Migrar da federação para a autenticação baseada em certificado (CBA) do Microsoft Entra

Este artigo explica como migrar da execução de servidores federados, como os Serviços de Federação do Ative Directory (AD FS) local, para a autenticação na nuvem usando a autenticação baseada em certificado (CBA) do Microsoft Entra.

Implementação Faseada

Um administrador de locatário pode cortar o domínio federado totalmente para o Entra ID CBA sem teste piloto, habilitando o método de autenticação CBA no Entra ID e convertendo todo o domínio em autenticação gerenciada. No entanto, se o cliente quiser testar um pequeno lote de usuários autenticados no Entra ID CBA antes da transferência completa do domínio para gerenciado, ele poderá usar o recurso de distribuição em estágios.

A distribuição em estágios para autenticação baseada em certificado (CBA) ajuda os clientes a fazer a transição da execução do CBA em um IdP federado para o Microsoft Entra ID, movendo seletivamente um pequeno conjunto de usuários para usar o CBA no Entra ID (não sendo mais redirecionado para o IdP federado) com grupos selecionados de usuários antes de converter a configuração de domínio no Entra ID de federado para gerenciado. A distribuição em etapas não foi projetada para que o domínio permaneça federado por longos períodos de tempo ou para grandes quantidades de usuários.

Assista a este vídeo rápido demonstrando a migração da autenticação baseada em certificado ADFS para o Microsoft Entra CBA

Nota

Quando a distribuição em estágios é habilitada para um usuário, o usuário é considerado um usuário gerenciado e toda a autenticação acontecerá no Microsoft Entra ID. Para um locatário federado, se o CBA estiver habilitado na distribuição em estágios, a autenticação de senha só funcionará se o PHS também estiver habilitado, caso contrário, a autenticação de senha falhará.

Habilite a distribuição em etapas para autenticação baseada em certificado em seu locatário

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para configurar a distribuição em estágios, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Procure e selecione Microsoft Entra Connect.
3. Na página Microsoft Entra Connect, em Distribuição em estágios da autenticação na nuvem, clique em Habilitar distribuição em estágios para entrada de usuário gerenciado.
4. Na página do recurso Habilitar Distribuição em Estágios, clique em Ativado para a opção Autenticação baseada em certificado
5. Clique em Gerir grupos e adicione os grupos que pretende que façam parte da autenticação na nuvem. Para evitar um tempo limite, certifique-se de que os grupos de segurança não contenham mais de 200 membros inicialmente.

Para obter mais informações, consulte Distribuição em estágios.

Usar o Microsoft Entra Connect para atualizar o atributo certificateUserIds

Um administrador do AD FS pode usar o Editor de Regras de Sincronização para criar regras para sincronizar os valores de atributos do AD FS com objetos de usuário do Microsoft Entra. Para obter mais informações, consulte Regras de sincronização para certificateUserIds.

O Microsoft Entra Connect requer uma função especial chamada Administrador de Identidade Híbrida, que concede as permissões necessárias. Você precisa dessa função para obter permissão para gravar no novo atributo de nuvem.

Nota

Se um usuário estiver usando atributos sincronizados, como o atributo onPremisesUserPrincipalName no objeto de usuário para vinculação de nome de usuário, esteja ciente de que qualquer usuário que tenha acesso administrativo ao servidor Microsoft Entra Connect pode alterar o mapeamento de atributos sincronizados e alterar o valor do atributo sincronizado. O usuário não precisa ser um administrador de nuvem. O administrador do AD FS deve certificar-se de que o acesso administrativo ao servidor Microsoft Entra Connect deve ser limitado e as contas privilegiadas devem ser contas apenas na nuvem.

Perguntas frequentes sobre a migração do AD FS para o Microsoft Entra ID

Podemos ter contas privilegiadas com um servidor AD FS federado?

Embora seja possível, a Microsoft recomenda que as contas privilegiadas sejam apenas contas na nuvem. O uso de contas somente na nuvem para acesso privilegiado limita a exposição no Microsoft Entra ID de um ambiente local comprometido. Para obter mais informações, consulte Protegendo o Microsoft 365 contra ataques locais.

Se uma organização for híbrida executando o AD FS e o CBA do Azure, eles ainda estarão vulneráveis ao comprometimento do AD FS?

A Microsoft recomenda que as contas privilegiadas sejam contas apenas na nuvem. Essa prática limitará a exposição no Microsoft Entra ID de um ambiente local comprometido. Manter contas privilegiadas apenas na nuvem é fundamental para esse objetivo.

Para contas sincronizadas:

• Se eles estiverem em um domínio gerenciado (não federado), não há risco do IdP federado.
• Se eles estiverem em um domínio federado, mas um subconjunto de contas estiver sendo movido para o Microsoft Entra CBA pelo Staged Rollout, eles estarão sujeitos a riscos relacionados ao Idp federado até que o domínio federado seja totalmente mudado para a autenticação em nuvem.

As organizações devem eliminar servidores federados como o AD FS para impedir a capacidade de pivotar do AD FS para o Azure?

Com a federação, um invasor pode se passar por qualquer pessoa, como um CIO, mesmo que não consiga obter uma função somente na nuvem, como a conta de Administrador Global.

Quando um domínio é federado no Microsoft Entra ID, um alto nível de confiança está sendo colocado no IdP federado. AD FS é um exemplo, mas a noção vale para qualquer IdP federado. Muitas organizações implantam um IdP federado, como o AD FS, exclusivamente para realizar a autenticação baseada em certificado. Neste caso, o Microsoft Entra CBA remove completamente a dependência do AD FS. Com o Microsoft Entra CBA, os clientes podem mover seu conjunto de aplicativos para o Microsoft Entra ID para modernizar sua infraestrutura do IAM e reduzir custos com maior segurança.

Do ponto de vista da segurança, não há nenhuma alteração na credencial, incluindo o certificado X.509, CACs, PIVs e assim por diante, ou na PKI que está sendo usada. Os proprietários da PKI mantêm o controle total do ciclo de vida e da política de emissão e revogação do certificado. A verificação de revogação e a autenticação acontecem no Microsoft Entra ID em vez do Idp federado. Essas verificações permitem autenticação sem senha e resistente a phishing diretamente para o Microsoft Entra ID para todos os usuários.

Como funciona a autenticação com o AD FS federado e a autenticação na nuvem do Microsoft Entra com o Windows?

O Microsoft Entra CBA requer que o usuário ou aplicativo forneça o UPN do Microsoft Entra do usuário que entra.

No exemplo do navegador, o usuário digita com mais frequência seu UPN Microsoft Entra. O UPN do Microsoft Entra é usado para descoberta de território e usuário. O certificado usado então deve corresponder a esse usuário usando uma das associações de nome de usuário configuradas na política.

No início de sessão do Windows, a correspondência depende se o dispositivo é híbrido ou se o Microsoft Entra aderiu. Mas em ambos os casos, se a dica de nome de usuário for fornecida, o Windows enviará a dica como um UPN Microsoft Entra. O certificado usado então deve corresponder a esse usuário usando uma das associações de nome de usuário configuradas na política.

Próximos passos

• Visão geral do Microsoft Entra CBA
• Aprofundamento técnico para Microsoft Entra CBA
• Como configurar o Microsoft Entra CBA
• Microsoft Entra CBA em dispositivos iOS
• Microsoft Entra CBA em dispositivos Android
• Logon de cartão inteligente do Windows usando o Microsoft Entra CBA
• IDs de usuário do certificado
• FAQ