Migrowanie z federacji do uwierzytelniania opartego na certyfikatach firmy Microsoft (CBA)

W tym artykule wyjaśniono, jak przeprowadzić migrację z uruchomionych serwerów federacyjnych, takich jak lokalne usługi Active Directory Federation Services (AD FS) do uwierzytelniania w chmurze przy użyciu uwierzytelniania opartego na certyfikatach firmy Microsoft (CBA).

Wprowadzanie etapowe

Administrator dzierżawy może w pełni ograniczyć domenę federacyjną do usługi Entra ID CBA bez testowania pilotażowego, włączając metodę uwierzytelniania CBA w identyfikatorze Entra i konwertując całą domenę na uwierzytelnianie zarządzane. Jeśli jednak klient chce przetestować niewielką partię użytkowników uwierzytelnianych w usłudze Entra ID CBA przed rozpoczęciem migracji jednorazowej pełnej domeny do zarządzania, może skorzystać z funkcji wdrażania etapowego.

Wdrożenie etapowe na potrzeby uwierzytelniania opartego na certyfikatach (CBA) pomaga klientom przejść z wykonywania cba w federacyjnym dostawcy tożsamości do identyfikatora Entra firmy Microsoft przez selektywne przenoszenie małego zestawu użytkowników do korzystania z cba w identyfikatorze Entra (nie jest już przekierowywany do federacyjnego dostawcy tożsamości) z wybranymi grupami użytkowników przed następnie przekonwertowaniem konfiguracji domeny w usłudze Entra ID z federacyjnej na zarządzaną. Wdrożenie etapowe nie jest przeznaczone dla domeny do pozostania federacyjnym przez długi czas lub dla dużych ilości użytkowników.

Obejrzyj ten szybki film wideo pokazujący migrację z uwierzytelniania opartego na certyfikatach usług AD FS do firmy Microsoft Entra CBA

Uwaga

Gdy wdrożenie etapowe jest włączone dla użytkownika, użytkownik jest uważany za zarządzanego użytkownika, a wszystkie uwierzytelnianie będzie miało miejsce w witrynie Microsoft Entra ID. W przypadku dzierżawy federacyjnej, jeśli cba jest włączona w ramach wprowadzania etapowego, uwierzytelnianie hasłem działa tylko wtedy, gdy phS jest włączony zbyt w przeciwnym razie uwierzytelnianie haseł zakończy się niepowodzeniem.

Włączanie wprowadzania etapowego na potrzeby uwierzytelniania opartego na certyfikatach w dzierżawie

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby skonfigurować wdrożenie etapowe, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
2. Wyszukaj i wybierz pozycję Microsoft Entra Połączenie.
3. Na stronie Microsoft Entra Połączenie w obszarze Etapowe wdrażanie uwierzytelniania w chmurze kliknij pozycję Włącz wdrożenie etapowe na potrzeby logowania użytkowników zarządzanych.
4. Na stronie włącz funkcję wprowadzania etapowego kliknij opcję Uwierzytelnianie oparte na certyfikatach
5. Kliknij pozycję Zarządzaj grupami i dodaj grupy, które mają być częścią uwierzytelniania w chmurze. Aby uniknąć przekroczenia limitu czasu, upewnij się, że początkowo grupy zabezpieczeń nie zawierają więcej niż 200 członków.

Aby uzyskać więcej informacji, zobacz Wdrażanie etapowe.

Aktualizowanie atrybutu certificateUserIds za pomocą Połączenie firmy Microsoft

Administrator usług AD FS może używać Edytora reguł synchronizacji do tworzenia reguł w celu synchronizowania wartości atrybutów z usług AD FS do obiektów użytkownika entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Reguły synchronizacji certyfikatuUżytkowniki.

Firma Microsoft Entra Połączenie wymaga specjalnej roli o nazwie Hybrid Identity Administracja istrator, która przyznaje niezbędne uprawnienia. Ta rola jest potrzebna do uzyskania uprawnień do zapisu w nowym atrybucie chmury.

Uwaga

Jeśli użytkownik używa zsynchronizowanych atrybutów, takich jak atrybut onPremisesUserPrincipalName w obiekcie użytkownika do powiązania nazwy użytkownika, należy pamiętać, że każdy użytkownik, który ma dostęp administracyjny do serwera Microsoft Entra Połączenie, może zmienić zsynchronizowane mapowanie atrybutów i zmienić wartość zsynchronizowanego atrybutu. Użytkownik nie musi być administratorem chmury. Administrator usług AD FS powinien upewnić się, że dostęp administracyjny do serwera Microsoft Entra Połączenie powinien być ograniczony, a uprzywilejowane konta powinny być kontami tylko w chmurze.

Często zadawane pytania dotyczące migracji z usług AD FS do identyfikatora Entra firmy Microsoft

Czy można mieć uprzywilejowane konta z federacyjnym serwerem usług AD FS?

Chociaż jest to możliwe, firma Microsoft zaleca, aby uprzywilejowane konta to konta tylko w chmurze. Używanie kont tylko w chmurze w przypadku narażenia na dostęp uprzywilejowany w identyfikatorze Entra firmy Microsoft ze środowiska lokalnego, których bezpieczeństwo jest naruszone. Aby uzyskać więcej informacji, zobacz Ochrona platformy Microsoft 365 przed atakami lokalnymi.

Jeśli organizacja jest hybrydą z usługami AD FS i Azure CBA, czy nadal są narażone na naruszenie zabezpieczeń usług AD FS?

Firma Microsoft zaleca uprzywilejowane konta tylko w chmurze. Ta praktyka ograniczy narażenie identyfikatora entra firmy Microsoft z naruszonego środowiska lokalnego. Utrzymywanie uprzywilejowanych kont tylko w chmurze jest podstawą tego celu.

W przypadku zsynchronizowanych kont:

• Jeśli znajdują się w domenie zarządzanej (nie federacyjnej), nie ma ryzyka związanego z federacyjnym dostawcą tożsamości.
• Jeśli są one w domenie federacyjnej, ale podzbiór kont jest przenoszony do firmy Microsoft Entra CBA przez wdrożenie etapowe, podlegają one zagrożeniom związanym z federacyjnym dostawcą tożsamości, dopóki domena federacyjna nie zostanie w pełni przełączona do uwierzytelniania w chmurze.

Czy organizacje powinny wyeliminować serwery federacyjne, takie jak usługi AD FS, aby zapobiec możliwości przestawiania z usług AD FS na platformę Azure?

W przypadku federacji osoba atakująca może personifikować nikogo, takiego jak dyrektor ds. systemów informatycznych, nawet jeśli nie może uzyskać roli tylko w chmurze, takiej jak konto Global Administracja istrator.

Gdy domena jest federacyjna w identyfikatorze Entra firmy Microsoft, wysoki poziom zaufania jest umieszczany na federacyjnym dostawcy tożsamości. Usługi AD FS jest jednym z przykładów, ale pojęcie ma wartość true dla dowolnego federacyjnego dostawcy tożsamości. Wiele organizacji wdraża federacyjny dostawcę tożsamości, takiego jak usługi AD FS wyłącznie w celu przeprowadzenia uwierzytelniania opartego na certyfikatach. Microsoft Entra CBA całkowicie usuwa zależność usług AD FS w tym przypadku. Dzięki firmie Microsoft Entra CBA klienci mogą przenosić swoje zasoby aplikacji do usługi Microsoft Entra ID, aby zmodernizować infrastrukturę zarządzania dostępem i tożsamościami oraz obniżyć koszty dzięki zwiększonemu bezpieczeństwu.

Z punktu widzenia zabezpieczeń nie ma żadnych zmian w poświadczeniach, w tym certyfikatU X.509, kontrolerów certyfikacji, identyfikatorów PIV itd. lub używanej infrastruktury kluczy publicznych. Właściciele infrastruktury kluczy publicznych zachowują pełną kontrolę nad wystawianiem i odwoływaniem certyfikatów oraz zasadami. Sprawdzanie odwołania i uwierzytelnianie jest wykonywane w identyfikatorze Entra firmy Microsoft zamiast federacyjnym dostawcy tożsamości. Te testy umożliwiają uwierzytelnianie bez hasła, odporne na wyłudzanie informacji bezpośrednio do identyfikatora Entra firmy Microsoft dla wszystkich użytkowników.

Jak uwierzytelnianie działa z federacyjnymi usługami AD FS i uwierzytelnianiem w chmurze Firmy Microsoft w systemie Windows?

Firma Microsoft Entra CBA wymaga od użytkownika lub aplikacji podania nazwy UPN firmy Microsoft, który się loguje.

W przykładzie przeglądarki użytkownik najczęściej wpisuje nazwę UPN firmy Microsoft. Nazwa UPN firmy Microsoft jest używana do odnajdywania obszaru i użytkownika. Użyty certyfikat musi być zgodny z tym użytkownikiem przy użyciu jednego ze skonfigurowanych powiązań nazwy użytkownika w zasadach.

W logowaniu systemu Windows dopasowanie zależy od tego, czy urządzenie jest dołączone hybrydowo, czy dołączone do firmy Microsoft Entra. Jednak w obu przypadkach, jeśli podano wskazówkę dotyczącą nazwy użytkownika, system Windows wyśle wskazówkę jako nazwę UPN firmy Microsoft. Użyty certyfikat musi być zgodny z tym użytkownikiem przy użyciu jednego ze skonfigurowanych powiązań nazwy użytkownika w zasadach.

Następne kroki

• Omówienie usługi Microsoft Entra CBA
• Szczegółowe informacje techniczne dotyczące usługi Microsoft Entra CBA
• Jak skonfigurować usługę Microsoft Entra CBA
• Microsoft Entra CBA na urządzeniach z systemem iOS
• Microsoft Entra CBA na urządzeniach z systemem Android
• Logowanie za pomocą karty inteligentnej systemu Windows przy użyciu usługi Microsoft Entra CBA
• Identyfikatory użytkownika certyfikatu
• Często zadawane pytania