Переход с агента PhoneFactor на сервер Многофакторной идентификации Azure

Чтобы перейти с агента PhoneFactor версии 5.x или более ранней версии на сервер Многофакторной идентификации Azure, сначала удалите агент PhoneFactor и связанные с ним компоненты. После этого можно установить сервер Многофакторной идентификации и его компоненты.

Важно!

В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать многофакторные запросы проверки подлинности, что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу Azure MFA с помощью последней программы миграции, включенной в последнее обновление сервера MFA Azure. Дополнительные сведения см. в статье "Миграция сервера MFA Azure".

Сведения о начале работы с облачной многофакторной проверкой подлинности см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Удаление агента PhoneFactor

1. Сначала создайте резервную копию файла данных PhoneFactor. По умолчанию файл хранится в расположении C:\Program Files\PhoneFactor\Data\Phonefactor.pfdata.

2. Если установлен портал пользователя:

   1. Перейдите в папку установки и создайте резервную копию файла web.config. По умолчанию файл хранится в расположении C:\inetpub\wwwroot\PhoneFactor.

   2. Если вы добавили на портал настраиваемые темы, создайте резервную копию настраиваемой папки, которая хранится в каталоге C:\inetpub\wwwroot\PhoneFactor\App_Themes.

   3. Удалите портал пользователя с помощью агента Телефон Factor (доступно только при установке на том же сервере, что и агент Телефон Factor) или с помощью программ и компонентов Windows.

3. Если веб-служба мобильного приложения установлена:

   1. Перейдите в папку установки и создайте резервную копию файла web.config. По умолчанию файл хранится в расположении C:\inetpub\wwwroot\PhoneFactorPhoneAppWebService.

   2. Удалите веб-службу мобильного приложения через компонент "Программы и компоненты" в ОС Windows.

4. Если установлен пакет SDK для веб-службы, удалите его либо с помощью агента PhoneFactor, либо с помощью компонента «Программы и компоненты» в ОС Windows.

5. Удалите агент PhoneFactor с помощью компонента «Программы и компоненты» в ОС Windows.

Установка сервера Многофакторной идентификации

Путь установки берется из реестра предыдущей установки агента PhoneFactor, поэтому сервер должен установиться в то же расположение (например, C:\Program Files\PhoneFactor). В случае новой установки будет создан другой путь (например, C:\Program Files\Multi-Factor Authentication Server). Файл данных, оставшийся от агента PhoneFactor, будет обновлен во время установки, поэтому после установки нового сервера Многофакторной идентификации ваши пользователи и параметры будут в сохранности.

1. При появлении запроса активируйте сервер Многофакторной идентификации и убедитесь, что он назначен правильной группе репликации.

2. Если ранее был установлен пакет SDK для веб-службы, установите новый пакет SDK через пользовательский интерфейс сервера Многофакторной идентификации.

   Теперь у виртуального каталога по умолчанию будет имя MultiFactorAuthWebServiceSdk, а не PhoneFactorWebServiceSdk. Если вы хотите использовать предыдущее имя, измените имя виртуального каталога на этапе установки. В противном случае, если вы разрешаете установку использовать новое имя по умолчанию, необходимо изменить URL-адрес в любых приложениях, ссылающихся на пакет SDK веб-службы (например, на портале пользователя и веб-службе мобильных приложений), чтобы указать правильное расположение.

3. Если ранее портал пользователя был установлен на сервере агента Телефон Factor, установите новый портал пользователя многофакторной проверки подлинности через пользовательский интерфейс сервера многофакторной идентификации.

   Теперь у виртуального каталога по умолчанию будет имя MultiFactorAuth, а не PhoneFactor. Если вы хотите использовать предыдущее имя, измените имя виртуального каталога на этапе установки. В противном случае, если вы разрешаете установку использовать новое имя по умолчанию, щелкните значок пользовательского портала на сервере Многофакторной идентификации и обновите URL-адрес портала пользователя на вкладке Параметры.

4. Если веб-служба пользовательского портала и (или) мобильного приложения была установлена на другом сервере, отличном от агента Телефон Factor:

   1. Перейдите в папку установки (например, C:\Program Files\PhoneFactor) и скопируйте один или несколько установщиков на другой сервер. Есть 32-разрядные и 64-разрядные установщики для пользовательского портала и веб-службы мобильных приложений. Они называются MultiFactorAuthenticationUserPortalSetupXX.msi и MultiFactorAuthenticationMobileAppWebServiceSetupXX.msi.

   2. Чтобы установить портал пользователя на веб-сервере, откройте командную строку от имени администратора и запустите MultiFactorAuthenticationUserPortalSetupXX.msi.

      Теперь у виртуального каталога по умолчанию будет имя MultiFactorAuth, а не PhoneFactor. Если вы хотите использовать предыдущее имя, измените имя виртуального каталога на этапе установки. В противном случае, если вы разрешаете установку использовать новое имя по умолчанию, щелкните значок пользовательского портала на сервере Многофакторной идентификации и обновите URL-адрес пользовательского портала на вкладке Параметры. Существующие пользователи должны получать сведения о новом URL-адресе.

   3. Перейдите в расположение установки пользовательского портала (например, C:\inetpub\wwwroot\MultiFactorAuth) и измените файл конфигурации web.config. Скопируйте значения в разделах appSettings и applicationSettings из исходного файла web.config, резервная копия которого была создана до появления нового файла web.config. Если при установке пакета SDK для веб-службы вы оставили новое имя виртуального каталога по умолчанию, измените URL-адрес в разделе applicationSettings так, чтобы он указывал на правильное расположение. Если в предыдущем файле web.config были изменены еще какие-то значения по умолчанию, внесите такие же изменения в новый файл web.config.

Примечание.

После обновления старой версии сервера Azure MFA (до 8.0) до новой версии (выше 8.0) веб-службу мобильного приложения можно удалить.

Следующие шаги

• Установите пользовательский портал для сервера Многофакторной идентификации Azure.

• Настройте проверку подлинности Windows для приложений.