Migrowanie do uwierzytelniania wieloskładnikowego firmy Microsoft za pomocą federacji

Przeniesienie rozwiązania uwierzytelniania wieloskładnikowego (MFA) do usługi Microsoft Entra ID to doskonały pierwszy krok w podróży do chmury. Rozważ również przejście do identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania użytkowników w przyszłości. Aby uzyskać więcej informacji, zobacz proces migracji do uwierzytelniania wieloskładnikowego firmy Microsoft entra z uwierzytelnianiem w chmurze.

Aby przeprowadzić migrację do uwierzytelniania wieloskładnikowego firmy Microsoft z federacją, dostawca uwierzytelniania wieloskładnikowego firmy Microsoft jest instalowany w usługach AD FS. Zaufania jednostki uzależnionej microsoft Entra ID i innych relacji zaufania jednostki uzależnionej są skonfigurowane do korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft dla migrowanych użytkowników.

Na poniższym diagramie przedstawiono proces migracji.

Tworzenie grup migracji

Aby utworzyć nowe zasady dostępu warunkowego, musisz przypisać te zasady do grup. W tym celu możesz użyć grup zabezpieczeń firmy Microsoft lub Grupy Microsoft 365. Można również tworzyć lub synchronizować nowe.

Do iteracyjnego migrowania użytkowników do uwierzytelniania wieloskładnikowego firmy Microsoft potrzebna będzie również grupa zabezpieczeń firmy Microsoft Entra. Te grupy są używane w regułach oświadczeń.

Nie używaj ponownie grup używanych do zabezpieczeń. Jeśli używasz grupy zabezpieczeń do zabezpieczenia grupy aplikacji o wysokiej wartości z zasadami dostępu warunkowego, użyj tej grupy tylko w tym celu.

Przygotowywanie usług AD FS

Uaktualnianie farmy serwerów usług AD FS do wersji 2019, FBL 4

W usługach AD FS 2019 można określić dodatkowe metody uwierzytelniania dla jednostki uzależnionej, takie jak aplikacja. Członkostwo w grupie służy do określania dostawcy uwierzytelniania. Określając dodatkową metodę uwierzytelniania, można przejść do uwierzytelniania wieloskładnikowego firmy Microsoft, zachowując inne uwierzytelnianie bez zmian podczas przejścia. Aby uzyskać więcej informacji, zobacz Uaktualnianie do usług AD FS w systemie Windows Server 2016 przy użyciu bazy danych WID. W tym artykule opisano zarówno uaktualnienie farmy do usług AD FS 2019, jak i uaktualnienie FBL do wersji 4.

Konfigurowanie reguł oświadczeń w celu wywoływania uwierzytelniania wieloskładnikowego firmy Microsoft

Teraz, gdy uwierzytelnianie wieloskładnikowe firmy Microsoft Jest dodatkową metodą uwierzytelniania, możesz przypisać grupy użytkowników do jej użycia. Można to zrobić, konfigurując reguły oświadczeń, znane również jako relacje zaufania jednostki uzależnionej. Za pomocą grup można kontrolować, który dostawca uwierzytelniania jest wywoływany globalnie lub przez aplikację. Możesz na przykład wywołać uwierzytelnianie wieloskładnikowe firmy Microsoft dla użytkowników, którzy zarejestrowali się w celu uzyskania połączonych informacji zabezpieczających, wywołując serwer MFA dla tych, którzy tego nie zrobili.

Uwaga

Reguły oświadczeń wymagają lokalnej grupy zabezpieczeń. Przed wprowadzeniem zmian w regułach oświadczeń wykonaj ich kopię zapasową.

Tworzenie kopii zapasowych reguł

Przed skonfigurowaniem nowych reguł oświadczeń utwórz kopię zapasową reguł. Te reguły należy przywrócić w ramach kroków czyszczenia.

W zależności od konfiguracji może być również konieczne skopiowanie reguły i dołączenie nowych reguł tworzonych na potrzeby migracji.

Aby wyświetlić reguły globalne, uruchom polecenie:

Get-AdfsAdditionalAuthenticationRule

Aby wyświetlić relacje zaufania jednostki uzależnionej, uruchom następujące polecenie i zastąp element RPTrustName nazwą reguły oświadczeń zaufania jednostki uzależnionej:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules 

Zasady kontroli dostępu

Uwaga

Nie można skonfigurować zasad kontroli dostępu, aby określony dostawca uwierzytelniania był wywoływany na podstawie członkostwa w grupie.

Aby przejść z zasad kontroli dostępu do dodatkowych reguł uwierzytelniania, uruchom następujące polecenie dla każdego zaufania jednostki uzależnionej przy użyciu dostawcy uwierzytelniania serwera MFA:

Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null

To polecenie spowoduje przeniesienie logiki z bieżących zasad kontroli dostępu do dodatkowych reguł uwierzytelniania.

Konfigurowanie grupy i znajdowanie identyfikatora SID

Musisz mieć określoną grupę, w której umieszczasz użytkowników, dla których chcesz wywołać uwierzytelnianie wieloskładnikowe firmy Microsoft Entra. Będzie potrzebny identyfikator zabezpieczeń (SID) dla tej grupy.

Aby znaleźć identyfikator SID grupy, użyj następującego polecenia z nazwą grupy

Get-ADGroup "GroupName"

Ustawianie reguł oświadczeń w celu wywołania uwierzytelniania wieloskładnikowego firmy Microsoft

Następujące polecenia cmdlet programu PowerShell wywołują uwierzytelnianie wieloskładnikowe firmy Microsoft dla użytkowników w grupie, gdy nie znajdują się w sieci firmowej. Zastąp ciąg "YourGroupSid" identyfikatorem SID znalezionym, uruchamiając powyższe polecenie cmdlet.

Zapoznaj się z artykułem How to Choose Additional Auth Providers in 2019 (Jak wybrać dodatkowych dostawców uwierzytelniania w 2019 r.).

Ważne

Tworzenie kopii zapasowych reguł oświadczeń

Ustawianie reguły oświadczeń globalnych

Uruchom następujące polecenie cmdlet w programie PowerShell:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

Polecenie zwraca bieżące dodatkowe reguły uwierzytelniania dla zaufania jednostki uzależnionej. Dołącz następujące reguły do bieżących reguł oświadczeń:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

W poniższym przykładzie założono, że bieżące reguły oświadczeń są skonfigurowane tak, aby monitować o uwierzytelnianie wieloskładnikowe, gdy użytkownicy nawiązują połączenie spoza sieci. W tym przykładzie uwzględniono dodatkowe reguły, które należy dołączyć.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Ustawianie reguły oświadczeń dla aplikacji

Ten przykład modyfikuje reguły oświadczeń dla określonego zaufania jednostki uzależnionej (aplikacji) i zawiera informacje, które należy dołączyć.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Konfigurowanie uwierzytelniania wieloskładnikowego firmy Microsoft jako dostawcy uwierzytelniania w usługach AD FS

Aby skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft dla usług AD FS, należy skonfigurować każdy serwer usług AD FS. Jeśli masz wiele serwerów usług AD FS w farmie, możesz skonfigurować je zdalnie przy użyciu programu Azure AD PowerShell.

Aby uzyskać szczegółowe instrukcje dotyczące tego procesu, zobacz Konfigurowanie serwerów usług AD FS w artykule Konfigurowanie uwierzytelniania wieloskładnikowego firmy Microsoft jako dostawcy uwierzytelniania z usługami AD FS.

Po skonfigurowaniu serwerów możesz dodać uwierzytelnianie wieloskładnikowe firmy Microsoft jako dodatkową metodę uwierzytelniania.

Przygotowywanie identyfikatora Entra firmy Microsoft i implementowanie migracji

W tej sekcji opisano ostatnie kroki przed migracją ustawień uwierzytelniania wieloskładnikowego użytkownika.

Ustaw wartość federatedIdpMfaBehavior, aby wymusić wartość MfaByFederatedIdp

W przypadku domen federacyjnych uwierzytelnianie wieloskładnikowe może być wymuszane przez usługę Microsoft Entra Conditional Access lub przez lokalnego dostawcę federacyjnego. Każda domena federacyjna ma ustawienie zabezpieczeń programu Microsoft Graph PowerShell o nazwie federatedIdpMfaBehavior. Możesz ustawić wartość federatedIdpMfaBehavior , enforceMfaByFederatedIdp aby identyfikator Entra firmy Microsoft akceptował uwierzytelnianie wieloskładnikowe wykonywane przez dostawcę tożsamości federacyjnej. Jeśli dostawca tożsamości federacyjnej nie wykonał uwierzytelniania wieloskładnikowego, identyfikator Entra firmy Microsoft przekierowuje żądanie do dostawcy tożsamości federacyjnej w celu wykonania uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz federatedIdpMfaBehavior.

Uwaga

Ustawienie federatedIdpMfaBehavior to nowa wersja właściwości SupportsMfa polecenia cmdlet New-MgDomainFederationConfiguration.

W przypadku domen, które ustawiają właściwość SupportsMfa , te reguły określają sposób współdziałania funkcji FederatedIdpMfaBehavior i SupportsMfa :

• Przełączanie między federacyjnymIdpMfaBehavior i SupportsMfa nie jest obsługiwane.
• Po ustawieniu właściwości federatedIdpMfaBehavior identyfikator Entra firmy Microsoft ignoruje ustawienie SupportsMfa .
• Jeśli właściwość federatedIdpMfaBehavior nigdy nie jest ustawiona, identyfikator Entra firmy Microsoft będzie nadal honorować ustawienie SupportsMfa.
• Jeśli wartość federatedIdpMfaBehavior lub SupportsMfa nie jest ustawiona, identyfikator Entra firmy Microsoft będzie domyślnie zachowywał sięacceptIfMfaDoneByFederatedIdp.

Stan federatedIdpMfaBehavior można sprawdzić przy użyciu polecenia Get-MgDomainFederationConfiguration.

Get-MgDomainFederationConfiguration –DomainID yourdomain.com

Możesz również sprawdzić stan flagi SupportsMfa za pomocą polecenia Get-MgDomainFederationConfiguration:

Get-MgDomainFederationConfiguration –DomainName yourdomain.com

W poniższym przykładzie pokazano, jak ustawić wartość federatedIdpMfaBehavior enforceMfaByFederatedIdp przy użyciu programu Graph PowerShell.

Zażądaj

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Response

Uwaga: obiekt odpowiedzi pokazany tutaj może zostać skrócony pod kątem czytelności.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Konfigurowanie zasad dostępu warunkowego w razie potrzeby

Jeśli używasz dostępu warunkowego do określenia, kiedy użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe, nie należy zmieniać zasad.

Jeśli domeny federacyjne mają wartość SupportsMfa ustawioną na fałsz, przeanalizuj reguły oświadczeń na podstawie zaufania jednostki uzależnionej identyfikatora entra firmy Microsoft i utwórz zasady dostępu warunkowego, które obsługują te same cele zabezpieczeń.

Po utworzeniu zasad dostępu warunkowego w celu wymuszenia tych samych kontrolek co usługi AD FS można utworzyć kopię zapasową i usunąć dostosowania reguł oświadczeń w jednostki uzależnionej identyfikatora entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz następujące zasoby:

• Planowanie wdrożenia dostępu warunkowego

• Typowe zasady dostępu warunkowego

Rejestrowanie użytkowników na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft

W tej sekcji opisano, jak użytkownicy mogą rejestrować się w celu uzyskania połączonych zabezpieczeń (uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie haseł) oraz jak migrować ustawienia uwierzytelniania wieloskładnikowego. Aplikacja Microsoft Authenticator może być używana jako w trybie bez hasła. Może być również używany jako drugi czynnik dla uwierzytelniania wieloskładnikowego z jedną z metod rejestracji.

Zarejestruj się w celu rejestracji połączonej zabezpieczeń (zalecane)

Zalecamy zarejestrowanie użytkowników w celu uzyskania połączonych informacji zabezpieczających, które jest jednym miejscem do rejestrowania metod uwierzytelniania i urządzeń zarówno dla uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła.

Firma Microsoft udostępnia szablony komunikacji, które można udostępnić użytkownikom, aby mogli je kierować przez połączony proces rejestracji. Należą do nich szablony wiadomości e-mail, plakaty, namioty stołowe i różne inne zasoby. Użytkownicy rejestrują swoje informacje na https://aka.ms/mysecurityinfostronie , co spowoduje przejście do połączonego ekranu rejestracji zabezpieczeń.

Zalecamy zabezpieczenie procesu rejestracji zabezpieczeń przy użyciu dostępu warunkowego, który wymaga rejestracji z zaufanego urządzenia lub lokalizacji. Aby uzyskać informacje na temat śledzenia stanów rejestracji, zobacz Działanie metody uwierzytelniania dla identyfikatora Entra firmy Microsoft.

Uwaga

Użytkownicy, którzy muszą zarejestrować połączone informacje o zabezpieczeniach z lokalizacji innej niż zaufana lub urządzenie, mogą wydać tymczasowy dostęp lub tymczasowo wykluczony z zasad.

Migrowanie ustawień uwierzytelniania wieloskładnikowego z serwera MFA

Narzędzie do migracji serwera MFA umożliwia synchronizowanie zarejestrowanych ustawień uwierzytelniania wieloskładnikowego dla użytkowników z serwera MFA do usługi Microsoft Entra ID. Możesz synchronizować numery telefonów, tokeny sprzętowe i rejestracje urządzeń, takie jak ustawienia aplikacji Microsoft Authenticator.

Dodawanie użytkowników do odpowiednich grup

• Jeśli utworzono nowe zasady dostępu warunkowego, dodaj odpowiednich użytkowników do tych grup.

• Jeśli utworzono lokalne grupy zabezpieczeń dla reguł oświadczeń, dodaj odpowiednich użytkowników do tych grup.

Nie zalecamy ponownego używania grup używanych do zabezpieczeń. Jeśli używasz grupy zabezpieczeń do zabezpieczenia grupy aplikacji o wysokiej wartości z zasadami dostępu warunkowego, użyj tej grupy tylko w tym celu.

Monitorowanie

Rejestrację uwierzytelniania wieloskładnikowego firmy Microsoft można monitorować przy użyciu raportu Metody uwierzytelniania i szczegółowe informacje. Ten raport można znaleźć w witrynie Microsoft Entra ID. Wybierz pozycję Monitorowanie, a następnie wybierz pozycję Użycie i szczegółowe informacje.

W obszarze Użycie i szczegółowe informacje wybierz pozycję Metody uwierzytelniania.

Szczegółowe informacje o rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft można znaleźć na karcie Rejestracja. Aby wyświetlić listę zarejestrowanych użytkowników, możesz przejść do szczegółów, wybierając hiperlink Użytkownicy obsługujący uwierzytelnianie wieloskładnikowe platformy Azure.

Kroki oczyszczania

Po zakończeniu migracji do uwierzytelniania wieloskładnikowego firmy Microsoft i likwidowania serwera MFA wykonaj następujące trzy czynności:

1. Przywróć reguły oświadczeń w usługach AD FS do konfiguracji przed migracją i usuń dostawcę uwierzytelniania serwera MFA.

2. Usuń serwer usługi MFA jako dostawcę uwierzytelniania w usługach AD FS. Dzięki temu wszyscy użytkownicy będą używać uwierzytelniania wieloskładnikowego firmy Microsoft, ponieważ będzie to jedyna dodatkowa metoda uwierzytelniania włączona.

3. Likwiduj serwer usługi MFA.

Przywracanie reguł oświadczeń w usługach AD FS i usuwanie dostawcy uwierzytelniania serwera MFA

Wykonaj kroki opisane w sekcji Konfigurowanie reguł oświadczeń, aby wywołać uwierzytelnianie wieloskładnikowe firmy Microsoft, aby przywrócić reguły oświadczeń kopii zapasowej i usunąć wszystkie reguły oświadczeń azureMFAServerAuthentication.

Na przykład usuń następujące elementy z reguł:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

Wyłączanie serwera MFA jako dostawcy uwierzytelniania w usługach AD FS

Ta zmiana gwarantuje, że jako dostawca uwierzytelniania jest używany tylko uwierzytelnianie wieloskładnikowe firmy Microsoft.

1. Otwórz konsolę zarządzania usług AD FS.

2. W obszarze Usługi kliknij prawym przyciskiem myszy pozycję Metody uwierzytelniania i wybierz pozycję Edytuj metody uwierzytelniania wieloskładnikowego.

3. Usuń zaznaczenie pola wyboru obok pozycji Serwer usługi Azure Multi-Factor Authentication.

Likwiduj serwer uwierzytelniania wieloskładnikowego

Postępuj zgodnie z procesem likwidowania serwera przedsiębiorstwa, aby usunąć serwery MFA w środowisku.

Możliwe zagadnienia dotyczące likwidacji serwerów usługi MFA obejmują:

• Przejrzyj dzienniki serwerów uwierzytelniania wieloskładnikowego, aby upewnić się, że żaden użytkownik ani aplikacje nie korzystają z niego przed usunięciem serwera.

• Odinstalowywanie serwera Multi-Factor Authentication z Panel sterowania na serwerze

• Opcjonalnie wyczyść dzienniki i katalogi danych pozostawione po wykonaniu ich pierwszej kopii zapasowej.

• Odinstaluj zestaw SDK serwera sieci Web uwierzytelniania wieloskładnikowego, jeśli ma to zastosowanie, w tym pliki pozostawione w folderze etpub\wwwroot\MultiFactorAuthWebServiceSdk i lub katalogach MultiFactorAuth

• W przypadku wersji serwera MFA wcześniejszych niż 8.0 może być również konieczne usunięcie wieloskładnikowej usługi sieci Web aplikacji telefonicznej uwierzytelniania

Następne kroki

• Wdrażanie synchronizacji skrótów haseł
• Dowiedz się więcej o dostępie warunkowym
• Migrowanie aplikacji do identyfikatora Entra firmy Microsoft