Migrar da federação para a autenticação baseada em certificado (CBA) do Microsoft Entra

Este artigo explica como migrar de servidores federados em execução, como os Serviços de Federação do Active Directory (AD FS) locais, para a autenticação na nuvem usando a autenticação baseada em certificado (CBA) do Microsoft Entra.

Distribuição em etapas

Um administrador locatário poderia cortar o domínio federado totalmente para CBA do Entra ID sem teste-piloto habilitando o método de autenticação CBA no Entra ID e convertendo todo o domínio em autenticação gerenciada. Porém, se o cliente quiser testar um pequeno lote de usuários autenticados com CBA do Entra ID antes da substituição completa do domínio a ser gerenciado, ele poderá usar o recurso de distribuição em etapas.

A distribuição em etapas para autenticação baseada em certificado (CBA) ajuda os clientes a fazer a transição da execução de CBA em um IdP federado para o Microsoft Entra ID, movendo seletivamente pequenos conjuntos de usuários para usar o CBA no Entra ID (não sendo mais redirecionados para o IdP federado) com grupos selecionados de usuários antes de converter a configuração do domínio no Entra ID de federado para gerenciado. A distribuição em etapas não foi projetada para o domínio permanecer federado por longos períodos de tempo ou para grandes quantidades de usuários.

Assista a este vídeo rápido que demonstra a migração da autenticação baseada em certificado do ADFS para o Microsoft Entra CBA

Observação

Quando a Distribuição em Etapas estiver habilitada para um usuário, o usuário será considerado um usuário gerenciado e toda a autenticação ocorrerá no Microsoft Entra ID. Para um locatário federado, se a CBA estiver habilitada na distribuição em etapas, a autenticação de senha só funcionará se a PHS estiver habilitado também, caso contrário, ocorrerá uma falha na autenticação de senha.

Habilite o lançamento gradual para autenticação baseada em certificado em seu locatário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você inicia.

Para configurar a distribuição em etapas, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um administrador de usuários.
  2. Pesquise e selecione Microsoft Entra Connect.
  3. Na página do Microsoft Entra Connect, em Distribuição em Etapas de autenticação na nuvem, clique em Habilitar Distribuição em Etapas para a entrada do usuário gerenciado.
  4. Na página do recurso Ativar lançamento gradual, clique em Ativar para a opção Autenticação baseada em certificado
  5. Clique em Gerenciar grupos e adicione os grupos que deseja que façam parte da autenticação na nuvem. Para evitar que o tempo limite seja atingido, verifique se os grupos de segurança contêm no máximo 200 membros inicialmente.

Para obter mais informações, consulte Distribuição gradual.

Usar o Microsoft Entra Connect para atualizar o atributo certificateUserIds

Um administrador do AD FS pode usar o Editor de Regras de Sincronização para criar regras para sincronizar os valores de atributos do AD FS para objetos de usuário do Microsoft Entra. Para obter mais informações, consulte as regras de sincronização para certificateUserIds.

O Microsoft Entra Connect requer uma função especial chamada Administrador de Identidade Híbrida, que concede as permissões necessárias. Você precisa dessa função para obter permissão para gravar no novo atributo de nuvem.

Observação

Se um usuário estiver usando atributos sincronizados, como o atributo onPremisesUserPrincipalName no objeto de usuário para associação de nome de usuário, esteja ciente de que qualquer usuário que tenha acesso administrativo ao servidor do Microsoft Entra Connect pode alterar o mapeamento do atributo sincronizado e modificar o valor do atributo sincronizado. O usuário não precisa ser um administrador de nuvem. O administrador do AD FS deve garantir que o acesso administrativo ao servidor do Microsoft Entra Connect seja limitado, e contas privilegiadas devem ser contas somente na nuvem.

Perguntas frequentes sobre a migração do AD FS para o Microsoft Entra ID

Podemos ter contas privilegiadas com um servidor AD FS federado?

Embora seja possível, a Microsoft recomenda que as contas privilegiadas sejam contas somente na nuvem. O uso de contas somente na nuvem para acesso privilegiado limita a exposição no Microsoft Entra ID de um ambiente local comprometido. Para obter mais informações, consulte Proteger o Microsoft 365 de ataques locais.

Se uma organização for híbrida executando o AD FS e o Azure CBA, ela ainda estará vulnerável ao comprometimento do AD FS?

A Microsoft recomenda que as contas privilegiadas sejam contas somente na nuvem. Essa prática limitará a exposição no Microsoft Entra ID de um ambiente local comprometido. Manter contas privilegiadas somente na nuvem é fundamental para esse objetivo.

Para contas sincronizadas:

  • Se eles estiverem em um domínio gerenciado (não federado), não há risco do IdP federado.
  • Se estiverem num domínio federado, mas um subconjunto de contas estiver sendo movido para a CBA do Microsoft Entra através da Distribuição em Etapas, estarão sujeitos a riscos relacionados ao Idp federado até que o domínio federado seja totalmente alternado para a autenticação na nuvem.

As organizações devem eliminar servidores federados como o AD FS para impedir a capacidade de dinamizar do AD FS para o Azure?

Com a federação, um invasor pode se passar por qualquer pessoa, como um CIO, mesmo que não consiga obter uma função somente na nuvem, como a conta de administrador global.

Quando um domínio é federado no Microsoft Entra ID, um alto nível de confiança é colocado no IdP Federado. AD FS é um exemplo, mas a noção é válida para qualquer IdP federado. Muitas organizações implantam um IdP federado, como AD FS, exclusivamente para realizar a autenticação baseada em certificado. A CBA do Microsoft Entra remove completamente a dependência do AD FS neste caso. Com a CBA do Microsoft Entra, os clientes podem migrar sua propriedade de aplicativos para o Microsoft Entra ID para modernizar sua infraestrutura de IAM e reduzir custos com maior segurança.

Do ponto de vista da segurança, não há alteração na credencial, incluindo o certificado X.509, CACs, PIVs e assim por diante, ou na PKI que está sendo usada. Os proprietários de PKI mantêm o controle total do ciclo de vida e da política de emissão e revogação do certificado. A verificação de revogação e a autenticação acontecem no Microsoft Entra ID em vez do Idp federado. Essas verificações permitem autenticação sem senha e resistente a phishing diretamente no Microsoft Entra ID para todos os usuários.

Como funciona a autenticação com AD FS Federado e a autenticação na nuvem do Microsoft Entra com o Windows?

A CBA do Microsoft Entra exige que o usuário ou aplicativo forneça o UPN do Microsoft Entra para a entrada do usuário.

No exemplo do navegador, o usuário digita com mais frequência o UPN do Microsoft Entra. O UPN do Microsoft Entra é usado para descoberta de realm e usuário. O certificado usado deve corresponder a esse usuário usando uma das ligações de nome de usuário configuradas na política.

No entrada do Windows, a correspondência depende se o dispositivo é híbrido ou se está ingressado no Microsoft Entra. Mas em ambos os casos, se a dica de nome de usuário for fornecida, o Windows enviará a dica como um UPN do Microsoft Entra. O certificado usado deve corresponder a esse usuário usando uma das ligações de nome de usuário configuradas na política.

Próximas etapas