Delen via

Migreren van federatie naar cloudverificatie

  • Artikel

In dit artikel leert u hoe u cloudgebruikersverificatie implementeert met PhS (Microsoft Entra Password Hash Synchronization) of PassThrough-verificatie (PTA). Hoewel we de use-case presenteren om over te stappen van Active Directory Federation Services (AD FS) naar cloudverificatiemethoden, zijn de richtlijnen ook aanzienlijk van toepassing op andere on-premises systemen.

Voordat u doorgaat, raden we u aan onze handleiding te raadplegen over het kiezen van de juiste verificatiemethode en het vergelijken van methoden die het meest geschikt zijn voor uw organisatie.

We raden u aan PHS te gebruiken voor cloudverificatie.

Gefaseerde implementatie

Gefaseerde implementatie is een uitstekende manier om groepen gebruikers selectief te testen met mogelijkheden voor cloudverificatie, zoals Meervoudige verificatie van Microsoft Entra, Voorwaardelijke toegang, Identiteitsbeveiliging voor gelekte referenties, Identiteitsbeheer en andere, voordat u uw domeinen overstuurt.

Raadpleeg het gefaseerde implementatieplan om inzicht te krijgen in de ondersteunde en niet-ondersteunde scenario's. We raden u aan de gefaseerde implementatie te gebruiken om te testen voordat u over domeinen snijdt.

Migratieproces

Proces voor de migratie naar de cloudverificatie

Vereisten

Voordat u begint met de migratie, moet u ervoor zorgen dat u aan deze vereisten voldoet.

Vereiste rollen

Voor gefaseerde implementatie moet u een hybride identiteitsbeheerder voor uw tenant zijn.

Microsoft Entra Connect-server stap voor stap omhoog

Installeer Microsoft Entra Connect (Microsoft Entra Connect) of voer een upgrade uit naar de nieuwste versie. Wanneer u de Microsoft Entra Connect-server stapt, vermindert het de tijd om van AD FS naar de cloudverificatiemethoden te migreren van mogelijk uren tot minuten.

Huidige federatie-instellingen document

Voer Get-MgDomainFederationConfiguration uit om uw huidige federatie-instellingen te vinden.

Get-MgDomainFederationConfiguration - DomainID yourdomain.com

Controleer de instellingen die mogelijk zijn aangepast voor uw federatieontwerp- en implementatiedocumentatie. Zoek met name naar aanpassingen in PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (als federatedIdpMfaBehavior niet is ingesteld) en PromptLoginBehavior.

Back-up maken van federatie-instellingen

Hoewel deze implementatie geen andere relying party's in uw AD FS-farm wijzigt, kunt u een back-up maken van uw instellingen:

  • Gebruik Microsoft AD FS Rapid Restore Tool om een bestaande farm te herstellen of een nieuwe farm te maken.

  • Exporteer de vertrouwensrelatie van Microsoft 365 Identity Platform en alle bijbehorende aangepaste claimregels die u hebt toegevoegd met behulp van het volgende PowerShell-voorbeeld:

    
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"

Het project plannen

Wanneer technologieprojecten mislukken, komt dit meestal door niet-overeenkomende verwachtingen over impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u er de juiste belanghebbenden bij betrekken en ervoor zorgen dat de rollen van de belanghebbenden in het project goed worden begrepen.

Communicatie plannen

Na de migratie naar cloudverificatie heeft de gebruikersaanmeldingservaring voor toegang tot Microsoft 365 en andere resources die worden geverifieerd via Microsoft Entra ID-wijzigingen. Gebruikers die zich buiten het netwerk bevinden, zien alleen de aanmeldingspagina van Microsoft Entra.

Communiceer proactief met uw gebruikers hoe hun ervaring verandert, wanneer deze verandert en hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden.

Plan het onderhoudsvenster

Moderne verificatieclients (Office 2016 en Office 2013, iOS- en Android-apps) gebruiken een geldig vernieuwingstoken om nieuwe toegangstokens te verkrijgen voor continue toegang tot resources in plaats van terug te keren naar AD FS. Deze clients zijn immuun voor wachtwoordprompts die het gevolg zijn van het domeinconversieproces. De clients blijven werken zonder extra configuratie.

Notitie

Wanneer u migreert van federatieve naar cloudverificatie, kan het proces voor het converteren van het domein van federatief naar beheerd tot 60 minuten duren. Tijdens dit proces wordt gebruikers mogelijk niet gevraagd om referenties voor nieuwe aanmeldingen bij het Microsoft Entra-beheercentrum of andere browsertoepassingen die zijn beveiligd met Microsoft Entra-id. U wordt aangeraden deze vertraging op te nemen in uw onderhoudsvenster.

Plannen voor terugdraaien

Tip

Overweeg om cutover van de domeinen te plannen buiten de kantooruren in het geval van terugdraaivereisten.

Als u een terugdraaiactie wilt plannen, gebruikt u de gedocumenteerde huidige federatie-instellingen en controleert u de federatieontwerp en de implementatie documentatie.

Het terugdraaiproces moet het converteren van beheerde domeinen naar federatieve domeinen omvatten met behulp van de cmdlet New-MgDomainFederationConfiguration . Configureer zo nodig extra claimregels.

Overwegingen bij migratie

Hier volgen belangrijke overwegingen voor de migratie.

Instellingen voor aanpassingen plannen

Het onload.js-bestand kan niet worden gedupliceerd in Microsoft Entra-id. Als uw AD FS-exemplaar sterk is aangepast en afhankelijk is van specifieke aanpassingsinstellingen in het onload.js bestand, controleert u of Microsoft Entra ID aan uw huidige aanpassingsvereisten kan voldoen en plan dienovereenkomstig. Communiceer deze toekomstige wijzigingen aan uw gebruikers.

Aanmeldingservaring

U kunt de aanmeldingservaring van Microsoft Entra niet aanpassen. Ongeacht hoe uw gebruikers zich eerder hebben aangemeld, hebt u een volledig gekwalificeerde domeinnaam nodig, zoals User Principal Name (UPN) of e-mail om u aan te melden bij Microsoft Entra-id.

Huisstijl van de organisatie

U kunt de aanmeldingspagina van Microsoft Entra aanpassen. Er zijn een aantal visuele wijzigingen van AD FS op aanmeldingspagina's waar men zich aan moet verwachten na de conversie.

Notitie

Huisstijl van de organisatie is niet beschikbaar in gratis Microsoft Entra ID-licenties, tenzij u een Microsoft 365-licentie hebt.

Beleid voor voorwaardelijke toegang plannen

Evalueer of u momenteel voorwaardelijke toegang gebruikt voor verificatie of als u toegangsbeheerbeleid in AD FS gebruikt.

Overweeg AD FS-toegangsbeheerbeleid te vervangen door het equivalente Microsoft Entra-beleid voor voorwaardelijke toegang en Exchange Online-clienttoegangsregels. U kunt Microsoft Entra ID of on-premises groepen gebruiken voor voorwaardelijke toegang.

Verouderde verificatie uitschakelen: vanwege het verhoogde risico dat is gekoppeld aan verouderde verificatieprotocollen, maakt u een Beleid voor voorwaardelijke toegang om verouderde verificatie te blokkeren.

Ondersteuning plannen voor MFA

Voor federatieve domeinen kan MFA worden afgedwongen door voorwaardelijke toegang van Microsoft Entra of door de on-premises federatieprovider. U kunt beveiliging inschakelen om te voorkomen dat Microsoft Entra-meervoudige verificatie wordt overgeslagen door de beveiligingsinstelling federatedIdpMfaBehavior te configureren. Schakel de beveiliging in voor een federatief domein in uw Microsoft Entra-tenant. Zorg ervoor dat Microsoft Entra-meervoudige verificatie altijd wordt uitgevoerd wanneer een federatieve gebruiker toegang krijgt tot een toepassing die wordt beheerd door een beleid voor voorwaardelijke toegang waarvoor MFA is vereist. Dit omvat het uitvoeren van Meervoudige Verificatie van Microsoft Entra, zelfs wanneer federatieve id-provider federatieve tokenclaims heeft uitgegeven die on-premises MFA is uitgevoerd. Het afdwingen van Meervoudige Verificatie van Microsoft Entra zorgt ervoor dat een slechte actor Microsoft Entra-meervoudige verificatie niet kan omzeilen door die id-provider al MFA te imiteren en wordt ten zeerste aanbevolen, tenzij u MFA uitvoert voor uw federatieve gebruikers die een externe MFA-provider gebruiken.

In de volgende tabel wordt het gedrag voor elke optie uitgelegd. Raadpleeg federatedIdpMfaBehavior voor meer informatie.

Weergegeven als Beschrijving
acceptIfMfaDoneByFederatedIdp Microsoft Entra ID accepteert MFA die federatieve id-provider uitvoert. Als de federatieve id-provider MFA niet heeft uitgevoerd, voert Microsoft Entra-id de MFA uit.
enforceMfaByFederatedIdp Microsoft Entra ID accepteert MFA die federatieve id-provider uitvoert. Als de federatieve id-provider de MFA niet heeft uitgevoerd, leidt Azure AD de aanvraag om naar de federatieve id-provider om de MFA uit te voeren.
rejectMfaByFederatedIdp Microsoft Entra ID voert altijd MFA uit en weigert MFA die federatieve id-provider uitvoert.

De federatedIdpMfaBehavior instelling is een ontwikkelde versie van de eigenschap SupportsMfa van de cmdlet Set-MsolDomainFederationSettings MSOnline v1 PowerShell.

Voor domeinen waarvoor de eigenschap SupportsMfa al is ingesteld, bepalen deze regels hoe federatedIdpMfaBehavior en SupportsMfa samenwerken:

  • Schakelen tussen federatedIdpMfaBehavior en SupportsMfa wordt niet ondersteund.
  • Zodra de eigenschap federatedIdpMfaBehavior is ingesteld, negeert Microsoft Entra ID de instelling SupportsMfa .
  • Als de eigenschap federatedIdpMfaBehavior nooit is ingesteld, blijft microsoft Entra-id de instelling SupportsMfa respecteren.
  • Als federatedIdpMfaBehavior of SupportsMfa niet is ingesteld, wordt de standaardinstelling voor Microsoft Entra ID ingesteldacceptIfMfaDoneByFederatedIdp.

U kunt de status van de beveiliging controleren door Get-MgDomainFederationConfiguration uit te voeren:

Get-MgDomainFederationConfiguration -DomainId yourdomain.com

Plannen voor implementatie

Deze sectie bevat prework voordat u de aanmeldingsmethode overschakelt en de domeinen converteert.

De groepen maken die nodig zijn voor de gefaseerde implementatie

Als u geen gefaseerde implementatie gebruikt, slaat u deze stap over.

Maak groepen voor gefaseerde implementatie en ook voor beleid voor voorwaardelijke toegang als u besluit deze toe te voegen.

U wordt aangeraden een groep te gebruiken die is gemasterd in Microsoft Entra ID, ook wel een cloudgroep genoemd. U kunt Microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen gebruiken voor het verplaatsen van gebruikers naar MFA en voor beleid voor voorwaardelijke toegang. Zie voor meer informatie het maken van een Microsoft Entra-beveiligingsgroep en dit overzicht van Microsoft 365 Groepen voor beheerders.

De leden in een groep worden automatisch ingeschakeld voor de gefaseerde implementatie. Geneste en dynamische groepen worden niet ondersteund voor gefaseerde implementatie.

Voorbereiding voor eenmalige aanmelding

De versie van eenmalige aanmelding die u gebruikt, is afhankelijk van het besturingssysteem van uw apparaat en de joinstatus.

Voorbereiding voor PHS en PTA

Afhankelijk van de keuze van de aanmeldingsmethode, voltooit u het voorwerk voor PHS of voor PTA.

Uw oplossing implementeren

Ten slotte schakelt u de aanmeldingsmethode over naar PHS of PTA, zoals gepland en converteert u de domeinen van federatie naar cloudverificatie.

De gefaseerde implementatie gebruiken

Als u de gefaseerde implementatie gebruikt, volgt u de stappen in de onderstaande koppelingen:

  1. Een gefaseerde implementatie van een specifieke functie inschakelen voor uw tenant.

  2. Zodra het testen is voltooid, converteert u domeinen van federatief om te worden beheerd.

Als u de gefaseerde implementatie niet gebruikt

U hebt twee opties voor het inschakelen van deze wijziging:

  • Optie A: Overschakelen met Microsoft Entra Connect.

    Beschikbaar als u in eerste instantie uw AD FS/ping-federatieve omgeving hebt geconfigureerd met behulp van Microsoft Entra Connect.

  • Optie B: Overstappen met Microsoft Entra Connect en PowerShell

    Beschikbaar als u uw federatieve domeinen niet in eerste instantie hebt geconfigureerd met Behulp van Microsoft Entra Connect of als u federatieve services van derden gebruikt.

Als u een van deze opties wilt kiezen, moet u weten wat uw huidige instellingen zijn.

Huidige Instellingen voor Microsoft Entra Connect controleren

  1. Meld u als hybride beheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar hybride>identiteitsbeheer>microsoft Entra Connect-cloudsynchronisatie.>Schermopname van de startpagina voor cloudsynchronisatie.
  1. Controleer de instellingen van user SIGN_IN zoals weergegeven in dit diagram:

Huidige Instellingen voor Microsoft Entra Connect controleren

Controleren hoe federatie is geconfigureerd:

  1. Open Microsoft Entra Connect op uw Microsoft Entra Connect-server en selecteer Configureren.

  2. Selecteer onder Aanvullende taken > Federatie beheren de optie Federatieconfiguratie weergeven.

    Federatie beheren weergeven

    Als de AD FS-configuratie in deze sectie wordt weergegeven, kunt u er veilig van uitgaan dat AD FS oorspronkelijk is geconfigureerd met behulp van Microsoft Entra Connect. Zie de onderstaande afbeelding als voorbeeld-

    De AD FS-configuratie weergeven

    Als AD FS niet wordt vermeld in de huidige instellingen, moet u uw domeinen handmatig converteren van federatieve identiteit naar beheerde identiteit met behulp van PowerShell.

Optie A

Overschakelen van federatie naar de nieuwe aanmeldingsmethode met behulp van Microsoft Entra Connect

  1. Open Microsoft Entra Connect op uw Microsoft Entra Connect-server en selecteer Configureren.

  2. Selecteer op de pagina Aanvullende taken de optie Gebruikersaanmelding wijzigen en selecteer vervolgens Volgende.

    Extra taken weergeven

  3. Voer op de pagina Verbinding maken met Microsoft Entra-id de referenties van uw globale beheerder-account in.

  4. Op de pagina Gebruikersaanmelding:

    • Als u de knop passthrough-verificatie selecteert en eenmalige aanmelding nodig is voor Windows 7- en 8.1-apparaten, schakelt u Eenmalige aanmelding inschakelen in en selecteert u Volgende.

    • Als u de optie voor Hash-synchronisatie wachtwoord selecteert, selecteert u het selectievakje Gebruikersaccounts niet converteren. De optie is afgeschaft. Als eenmalige aanmelding nodig is voor Windows 7- en 8.1-apparaten, schakelt u Eenmalige aanmelding inschakelen in en selecteert u Volgende.

      Selecteer eenmalige aanmelding inschakelen op de pagina Gebruikersaanmelding

    Meer informatie: Naadloze eenmalige aanmelding inschakelen met behulp van PowerShell.

  5. Voer op de pagina Eenmalige aanmelding inschakelen de referenties van een domeinbeheerdersaccount in en selecteer vervolgens Volgende.

    Pagina Eenmalige aanmelding inschakelen

    De referenties van het domeinbeheerdersaccount zijn vereist om de naadloze eenmalige aanmelding in te schakelen. Het proces voltooit de volgende acties, waarvoor deze verhoogde machtigingen zijn vereist:

    • Er wordt een computeraccount met de naam AZUREADSSO (dat Microsoft Entra-id vertegenwoordigt) gemaakt in uw on-premises Active Directory-exemplaar.
    • De Kerberos-ontsleutelingssleutel van het computeraccount wordt veilig gedeeld met Microsoft Entra-id.
    • Er worden twee Kerberos-service-principalnamen (SPN's) gemaakt om twee URL's weer te geven die worden gebruikt tijdens het aanmelden bij Microsoft Entra.

    De referenties van de domeinbeheerder worden niet opgeslagen in Microsoft Entra Connect of Microsoft Entra ID en worden verwijderd wanneer het proces is voltooid. Ze worden gebruikt om deze functie in te schakelen.

    Meer informatie: Naadloze technische informatie over eenmalige aanmelding.

  6. Controleer op de pagina Gereed om te configureren of het selectievakje Synchronisatieproces starten wanneer de configuratie is voltooid is geselecteerd. Selecteer vervolgens Configureren.

    Klaar om te configureren

    Belangrijk

    Op dit moment worden al uw federatieve domeinen gewijzigd in beheerde verificatie. Uw geselecteerde aanmeldingsmethode voor gebruikers is de nieuwe verificatiemethode.

  7. Selecteer Microsoft Entra ID in het Microsoft Entra-beheercentrum en selecteer vervolgens Microsoft Entra Connect.

  8. Controleer deze instellingen:

    • Federatie is ingesteld op Uitgeschakeld.
    • Naadloze eenmalige aanmelding is ingesteld op Ingeschakeld.
    • Hash-synchronisatie wachtwoord is ingesteld op Ingeschakeld.

    Huidige gebruikersinstellingen opnieuw controleren

  9. Als u overschakelt naar PTA, volgt u de volgende stappen.

Meer verificatie-agenten implementeren voor PTA

Notitie

PTA vereist het implementeren van lichtgewicht agents op de Microsoft Entra Connect-server en op uw on-premises computer waarop Windows-server wordt uitgevoerd. Als u de latentie wilt verminderen, installeert u de agents zo dicht mogelijk bij uw Active Directory-domeincontrollers.

Voor de meeste klanten volstaan twee of drie verificatie-agenten om een hoge beschikbaarheid en de vereiste capaciteit te bieden. Een tenant kan maximaal 12 agents hebben geregistreerd. De eerste agent wordt altijd geïnstalleerd op de Microsoft Entra Connect-server zelf. Zie Pass Through-verificatie van Microsoft Entra voor meer informatie over agentbeperkingen en agentimplementatieopties: Huidige beperkingen.

  1. Selecteer Passthrough-verificatie.

  2. Selecteer op de pagina Passthrough-verificatie de knop Downloaden.

  3. Selecteer Op de pagina Agent downloaden de optie Voorwaarden accepteren en downloaden.f

    Er worden meer verificatieagenten gedownload. Installeer de secundaire verificatie-agent op een server die deel uitmaakt van een domein.

  4. De installatie van de verificatieagent uitvoeren. Tijdens de installatie moet u de referenties van een globale beheerder-account invoeren.

  5. Wanneer de verificatie-agent is geïnstalleerd, kunt u teruggaan naar de pagina PTA-status om de status van meer agents te controleren.

Optie B

Overschakelen van federatie naar de nieuwe aanmeldingsmethode met behulp van Microsoft Entra Connect en PowerShell

Beschikbaar als u uw federatieve domeinen niet in eerste instantie hebt geconfigureerd met Behulp van Microsoft Entra Connect of als u federatieve services van derden gebruikt.

Volg op uw Microsoft Entra Connect-server de stappen 1- 5 in optie A. U ziet dat op de aanmeldingspagina van de gebruiker de optie Niet configureren vooraf is geselecteerd.

Zie Optie Niet configureren op de aanmeldingspagina van de gebruiker

  1. Selecteer Microsoft Entra ID in het Microsoft Entra-beheercentrum en selecteer vervolgens Microsoft Entra Connect.

  2. Controleer deze instellingen:

  • Federatie is ingesteld op Ingeschakeld.

  • Naadloze eenmalige aanmelding is ingesteld op uitgeschakeld.

  • Hash-synchronisatie wachtwoord is ingesteld op Ingeschakeld.

    Huidige gebruikersinstellingen controleren in het Microsoft Entra-beheercentrum

In het geval van alleen PTA volgt u deze stappen om meer PTA-agentservers te installeren.

  1. Selecteer Microsoft Entra ID in het Microsoft Entra-beheercentrum en selecteer vervolgens Microsoft Entra Connect.

  2. Selecteer Passthrough-verificatie. Verifieer dat de status is ingesteld op Actief.

    PassThrough-verificatie-instellingen

    Als de verificatie-agent niet actief is, voert u deze stappen voor probleemoplossing uit voordat u doorgaat met het domeinconversieproces in de volgende stap. U loopt het risico dat er een verificatiestoring optreedt als u uw domeinen converteert voordat u controleert of uw PTA-agents zijn geïnstalleerd en dat hun status actief is in het Microsoft Entra-beheercentrum.

  3. Meer verificatie-agenten implementeren.

Domeinen converteren van federatief naar beheerd

Op dit moment is de federatieve verificatie nog steeds actief en operationeel voor uw domeinen. Als u wilt doorgaan met de implementatie, moet u elk domein converteren van federatieve identiteit naar beheerde identiteit.

Belangrijk

U hoeft niet alle domeinen tegelijk te converteren. U kunt ervoor kiezen om te beginnen met een testdomein in uw productietenant of te beginnen met uw domein met het laagste aantal gebruikers.

Voltooi de conversie met behulp van de Microsoft Graph PowerShell SDK:

  1. Meld u in PowerShell aan bij Microsoft Entra-id met behulp van een globale beheerdersaccount.

     Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Voer de volgende opdracht uit om het eerste domein te converteren:

     Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"

  3. Selecteer Microsoft Entra ID > Microsoft Entra Connect in het Microsoft Entra-beheercentrum.

  4. Controleer of het domein is geconverteerd naar beheerd door de onderstaande opdracht uit te voeren. Het verificatietype moet worden ingesteld op beheerd.

    Get-MgDomain -DomainId yourdomain.com

Werk de instellingen voor de aanmeldingsmethode in Microsoft Entra Connect bij om ervoor te zorgen dat passthrough-verificatie is ingeschakeld nadat uw domein is geconverteerd naar beheerde verificatie. Werk de instellingen voor de aanmeldingsmethode in Microsoft Entra Connect bij om de wijzigingen weer te geven. Raadpleeg de documentatie voor passthrough-verificatie van Microsoft Entra voor meer informatie.

Uw migratie voltooien

Voer de volgende taken uit om de registratiemethode te verifiëren en het conversieproces te voltooien.

De nieuwe aanmeldingsmethode testen

Toen uw tenant federatieve identiteit gebruikte, werden gebruikers omgeleid van de aanmeldingspagina van Microsoft Entra naar uw AD FS-omgeving. Nu de tenant is geconfigureerd voor het gebruik van de nieuwe aanmeldingsmethode in plaats van federatieve verificatie, worden gebruikers niet omgeleid naar AD FS.

In plaats daarvan melden gebruikers zich rechtstreeks aan op de aanmeldingspagina van Microsoft Entra.

Volg de stappen in deze koppeling: aanmelding valideren met PHS/PTA en naadloze eenmalige aanmelding (indien nodig)

Een gebruiker verwijderen uit gefaseerde implementatie

Als u gefaseerde implementatie hebt gebruikt, moet u er rekening mee houden dat u de gefaseerde implementatiefuncties uitschakelt zodra u klaar bent met knippen.

Om de gefaseerde implementatiefunctie uit te schakelen, schuift u het besturingselement terug naar Uit.

UserPrincipalName-updates synchroniseren

In het verleden werden updates van het kenmerk UserPrincipalName, dat de synchronisatieservice van de on-premises omgeving gebruikt, geblokkeerd, tenzij aan beide voorwaarden wordt voldaan:

  • De gebruiker bevindt zich in een beheerd (niet-federated) identiteitsdomein.
  • De gebruiker heeft geen licentie toegewezen.

Raadpleeg userPrincipalName-updates synchroniseren voor meer informatie over het controleren of inschakelen van deze functie.

Uw implementatie beheren

De Kerberos-ontsleutelingssleutel voor de naadloze eenmalige aanmelding overzetten

U wordt aangeraden de Kerberos-ontsleutelingssleutel ten minste elke 30 dagen over te zetten, zodat leden van het Active Directory-domein wachtwoordwijzigingen kunnen indienen. Er is geen gekoppeld apparaat geassocieerd met het AZUREADSSO-computeraccount object, dus u moet de overzetting handmatig uitvoeren.

Raadpleeg de veelgestelde vragen Hoe kan ik de Kerberos-ontsleutelingssleutel van het AZUREADSSO-computeraccount overzetten?

Controle en logboekregistratie

Bewaak de servers waarop de verificatie-agenten worden uitgevoerd om de beschikbaarheid van de oplossing te behouden. In aanvulling op de algemene server prestatiemeters maken de verificatie-agenten prestatieobjecten beschikbaar die u kunnen helpen bij het begrijpen van de verificatiestatistieken en -fouten.

Verificatie-agenten registreren bewerkingen in de Windows-gebeurtenislogboeken die zich onder toepassings- en servicelogboeken bevinden. U kunt de logboekregistratie ook inschakelen voor de probleemoplossing.

U kunt gebeurtenissen controleren voor PHS, PTA of de naadloze eenmalige aanmelding om de verschillende acties te bevestigen die zijn uitgevoerd tijdens de gefaseerde implementatie.

Problemen oplossen

Uw ondersteuningsteam moet begrijpen hoe u eventuele verificatieproblemen kunt oplossen die zich voordoen tijdens of na de wijziging van federatie naar beheerd. Gebruik de volgende documentatie voor probleemoplossing om uw ondersteuningsteam vertrouwd te maken met de algemene stappen voor probleemoplossing en de juiste acties die u kunnen helpen het probleem te isoleren en op te lossen.

AD FS-infrastructuur buiten gebruik stellen

App-verificatie migreren van AD FS naar Microsoft Entra-id

Voor migratie moet worden beoordeeld hoe de toepassing on-premises is geconfigureerd en moet die configuratie vervolgens worden toegewezen aan Microsoft Entra-id.

Als u van plan bent AD FS te blijven gebruiken met on-premises en SaaS-toepassingen met behulp van SAML- of WS-FED- of Oauth-protocol, gebruikt u zowel AD FS als Microsoft Entra ID nadat u de domeinen voor gebruikersverificatie hebt geconverteerd. In dit geval kunt u uw on-premises toepassingen en resources beveiligen met SHA (Secure Hybrid Access) via de Microsoft Entra-toepassingsproxy of een van de Microsoft Entra ID-partnerintegraties. Het gebruik van de toepassingsproxy of een van onze partners kan een veilige externe toegang bieden tot uw on-premises toepassingen. Gebruikers profiteren hiervan door eenvoudig verbinding te kunnen maken met hun toepassingen vanaf elk apparaat na een eenmalige aanmelding.

U kunt SaaS-toepassingen die momenteel zijn gefedereerd met ADFS verplaatsen naar Microsoft Entra-id. Configureer opnieuw om te verifiëren met Microsoft Entra-id via een ingebouwde connector vanuit de Azure-app galerie of door de toepassing te registreren in Microsoft Entra ID.

Zie Toepassingsverificatie van Active Directory Federation Services verplaatsen naar Microsoft Entra-id voor meer informatie.

De Relying Party vertrouwensrelatie verwijderen

Als u Microsoft Entra Connect Health hebt, kunt u het gebruik controleren vanuit het Microsoft Entra-beheercentrum. Als in het gebruik geen nieuwe verificatie-req wordt weergegeven en u controleert of alle gebruikers en clients zijn geverifieerd via Microsoft Entra-id, is het veilig om de Vertrouwensrelatie van de Relying Party van Microsoft 365 te verwijderen.

Als u AD FS niet gebruikt voor andere doeleinden (d.w.z., voor andere relying party-vertrouwensrelaties), kunt u AD FS op dit moment buiten gebruik stellen.

AD FS verwijderen

Voor een volledige lijst met stappen die u moet nemen om AD FS volledig te verwijderen uit de omgeving volgt u de Ad FS-handleiding (Active Directory Federation Services) buiten gebruik stellen.

Volgende stappen