Migrowanie do uwierzytelniania w chmurze przy użyciu wdrożenia etapowego

Wdrożenie etapowe umożliwia selektywne testowanie grup użytkowników z możliwościami uwierzytelniania w chmurze, takimi jak Azure AD uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy, ochrona tożsamości pod kątem wycieku poświadczeń, zarządzanie tożsamościami i inne osoby przed przejściem do domen. W tym artykule omówiono sposób przełączania. Przed rozpoczęciem wdrażania etapowego należy jednak wziąć pod uwagę implikacje, jeśli spełniony jest co najmniej jeden z następujących warunków:

  • Obecnie używasz lokalnego serwera usługi Multi-Factor Authentication.
  • Używasz kart inteligentnych do uwierzytelniania.
  • Bieżący serwer oferuje niektóre funkcje tylko federacji.

Przed wypróbowanie tej funkcji zalecamy zapoznanie się z naszym przewodnikiem po wybraniu odpowiedniej metody uwierzytelniania. Aby uzyskać więcej informacji, zobacz tabelę "Porównanie metod" w temacie Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej usługi Azure Active Directory.

Aby zapoznać się z omówieniem funkcji, zobacz film wideo "Azure Active Directory: Co to jest wdrażanie etapowe?":

Wymagania wstępne

Obsługiwane scenariusze

Następujące scenariusze są obsługiwane w przypadku wdrażania etapowego. Funkcja działa tylko dla:

  • Użytkownicy, którzy są aprowizowani do Azure AD przy użyciu programu Azure AD Connect. Nie ma zastosowania do użytkowników tylko w chmurze.

  • Ruch logowania użytkownika w przeglądarkach i nowoczesnych klientach uwierzytelniania. Aplikacje lub usługi w chmurze korzystające ze starszego uwierzytelniania będą wracać do przepływów uwierzytelniania federacyjnego. Przykładem starszego uwierzytelniania może być usługa Exchange Online z wyłączonym nowoczesnym uwierzytelnianiem lub programem Outlook 2010, który nie obsługuje nowoczesnego uwierzytelniania.

  • Rozmiar grupy jest obecnie ograniczony do 50 000 użytkowników. Jeśli masz grupy, które są większe niż 50 000 użytkowników, zaleca się podzielenie tej grupy na wiele grup dla wdrożenia etapowego.

  • Windows 10 dołączanie hybrydowe lub Azure AD dołączanie podstawowego tokenu odświeżania bez dostępu do serwera federacyjnego dla Windows 10 w wersji 1903 i nowszej, gdy nazwa UPN użytkownika jest routingowa, a sufiks domeny jest weryfikowany w Azure AD.

  • Rejestracja rozwiązania Autopilot jest obsługiwana w ramach wdrażania etapowego z Windows 10 w wersji 1909 lub nowszej.

Nieobsługiwane scenariusze

W przypadku wdrożenia etapowego nie są obsługiwane następujące scenariusze:

  • Starsze uwierzytelnianie, takie jak POP3 i SMTP, nie są obsługiwane.

  • Niektóre aplikacje wysyłają parametr zapytania "domain_hint", aby Azure AD podczas uwierzytelniania. Te przepływy będą kontynuowane, a użytkownicy, którzy są włączeni na potrzeby wdrożenia etapowego, będą nadal używać federacji do uwierzytelniania.

  • Administratorzy mogą wdrażać uwierzytelnianie w chmurze przy użyciu grup zabezpieczeń. Aby uniknąć opóźnienia synchronizacji w przypadku korzystania z lokalna usługa Active Directory grup zabezpieczeń, zalecamy używanie grup zabezpieczeń w chmurze. Obowiązują następujące warunki:

    • Możesz użyć maksymalnie 10 grup na funkcję. Oznacza to, że można użyć 10 grup dla synchronizacji skrótów haseł, uwierzytelniania przekazywanego i bezproblemowego logowania jednokrotnego.
    • Zagnieżdżone grupy nie są obsługiwane.
    • Grupy dynamiczne nie są obsługiwane w przypadku wdrożenia etapowego.
    • Obiekty kontaktu wewnątrz grupy będą blokować dodawanie grupy.
  • Po pierwszym dodaniu grupy zabezpieczeń do wdrożenia etapowego możesz ograniczyć się do 200 użytkowników, aby uniknąć przekroczenia limitu czasu środowiska użytkownika. Po dodaniu grupy możesz dodać do niej więcej użytkowników, zgodnie z wymaganiami.

  • Podczas gdy użytkownicy są w etapowym wdrożeniu z synchronizacją skrótów haseł (PHS), domyślnie nie ma zastosowania wygasania haseł. Wygaśnięcie hasła można zastosować, włączając wartość "EnforceCloudPasswordPolicyForPasswordSyncedUsers". Po włączeniu opcji "EnforceCloudPasswordPolicyForPasswordSyncedUsers" zasady wygasania haseł są ustawione na 90 dni od ustawienia hasła lokalnego bez opcji dostosowywania. Aby dowiedzieć się, jak ustawić opcję "EnforceCloudPasswordPolicyForPasswordSyncedUsers" zobacz Zasady wygasania haseł.

  • Windows 10 dołączanie hybrydowe lub Azure AD dołączanie podstawowego tokenu odświeżania dla wersji Windows 10 starszej niż 1903. Ten scenariusz powróci do punktu końcowego WS-Trust serwera federacyjnego, nawet jeśli użytkownik logujący się jest w zakresie wdrożenia etapowego.

  • Windows 10 dołączanie hybrydowe lub Azure AD dołączanie podstawowego tokenu odświeżania dla wszystkich wersji, gdy lokalna nazwa UPN użytkownika nie jest routingowa. Ten scenariusz powróci do punktu końcowego WS-Trust w trybie wdrażania etapowego, ale przestanie działać po zakończeniu migracji etapowej, a logowanie użytkownika nie jest już uzależnione od serwera federacyjnego.

  • Jeśli masz nietrwale konfigurację VDI z Windows 10, wersja 1903 lub nowsza, musisz pozostać w domenie federacyjnej. Przenoszenie do domeny zarządzanej nie jest obsługiwane w nietrwale VDI. Aby uzyskać więcej informacji, zobacz Tożsamość urządzenia i wirtualizacja pulpitu.

  • Jeśli masz Windows Hello dla firm zaufania certyfikatów hybrydowych z certyfikatami wystawionymi za pośrednictwem serwera federacyjnego działającego jako urząd rejestracji lub użytkowników kart inteligentnych, scenariusz nie jest obsługiwany w ramach wdrożenia etapowego.

    Uwaga

    Nadal musisz dokonać ostatniego przejścia jednorazowego z uwierzytelniania federacyjnego do chmury przy użyciu programu Azure AD Connect lub programu PowerShell. Wdrażanie etapowe nie przełącza domen z federacyjnych na zarządzane. Aby uzyskać więcej informacji na temat migracji jednorazowej domeny, zobacz Migrowanie z federacji do synchronizacji skrótów haseł i Migrowaniez federacji do uwierzytelniania przekazywanego.

Wprowadzenie do wdrożenia etapowego

Aby przetestować logowanie synchronizacji skrótów haseł przy użyciu wdrożenia etapowego, postępuj zgodnie z instrukcjami wstępnymi w następnej sekcji.

Aby uzyskać informacje o korzystaniu z poleceń cmdlet programu PowerShell, zobacz Azure AD 2.0 (wersja zapoznawcza).

Wstępne działanie synchronizacji skrótów haseł

  1. Włącz synchronizację skrótów haseł ze strony Funkcje opcjonalne w programie Azure AD Connect. 

    Zrzut ekranu przedstawiający stronę

  2. Upewnij się, że został uruchomiony pełny cykl synchronizacji skrótów haseł, aby wszystkie skróty haseł użytkowników zostały zsynchronizowane z Azure AD. Aby sprawdzić stan synchronizacji skrótów haseł, możesz użyć diagnostyki programu PowerShell w temacie Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą synchronizacji programu Azure AD Connect.

    Zrzut ekranu przedstawiający dziennik rozwiązywania problemów z programem AADConnect

Jeśli chcesz przetestować logowanie z przekazywaniem uwierzytelniania przy użyciu wdrożenia etapowego, włącz je, postępując zgodnie z instrukcjami wstępnymi w następnej sekcji.

Wstępne działanie na potrzeby uwierzytelniania przekazywanego

  1. Zidentyfikuj serwer z systemem Windows Server 2012 R2 lub nowszym, na którym ma zostać uruchomiony agent uwierzytelniania przekazywanego.

    Nie wybieraj serwera Azure AD Connect. Upewnij się, że serwer jest przyłączony do domeny, może uwierzytelniać wybranych użytkowników w usłudze Active Directory i komunikować się z Azure AD na portach wychodzących i adresach URL. Aby uzyskać więcej informacji, zobacz sekcję "Krok 1: Sprawdzanie wymagań wstępnych" przewodnika Szybki start: Azure AD bezproblemowego logowania jednokrotnego.

  2. Pobierz agenta uwierzytelniania Azure AD Connect i zainstaluj go na serwerze. 

  3. Aby włączyć wysoką dostępność, zainstaluj dodatkowych agentów uwierzytelniania na innych serwerach.

  4. Upewnij się, że ustawienia blokady inteligentnej zostały odpowiednio skonfigurowane. Dzięki temu użytkownicy lokalna usługa Active Directory kont nie będą blokowane przez złych aktorów.

Zalecamy włączenie bezproblemowego logowania jednokrotnego niezależnie od metody logowania (synchronizacja skrótów haseł lub uwierzytelniania przekazywanego), które należy wybrać dla opcji Wdrażanie etapowe. Aby włączyć bezproblemowe logowanie jednokrotne, postępuj zgodnie z instrukcjami wstępnymi w następnej sekcji.

Wstępne działanie na potrzeby bezproblemowego logowania jednokrotnego

Włącz bezproblemowe logowanie jednokrotne w lasach usługi Active Directory przy użyciu programu PowerShell. Jeśli masz więcej niż jeden las usługi Active Directory, włącz go osobno dla każdego lasu. Bezproblemowe logowanie jednokrotne jest wyzwalane tylko dla użytkowników wybranych do wdrożenia etapowego. Nie ma to wpływu na istniejącą konfigurację federacji.

Włącz bezproblemowe logowanie jednokrotne , wykonując następujące czynności:

  1. Zaloguj się do Azure AD Connect Server.

  2. Przejdź do folderu %programfiles%\Microsoft Azure Active Directory Connect.

  3. Zaimportuj bezproblemowy moduł powerShell logowania jednokrotnego , uruchamiając następujące polecenie:

    Import-Module .\AzureADSSO.psd1

  4. Uruchom program PowerShell jako administrator. W programie PowerShell wywołaj New-AzureADSSOAuthenticationContext. To polecenie otwiera okienko, w którym można wprowadzić poświadczenia administratora globalnego dzierżawy.

  5. Wywołaj polecenie Get-AzureADSSOStatus | ConvertFrom-Json. To polecenie wyświetla listę lasów usługi Active Directory (zobacz listę "Domeny", na której włączono tę funkcję. Domyślnie jest ona ustawiona na wartość false na poziomie dzierżawy.

    Przykład danych wyjściowych Windows PowerShell

  6. Wywołaj polecenie $creds = Get-Credential. Po wyświetleniu monitu wprowadź poświadczenia administratora domeny dla zamierzonego lasu usługi Active Directory.

  7. Wywołaj polecenie Enable-AzureADSSOForest -OnPremCredentials $creds. To polecenie tworzy konto komputera AZUREADSSOACC z lokalnego kontrolera domeny dla lasu usługi Active Directory wymaganego do bezproblemowego logowania jednokrotnego.

  8. Bezproblemowe logowanie jednokrotne wymaga, aby adresy URL znajdowały się w strefie intranetowej. Aby wdrożyć te adresy URL przy użyciu zasad grupy, zobacz Szybki start: Azure AD bezproblemowego logowania jednokrotnego.

  9. Aby zapoznać się z kompletnym przewodnikiem, możesz również pobrać nasze plany wdrażania na potrzeby bezproblemowego logowania jednokrotnego.

Włączanie wdrożenia etapowego

Aby wdrożyć określoną funkcję (uwierzytelnianie przekazywane, synchronizację skrótów haseł lub bezproblemowe logowanie jednokrotne) do wybranego zestawu użytkowników w grupie, postępuj zgodnie z instrukcjami w następnych sekcjach.

Włączanie wdrożenia etapowego określonej funkcji w dzierżawie

Możesz wdrożyć następujące opcje:

  • Synchronizacja + skrótów haseł Bezproblemowe logowanie jednokrotne
  • Uwierzytelnianie + przekazywane Bezproblemowe logowanie jednokrotne
  • Nieobsługiwane - Synchronizacja + skrótów haseł Uwierzytelnianie + przekazywane Bezproblemowe logowanie jednokrotne
  • Ustawienia uwierzytelniania opartego na certyfikatach

Aby skonfigurować wdrażanie etapowe, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal, używając roli Administrator użytkowników w organizacji.

  2. Wyszukaj i wybierz pozycję Azure Active Directory.

  3. W menu po lewej stronie wybierz pozycję Azure AD Connect.

  4. Na stronie Azure AD Connect w obszarze Etapowe wdrażanie uwierzytelniania w chmurze wybierz link Włącz wdrożenie etapowe dla zarządzanego logowania użytkownika.

  5. Na stronie Włącz funkcję wdrażania etapowego wybierz opcje, które chcesz włączyć: synchronizacja skrótów haseł, uwierzytelnianie przekazywane, bezproblemowe logowanie jednokrotne lub uwierzytelnianie oparte na certyfikatach (wersja zapoznawcza). Jeśli na przykład chcesz włączyć synchronizację skrótów haseł i bezproblemowe logowanie jednokrotne, przesuń obie kontrolki do opcji Włączone.

  6. Dodaj grupy do wybranych funkcji. Na przykład uwierzytelnianie przekazywane i bezproblemowe logowanie jednokrotne. Aby uniknąć przekroczenia limitu czasu, upewnij się, że grupy zabezpieczeń nie zawierają początkowo więcej niż 200 członków.

    Uwaga

    Członkowie w grupie są automatycznie włączani na potrzeby wdrażania etapowego. Grupy zagnieżdżone i dynamiczne nie są obsługiwane w przypadku wdrożenia etapowego. Podczas dodawania nowej grupy użytkownicy w grupie (do 200 użytkowników dla nowej grupy) zostaną natychmiast zaktualizowani w celu natychmiastowego korzystania z zarządzanego uwierzytelniania. Edytowanie grupy (dodawanie lub usuwanie użytkowników) może potrwać do 24 godzin, aby zmiany zaczęły obowiązywać. Bezproblemowe logowanie jednokrotne będzie stosowane tylko wtedy, gdy użytkownicy znajdują się w grupie Bezproblemowe logowanie jednokrotne, a także w grupie PTA lub PHS.

Inspekcja

Włączyliśmy zdarzenia inspekcji dla różnych akcji, które wykonujemy dla wdrożenia etapowego:

  • Zdarzenie inspekcji po włączeniu wdrożenia etapowego na potrzeby synchronizacji skrótów haseł, uwierzytelniania przekazywanego lub bezproblemowego logowania jednokrotnego.

    Uwaga

    Zdarzenie inspekcji jest rejestrowane, gdy bezproblemowe logowanie jednokrotne jest włączone przy użyciu wdrożenia etapowego.

    Okienko

    Okienko

  • Zdarzenie inspekcji, gdy grupa jest dodawana do synchronizacji skrótów haseł, uwierzytelniania przekazywanego lub bezproblemowego logowania jednokrotnego.

    Uwaga

    Zdarzenie inspekcji jest rejestrowane po dodaniu grupy do synchronizacji skrótów haseł dla wdrożenia etapowego.

    Okienko

    Okienko

  • Zdarzenie inspekcji, gdy użytkownik, który został dodany do grupy, jest włączony dla wdrożenia etapowego.

    Okienko

    Okienko

Walidacja

Aby przetestować logowanie przy użyciu synchronizacji skrótów haseł lub uwierzytelniania przekazywanego (nazwa użytkownika i logowanie przy użyciu hasła), wykonaj następujące czynności:

  1. W ekstranetzie przejdź do strony Aplikacje w prywatnej sesji przeglądarki, a następnie wprowadź wartość UserPrincipalName (UPN) konta użytkownika wybranego dla wdrożenia etapowego.

    Użytkownicy, którzy zostali ukierunkowani na wdrożenie etapowe, nie są przekierowywani do strony logowania federacyjnego. Zamiast tego są proszeni o zalogowanie się na stronie logowania Azure AD oznaczanej przez dzierżawę.

  2. Upewnij się, że logowanie zostanie pomyślnie wyświetlone w raporcie aktywności logowania Azure AD, filtrując element UserPrincipalName.

Aby przetestować logowanie przy użyciu bezproblemowego logowania jednokrotnego:

  1. W intranecie przejdź do strony Aplikacje w prywatnej sesji przeglądarki, a następnie wprowadź wartość UserPrincipalName (UPN) konta użytkownika wybranego dla wdrożenia etapowego.

    Użytkownicy, którzy zostali ukierunkowani na wdrożenie etapowego bezproblemowego logowania jednokrotnego , otrzymują komunikat "Próba zalogowania się..." wiadomość przed dyskretnym zalogowaniem.

  2. Upewnij się, że logowanie zostanie pomyślnie wyświetlone w raporcie aktywności logowania Azure AD, filtrując element UserPrincipalName.

    Aby śledzić logowania użytkowników, które nadal występują w usługach Active Directory Federation Services (AD FS) dla wybranych użytkowników wdrażania etapowego, postępuj zgodnie z instrukcjami w temacie Rozwiązywanie problemów z usługami AD FS: Zdarzenia i rejestrowanie. Zapoznaj się z dokumentacją dostawcy, aby dowiedzieć się, jak to sprawdzić u dostawców federacyjnych innych firm.

    Uwaga

    Podczas gdy użytkownicy są w etapowym wdrożeniu z phS, zmiana haseł może potrwać do 2 minut z powodu czasu synchronizacji. Pamiętaj, aby określić oczekiwania użytkowników, aby uniknąć połączeń pomocy technicznej po zmianie hasła.

Monitorowanie

Możesz monitorować użytkowników i grupy dodane lub usunięte z wdrożenia etapowego i logowania użytkowników podczas wdrażania etapowego przy użyciu nowych skoroszytów uwierzytelniania hybrydowego w Azure Portal.

Skoroszyty uwierzytelniania hybrydowego

Usuwanie użytkownika z wdrożenia etapowego

Usunięcie użytkownika z grupy powoduje wyłączenie wdrożenia etapowego dla tego użytkownika. Aby wyłączyć funkcję wprowadzania etapowego, przesuń kontrolkę z powrotem do pozycji Wyłączone.

Często zadawane pytania

Pyt.: Czy mogę użyć tej możliwości w środowisku produkcyjnym?

1: Tak, możesz użyć tej funkcji w dzierżawie produkcyjnej, ale zalecamy, aby najpierw wypróbować ją w dzierżawie testowej.

Pyt.: Czy ta funkcja może służyć do utrzymania stałego "współistnienia", w którym niektórzy użytkownicy korzystają z uwierzytelniania federacyjnego, a inni korzystają z uwierzytelniania w chmurze?

1: Nie, ta funkcja jest przeznaczona do testowania uwierzytelniania w chmurze. Po pomyślnym przetestowaniu kilku grup użytkowników należy przeciąć uwierzytelnianie w chmurze. Nie zalecamy używania trwałego stanu mieszanego, ponieważ takie podejście może prowadzić do nieoczekiwanych przepływów uwierzytelniania.

Pyt.: Czy mogę użyć programu PowerShell do wykonania wdrożenia etapowego?

Odp. Tak. Aby dowiedzieć się, jak używać programu PowerShell do wykonywania wdrożenia etapowego, zobacz Azure AD Preview.

Następne kroki