Migrar para a autenticação na nuvem usando a distribuição em etapas

A Distribuição em Estágios permite que você teste seletivamente grupos de usuários com recursos de autenticação na nuvem, como autenticação multifator Microsoft Entra, Acesso Condicional, Proteção de Identidade para credenciais vazadas, Governança de Identidade e outros, antes de cortar seus domínios. Este artigo descreve como fazer a mudança.

Antes de começar a distribuição em etapas, você deve considerar as implicações se uma ou mais das seguintes condições forem verdadeiras:

• No momento, você está usando um Servidor de Autenticação Multifator local.
• Você está usando cartões inteligentes para autenticação.
• Seu servidor atual oferece determinados recursos somente de federação.
• Você está mudando de uma solução de federação de terceiros para serviços gerenciados.

Antes de experimentar esse recurso, sugerimos que você revise nosso guia sobre como escolher o método de autenticação correto. Para obter mais informações, consulte a tabela "Comparando métodos" em Escolha o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra.

Para obter uma visão geral do recurso, veja este vídeo "O que é distribuição em etapas?"

Pré-requisitos

• Você tem um locatário do Microsoft Entra com domínios federados.

• Você decidiu mover uma das seguintes opções:

  • Sincronização de hash de senha (sincronização). Para obter mais informações, veja O que é a sincronização do hash de palavras-passe?
  • Autenticação pass-through. Para obter mais informações, consulte O que é a autenticação de passagem
  • Configurações de autenticação baseada em certificado (CBA) do Microsoft Entra. Para obter mais informações, consulte Visão geral da autenticação baseada em certificado do Microsoft Entra

  Para ambas as opções, recomendamos habilitar o logon único (SSO) para obter uma experiência de entrada silenciosa. Para dispositivos associados ao domínio do Windows 7 ou 8.1, recomendamos o uso do SSO contínuo. Para obter mais informações, consulte O que é SSO contínuo. Para Windows 10, Windows Server 2016 e versões posteriores, recomenda-se usar o SSO via PRT (Primary Refresh Token) com dispositivos associados ao Microsoft Entra, dispositivos híbridos ingressados no Microsoft Entra ou dispositivos pessoais registrados por meio de Adicionar Conta Corporativa ou Escolar.

• Você configurou todas as políticas apropriadas de marca de locatário e Acesso Condicional necessárias para os usuários que estão sendo migrados para a autenticação na nuvem.

• Se você tiver mudado da autenticação federada para a autenticação na nuvem, deverá verificar se a configuração SynchronizeUpnForManagedUsers DirSync está habilitada, caso contrário, a ID do Microsoft Entra não permitirá atualizações de sincronização para o UPN ou ID de login alternativo para contas de usuário licenciadas que usam autenticação gerenciada. Para obter mais informações, consulte Recursos do serviço Microsoft Entra Connect Sync.

• Se você planeja usar a autenticação multifator do Microsoft Entra, recomendamos que você use o registro combinado para redefinição de senha de autoatendimento (SSPR) e autenticação multifator para que seus usuários registrem seus métodos de autenticação uma vez. Nota- ao usar SSPR para redefinir a senha ou alterar a senha usando a página MyProfile enquanto estiver no Staged Rollout, o Microsoft Entra Connect precisa sincronizar o novo hash de senha que pode levar até 2 minutos após a redefinição.

• Para usar o recurso de distribuição em estágios, você precisa ser um administrador de identidade híbrida em seu locatário.

• Para habilitar o SSO contínuo em uma floresta específica do Ative Directory, você precisa ser um administrador de domínio.

• Se você estiver implantando a ID híbrida do Microsoft Entra ou a associação do Microsoft Entra, deverá atualizar para a atualização do Windows 10 1903.

Cenários suportados

Os cenários a seguir são suportados para a distribuição em estágios. O recurso funciona apenas para:

• Usuários que são provisionados para o Microsoft Entra ID usando o Microsoft Entra Connect. Não se aplica a utilizadores apenas na nuvem.

• Tráfego de login do usuário em navegadores e clientes de autenticação modernos. Os aplicativos ou serviços de nuvem que usam autenticação herdada retornam aos fluxos de autenticação federada. Um exemplo de autenticação herdada pode ser o Exchange online com a autenticação moderna desativada ou o Outlook 2010, que não oferece suporte à autenticação moderna.

• O tamanho do grupo está atualmente limitado a 50.000 usuários. Se você tiver grupos maiores que 50.000 usuários, é recomendável dividir esse grupo em vários grupos para distribuição em estágios.

• O Windows 10 Hybrid Join ou o Microsoft Entra ingressam na aquisição de token de atualização primária sem linha de visão para o servidor de federação para Windows 10 versão 1903 e mais recente, quando o UPN do usuário é roteável e o sufixo de domínio é verificado no Microsoft Entra ID.

• O registro do piloto automático é suportado na distribuição em estágios com o Windows 10 versão 1909 ou posterior.

Cenários não suportados

Os seguintes cenários não são suportados para a Distribuição em Estágios:

• Não há suporte para autenticação herdada, como POP3 e SMTP.

• Alguns aplicativos enviam o parâmetro de consulta "domain_hint" para o Microsoft Entra ID durante a autenticação. Esses fluxos continuam, e os usuários habilitados para Distribuição em Estágios continuam a usar a federação para autenticação.

• Os administradores podem implementar a autenticação na nuvem usando grupos de segurança. Para evitar a latência de sincronização quando estiver a utilizar grupos de segurança do Ative Directory no local, recomendamos que utilize grupos de segurança na nuvem. Aplicam-se as seguintes condições:

  • Você pode usar um máximo de 10 grupos por recurso. Ou seja, pode utilizar 10 grupos para a sincronização do hash de palavras-passe, a autenticação pass-through e o SSO totalmente integrado.
  • Não há suporte para grupos aninhados.
  • Não há suporte para grupos dinâmicos para distribuição em estágios.
  • Os objetos de contato dentro do grupo impedem que o grupo seja adicionado.

• Quando você adiciona pela primeira vez um grupo de segurança para distribuição em estágios, está limitado a 200 usuários para evitar um tempo limite de UX. Depois de adicionar o grupo, você pode adicionar mais usuários diretamente a ele, conforme necessário.

• Enquanto os usuários estiverem na distribuição em estágios com sincronização de hash de senha (PHS), por padrão, nenhuma expiração de senha é aplicada. A expiração da senha pode ser aplicada ativando "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Quando "CloudPasswordPolicyForPasswordSyncedUsersEnabled" está habilitado, a política de expiração de senha é definida para 90 dias a partir do momento em que a senha foi definida localmente, sem opção para personalizá-la. Não há suporte para a atualização programática do atributo PasswordPolicies enquanto os usuários estão na distribuição em estágios. Para saber como definir 'CloudPasswordPolicyForPasswordSyncedUsersEnabled', consulte Política de expiração de senha.

• Aquisição de token de atualização primária do Windows 10 Hybrid Join ou Microsoft Entra para a versão do Windows 10 anterior a 1903. Esse cenário retorna ao ponto de extremidade WS-Trust do servidor de federação, mesmo que o usuário que entra esteja no escopo da Distribuição em Estágios.

• Aquisição de token de atualização primária do Windows 10 Hybrid Join ou Microsoft Entra para todas as versões, quando o UPN local do usuário não é roteável. Esse cenário retorna ao ponto de extremidade WS-Trust enquanto estiver no modo de distribuição em estágios, mas para de funcionar quando a migração em estágios é concluída e o logon do usuário não depende mais do servidor de federação.

• Se você tiver uma configuração de VDI não persistente com o Windows 10, versão 1903 ou posterior, deverá permanecer em um domínio federado. A mudança para um domínio gerenciado não é suportada em VDI não persistente. Para obter mais informações, consulte Identidade do dispositivo e virtualização da área de trabalho.

• Se você tiver uma relação de confiança de certificado híbrido do Windows Hello for Business com certificados emitidos por meio do servidor de federação atuando como Autoridade de Registro ou usuários de cartão inteligente, o cenário não será suportado em uma Distribuição em Estágios.

  Nota

  Você ainda precisa fazer a transição final da autenticação federada para a nuvem usando o Microsoft Entra Connect ou o PowerShell. A Distribuição em Estágios não alterna domínios de federados para gerenciados. Para obter mais informações sobre a transferência de domínio, veja Migrar da federação para sincronização do hash de palavras-passe e Migrar da federação para a autenticação pass-through.

Introdução à distribuição em etapas

Para testar o início de sessão de sincronização de hash de palavra-passe utilizando a Distribuição em Estágios, siga as instruções de pré-trabalho na secção seguinte.

Para obter informações sobre quais cmdlets do PowerShell usar, consulte Visualização do Microsoft Entra ID 2.0.

Pré-trabalho para sincronização de hash de senha

1. Habilite a sincronização de hash de senha na página Recursos opcionais no Microsoft Entra Connect. 

   

2. Certifique-se de que um ciclo completo de sincronização de hash de senha foi executado para que todos os hashes de senha dos usuários tenham sido sincronizados com o Microsoft Entra ID. Para verificar o status da sincronização de hash de senha, você pode usar o diagnóstico do PowerShell em Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync.

   

Se você quiser testar o login de autenticação de passagem usando a distribuição em estágios, habilite-a seguindo as instruções de pré-trabalho na próxima seção.

Pré-trabalho para autenticação de passagem

1. Identifique um servidor que esteja executando o Windows Server 2012 R2 ou posterior onde você deseja que o agente de autenticação de passagem seja executado.

   Não escolha o servidor Microsoft Entra Connect. Verifique se o servidor ingressou no domínio, pode autenticar usuários selecionados com o Ative Directory e pode se comunicar com o ID do Microsoft Entra em portas e URLs de saída. Para obter mais informações, consulte a seção "Etapa 1: verificar os pré-requisitos" do Guia de início rápido: logon único contínuo do Microsoft Entra.

2. Baixe o agente de autenticação do Microsoft Entra Connect e instale-o no servidor. 

3. Para habilitar a alta disponibilidade, instale agentes de autenticação adicionais em outros servidores.

4. Certifique-se de que configurou as definições do Smart Lockout de forma adequada. Isso ajuda a garantir que as contas locais do Ative Directory dos usuários não sejam bloqueadas por agentes mal-intencionados.

Recomendamos habilitar o SSO contínuo, independentemente do método de entrada (senha, sincronização de hash ou autenticação de passagem) selecionado para Distribuição em etapas. Para habilitar o SSO contínuo, siga as instruções de pré-trabalho na próxima seção.

Pré-trabalho para SSO contínuo

Habilite o SSO contínuo nas florestas do Ative Directory usando o PowerShell. Se você tiver mais de uma floresta do Ative Directory, habilite-a para cada floresta individualmente. O SSO contínuo é acionado apenas para usuários selecionados para distribuição em estágios. Isso não afeta a configuração de federação existente.

Habilite o SSO contínuo executando as seguintes tarefas:

1. Entre no Microsoft Entra Connect Server.

2. Vá para a pasta %programfiles%\Microsoft Entra Connect .

3. Importe o módulo SSO PowerShell contínuo executando o seguinte comando:

   Import-Module .\AzureADSSO.psd1

4. Execute o PowerShell como um administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Este comando abre um painel onde pode introduzir as credenciais de Administrador de Identidade Híbrida do seu inquilino.

5. Chame Get-AzureADSSOStatus | ConvertFrom-Json. Este comando exibe uma lista de florestas do Ative Directory (consulte a lista "Domínios") nas quais esse recurso foi habilitado. Por padrão, ele é definido como false no nível do locatário.

   

6. Chame $creds = Get-Credential. No prompt, insira as credenciais de administrador de domínio para a floresta do Ative Directory pretendida.

7. Chame Enable-AzureADSSOForest -OnPremCredentials $creds. Este comando cria a conta de computador AZUREADSSOACC a partir do controlador de domínio local para a floresta do Ative Directory necessária para SSO contínuo.

8. O SSO contínuo requer que as URLs estejam na zona da intranet. Para implantar essas URLs usando políticas de grupo, consulte Guia de início rápido: logon único contínuo do Microsoft Entra.

9. Para obter um passo a passo completo, você também pode baixar nossos planos de implantação para SSO contínuo.

Habilitar distribuição em etapas

Para implementar uma funcionalidade específica (autenticação pass-through, sincronização do hash de palavras-passe ou SSO totalmente integrado) num conjunto selecionado de utilizadores num grupo, siga as instruções nas secções seguintes.

Habilitar uma distribuição em etapas de um recurso específico em seu locatário

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Você pode implementar estas opções:

• Sincronização + de hash de senha SSO contínuo
• Autenticação + de passagem SSO contínuo
• Não suportado - Sincronização + de hash de senha Autenticação + de passagem SSO contínuo
• Configurações de autenticação baseada em certificado
• Autenticação multifator do Azure

Para configurar a distribuição em estágios, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

2. Navegue até Gerenciamento híbrido de>identidade>, sincronização do Microsoft Entra Connect>Connect.

3. Na página Microsoft Entra Connect , em Distribuição em estágios da autenticação na nuvem, selecione o link Habilitar distribuição em estágios para entrada de usuário gerenciado.

4. Na página do recurso Habilitar distribuição em estágios, selecione as opções que deseja habilitar: Sincronização de hash de senha, Autenticação de passagem, Logon único contínuo ou Autenticação baseada em certificado. Por exemplo, se você quiser habilitar a Sincronização de Hash de Senha e o Logon único contínuo, deslize ambos os controles para Ativado.

5. Adicione grupos aos recursos selecionados. Por exemplo, autenticação de passagem e SSO contínuo. Para evitar um tempo limite, certifique-se de que os grupos de segurança não contenham mais de 200 membros inicialmente.

   Nota

   Os membros de um grupo são ativados automaticamente para a Distribuição em Estágios. Não há suporte para grupos aninhados e dinâmicos para a distribuição em estágios. Ao adicionar um novo grupo, os usuários no grupo (até 200 usuários para um novo grupo) serão atualizados para usar a autenticação gerenciada imediatamente. Editando um grupo (adicionando ou removendo usuários), pode levar até 24 horas para que as alterações entrem em vigor. O SSO contínuo será aplicado somente se os usuários estiverem no grupo SSO contínuo e também em um grupo PTA ou PHS.

Auditoria

Habilitamos eventos de auditoria para as várias ações que executamos para a distribuição em estágios:

• Evento de auditoria quando você habilita uma distribuição em estágios para sincronização de hash de senha, autenticação de passagem ou SSO contínuo.

  Nota

  Um evento de auditoria é registrado quando o SSO contínuo é ativado usando a Distribuição em Estágios.

  

  

• Evento de auditoria quando um grupo é adicionado à sincronização do hash de palavras-passe, à autenticação pass-through ou ao SSO totalmente integrado.

  Nota

  Um evento de auditoria é registrado quando um grupo é adicionado à sincronização de hash de senha para distribuição em estágios.

  

  

• Evento de auditoria quando um usuário que foi adicionado ao grupo é habilitado para Distribuição em etapas.

  

  

Validação

Para testar o início de sessão com sincronização de hash de palavra-passe ou autenticação de passagem (início de sessão com nome de utilizador e palavra-passe), execute as seguintes tarefas:

1. Na extranet, vá para a página Aplicativos em uma sessão privada do navegador e insira o UserPrincipalName (UPN) da conta de usuário selecionada para Distribuição em etapas.

   Os usuários que foram direcionados para a distribuição em etapas não são redirecionados para sua página de login federada. Em vez disso, eles são solicitados a entrar na página de entrada com a marca do locatário do Microsoft Entra.

2. Certifique-se de que o início de sessão aparece com êxito no relatório de atividade de início de sessão do Microsoft Entra filtrando com o UserPrincipalName.

Para testar o início de sessão com SSO contínuo:

1. Na intranet, vá para a página Aplicativos em uma sessão privada do navegador e insira o UserPrincipalName (UPN) da conta de usuário selecionada para Distribuição em etapas.

   Os usuários que foram direcionados para a distribuição em etapas do SSO contínuo são apresentados com um "Tentando entrar em você..." antes de entrarem silenciosamente.

2. Certifique-se de que o início de sessão aparece com êxito no relatório de atividade de início de sessão do Microsoft Entra filtrando com o UserPrincipalName.

   Para controlar os inícios de sessão de utilizadores que ainda ocorrem nos Serviços de Federação do Ative Directory (AD FS) para utilizadores selecionados da Distribuição em Estágios, siga as instruções em Resolução de problemas do AD FS: Eventos e registo. Verifique a documentação do fornecedor sobre como verificar isso em provedores de federação de terceiros.

   Nota

   Enquanto os usuários estão no Staged Rollout com PHS, a alteração de senhas pode levar até 2 minutos para entrar em vigor devido ao tempo de sincronização. Certifique-se de definir expectativas com seus usuários para evitar chamadas de helpdesk depois que eles alteraram a senha.

Monitorização

Você pode monitorar os usuários e grupos adicionados ou removidos da Distribuição em Estágios e as entradas de usuários enquanto estiverem na Distribuição em Estágios, usando as novas pastas de trabalho de Autenticação Híbrida no centro de administração do Microsoft Entra.

Remover um usuário da distribuição em etapas

A remoção de um usuário do grupo desabilita a distribuição em estágios para esse usuário. Para desativar o recurso Distribuição em etapas, deslize o controle de volta para Desativado.

Perguntas mais frequentes

P: Posso usar esse recurso na produção?

R: Sim, você pode usar esse recurso em seu locatário de produção, mas recomendamos que você primeiro experimente-o em seu locatário de teste.

P: Esse recurso pode ser usado para manter uma "coexistência" permanente, onde alguns usuários usam autenticação federada e outros usam autenticação em nuvem?

R: Não, esta funcionalidade foi concebida para testar a autenticação na nuvem. Após o teste bem-sucedido, alguns grupos de usuários devem ser transferidos para a autenticação na nuvem. Não recomendamos o uso de um estado misto permanente, porque essa abordagem pode levar a fluxos de autenticação inesperados.

P: Posso usar o PowerShell para executar a distribuição em estágios?

R: Sim. Para saber como usar o PowerShell para executar a distribuição em estágios, consulte Visualização de ID do Microsoft Entra.

Próximos passos

• Pré-visualização do Microsoft Entra ID 2.0
• Alterar o método de início de sessão para a sincronização do hash de palavras-passe
• Alterar o método de início de sessão para autenticação de passagem