Migreren naar Meervoudige Verificatie van Microsoft Entra met federatie
Het verplaatsen van uw MFA-oplossing (MultiFactor Authentication) naar Microsoft Entra ID is een geweldige eerste stap in uw reis naar de cloud. Overweeg ook over te stappen op Microsoft Entra ID voor gebruikersverificatie in de toekomst. Zie het proces voor migratie naar Microsoft Entra-meervoudige verificatie met cloudverificatie voor meer informatie.
Om te migreren naar Microsoft Entra multifactor authentication with federation, the Microsoft Entra multifactor authentication authentication provider is installed on AD FS. De Vertrouwensrelatie van de Relying Party van Microsoft Entra-id en andere relying party-vertrouwensrelaties is geconfigureerd voor het gebruik van Meervoudige Verificatie van Microsoft Entra voor gemigreerde gebruikers.
In het volgende diagram ziet u het migratieproces.
Migratiegroepen maken
Als u nieuwe beleidsregels voor voorwaardelijke toegang wilt maken, moet u dit beleid toewijzen aan groepen. U kunt hiervoor Microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen gebruiken. U kunt ook nieuwe exemplaren maken of synchroniseren.
U hebt ook een Microsoft Entra-beveiligingsgroep nodig voor het iteratief migreren van gebruikers naar Microsoft Entra-meervoudige verificatie. Deze groepen worden in uw claimregels gebruikt.
Gebruik geen groepen opnieuw die worden gebruikt voor beveiliging. Als u een beveiligingsgroep gebruikt om een groep hoogwaardige apps te beveiligen met beleid voor voorwaardelijke toegang, gebruikt u alleen de groep voor dat doel.
AD FS voorbereiden
AD FS-serverfarm upgraden naar 2019, FBL 4
In AD FS 2019 kunt u aanvullende verificatiemethoden opgeven voor een Relying Party, zoals een toepassing. Om de verificatieprovider te bepalen gebruikt u groepslidmaatschap. Door een extra verificatiemethode op te geven, kunt u overstappen op Meervoudige Verificatie van Microsoft Entra terwijl andere verificatie tijdens de overgang intact blijft. Zie voor meer informatie Upgraden naar AD FS in Windows Server 2016 met een WID-database. In dit artikel komt zowel het upgraden van uw farm naar AD FS 2019 als het upgraden van uw FBL naar 4 aan bod.
Claimregels configureren om Meervoudige Verificatie van Microsoft Entra aan te roepen
Nu Microsoft Entra-meervoudige verificatie een extra verificatiemethode is, kunt u groepen gebruikers toewijzen om deze te gebruiken. U doet dit door claimregels te configureren, ook wel Relying Party Trusts genoemd. Met groepen kunt u bepalen welke verificatieprovider globaal of per toepassing wordt aangeroepen. U kunt bijvoorbeeld Meervoudige Verificatie van Microsoft Entra aanroepen voor gebruikers die zich hebben geregistreerd voor gecombineerde beveiligingsgegevens, terwijl u MFA-server aanroept voor gebruikers die dat nog niet hebben gedaan.
Notitie
Claimregels vereisen een on-premises beveiligingsgroep. Maak een back-up van claims vóórdat u wijzigingen aanbrengt in claimregels.
Een back-up maken van regels
Maak een back-up van uw regels voordat u nieuwe claimregels configureert. U moet deze regels herstellen als onderdeel van uw opschoonstappen.
Afhankelijk van uw configuratie moet u mogelijk ook de regel kopiëren en de nieuwe regels toevoegen die voor de migratie worden gemaakt.
Als u globale regels wilt weergeven, voert u het volgende uit:
Get-AdfsAdditionalAuthenticationRule
Als u relying party-vertrouwensrelaties wilt weergeven, voert u de volgende opdracht uit en vervangt u RPTrustName door de naam van de vertrouwensclaimregel van de relying party:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Beleid inzake toegangsbeheer
Notitie
Beleid inzake toegangsbeheer kan niet worden geconfigureerd voor het aanroepen van een specifieke verificatieprovider op basis van groepslidmaatschap.
Als u van uw beleid voor toegangsbeheer wilt overstappen naar aanvullende verificatieregels, voert u deze opdracht uit voor elk van uw Relying Party Trusts met de verificatieprovider van de MFA-server:
Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null
Met deze opdracht wordt de logica van uw huidige toegangsbeheerbeleid overgezet naar aanvullende verificatieregels.
De groep instellen en de SID zoeken
U moet een specifieke groep hebben waarin u gebruikers plaatst voor wie u Microsoft Entra multifactor-verificatie wilt aanroepen. U hebt de beveiligings-id (SID) voor die groep nodig.
Gebruik de volgende opdracht om de SID van de groep te vinden, met de naam van uw groep
Get-ADGroup "GroupName"
De claimregels instellen om Meervoudige Verificatie van Microsoft Entra aan te roepen
De volgende PowerShell-cmdlets roepen Microsoft Entra-meervoudige verificatie aan voor gebruikers in de groep wanneer ze zich niet in het bedrijfsnetwerk bevinden. Vervang YourGroupSid door de SID die is gevonden door de bovenstaande cmdlet uit te voeren.
Lees het artikel Aanvullende verificatieproviders kiezen in 2019.
Belangrijk
Een back-up maken van uw claimregels
Globale claimregel instellen
Voer de volgende PowerShell-cmdlet uit:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Met deze opdracht worden uw huidige aanvullende verificatieregels voor uw relying party-vertrouwensrelatie geretourneerd. Voeg de volgende regels toe aan uw huidige claimregels:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
In het volgende voorbeeld wordt ervan uitgegaan dat uw huidige claimregels zijn geconfigureerd om te vragen om MFA wanneer gebruikers van buiten uw netwerk verbinding maken. Dit voorbeeld bevat de aanvullende regels die u moet toevoegen.
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Claimregels per toepassing instellen
In dit voorbeeld worden claimregels gewijzigd voor een specifieke Relying Party Trust (toepassing) en worden de gegevens opgenomen die u moet toevoegen.
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Meervoudige verificatie van Microsoft Entra configureren als verificatieprovider in AD FS
Als u Microsoft Entra-meervoudige verificatie voor AD FS wilt configureren, moet u elke AD FS-server configureren. Als er meerdere AD FS-servers in uw farm zijn, kunt u de vereiste externe configuratie uitvoeren met Azure AD PowerShell.
Zie De AD FS-servers configureren in het artikel Microsoft Entra multifactor authentication configureren als verificatieprovider met AD FS voor stapsgewijze instructies voor dit proces.
Zodra u de servers hebt geconfigureerd, kunt u Meervoudige Verificatie van Microsoft Entra toevoegen als een extra verificatiemethode.
Microsoft Entra-id voorbereiden en migratie implementeren
In deze sectie worden de laatste stappen behandeld voordat u MFA-instellingen van gebruikers migreert.
FederatedIdpMfaBehavior instellen omMfaByFederatedIdp af te dwingen
Voor federatieve domeinen kan MFA worden afgedwongen door voorwaardelijke toegang van Microsoft Entra of door de on-premises federatieprovider. Elk federatief domein heeft een Microsoft Graph PowerShell-beveiligingsinstelling met de naam federatedIdpMfaBehavior. U kunt federatedIdpMfaBehaviorenforceMfaByFederatedIdp zo instellen dat Microsoft Entra ID MFA accepteert die wordt uitgevoerd door de federatieve id-provider. Als de federatieve id-provider MFA niet heeft uitgevoerd, stuurt Microsoft Entra ID de aanvraag om naar de federatieve id-provider om MFA uit te voeren. Raadpleeg federatedIdpMfaBehavior voor meer informatie.
Notitie
De instelling federatedIdpMfaBehavior is een nieuwe versie van de eigenschap SupportsMfa van de cmdlet New-MgDomainFederationConfiguration .
Voor domeinen die de eigenschap SupportsMfa instellen, bepalen deze regels hoe federatedIdpMfaBehavior en SupportsMfa samenwerken:
- Schakelen tussen federatedIdpMfaBehavior en SupportsMfa wordt niet ondersteund.
- Zodra de eigenschap federatedIdpMfaBehavior is ingesteld, negeert Microsoft Entra ID de instelling SupportsMfa .
- Als de eigenschap federatedIdpMfaBehavior nooit is ingesteld, blijft Microsoft Entra ID de instelling SupportsMfa respecteren.
- Als federatedIdpMfaBehavior of SupportsMfa niet is ingesteld, wordt De Microsoft Entra-id standaard ingesteld
acceptIfMfaDoneByFederatedIdpop gedrag.
U kunt de status van federatedIdpMfaBehavior controleren met Get-MgDomainFederationConfiguration.
Get-MgDomainFederationConfiguration –DomainID yourdomain.com
U kunt ook de status van de vlag SupportsMfa controleren met Get-MgDomainFederationConfiguration:
Get-MgDomainFederationConfiguration –DomainName yourdomain.com
In het volgende voorbeeld ziet u hoe u federatedIdpMfaBehaviorenforceMfaByFederatedIdp instelt met Graph PowerShell.
Aanvragen
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}
Response
Opmerking: het antwoordobject dat hier wordt weergegeven, kan worden ingekort voor leesbaarheid.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}
Configureer indien nodig het beleid voor voorwaardelijke toegang
Als u voorwaardelijke toegang gebruikt om te bepalen wanneer gebruikers om MFA worden gevraagd, hoeft u uw beleid niet te wijzigen.
Als voor uw federatieve domein(en) SupportsMfa is ingesteld op false, analyseert u uw claimregels op de vertrouwensrelatie van de Relying Party van Microsoft Entra-id en maakt u beleid voor voorwaardelijke toegang dat dezelfde beveiligingsdoelen ondersteunt.
Nadat u beleid voor voorwaardelijke toegang hebt gemaakt om dezelfde besturingselementen af te dwingen als AD FS, kunt u een back-up maken van de aanpassingen van uw claimregels op de Relying Party van Microsoft Entra-id.
Voor meer informatie raadpleegt u de volgende bronnen:
Gebruikers registreren voor Meervoudige Verificatie van Microsoft Entra
In deze sectie wordt beschreven hoe gebruikers zich kunnen registreren voor gecombineerde beveiliging (MFA en selfservice voor wachtwoordherstel) en hoe ze hun MFA-instellingen kunnen migreren. Microsoft Authenticator kan worden gebruikt als in de modus zonder wachtwoord. Het kan ook worden gebruikt als tweede factor voor MFA met een van beide registratiemethoden.
Registreren voor gecombineerde beveiligingsregistratie (aanbevolen)
We raden u aan uw gebruikers te laten registreren voor gecombineerde beveiligingsgegevens. Dit is één plek waar ze hun verificatiemethoden en apparaten kunnen registreren voor zowel MFA als SSPR.
Microsoft biedt informatiesjablonen die u aan uw gebruikers kunt bieden om hen door het gecombineerde registratieproces te begeleiden.
Dit zijn sjablonen voor e-mail, posters, tafeltenten en verschillende andere assets. Gebruikers registreren hun gegevens ophttps://aka.ms/mysecurityinfo, waarna ze naar het gecombineerde beveiligingsregistratiescherm gaan.
U wordt aangeraden het beveiligingsregistratieproces te beveiligen met voorwaardelijke toegang die vereist dat de registratie plaatsvindt vanaf een vertrouwd apparaat of een vertrouwde locatie. Zie Verificatiemethodeactiviteit voor Microsoft Entra-id voor informatie over het bijhouden van registratiestatussen.
Notitie
Gebruikers die hun gecombineerde beveiligingsgegevens van een niet-vertrouwde locatie of apparaat moeten registreren, kunnen een tijdelijke toegangspas verlenen of tijdelijk worden uitgesloten van het beleid.
MFA-instellingen migreren vanaf MFA-server
U kunt het hulpprogramma MFA-servermigratie gebruiken om geregistreerde MFA-instellingen te synchroniseren voor gebruikers van MFA-server naar Microsoft Entra-id. U kunt telefoonnummers, hardwaretokens en apparaatregistraties, zoals Microsoft Authenticator-instellingen, synchroniseren.
Gebruikers aan de juiste groepen toevoegen
Als u nieuw beleid voor voorwaardelijke toegang hebt gemaakt, voegt u de juiste gebruikers toe aan deze groepen.
Als u on-premises beveiligingsgroepen voor claimregels hebt gemaakt, voegt u de juiste gebruikers aan deze groepen toe.
We raden u niet aan om groepen opnieuw te gebruiken die worden gebruikt voor beveiliging. Als u een beveiligingsgroep gebruikt om een groep hoogwaardige apps te beveiligen met beleid voor voorwaardelijke toegang, gebruikt u alleen de groep voor dat doel.
Controleren
Registratie van meervoudige verificatie van Microsoft Entra kan worden bewaakt met behulp van het rapport Gebruiks- en inzichten van verificatiemethoden. Dit rapport vindt u in Microsoft Entra-id. Selecteer Bewaking en selecteer vervolgens Usage &insights.
Selecteer verificatiemethoden in Gebruik en inzichten.
Gedetailleerde registratiegegevens van Microsoft Entra voor meervoudige verificatie vindt u op het tabblad Registratie. U kunt inzoomen om een lijst met geregistreerde gebruikers weer te geven door de hyperlink Gebruikers te selecteren die geschikt zijn voor Meervoudige Verificatie van Azure.
Opschoningsstappen
Nadat u de migratie naar Microsoft Entra multifactor-verificatie hebt voltooid en klaar bent om de MFA-server buiten gebruik te stellen, gaat u als volgt te werk:
Herstel uw claimregels op AD FS naar de configuratie vóór de migratie en verwijder de MFA-serververificatieprovider.
Verwijder MFA-server als verificatieprovider in AD FS. Dit zorgt ervoor dat alle gebruikers Meervoudige Verificatie van Microsoft Entra gebruiken, omdat dit de enige extra verificatiemethode is ingeschakeld.
De MFA-server buiten gebruik stellen.
Claimregels in AD FS herstellen en verificatieprovider van de MFA-server verwijderen
Volg de stappen onder Claimregels configureren om Meervoudige Verificatie van Microsoft Entra aan te roepen om terug te keren naar de claimregels waarvan een back-up is gemaakt en om eventuele AzureMFAServerAuthentication-claimregels te verwijderen.
Verwijder bijvoorbeeld het volgende uit de regel(s):
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
MFA-server uitschakelen als verificatieprovider in AD FS
Deze wijziging zorgt ervoor dat alleen Meervoudige Verificatie van Microsoft Entra wordt gebruikt als verificatieprovider.
Open de AD FS-beheerconsole.
Klik onder Services met de rechtermuisknop op Verificatiemethoden en selecteer Meervoudige verificatiemethoden bewerken.
Schakel het selectievakje naast De Azure Multi-Factor Authentication-server uit.
De MFA-server buiten gebruik stellen
Volg de procedure voor het uit bedrijf nemen van servers van uw bedrijf om de MFA-servers in uw omgeving te verwijderen.
Mogelijke overwegingen bij het buiten gebruik stellen van de MFA-server zijn:
Controleer MFA-serverlogboeken om te zorgen dat er geen gebruikers of toepassingen zijn die de server gebruiken voordat u de server verwijdert.
Verwijder de Multi-Factor Authentication-server uit het Configuratiescherm op de server.
U kunt eventueel logboeken en gegevensmappen opschonen die achterblijven nadat u er eerst een back-up van heeft gemaakt.
Verwijder indien van toepassing de webserver-SDK voor meervoudige verificatie, inclusief alle bestanden die zijn overgelaten in etpub\wwwroot\MultiFactorAuthWebServiceSdk en of MultiFactorAuth-mappen
Voor MFA-serverversies vóór 8.0 kan het ook nodig zijn om de meervoudige verificatie Telefoon App-webservice te verwijderen