Migreren van MFA-server naar Meervoudige Verificatie van Microsoft Entra
Meervoudige verificatie is belangrijk voor het beveiligen van uw infrastructuur en assets van slechte actoren. Azure Multi-Factor Authentication-server (MFA-server) is niet beschikbaar voor nieuwe implementaties en wordt afgeschaft. Klanten die MFA Server gebruiken, moeten overstappen op het gebruik van meervoudige verificatie in de cloud van Microsoft Entra.
In dit artikel gaan we ervan uit dat u een hybride omgeving hebt waarin:
- U gebruikt MFA-server voor meervoudige verificatie.
- U gebruikt federatie op Microsoft Entra-id met Active Directory Federation Services (AD FS) of een ander federatieproduct voor id-providers.
- Hoewel dit artikel is gericht op AD FS, zijn vergelijkbare stappen van toepassing op andere id-providers.
- Uw MFA-server is geïntegreerd met AD FS.
- Mogelijk hebt u toepassingen die AD FS gebruiken voor verificatie.
Er zijn meerdere mogelijke eindstatussen voor uw migratie, afhankelijk van uw doel.
| Doel: ALLEEN MFA-server buiten gebruik stellen | Doel: MFA-server uit bedrijf nemen en overstappen op Microsoft Entra-verificatie | Doel: MFA-server en AD FS buiten gebruik stellen | |
|---|---|---|---|
| MFA-provider | Wijzig de MFA-provider van MFA-server in Meervoudige Verificatie van Microsoft Entra. | Wijzig de MFA-provider van MFA-server in Meervoudige Verificatie van Microsoft Entra. | Wijzig de MFA-provider van MFA-server in Meervoudige Verificatie van Microsoft Entra. |
| Gebruikersverificatie | Ga door met het gebruik van federatie voor Microsoft Entra-verificatie. | Ga naar Microsoft Entra-id met wachtwoord-hashsynchronisatie (voorkeur) of passthrough-verificatie en naadloze eenmalige aanmelding (SSO). | Ga naar Microsoft Entra-id met wachtwoord-hashsynchronisatie (voorkeur) of passthrough-verificatie en SSO. |
| Toepassingsverificatie | Blijf AD FS-verificatie gebruiken voor uw toepassingen. | Blijf AD FS-verificatie gebruiken voor uw toepassingen. | Verplaats apps naar Microsoft Entra-id voordat u migreert naar Microsoft Entra-meervoudige verificatie. |
Als u dat kunt, verplaatst u zowel uw meervoudige verificatie als uw gebruikersverificatie naar Azure. Zie Overstappen op Microsoft Entra-meervoudige verificatie en Microsoft Entra-gebruikersverificatie voor stapsgewijze instructies.
Als u uw gebruikersverificatie niet kunt verplaatsen, raadpleegt u de stapsgewijze richtlijnen voor het verplaatsen naar Microsoft Entra-meervoudige verificatie met federatie.
Vereisten
- AD FS-omgeving (vereist als u niet al uw apps migreert naar Microsoft Entra voordat u MFA-server migreert)
- Voer een upgrade uit naar AD FS voor Windows Server 2019, farmgedragsniveau (FBL) 4. Met deze upgrade kunt u verificatieprovider selecteren op basis van groepslidmaatschap voor een naadloze gebruikersovergang. Hoewel het mogelijk is om te migreren terwijl op AD FS voor Windows Server 2016 FBL 3, is het niet zo naadloos voor gebruikers. Tijdens de migratie wordt gebruikers gevraagd om een verificatieprovider (MFA Server of Microsoft Entra multifactor authentication) te selecteren totdat de migratie is voltooid.
- Machtigingen
- Ondernemingsbeheerdersrol in Active Directory voor het configureren van AD FS-farm voor Meervoudige Verificatie van Microsoft Entra
- Globale beheerdersrol in Microsoft Entra-id voor het configureren van Microsoft Entra-id met behulp van PowerShell
Overwegingen voor alle migratiepaden
Migreren van MFA-server naar Microsoft Entra-meervoudige verificatie omvat meer dan alleen het verplaatsen van de geregistreerde MFA-telefoonnummers. De MFA-server van Microsoft kan worden geïntegreerd met veel systemen en u moet evalueren hoe deze systemen MFA Server gebruiken om inzicht te krijgen in de beste manieren om te integreren met Microsoft Entra multifactor-verificatie.
MFA-gebruikersgegevens migreren
Veelvoorkomende manieren om na te denken over het verplaatsen van gebruikers in batches zijn onder andere het verplaatsen per regio, afdelingen of rollen zoals beheerders. U moet gebruikersaccounts iteratief verplaatsen, te beginnen met test- en testgroepen en ervoor zorgen dat u een terugdraaiplan hebt.
U kunt het MFA-hulpprogramma voor servermigratie gebruiken om MFA-gegevens die zijn opgeslagen in de on-premises Azure MFA-server te synchroniseren met Microsoft Entra-meervoudige verificatie en gefaseerde implementatie te gebruiken om gebruikers om te leiden naar Azure MFA. Gefaseerde implementatie helpt u te testen zonder wijzigingen aan te brengen in uw domeinfederatie-instellingen.
Om gebruikers te helpen het zojuist toegevoegde account te onderscheiden van het oude account dat is gekoppeld aan de MFA-server, moet u ervoor zorgen dat de accountnaam voor de mobiele app op de MFA-server op een manier wordt genoemd om de twee accounts te onderscheiden. De naam van het account die wordt weergegeven onder Mobiele app op de MFA-server, is bijvoorbeeld gewijzigd in on-premises MFA-server. De accountnaam in Microsoft Authenticator wordt gewijzigd met de volgende pushmelding aan de gebruiker.
Het migreren van telefoonnummers kan er ook toe leiden dat verlopen nummers worden gemigreerd en dat gebruikers waarschijnlijker op telefoon gebaseerde MFA blijven gebruiken in plaats van veiligere methoden in te stellen, zoals Microsoft Authenticator in de modus zonder wachtwoord. Daarom raden we u aan, ongeacht het migratiepad dat u kiest, dat alle gebruikers zich registreren voor gecombineerde beveiligingsgegevens.
Hardwarebeveiligingssleutels migreren
Microsoft Entra ID biedt ondersteuning voor OATH-hardwaretokens. U kunt het hulpprogramma voor migratie van MFA-servers gebruiken om MFA-instellingen te synchroniseren tussen MFA-server en Microsoft Entra-meervoudige verificatie en gefaseerde implementatie te gebruiken om migraties van gebruikers te testen zonder de domeinfederatie-instellingen te wijzigen.
Als u alleen OATH-hardwaretokens wilt migreren, moet u tokens uploaden naar Microsoft Entra-id met behulp van een CSV-bestand, meestal aangeduid als een 'seed-bestand'. Het seed-bestand bevat de geheime sleutels, serienummers van tokens en andere benodigde informatie die nodig is om de tokens te uploaden naar Microsoft Entra-id.
Als u het seed-bestand niet meer met de geheime sleutels hebt, is het niet mogelijk om de geheime sleutels van de MFA-server te exporteren. Als u geen toegang meer hebt tot de geheime sleutels, neemt u contact op met uw hardwareleverancier voor ondersteuning.
De MFA Server-webservice-SDK kan worden gebruikt om het serienummer te exporteren voor OATH-tokens die zijn toegewezen aan een bepaalde gebruiker. U kunt deze informatie samen met het seed-bestand gebruiken om de tokens in Microsoft Entra-id te importeren en het OATH-token toe te wijzen aan de opgegeven gebruiker op basis van het serienummer. De gebruiker moet ook contact opnemen op het moment van importeren om OTP-gegevens van het apparaat op te geven om de registratie te voltooien. Raadpleeg het Help-onderwerp GetUserInfo-gebruiker>Instellingen> OathTokenSerialNumber in Multi-Factor Authentication-server op uw MFA-server.
Meer migraties
De beslissing om te migreren van MFA-server naar Microsoft Entra meervoudige verificatie opent de deur voor andere migraties. Het voltooien van meer migraties is afhankelijk van veel factoren, waaronder met name:
- Uw bereidheid om Microsoft Entra-verificatie te gebruiken voor gebruikers
- Uw bereidheid om uw toepassingen te verplaatsen naar Microsoft Entra-id
Omdat de MFA-server integraal is voor zowel toepassings- als gebruikersverificatie, kunt u overwegen om beide functies naar Azure te verplaatsen als onderdeel van uw MFA-migratie en uiteindelijk AD FS buiten gebruik te stellen.
Onze aanbevelingen:
- Microsoft Entra-id gebruiken voor verificatie omdat dit robuustere beveiliging en governance mogelijk maakt
- Toepassingen verplaatsen naar Microsoft Entra-id, indien mogelijk
Als u de beste methode voor gebruikersverificatie voor uw organisatie wilt selecteren, raadpleegt u De juiste verificatiemethode kiezen voor uw hybride identiteitsoplossing van Microsoft Entra. U wordt aangeraden wachtwoord-hashsynchronisatie (PHS) te gebruiken.
Verificatie zonder wachtwoord
Als onderdeel van het inschrijven van gebruikers voor het gebruik van Microsoft Authenticator als tweede factor, raden we u aan om aanmelding zonder wachtwoord in te schakelen als onderdeel van hun registratie. Voor meer informatie, waaronder andere methoden zonder wachtwoord, zoals FIDO2-beveiligingssleutels en Windows Hello voor Bedrijven, gaat u naar Plan a passwordless authentication deployment with Microsoft Entra ID.
Selfservice voor wachtwoordherstel van Microsoft Identity Manager
Microsoft Identity Manager (MIM) SSPR kan MFA Server gebruiken om eenmalige sms-wachtwoordcodes aan te roepen als onderdeel van de stroom voor wachtwoordherstel. MIM kan niet worden geconfigureerd voor het gebruik van Meervoudige Verificatie van Microsoft Entra. U wordt aangeraden uw SSPR-service te verplaatsen naar Microsoft Entra SSPR. U kunt de mogelijkheid gebruiken om gebruikers te registreren voor Meervoudige Verificatie van Microsoft Entra om de gecombineerde registratie-ervaring te gebruiken om u te registreren voor Microsoft Entra SSPR.
Als u uw SSPR-service niet kunt verplaatsen of als u MFA-server gebruikt om MFA-aanvragen voor PAM-scenario's (Privileged Access Management) aan te roepen, wordt u aangeraden bij te werken naar een alternatieve MFA-optie van derden.
RADIUS-clients en Meervoudige Verificatie van Microsoft Entra
MFA Server ondersteunt RADIUS om meervoudige verificatie aan te roepen voor toepassingen en netwerkapparaten die ondersteuning bieden voor het protocol. Als u RADIUS met MFA Server gebruikt, raden we u aan clienttoepassingen te verplaatsen naar moderne protocollen, zoals SAML, OpenID Verbinding maken of OAuth op Microsoft Entra ID. Als de toepassing niet kan worden bijgewerkt, kunt u NPS (Network Policy Server) implementeren met de microsoft Entra-extensie voor meervoudige verificatie. De NPS-extensie (Network Policy Server) fungeert als een adapter tussen RADIUS-toepassingen en Multifactor Authentication van Microsoft Entra om een tweede verificatiefactor te bieden. Met deze 'adapter' kunt u uw RADIUS-clients verplaatsen naar Meervoudige Verificatie van Microsoft Entra en uw MFA-server buiten gebruik stellen.
Belangrijke aandachtspunten
Er gelden beperkingen bij het gebruik van NPS voor RADIUS-clients en we raden u aan radius-clients te evalueren om te bepalen of u deze kunt upgraden naar moderne verificatieprotocollen. Neem contact op met de serviceprovider voor ondersteunde productversies en hun mogelijkheden.
- De NPS-extensie maakt geen gebruik van beleid voor voorwaardelijke toegang van Microsoft Entra. Als u bij RADIUS blijft en de NPS-extensie gebruikt, moeten alle verificatieaanvragen die naar NPS worden verzonden, de gebruiker MFA uitvoeren.
- Gebruikers moeten zich registreren voor Meervoudige Verificatie van Microsoft Entra voordat ze de NPS-extensie gebruiken. Anders kan de extensie de gebruiker niet verifiëren, waardoor helpdeskoproepen kunnen worden gegenereerd.
- Wanneer de NPS-extensie MFA aanroept, wordt de MFA-aanvraag verzonden naar de standaard MFA-methode van de gebruiker.
- Omdat de aanmelding op niet-Microsoft-toepassingen plaatsvindt, kan de gebruiker vaak geen visuele melding zien dat meervoudige verificatie is vereist en dat een aanvraag naar het apparaat is verzonden.
- Tijdens de vereiste voor meervoudige verificatie moet de gebruiker toegang hebben tot de standaardverificatiemethode om de vereiste te voltooien. Ze kunnen geen alternatieve methode kiezen. De standaardverificatiemethode wordt gebruikt, zelfs als deze is uitgeschakeld in de tenantverificatiemethoden en beleidsregels voor meervoudige verificatie.
- Gebruikers kunnen hun standaardmethode voor meervoudige verificatie wijzigen op de pagina Beveiligingsgegevens (aka.ms/mysecurityinfo).
- Beschikbare MFA-methoden voor RADIUS-clients worden beheerd door de clientsystemen die de RADIUS-toegangsaanvragen verzenden.
- MFA-methoden waarvoor gebruikersinvoer is vereist nadat ze een wachtwoord hebben ingevoerd, kunnen alleen worden gebruikt met systemen die antwoorden op toegangsvraag ondersteunen met RADIUS. Invoermethoden kunnen OTP, hardware-OATH-tokens of Microsoft Authenticator zijn.
- Sommige systemen kunnen beschikbare meervoudige verificatiemethoden beperken tot pushmeldingen en telefoongesprekken van Microsoft Authenticator.
Notitie
Het algoritme voor wachtwoordversleuteling dat wordt gebruikt tussen de RADIUS-client en het NPS-systeem en de invoermethoden die de client kan gebruiken, is van invloed op welke verificatiemethoden beschikbaar zijn. Zie Bepalen welke verificatiemethoden uw gebruikers kunnen gebruiken voor meer informatie.
Veelvoorkomende RADIUS-clientintegraties zijn toepassingen zoals Extern bureaublad-gateways en VPN-servers. Andere zijn onder andere:
- Citrix Gateway
- Citrix Gateway ondersteunt zowel de RADIUS- als NPS-extensie integratie, en een SAML-integratie.
- Cisco VPN
- Cisco VPN ondersteunt zowel RADIUS- als SAML-verificatie voor SSO.
- Als u overstapt van RADIUS-verificatie naar SAML kunt u het Cisco VPN integreren zonder de NPS-extensie te implementeren.
- Alle VPN's
- We raden u aan uw VPN indien mogelijk als SAML-app te federeren. Met deze federatie kunt u voorwaardelijke toegang gebruiken. Zie een lijst met VPN-leveranciers die zijn geïntegreerd in de microsoft Entra ID App-galerie voor meer informatie.
Resources voor het implementeren van NPS
- Nieuwe NPS-infrastructuur toevoegen
- Best practices voor NPS-implementatie
- Microsoft Entra multi-factor authentication NPS extension health check script
- Bestaande NPS-infrastructuur integreren met Meervoudige Verificatie van Microsoft Entra