Guia de descomissionamento dos Serviços de Federação do Active Directory (AD FS)
O Microsoft Entra ID fornece uma experiência de entrada simples baseada em nuvem para todos os seus recursos e aplicativos com autenticação forte e políticas de acesso adaptável baseadas em risco em tempo real para conceder acesso a recursos que reduzem os custos operacionais de gerenciamento e manutenção de um ambiente do AD FS e aumento da eficiência de TI.
Para obter mais informações sobre por que você deve atualizar do AD FS para o Microsoft Entra ID, visite Mudar do AD FS para o Microsoft Entra ID. Confira migrar da federação para a autenticação de nuvem para entender como atualizar do AD FS.
Este documento fornecerá as etapas recomendadas para desativar os servidores do AD FS.
Pré-requisitos para desativação de servidores do AD FS
Antes de começar a desativar os servidores do AD FS, verifique se os itens a seguir estão concluídos. Para obter mais informações, consulte migrando da federação para a autenticação de nuvem.
Instale o Microsoft Entra Connect Health para fornecer um monitoramento robusto da infraestrutura de identidade local.
Conclua o pré-trabalho para SSO (logon único).
Migre sua autenticação de usuário para o Microsoft Entra ID. Com a autenticação de nuvem habilitada, o Microsoft Entra ID consegue lidar com o processo de entrada dos usuários com segurança. O Microsoft Entra ID fornece três opções para autenticação de nuvem segura dos usuários:
- PHS (sincronização de hash de senha) do Microsoft Entra – permite que os usuários entrem em aplicativos locais e baseados em nuvem usando as mesmas senhas. O Microsoft Entra Connect sincroniza um hash do hash, da senha de um usuário de uma instância de Active Directory local para uma instância do Microsoft Entra baseada em nuvem. As duas camadas de hash garantem que suas senhas nunca sejam expostas ou transmitidas para sistemas de nuvem.
- CBA (Autenticação baseada em certificado) do Microsoft Entra – permite que você adote um método de autenticação resistente a phishing e autentique os usuários com um certificado X.509 em sua PKI (Infraestrutura de Chave Pública).
- PTA (autenticação de passagem) do Microsoft Entra – permite que os usuários entrem em aplicativos locais e baseados em nuvem usando as mesmas senhas. Ele instala um agente no Active Directory local e valida as senhas dos usuários diretamente no Active Directory local.
Você pode experimentar a autenticação de nuvem para os usuários usando a Distribuição em Etapas. Ela permite testar seletivamente grupos de usuários com os recursos de autenticação de nuvem mencionados acima.
Observação
- PHS e CBA são as opções preferenciais para autenticação gerenciada em nuvem. O PTA deve ser usado somente quando houver requisitos regulatórios para não sincronizar informações de senha com a nuvem.
- A autenticação do usuário e a Migração de Aplicativos podem ser feitas em qualquer ordem, no entanto, é recomendável concluir a migração de autenticação do usuário primeiro.
- Avalie os cenários com suporte e sem suporte para Distribuição em Etapas.
Migre todos os aplicativos que atualmente estão usando o AD FS para autenticação para o Microsoft Entra ID, pois ele fornece um único plano de controle para gerenciamento de identidade e acesso para o Microsoft Entra ID. Certifique-se de também migrar seus aplicativos Office 365 e dispositivos ingressados para o Microsoft Entra ID.
- O assistente de migração pode ser usado para migrar aplicativos do AD FS para o Microsoft Entra ID.
- Se você não encontrar o aplicativo SaaS correto na galeria de aplicativos, ele poderá ser solicitado de https://aka.ms/AzureADAppRequest.
Execute Microsoft Entra Connect Health por pelo menos uma semana para observar o uso de aplicativos no Microsoft Entra ID. Você também deve ser capaz de exibir os logs de entrada do usuário no Microsoft Entra ID.
Etapas para desativar os servidores do AD FS
Esta seção fornece o processo passo a passo para desativar os servidores do AD FS.
Antes de chegar a esse ponto, você deve verificar se não há nenhuma terceira parte confiável (Relações de Confiança de Terceira Parte Confiável) com o tráfego que ainda está presente nos servidores do AD FS.
Antes de começar, verifique os logs de eventos do AD FS e/ou Microsoft Entra Connect Health quanto a falhas de entrada ou êxito, pois isso significaria que esses servidores ainda estão sendo usados para algo. Caso você veja êxitos ou falhas de entrada, verifique como migrar seus aplicativos do AD FS ou mover sua autenticação para o Microsoft Entra ID.
Assim que isso for verificado, execute as seguintes etapas (supondo que os servidores do AD FS não sejam usados para mais nada agora):
Observação
Depois de mover sua autenticação para o Microsoft Entra ID, teste o ambiente por pelo menos uma semana para verificar se a autenticação na nuvem está funcionando sem problemas.
- É recomendável fazer um backup final opcional antes de desativar os servidores do AD FS.
- Remova todas as entradas do AD FS de qualquer balanceador de carga (interno e externo) que você possa ter configurado em seu ambiente.
- Exclua todas as entradas DNS correspondentes dos respectivos nomes de farm para servidores AD FS em seu ambiente.
- No servidor AD FS primário, execute
Get-ADFSProperties
e procure CertificateSharingContainer. Anote essa DN, pois você precisará excluí-la perto do final da instalação (após algumas reinicializações e quando ela não estiver mais disponível) - Se o banco de dados de configuração do AD FS estiver usando uma instância de banco de dados do SQL Server como repositório, certifique-se de excluir o banco de dados antes de desinstalar os servidores do AD FS.
- Desinstale os servidores WAP (Proxy).
- Entre em cada servidor WAP, abra o Console de Gerenciamento de Acesso Remoto e procure aplicativos Web publicados.
- Remova qualquer um relacionado aos servidores do AD FS que não estão mais sendo usados.
- Quando todos os aplicativos Web publicados forem removidos, desinstale o WAP com o seguinte comando Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
- Desinstale os servidores do AD FS.
- Começando com os nós secundários, desinstale o AD FS com o comando Uninstall-WindowsFeature ADFS-Federation, Windows-Internal-Database. Após essa execução, execute o comando del C:\Windows\WID\data\adfs* para excluir arquivos de banco de dados
- Exclua certificados SSL do AD FS de cada armazenamento do servidor.
- Reinstale a imagem dos servidores AD FS com formatação de disco completa.
- Agora você pode excluir com segurança sua conta do AD FS.
- Remova o conteúdo do DN CertificateSharingContainer usando o Editor ADSI após a desinstalação.