AD FS-handleiding voor het buiten gebruik stellen (Active Directory Federation Services)

Microsoft Entra ID biedt een eenvoudige, cloudgebaseerde aanmeldingservaring voor al uw resources en apps met sterke verificatie en realtime, op risico gebaseerd adaptief toegangsbeleid om toegang te verlenen tot resources die de operationele kosten voor het beheren en onderhouden van een AD FS-omgeving verlagen en de IT-efficiëntie verhogen.

Voor meer informatie over waarom u moet upgraden van AD FS naar Microsoft Entra ID, gaat u naar overstappen van AD FS naar Microsoft Entra ID. Zie migreren van federatie naar cloudverificatie om te begrijpen hoe u een upgrade uitvoert van AD FS.

Dit document bevat de aanbevolen stappen voor het buiten gebruik stellen van uw AD FS-servers.

Vereisten voor het buiten gebruik stellen van AD FS-servers

Voordat u begint met het buiten gebruik stellen van uw AD FS-servers, moet u ervoor zorgen dat de volgende items zijn voltooid. Zie migreren van federatie naar cloudverificatie voor meer informatie.

1. Installeer Microsoft Entra Connect Health om robuuste bewaking van uw on-premises identiteitsinfrastructuur te bieden.

2. Voltooi het voorwerk voor eenmalige aanmelding (SSO).

3. Migreer uw gebruikersverificatie naar Microsoft Entra-id. Als cloudverificatie is ingeschakeld, kan Microsoft Entra ID het aanmeldingsproces van gebruikers veilig verwerken. Microsoft Entra ID biedt u drie opties voor beveiligde cloudverificatie van gebruikers:

   • Microsoft Entra Password Hash Synchronization (PHS): hiermee kunnen uw gebruikers zich aanmelden bij zowel on-premises als cloudtoepassingen met behulp van dezelfde wachtwoorden. Microsoft Entra Connect synchroniseert een hash van een hash van een gebruikerswachtwoord van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud. De twee lagen hashing zorgen ervoor dat uw wachtwoorden nooit worden weergegeven of verzonden naar cloudsystemen.
   • Microsoft Entra Certificate Based Authentication (CBA): hiermee kunt u een phishingbestendige verificatiemethode gebruiken en gebruikers verifiëren met een X.509-certificaat op basis van uw PKI (Public Key Infrastructure).
   • Microsoft Entra Pass Through-verificatie (PTA): hiermee kunnen uw gebruikers zich aanmelden bij zowel on-premises als cloudtoepassingen met dezelfde wachtwoorden. Er wordt een agent geïnstalleerd in uw on-premises Active Directory en worden de wachtwoorden van de gebruikers rechtstreeks gevalideerd op basis van uw on-premises Active Directory.

   U kunt cloudverificatie voor uw gebruikers proberen met behulp van gefaseerde implementatie. Hiermee kunt u selectief groepen gebruikers testen met de hierboven genoemde cloudverificatiemogelijkheden.

   Note

   • PHS & CBA zijn de voorkeursopties voor door de cloud beheerde verificatie. PTA moet alleen worden gebruikt in gevallen waarin er wettelijke vereisten zijn om wachtwoordgegevens niet te synchroniseren met de cloud.
   • Gebruikersverificatie en app-migratie kunnen in elke willekeurige volgorde worden uitgevoerd, maar het wordt aanbevolen om eerst de migratie van gebruikersverificatie te voltooien.
   • Zorg ervoor dat u de ondersteunde en niet-ondersteunde scenario's voor gefaseerde implementatie evalueert.

4. Migreer al uw toepassingen die momenteel AD FS gebruiken voor verificatie naar Microsoft Entra-id, omdat het u één besturingsvlak biedt voor identiteits- en toegangsbeheer naar Microsoft Entra-id. Zorg ervoor dat u ook uw Office 365-toepassingen en gekoppelde apparaten migreert naar Microsoft Entra-id.

   • Migratieassistent kan worden gebruikt voor het migreren van toepassingen van AD FS naar Microsoft Entra-id.
   • Als u de juiste SaaS-toepassing niet vindt in de app-galerie, kunnen ze worden aangevraagd.https://aka.ms/AzureADAppRequest

5. Zorg ervoor dat u Microsoft Entra Connect Health ten minste één week uitvoert om het gebruik van apps in Microsoft Entra ID te observeren. U moet ook aanmeldingslogboeken van gebruikers kunnen bekijken in Microsoft Entra-id.

Stappen voor het buiten gebruik stellen van uw AD FS-servers

Deze sectie biedt u het stapsgewijze proces voor het buiten gebruik stellen van uw AD FS-servers.

Voordat u dit punt bereikt, moet u controleren of er geen relying party (Relying Party Trusts) is met verkeer dat nog steeds aanwezig is op de AD FS-servers.

Voordat u begint, controleert u de AD FS-gebeurtenislogboeken en/of Microsoft Entra Connect Health op eventuele aanmeldingsfouten of successen, omdat dit betekent dat deze servers nog steeds voor iets worden gebruikt. Als u geslaagde of mislukte aanmeldingen ziet, controleert u hoe u uw apps migreert van AD FS of uw verificatie naar Microsoft Entra-id verplaatst.

Zodra het bovenstaande is geverifieerd, kunt u de volgende stappen uitvoeren (ervan uitgaande dat de AD FS-servers nu niet worden gebruikt voor iets anders):

Note

Nadat u uw verificatie naar Microsoft Entra ID hebt verplaatst, test u uw omgeving gedurende ten minste één week om te controleren of cloudverificatie probleemloos wordt uitgevoerd.

1. Overweeg om een optionele definitieve back-up te maken voordat u AD FS-servers buiten gebruik kunt stellen.
2. Verwijder eventuele AD FS-vermeldingen uit een van de load balancers (interne en externe) die u mogelijk in uw omgeving hebt geconfigureerd.
3. Verwijder alle overeenkomende DNS-vermeldingen van de respectieve farmnamen voor AD FS-servers in uw omgeving.
4. Voer op de primaire AD FS-server Get-ADFSProperties uit en zoek naar CertificateSharingContainer. Noteer deze DN, omdat u deze aan het einde van de installatie moet verwijderen (na enkele keer opnieuw opstarten en wanneer deze niet meer beschikbaar is)
5. Als uw AD FS-configuratiedatabase een SQL Server-database-exemplaar als het archief gebruikt, moet u ervoor zorgen dat u de database verwijdert voordat u AD FS-servers verwijdert.
6. Verwijder de WAP-servers (Proxy).
   • Meld u aan bij elke WAP-server, open de beheerconsole voor externe toegang en zoek naar gepubliceerde webtoepassingen.
   • Verwijder alle gerelateerde AD FS-servers die niet meer worden gebruikt.
   • Wanneer alle gepubliceerde webtoepassingen worden verwijderd, verwijdert u WAP met de volgende opdracht Uninstall-WindowsFeature Webtoepassingsproxy, CMAK, RSAT-RemoteAccess.
7. Verwijder de AD FS-servers.
   • Verwijder, beginnend bij de secundaire knooppunten, AD FS met het commando Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database. Na deze uitvoering del C:\Windows\WID\data\adfs* opdracht om databasebestanden te verwijderen
8. VERWIJDER AD FS SSL-certificaten (Secure Socket Layer) uit elke serveropslag.
9. Herinstalleer AD FS-servers met volledige schijf formattering.
10. U kunt nu veilig uw AD FS-account verwijderen.
11. Verwijder de inhoud van de CertificateSharingContainer DN met ADSI Edit na verwijdering.

Volgende stappen

• Veelgestelde vragen over de overgang van AD FS naar Microsoft Entra