Migreren van federatie naar Microsoft Entra-verificatie op basis van certificaten (CBA)

In dit artikel wordt uitgelegd hoe u migreert van actieve federatieve servers zoals Active Directory Federation Services (AD FS) on-premises naar cloudverificatie met behulp van Microsoft Entra-verificatie op basis van certificaten (CBA).

Gefaseerde implementatie

Een tenantbeheerder kan het federatieve domein volledig naar Entra ID CBA knippen zonder testfase door de CBA-verificatiemethode in entra-id in te schakelen en het hele domein te converteren naar beheerde verificatie. Als de klant echter een kleine batch met gebruikers wil testen die worden geverifieerd met Entra ID CBA voordat de volledige domein-cutover wordt beheerd, kunnen ze gebruikmaken van de gefaseerde implementatiefunctie.

Gefaseerde implementatie voor verificatie op basis van certificaten (CBA) helpt klanten bij de overgang van CBA op een federatieve IdP naar Microsoft Entra-id door selectief kleine set gebruikers te verplaatsen om CBA te gebruiken bij Entra ID (wordt niet meer omgeleid naar de federatieve IdP) met geselecteerde groepen gebruikers voordat de domeinconfiguratie in Entra-id wordt geconverteerd van federatief naar beheerd. Gefaseerde implementatie is niet ontworpen voor het domein om federatief te blijven gedurende lange tijd of voor grote hoeveelheden gebruikers.

Bekijk deze korte video waarin de migratie van verificatie op basis van ADFS-certificaten naar Microsoft Entra CBA wordt gedemonstreerd

Notitie

Wanneer gefaseerde implementatie is ingeschakeld voor een gebruiker, wordt de gebruiker beschouwd als een beheerde gebruiker en vindt alle verificatie plaats op Microsoft Entra-id. Als CBA is ingeschakeld voor gefaseerde implementatie voor een federatieve tenant, werkt wachtwoordverificatie alleen als PHS ook is ingeschakeld, anders mislukt wachtwoordverificatie.

Gefaseerde implementatie inschakelen voor verificatie op basis van certificaten op uw tenant

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voer de volgende stappen uit om gefaseerde implementatie te configureren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
2. Zoek en selecteer Microsoft Entra Verbinding maken.
3. Klik op de pagina Microsoft Entra Verbinding maken, onder de gefaseerde implementatie van cloudverificatie, op Gefaseerde implementatie inschakelen voor aanmelding van beheerde gebruikers.
4. Klik op de pagina Gefaseerde implementatie inschakelen op Aan voor de optie Verificatie op basis van certificaten
5. Klik op Groepen beheren en voeg groepen toe die deel willen uitmaken van cloudverificatie. Om een time-out te voorkomen, moet u ervoor zorgen dat de beveiligingsgroepen in eerste instantie niet meer dan 200 leden bevatten.

Zie Gefaseerde implementatie voor meer informatie.

Microsoft Entra Verbinding maken gebruiken om het kenmerk certificateUserIds bij te werken

Een AD FS-beheerder kan de editor voor synchronisatieregels gebruiken om regels te maken om de waarden van kenmerken van AD FS te synchroniseren met Microsoft Entra-gebruikersobjecten. Zie Synchronisatieregels voor certificateUserIds voor meer informatie.

Microsoft Entra Verbinding maken vereist een speciale rol met de naam Hybrid Identity Beheer istrator, die de benodigde machtigingen verleent. U hebt deze rol nodig om te kunnen schrijven naar het nieuwe cloudkenmerk.

Notitie

Als een gebruiker gesynchroniseerde kenmerken gebruikt, zoals het kenmerk onPremisesUserPrincipalName in het gebruikersobject voor gebruikersnaambinding, moet u er rekening mee houden dat elke gebruiker met beheerderstoegang tot de Microsoft Entra Verbinding maken-server de gesynchroniseerde kenmerktoewijzing kan wijzigen en de waarde van het gesynchroniseerde kenmerk kan wijzigen. De gebruiker hoeft geen cloudbeheerder te zijn. De AD FS-beheerder moet ervoor zorgen dat de beheerderstoegang tot de Microsoft Entra-Verbinding maken-server moet worden beperkt en bevoegde accounts moeten alleen cloudaccounts zijn.

Veelgestelde vragen over migreren van AD FS naar Microsoft Entra-id

Kunnen we bevoegde accounts hebben met een federatieve AD FS-server?

Hoewel het mogelijk is, raadt Microsoft aan bevoorrechte accounts alleen cloudaccounts te zijn. Het gebruik van alleen-cloudaccounts voor bevoegde toegang beperkt blootstelling in Microsoft Entra ID vanuit een gecompromitteerde on-premises omgeving. Zie Microsoft 365 beveiligen tegen on-premises aanvallen voor meer informatie.

Als een organisatie een hybride versie is die zowel AD FS als Azure CBA uitvoert, zijn ze nog steeds kwetsbaar voor het AD FS-compromis?

Microsoft raadt bevoegde accounts aan alleen cloudaccounts te zijn. Met deze procedure wordt de blootstelling in Microsoft Entra ID beperkt van een gecompromitteerde on-premises omgeving. Het onderhouden van bevoegde accounts die alleen in de cloud gelden, is fundamenteel voor dit doel.

Voor gesynchroniseerde accounts:

• Als ze zich in een beheerd domein bevinden (niet gefedereerd), is er geen risico van de federatieve IdP.
• Als ze zich in een federatief domein bevinden, maar een subset van accounts wordt verplaatst naar Microsoft Entra CBA door gefaseerde implementatie, lopen ze risico's met betrekking tot de federatieve Idp totdat het federatieve domein volledig is overgeschakeld naar cloudverificatie.

Moeten organisaties federatieve servers zoals AD FS elimineren om te voorkomen dat de mogelijkheid om van AD FS naar Azure te draaien?

Met federatie kan een aanvaller iedereen, zoals een CIO, imiteren, zelfs als ze geen cloudrol kunnen krijgen, zoals het Global Beheer istrator-account.

Wanneer een domein is gefedereerd in Microsoft Entra ID, wordt een hoog vertrouwensniveau op de Federatieve IdP geplaatst. AD FS is één voorbeeld, maar het begrip geldt voor elke federatieve IdP. Veel organisaties implementeren een federatieve IdP, zoals AD FS, uitsluitend om verificatie op basis van certificaten uit te voeren. Microsoft Entra CBA verwijdert de AD FS-afhankelijkheid in dit geval volledig. Met Microsoft Entra CBA kunnen klanten hun toepassingsdomein verplaatsen naar Microsoft Entra ID om hun IAM-infrastructuur te moderniseren en kosten te verlagen met verhoogde beveiliging.

Vanuit beveiligingsperspectief is er geen wijziging in de referentie, waaronder het X.509-certificaat, CAC's, PIV's, enzovoort, of de gebruikte PKI. De PKI-eigenaren behouden volledige controle over de levenscyclus en het beleid voor certificaatuitgifte en intrekking. De intrekkingscontrole en de verificatie vinden plaats bij Microsoft Entra ID in plaats van federatieve Idp. Deze controles zorgen ervoor dat verificatie zonder wachtwoord en phishing rechtstreeks naar Microsoft Entra ID voor alle gebruikers mogelijk is.

Hoe werkt verificatie met federatieve AD FS en Microsoft Entra-cloudverificatie met Windows?

Microsoft Entra CBA vereist dat de gebruiker of toepassing de Microsoft Entra UPN levert van de gebruiker die zich aanmeldt.

In het browservoorbeeld typt de gebruiker het vaakst in hun Microsoft Entra UPN. De Microsoft Entra UPN wordt gebruikt voor realm- en gebruikersdetectie. Het gebruikte certificaat moet vervolgens overeenkomen met deze gebruiker met behulp van een van de geconfigureerde gebruikersnaambindingen in het beleid.

Bij windows-aanmelding is de overeenkomst afhankelijk van of het apparaat hybride is of Microsoft Entra is toegevoegd. Maar in beide gevallen, als er een hint voor de gebruikersnaam wordt opgegeven, stuurt Windows de hint als een Microsoft Entra UPN. Het gebruikte certificaat moet vervolgens overeenkomen met deze gebruiker met behulp van een van de geconfigureerde gebruikersnaambindingen in het beleid.

Volgende stappen

• Overzicht van Microsoft Entra CBA
• Technische diepgaande informatie voor Microsoft Entra CBA
• Microsoft Entra CBA configureren
• Microsoft Entra CBA op iOS-apparaten
• Microsoft Entra CBA op Android-apparaten
• Windows-smartcardaanmelding met Microsoft Entra CBA
• Certificaatgebruikers-id's
• Veelgestelde vragen