Compartilhar via


Guia de descomissionamento dos Serviços de Federação do Active Directory (AD FS)

O Microsoft Entra ID fornece uma experiência de entrada simples baseada em nuvem para todos os seus recursos e aplicativos com autenticação forte e políticas de acesso adaptável baseadas em risco em tempo real para conceder acesso a recursos que reduzem os custos operacionais de gerenciamento e manutenção de um ambiente do AD FS e aumento da eficiência de TI.

Para obter mais informações sobre por que você deve atualizar do AD FS para o Microsoft Entra ID, visite Mudar do AD FS para o Microsoft Entra ID. Confira migrar da federação para a autenticação de nuvem para entender como atualizar do AD FS.

Este documento fornecerá as etapas recomendadas para desativar os servidores do AD FS.

Pré-requisitos para desativação de servidores do AD FS

Antes de começar a desativar os servidores do AD FS, verifique se os itens a seguir estão concluídos. Para obter mais informações, consulte migrando da federação para a autenticação de nuvem.

  1. Instale o Microsoft Entra Connect Health para fornecer um monitoramento robusto da infraestrutura de identidade local.

  2. Conclua o pré-trabalho para SSO (logon único).

  3. Migre sua autenticação de usuário para o Microsoft Entra ID. Com a autenticação de nuvem habilitada, o Microsoft Entra ID consegue lidar com o processo de entrada dos usuários com segurança. O Microsoft Entra ID fornece três opções para autenticação de nuvem segura dos usuários:

    Você pode experimentar a autenticação de nuvem para os usuários usando a Distribuição em Etapas. Ela permite testar seletivamente grupos de usuários com os recursos de autenticação de nuvem mencionados acima.

    Observação

    • PHS e CBA são as opções preferenciais para autenticação gerenciada em nuvem. O PTA deve ser usado somente quando houver requisitos regulatórios para não sincronizar informações de senha com a nuvem.
    • A autenticação do usuário e a Migração de Aplicativos podem ser feitas em qualquer ordem, no entanto, é recomendável concluir a migração de autenticação do usuário primeiro.
    • Avalie os cenários com suporte e sem suporte para Distribuição em Etapas.
  4. Migre todos os aplicativos que atualmente estão usando o AD FS para autenticação para o Microsoft Entra ID, pois ele fornece um único plano de controle para gerenciamento de identidade e acesso para o Microsoft Entra ID. Certifique-se de também migrar seus aplicativos Office 365 e dispositivos ingressados para o Microsoft Entra ID.

    • O assistente de migração pode ser usado para migrar aplicativos do AD FS para o Microsoft Entra ID.
    • Se você não encontrar o aplicativo SaaS correto na galeria de aplicativos, ele poderá ser solicitado de https://aka.ms/AzureADAppRequest.
  5. Execute Microsoft Entra Connect Health por pelo menos uma semana para observar o uso de aplicativos no Microsoft Entra ID. Você também deve ser capaz de exibir os logs de entrada do usuário no Microsoft Entra ID.

Etapas para desativar os servidores do AD FS

Esta seção fornece o processo passo a passo para desativar os servidores do AD FS.

Antes de chegar a esse ponto, você deve verificar se não há nenhuma terceira parte confiável (Relações de Confiança de Terceira Parte Confiável) com o tráfego que ainda está presente nos servidores do AD FS.

Antes de começar, verifique os logs de eventos do AD FS e/ou Microsoft Entra Connect Health quanto a falhas de entrada ou êxito, pois isso significaria que esses servidores ainda estão sendo usados para algo. Caso você veja êxitos ou falhas de entrada, verifique como migrar seus aplicativos do AD FS ou mover sua autenticação para o Microsoft Entra ID.

Assim que isso for verificado, execute as seguintes etapas (supondo que os servidores do AD FS não sejam usados para mais nada agora):

Observação

Depois de mover sua autenticação para o Microsoft Entra ID, teste o ambiente por pelo menos uma semana para verificar se a autenticação na nuvem está funcionando sem problemas.

  1. É recomendável fazer um backup final opcional antes de desativar os servidores do AD FS.
  2. Remova todas as entradas do AD FS de qualquer balanceador de carga (interno e externo) que você possa ter configurado em seu ambiente.
  3. Exclua todas as entradas DNS correspondentes dos respectivos nomes de farm para servidores AD FS em seu ambiente.
  4. No servidor AD FS primário, execute Get-ADFSProperties e procure CertificateSharingContainer. Anote essa DN, pois você precisará excluí-la perto do final da instalação (após algumas reinicializações e quando ela não estiver mais disponível)
  5. Se o banco de dados de configuração do AD FS estiver usando uma instância de banco de dados do SQL Server como repositório, certifique-se de excluir o banco de dados antes de desinstalar os servidores do AD FS.
  6. Desinstale os servidores WAP (Proxy).
    • Entre em cada servidor WAP, abra o Console de Gerenciamento de Acesso Remoto e procure aplicativos Web publicados.
    • Remova qualquer um relacionado aos servidores do AD FS que não estão mais sendo usados.
    • Quando todos os aplicativos Web publicados forem removidos, desinstale o WAP com o seguinte comando Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
  7. Desinstale os servidores do AD FS.
  8. Exclua certificados SSL do AD FS de cada armazenamento do servidor.
  9. Reinstale a imagem dos servidores AD FS com formatação de disco completa.
  10. Agora você pode excluir com segurança sua conta do AD FS.
  11. Remova o conteúdo do DN CertificateSharingContainer usando o Editor ADSI após a desinstalação.

Próximas etapas