователю также потребуется связаться во время импорта, чтобы предоставить информацию OTP с устройства, чтобы завершить регистрацию. Ознакомьтесь с разделом справки GetUserInfo>userSettings>OathTokenSerialNumber на сервере Многофакторной идентификации на сервере MFA.
Дополнительные миграции
Решение о переходе с сервера MFA на многофакторную проверку подлинности Microsoft Entra открывает дверь для других миграций. Выполнение дополнительных миграций зависит от многих факторов, включая в частности:
- Ваша готовность использовать проверку подлинности Microsoft Entra для пользователей
- Ваша готовность переместить приложения в идентификатор Microsoft Entra
Так как сервер MFA является неотъемлемой частью проверки подлинности приложений и пользователей, рассмотрите возможность перемещения обоих функций в Azure в рамках миграции MFA и в конечном итоге вывести ad FS из эксплуатации.
Наши рекомендации:
- Используйте идентификатор Microsoft Entra для проверки подлинности, так как он обеспечивает более надежную безопасность и управление
- При возможности переместите приложения в идентификатор Microsoft Entra
Чтобы выбрать лучший метод проверки подлинности пользователей для вашей организации, см . раздел "Выбор правильного метода проверки подлинности" для решения гибридного удостоверения Microsoft Entra. Рекомендуется использовать синхронизацию хэша паролей (PHS).
Проверка подлинности без пароля
В рамках регистрации пользователей для использования Microsoft Authenticator в качестве второго фактора рекомендуется включить вход без пароля в качестве части регистрации. Дополнительные сведения, включая другие методы без пароля, такие как ключи безопасности FIDO2 и Windows Hello для бизнеса, см. в разделе "Планирование развертывания без пароля с помощью идентификатора Microsoft Entra".
Самостоятельный сброс пароля Microsoft Identity Manager
Microsoft Identity Manager (MIM) SSPR может использовать сервер MFA для вызова одноразовых секретных кодов SMS в рамках потока сброса пароля. MIM нельзя настроить для использования многофакторной проверки подлинности Microsoft Entra. Мы рекомендуем оценить перемещение службы SSPR в Microsoft Entra SSPR. Вы можете использовать возможность регистрации пользователей для многофакторной проверки подлинности Microsoft Entra, чтобы использовать объединенный интерфейс регистрации для регистрации в Microsoft Entra SSPR.
Если вы не можете переместить службу SSPR или использовать сервер MFA для вызова запросов MFA для сценариев управления привилегированным доступом (PAM), рекомендуется обновить его до альтернативного варианта MFA стороннего поставщика.
Клиенты RADIUS и многофакторная проверка подлинности Microsoft Entra
Сервер MFA поддерживает RADIUS для вызова многофакторной проверки подлинности для приложений и сетевых устройств, поддерживающих протокол. Если вы используете RADIUS с сервером MFA, рекомендуется переместить клиентские приложения в современные протоколы, такие как SAML, OpenID Connect или OAuth в идентификаторе Microsoft Entra. Если приложение не удается обновить, можно развернуть сервер политики сети (NPS) с расширением многофакторной проверки подлинности Microsoft Entra. Расширение сервера политики сети (NPS) выступает в качестве адаптера между приложениями на основе RADIUS и многофакторной проверкой подлинности Microsoft Entra, чтобы обеспечить второй фактор проверки подлинности. Этот "адаптер" позволяет переместить клиенты RADIUS в многофакторную проверку подлинности Microsoft Entra и вывести сервер MFA.
Важные рекомендации
Существуют ограничения при использовании NPS для клиентов RADIUS, и мы рекомендуем оценить все клиенты RADIUS, чтобы определить, можно ли обновить их до современных протоколов проверки подлинности. Обратитесь к поставщику услуг для поддерживаемых версий продуктов и их возможностей.
- Расширение NPS не использует политики условного доступа Microsoft Entra. Если вы остаетесь с RADIUS и используете расширение NPS, все запросы проверки подлинности, поступающие в NPS, потребуют от пользователя многофакторной проверки подлинности.
- Пользователи должны зарегистрировать многофакторную проверку подлинности Microsoft Entra перед использованием расширения NPS. В противном случае расширение не сможет пройти проверку подлинности пользователя, который может создавать вызовы службы технической поддержки.
- Когда расширение NPS вызывает MFA, запрос MFA отправляется в метод MFA пользователя по умолчанию.
- Так как вход выполняется в приложениях, отличных от Майкрософт, пользователь часто не может видеть визуальное уведомление о необходимости многофакторной проверки подлинности и что запрос был отправлен на свое устройство.
- Во время требования многофакторной проверки подлинности пользователь должен иметь доступ к своему методу проверки подлинности по умолчанию, чтобы завершить требование. Они не могут выбрать альтернативный метод. Их метод проверки подлинности по умолчанию будет использоваться, даже если он отключен в методах проверки подлинности клиента и политиках многофакторной проверки подлинности.
- Пользователи могут изменить метод многофакторной проверки подлинности по умолчанию на странице сведений о безопасности (aka.ms/mysecurityinfo).
- Доступные методы MFA для клиентов RADIUS управляются клиентскими системами, отправляя запросы доступа RADIUS.
- Методы MFA, требующие ввода пользователем после ввода пароля, могут использоваться только с системами, поддерживающими ответы на вызовы доступа с radius. Методы ввода могут включать OTP, аппаратные токены OATH или Microsoft Authenticator.
- Некоторые системы могут ограничить доступные методы многофакторной проверки подлинности push-уведомлений и телефонных звонков Microsoft Authenticator.
Заметка
Алгоритм шифрования паролей, используемый между клиентом RADIUS и системой NPS, а также методы ввода, которые клиент может использовать, какие методы проверки подлинности доступны. Дополнительные сведения см. в разделе "Определение методов проверки подлинности", которые могут использовать пользователи.
Распространенные интеграции клиентов RADIUS включают такие приложения, как шлюзы удаленных рабочих столов и VPN-серверы. Другие могут включать:
- Шлюз Citrix
- Citrix Gateway поддерживает интеграцию расширений RADIUS и NPS, а также интеграцию SAML.
- Cisco VPN
- VPN Cisco поддерживает проверку подлинности RADIUS и SAML для единого входа.
- Переход от проверки подлинности RADIUS к SAML позволяет интегрировать VPN Cisco без развертывания расширения NPS.
- Все виртуальные сети
- Если это возможно, рекомендуется настроить федерацию VPN в качестве приложения SAML. Эта федерация позволит использовать условный доступ. Дополнительные сведения см . в списке поставщиков VPN, интегрированных в коллекцию приложений Microsoft Entra ID .
Ресурсы для развертывания NPS
- Добавление новой инфраструктуры NPS
- Рекомендации по развертыванию NPS
- Скрипт проверки работоспособности расширения NPS для многофакторной проверки подлинности Microsoft Entra
- Интеграция существующей инфраструктуры NPS с многофакторной проверкой подлинности Microsoft Entra