Migrowanie do uwierzytelniania w chmurze przy użyciu wdrożenia etapowego
Wdrożenie etapowe umożliwia selektywne testowanie grup użytkowników z funkcjami uwierzytelniania w chmurze, takimi jak uwierzytelnianie wieloskładnikowe firmy Microsoft, dostęp warunkowy, Ochrona tożsamości Microsoft Entra dla ujawnionych poświadczeń, zarządzanie tożsamościami i innymi osobami przed przecięciem domen. W tym artykule omówiono sposób przełączania.
Przed rozpoczęciem wdrażania etapowego należy wziąć pod uwagę implikacje, jeśli spełniony jest co najmniej jeden z następujących warunków:
- Obecnie używasz lokalnego serwera usługi Multi-Factor Authentication.
- Używasz kart inteligentnych do uwierzytelniania.
- Bieżący serwer oferuje pewne funkcje tylko federacji.
- Przechodzisz z rozwiązania federacyjnego innej firmy do usług zarządzanych.
Przed wypróbowanie tej funkcji zalecamy zapoznanie się z naszym przewodnikiem dotyczącym wybierania odpowiedniej metody uwierzytelniania. Aby uzyskać więcej informacji, zobacz tabelę "Porównanie metod" w temacie Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.
Aby zapoznać się z omówieniem funkcji, zobacz film "Co to jest wdrażanie etapowe?":
Warunki wstępne
Masz dzierżawę firmy Microsoft Entra z domenami federacyjnymi.
Podjęto decyzję o przeniesieniu jednej z następujących opcji:
- Synchronizacja skrótów haseł (synchronizacja). Aby uzyskać więcej informacji, zobacz Co to jest synchronizacja skrótów haseł
- Uwierzytelnianie przekazywane. Aby uzyskać więcej informacji, zobacz Co to jest uwierzytelnianie przekazywane
- Ustawienia uwierzytelniania opartego na certyfikatach (CBA) firmy Microsoft. Aby uzyskać więcej informacji, zobacz Omówienie uwierzytelniania opartego na certyfikatach firmy Microsoft
W przypadku obu opcji zalecamy włączenie logowania jednokrotnego w celu uzyskania środowiska logowania dyskretnego. W przypadku urządzeń z systemem Windows 7 lub 8.1 przyłączonych do domeny zalecamy używanie bezproblemowego logowania jednokrotnego. Aby uzyskać więcej informacji, zobacz Co to jest bezproblemowe logowanie jednokrotne. W przypadku systemu Windows 10, Windows Server 2016 i nowszych wersji zaleca się używanie logowania jednokrotnego za pośrednictwem podstawowego tokenu odświeżania (PRT) z urządzeniami dołączonymi do firmy Microsoft, urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra lub urządzeniami osobistymi za pośrednictwem dodaj konto służbowe.
Skonfigurowano wszystkie odpowiednie zasady znakowania dzierżawy i dostępu warunkowego, których potrzebujesz dla użytkowników migrowanych do uwierzytelniania w chmurze.
Jeśli przeniesiono uwierzytelnianie federacyjne do uwierzytelniania w chmurze, musisz sprawdzić, czy ustawienie
SynchronizeUpnForManagedUsers
DirSync jest włączone. W przeciwnym razie identyfikator Entra firmy Microsoft nie zezwala na aktualizacje synchronizacji z nazwą UPN lub alternatywnym identyfikatorem logowania dla kont użytkowników z licencjonowanym uwierzytelnianiem. Aby uzyskać więcej informacji, zobacz Funkcje usługi Microsoft Entra Connect Sync.Jeśli planujesz użyć uwierzytelniania wieloskładnikowego firmy Microsoft, zalecamy użycie rejestracji połączonej na potrzeby samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego, aby użytkownicy rejestrowali swoje metody uwierzytelniania raz. Uwaga— w przypadku resetowania hasła lub zmiany hasła przy użyciu strony MyProfile podczas wdrażania etapowego program Microsoft Entra Connect musi zsynchronizować nowy skrót hasła, który może potrwać do 2 minut po zresetowaniu.
Aby korzystać z funkcji wdrażania etapowego, musisz być administratorem tożsamości hybrydowej w dzierżawie.
Aby umożliwić bezproblemowe logowanie jednokrotne w określonym lesie usługi Active Directory, musisz być administratorem domeny.
W przypadku wdrażania hybrydowego identyfikatora Microsoft Entra ID lub dołączenia do firmy Microsoft Entra należy przeprowadzić uaktualnienie do aktualizacji systemu Windows 10 1903.
Obsługiwane scenariusze
Następujące scenariusze są obsługiwane w przypadku wdrażania etapowego. Ta funkcja działa tylko dla:
Użytkownicy, którzy są aprowizowani w usłudze Microsoft Entra ID przy użyciu programu Microsoft Entra Connect. Nie ma zastosowania do użytkowników korzystających tylko z chmury.
Ruch logowania użytkownika w przeglądarkach i nowoczesnych klientach uwierzytelniania . Aplikacje lub usługi w chmurze korzystające ze starszego uwierzytelniania wracają do przepływów uwierzytelniania federacyjnego. Przykładem starszego uwierzytelniania może być usługa Exchange Online z wyłączonym nowoczesnym uwierzytelnianiem lub program Outlook 2010, który nie obsługuje nowoczesnego uwierzytelniania.
Rozmiar grupy jest obecnie ograniczony do 50 000 użytkowników. Jeśli masz grupy większe niż 50 000 użytkowników, zaleca się podzielenie tej grupy na wiele grup w celu wdrożenia etapowego.
Dołączanie hybrydowe systemu Windows 10 lub microsoft Entra przyłącza się do podstawowego tokenu odświeżania bez dostępu do serwera federacyjnego dla systemu Windows 10 w wersji 1903 i nowszych, gdy nazwa UPN użytkownika jest routingiem, a sufiks domeny jest weryfikowany w identyfikatorze Entra firmy Microsoft.
Rejestracja rozwiązania Autopilot jest obsługiwana w ramach wprowadzania etapowego w systemie Windows 10 w wersji 1909 lub nowszej.
Nieobsługiwane scenariusze
Następujące scenariusze nie są obsługiwane w przypadku wdrażania etapowego:
Starsze uwierzytelnianie, takie jak POP3 i SMTP, nie są obsługiwane.
Niektóre aplikacje wysyłają parametr zapytania "domain_hint" do identyfikatora Entra firmy Microsoft podczas uwierzytelniania. Te przepływy są kontynuowane, a użytkownicy, którzy są włączeni na potrzeby wprowadzania etapowego, nadal używają federacji do uwierzytelniania.
Administratorzy mogą wdrażać uwierzytelnianie w chmurze przy użyciu grup zabezpieczeń. Aby uniknąć opóźnień synchronizacji podczas korzystania z lokalna usługa Active Directory grup zabezpieczeń, zalecamy używanie grup zabezpieczeń w chmurze. Obowiązują następujące warunki:
- Możesz użyć maksymalnie 10 grup na funkcję. Oznacza to, że można użyć 10 grup dla synchronizacji skrótów haseł, uwierzytelniania przekazywanego i bezproblemowego logowania jednokrotnego.
- Zagnieżdżone grupy nie są obsługiwane.
- Grupy dynamiczne nie są obsługiwane w przypadku wdrażania etapowego.
- Obiekty kontaktu wewnątrz grupy blokują dodawanie grupy.
Po pierwszym dodaniu grupy zabezpieczeń do wdrożenia etapowego możesz ograniczyć do 200 użytkowników, aby uniknąć limitu czasu środowiska użytkownika. Po dodaniu grupy możesz dodać do niej więcej użytkowników bezpośrednio, zgodnie z potrzebami.
Podczas gdy użytkownicy są w etapie wdrażania z synchronizacją skrótów haseł (PHS), domyślnie nie jest stosowane wygaśnięcie hasła. Wygaśnięcie hasła można zastosować, włączając "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Po włączeniu opcji "CloudPasswordPolicyForPasswordSyncedUsersEnabled" zasady wygasania haseł są ustawione na 90 dni od ustawienia hasła lokalnego bez opcji dostosowywania. Programowe aktualizowanie atrybutu PasswordPolicies nie jest obsługiwane, gdy użytkownicy są w ramach wprowadzania etapowego. Aby dowiedzieć się, jak ustawić ustawienie "CloudPasswordPolicyForPasswordSyncedUsersEnabled", zobacz Zasady wygasania haseł.
Dołączanie hybrydowe systemu Windows 10 lub microsoft Entra dołącza do podstawowego tokenu odświeżania dla systemu Windows 10 w wersji starszej niż 1903. Ten scenariusz powraca do punktu końcowego WS-Trust serwera federacyjnego, nawet jeśli logowanie użytkownika jest w zakresie wdrożenia etapowego.
Dołączanie hybrydowe systemu Windows 10 lub dołączanie do podstawowego tokenu odświeżania firmy Microsoft dla wszystkich wersji, gdy lokalna nazwa UPN użytkownika nie jest routingiem. Ten scenariusz powraca do punktu końcowego WS-Trust w trybie wdrażania etapowego, ale przestaje działać po zakończeniu migracji etapowej, a logowanie użytkownika nie polega już na serwerze federacyjnym.
Jeśli w systemie Windows 10 w wersji 1903 lub nowszej masz niepersistentną konfigurację VDI, musisz pozostać w domenie federacyjnej. Przenoszenie do domeny zarządzanej nie jest obsługiwane w przypadku niepersistentnego interfejsu VDI. Aby uzyskać więcej informacji, zobacz Tożsamość urządzenia i wirtualizacja pulpitu.
Jeśli masz Windows Hello dla firm zaufania certyfikatów hybrydowych z certyfikatami wystawionymi za pośrednictwem serwera federacyjnego działającego jako urząd rejestracji lub użytkownicy karty inteligentnej, scenariusz nie jest obsługiwany w ramach wprowadzania etapowego.
Nuta
Nadal musisz dokonać ostatecznego przejścia jednorazowego z uwierzytelniania federacyjnego do chmury przy użyciu programu Microsoft Entra Connect lub programu PowerShell. Wdrożenie etapowe nie przełącza domen z federacyjnych na zarządzane. Aby uzyskać więcej informacji na temat migracji jednorazowej domeny, zobacz Migrowanie z federacji do synchronizacji skrótów haseł i Migrowanie z federacji do uwierzytelniania przekazywanego.
Wprowadzenie do wdrożenia etapowego
Aby przetestować logowanie synchronizacji skrótów haseł przy użyciu wdrożenia etapowego, postępuj zgodnie z instrukcjami wstępnymi w następnej sekcji.
Aby uzyskać informacje na temat poleceń cmdlet programu PowerShell do użycia, zobacz Microsoft Entra ID 2.0 (wersja zapoznawcza).
Wstępne prace nad synchronizacją skrótów haseł
Włącz synchronizację skrótów haseł na stronie Funkcje opcjonalne w programie Microsoft Entra Connect.
Upewnij się, że został uruchomiony pełny cykl synchronizacji skrótów haseł, aby wszystkie skróty haseł użytkowników zostały zsynchronizowane z identyfikatorem Entra firmy Microsoft. Aby sprawdzić stan synchronizacji skrótów haseł, możesz użyć diagnostyki programu PowerShell w temacie Rozwiązywanie problemów z synchronizacją skrótów haseł z usługą Microsoft Entra Connect Sync.
Jeśli chcesz przetestować logowanie z przekazywaniem uwierzytelniania przy użyciu wdrożenia etapowego, włącz je, postępując zgodnie z instrukcjami wstępnymi w następnej sekcji.
Wstępne uwierzytelnianie przekazywane
Zidentyfikuj serwer z systemem Windows Server 2012 R2 lub nowszym, na którym ma działać agent uwierzytelniania przekazywanego.
Nie wybieraj serwera Microsoft Entra Connect. Upewnij się, że serwer jest przyłączony do domeny, może uwierzytelniać wybranych użytkowników za pomocą usługi Active Directory i może komunikować się z identyfikatorem Entra firmy Microsoft na portach i adresach URL ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz sekcję "Krok 1: Sprawdzanie wymagań wstępnych" w przewodniku Szybki start: bezproblemowe logowanie jednokrotne firmy Microsoft Entra.
Pobierz agenta uwierzytelniania Microsoft Entra Connect i zainstaluj go na serwerze.
Aby włączyć wysoką dostępność, zainstaluj dodatkowych agentów uwierzytelniania na innych serwerach.
Upewnij się, że ustawienia blokady inteligentnej zostały odpowiednio skonfigurowane. Dzięki temu użytkownicy lokalna usługa Active Directory kont nie będą blokowane przez złych aktorów.
Zalecamy włączenie bezproblemowego logowania jednokrotnego niezależnie od metody logowania (synchronizacja skrótów haseł lub uwierzytelnianie przekazywane) wybranych dla opcji Wdrożenie etapowe. Aby włączyć bezproblemowe logowanie jednokrotne, postępuj zgodnie z instrukcjami wstępnymi w następnej sekcji.
Wstępne działanie bezproblemowego logowania jednokrotnego
Włącz bezproblemowe logowanie jednokrotne w lasach usługi Active Directory przy użyciu programu PowerShell. Jeśli masz więcej niż jeden las usługi Active Directory, włącz go osobno dla każdego lasu. Bezproblemowe logowanie jednokrotne jest wyzwalane tylko dla użytkowników wybranych do wdrożenia etapowego. Nie ma to wpływu na istniejącą konfigurację federacji.
Włącz bezproblemowe logowanie jednokrotne , wykonując następujące zadania:
Zaloguj się do programu Microsoft Entra Connect Server.
Przejdź do folderu %programfiles%\Microsoft Entra Connect .
Zaimportuj bezproblemowy moduł programu PowerShell z logowaniem jednokrotnym, uruchamiając następujące polecenie:
Import-Module .\AzureADSSO.psd1
Uruchom program PowerShell jako administrator. W programie PowerShell wywołaj metodę
New-AzureADSSOAuthenticationContext
. To polecenie otwiera okienko, w którym można wprowadzić poświadczenia administratora tożsamości hybrydowej dzierżawy.Wywołaj metodę
Get-AzureADSSOStatus | ConvertFrom-Json
. To polecenie wyświetla listę lasów usługi Active Directory (zobacz listę "Domeny", na której włączono tę funkcję). Domyślnie jest ustawiona wartość false na poziomie dzierżawy.Wywołaj metodę
$creds = Get-Credential
. Po wyświetleniu monitu wprowadź poświadczenia administratora domeny dla zamierzonego lasu usługi Active Directory.Wywołaj metodę
Enable-AzureADSSOForest -OnPremCredentials $creds
. To polecenie tworzy konto komputera AZUREADSSOACC z lokalnego kontrolera domeny dla lasu usługi Active Directory, który jest wymagany do bezproblemowego logowania jednokrotnego.Bezproblemowe logowanie jednokrotne wymaga, aby adresy URL znajdowały się w strefie intranetu. Aby wdrożyć te adresy URL przy użyciu zasad grupy, zobacz Szybki start: bezproblemowe logowanie jednokrotne firmy Microsoft w usłudze Microsoft Entra.
Aby zapoznać się z kompletnym przewodnikiem, możesz również pobrać nasze plany wdrażania dla bezproblemowego logowania jednokrotnego.
Włączanie wdrażania etapowego
Aby wdrożyć określoną funkcję (uwierzytelnianie przekazywane, synchronizację skrótów haseł lub bezproblemowe logowanie jednokrotne) do wybranego zestawu użytkowników w grupie, postępuj zgodnie z instrukcjami w następnych sekcjach.
Włączanie wprowadzania etapowego określonej funkcji w dzierżawie
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Możesz wdrożyć następujące opcje:
- Synchronizacja + skrótów haseł — bezproblemowe logowanie jednokrotne
- Bezproblemowe logowanie jednokrotne uwierzytelniania + przekazywanego
- Nieobsługiwana - synchronizacja + + skrótów haseł — bezproblemowe logowanie jednokrotne
- Ustawienia uwierzytelniania opartego na certyfikatach
- Uwierzytelnianie wieloskładnikowe platformy Azure
Aby skonfigurować wdrożenie etapowe, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>>— synchronizacja programu Microsoft Entra Connect>Connect.
Na stronie Microsoft Entra Connect w obszarze Etapowe wdrażanie uwierzytelniania w chmurze wybierz link Włącz wdrożenie etapowe dla zarządzanego logowania użytkownika.
Na stronie Włącz funkcję wdrażania etapowego wybierz opcje, które chcesz włączyć: synchronizacja skrótów haseł, uwierzytelnianie przekazywane, bezproblemowe logowanie jednokrotne lub uwierzytelnianie oparte na certyfikatach. Jeśli na przykład chcesz włączyć synchronizację skrótów haseł i bezproblemowe logowanie jednokrotne, przesuń obie kontrolki do opcji Włączone.
Dodaj grupy do wybranych funkcji. Na przykład uwierzytelnianie przekazywane i bezproblemowe logowanie jednokrotne. Aby uniknąć przekroczenia limitu czasu, upewnij się, że początkowo grupy zabezpieczeń nie zawierają więcej niż 200 członków.
Nuta
Członkowie w grupie są automatycznie włączani na potrzeby wdrażania etapowego. Zagnieżdżone i dynamiczne grupy członkostwa nie są obsługiwane w przypadku wdrażania etapowego. Podczas dodawania nowej grupy użytkownicy w grupie (do 200 użytkowników dla nowej grupy) zostaną natychmiast zaktualizowani w celu natychmiastowego korzystania z zarządzanego uwierzytelniania. Edytowanie grupy (dodawanie lub usuwanie użytkowników) może potrwać do 24 godzin, aby zmiany zaczęły obowiązywać. Bezproblemowe logowanie jednokrotne będzie stosowane tylko wtedy, gdy użytkownicy znajdują się w grupie Bezproblemowe logowanie jednokrotne, a także w grupie PTA lub PHS.
Inspekcja
Włączyliśmy zdarzenia inspekcji dla różnych akcji, które wykonujemy dla wdrożenia etapowego:
Zdarzenie inspekcji po włączeniu wdrożenia etapowego na potrzeby synchronizacji skrótów haseł, uwierzytelniania przekazywanego lub bezproblemowego logowania jednokrotnego.
Nuta
Zdarzenie inspekcji jest rejestrowane, gdy bezproblemowe logowanie jednokrotne jest włączone przy użyciu wdrożenia etapowego.
Przeprowadź inspekcję zdarzenia, gdy grupa jest dodawana do synchronizacji skrótów haseł, uwierzytelniania przekazywanego lub bezproblemowego logowania jednokrotnego.
Nuta
Zdarzenie inspekcji jest rejestrowane po dodaniu grupy do synchronizacji skrótów haseł dla wdrożenia etapowego.
Zdarzenie inspekcji, gdy użytkownik, który został dodany do grupy, jest włączony dla wdrożenia etapowego.
Walidacja
Aby przetestować logowanie przy użyciu synchronizacji skrótów haseł lub uwierzytelniania z przekazywaniem (nazwa użytkownika i hasło logowania), wykonaj następujące zadania:
W ekstranetzie przejdź do strony Aplikacje w prywatnej sesji przeglądarki, a następnie wprowadź wartość UserPrincipalName (UPN) konta użytkownika wybranego do wdrożenia etapowego.
Użytkownicy, którzy zostali objęci wdrożeniem etapu, nie są przekierowywani do strony logowania federacyjnego. Zamiast tego użytkownik jest proszony o zalogowanie się na stronie logowania firmy Microsoft z marką entra.
Upewnij się, że logowanie zostanie pomyślnie wyświetlone w raporcie aktywności logowania firmy Microsoft, filtrując element UserPrincipalName.
Aby przetestować logowanie przy użyciu bezproblemowego logowania jednokrotnego:
W intranecie przejdź do strony Aplikacje przy użyciu sesji przeglądarki, a następnie wprowadź wartość UserPrincipalName (UPN) konta użytkownika wybranego dla wdrożenia etapowego.
Użytkownicy, którzy zostali objęci wdrożeniem etapowym bezproblemowego logowania jednokrotnego , otrzymują komunikat "Próba zalogowania się..." przed zalogowaniem się w trybie dyskretnym.
Upewnij się, że logowanie zostanie pomyślnie wyświetlone w raporcie aktywności logowania firmy Microsoft, filtrując element UserPrincipalName.
Aby śledzić logowania użytkowników, które nadal występują w usługach Active Directory Federation Services (AD FS) dla wybranych użytkowników wprowadzania etapowego, postępuj zgodnie z instrukcjami w temacie Rozwiązywanie problemów z usługami AD FS: Zdarzenia i rejestrowanie. Zapoznaj się z dokumentacją dostawcy, aby dowiedzieć się, jak to sprawdzić u dostawców federacyjnych innych firm.
Nuta
Podczas gdy użytkownicy są w etapie wdrażania z phS, zmiana haseł może potrwać do 2 minut, aby obowiązywać z powodu czasu synchronizacji. Pamiętaj, aby określić oczekiwania użytkowników, aby uniknąć połączeń pomocy technicznej po zmianie hasła.
Monitoring
Możesz monitorować użytkowników i grupy dodane lub usunięte z etapowego wprowadzania i logowania użytkowników podczas wdrażania etapowego przy użyciu nowych skoroszytów uwierzytelniania hybrydowego w centrum administracyjnym firmy Microsoft Entra.
Usuwanie użytkownika z wdrożenia etapowego
Usunięcie użytkownika z grupy powoduje wyłączenie wdrożenia etapowego dla tego użytkownika. Aby wyłączyć funkcję wdrażania etapowego, przesuń kontrolkę z powrotem do pozycji Wyłączone.
Często zadawane pytania
.: Czy mogę użyć tej funkcji w środowisku produkcyjnym?
1: Tak, możesz użyć tej funkcji w dzierżawie produkcyjnej, ale zalecamy, aby najpierw wypróbować ją w dzierżawie testowej.
.: Czy ta funkcja może służyć do utrzymania trwałego "współistnienia", w którym niektórzy użytkownicy używają uwierzytelniania federacyjnego, a inni używają uwierzytelniania w chmurze?
1: Nie, ta funkcja została zaprojektowana do testowania uwierzytelniania w chmurze. Po pomyślnym przetestowaniu kilka grup użytkowników należy przeciąć uwierzytelnianie w chmurze. Nie zalecamy używania trwałego stanu mieszanego, ponieważ takie podejście może prowadzić do nieoczekiwanych przepływów uwierzytelniania.
.: Czy mogę użyć programu PowerShell do wykonania wdrożenia etapowego?
Ach: Tak. Aby dowiedzieć się, jak używać programu PowerShell do przeprowadzania wdrażania etapowego, zobacz Microsoft Entra ID Preview.