Migrera från federation till Microsoft Entra-certifikatbaserad autentisering (CBA)
Den här artikeln beskriver hur du migrerar från att köra federerade servrar, till exempel Active Directory Federation Services (AD FS) (AD FS) lokalt till molnautentisering med hjälp av Microsoft Entra-certifikatbaserad autentisering (CBA).
Stegvis distribution
En klientadministratör kan skära ned den federerade domänen helt till Microsoft Entra CBA utan pilottestning genom att aktivera CBA-autentiseringsmetoden i Microsoft Entra-ID:t och konvertera hela domänen till hanterad autentisering. Men om kunden vill testa en liten grupp användare som autentiserar mot Microsoft Entra CBA innan den fullständiga domänen klipps över till hanterad, kan de använda funktionen för stegvis distribution.
Stegvis distribution för certifikatbaserad autentisering (CBA) hjälper kunder att övergå från att utföra CBA på en federerad IdP till Microsoft Entra-ID genom att selektivt flytta en liten uppsättning användare till att använda CBA på Microsoft Entra ID (omdirigeras inte längre till federerad IdP) med valda användargrupper innan de konverterar domänkonfigurationen i Microsoft Entra-ID från federerad till hanterad. Stegvis distribution är inte utformat för att domänen ska förbli federerad under långa tidsperioder eller för stora mängder användare.
Titta på den här snabbvideon som visar migreringen från ADFS-certifikatbaserad autentisering till Microsoft Entra CBA
Not
När stegvis distribution är aktiverat för en användare betraktas användaren som en hanterad användare och all autentisering sker i Microsoft Entra-ID. För en federerad klientorganisation, om CBA är aktiverat vid stegvis distribution, fungerar lösenordsautentisering endast om PHS är aktiverat för annars misslyckas lösenordsautentiseringen.
Aktivera stegvis distribution för certifikatbaserad autentisering på din klientorganisation
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Följ dessa steg för att konfigurera stegvis distribution:
- Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
- Sök efter och välj Microsoft Entra Connect.
- På sidan Microsoft Entra Connect, under stegvis distribution av molnautentisering, klickar du på Aktivera stegvis distribution för hanterad användarinloggning.
- På funktionssidan Aktivera stegvis distribution klickar du på På för alternativet Certifikatbaserad autentisering
- Klicka på Hantera grupper och lägg till grupper som du vill ska ingå i molnautentiseringen. För att undvika en timeout kontrollerar du att säkerhetsgrupperna inte innehåller fler än 200 medlemmar från början.
Mer information finns i Stegvis distribution.
Använda Microsoft Entra Connect för att uppdatera attributet certificateUserIds
En AD FS-administratör kan använda Redigeraren för synkroniseringsregler för att skapa regler för att synkronisera värdena för attribut från AD FS till Microsoft Entra-användarobjekt. Mer information finns i Synkroniseringsregler för certificateUserIds.
Microsoft Entra Connect kräver en särskild roll med namnet Hybrid Identity Administrator, som ger nödvändiga behörigheter. Du behöver den här rollen för behörighet att skriva till det nya molnattributet.
Not
Om en användare använder synkroniserade attribut, till exempel attributet onPremisesUserPrincipalName i användarobjektet för användarnamnsbindning, bör du vara medveten om att alla användare som har administrativ åtkomst till Microsoft Entra Connect-servern kan ändra mappningen av synkroniserade attribut och ändra värdet för det synkroniserade attributet. Användaren behöver inte vara molnadministratör. AD FS-administratören bör se till att den administrativa åtkomsten till Microsoft Entra Connect-servern ska vara begränsad och att privilegierade konton ska vara endast molnbaserade konton.
Vanliga frågor och svar om migrering från AD FS till Microsoft Entra ID
Kan vi ha privilegierade konton med en federerad AD FS-server?
Även om det är möjligt rekommenderar Microsoft att privilegierade konton är molnbaserade konton. Användning av endast molnkonton för privilegierad åtkomst begränsar exponeringen i Microsoft Entra-ID från en komprometterad lokal miljö. Mer information finns i Skydda Microsoft 365 från lokala attacker.
Om en organisation är en hybrid som kör både AD FS och Azure CBA, är de fortfarande sårbara för AD FS-kompromissen?
Microsoft rekommenderar att privilegierade konton är molnbaserade konton. Den här metoden begränsar exponeringen i Microsoft Entra-ID från en komprometterad lokal miljö. Att underhålla privilegierade konton endast i molnet är grundläggande för det här målet.
För synkroniserade konton:
- Om de finns i en hanterad domän (inte federerad) finns det ingen risk från den federerade IdP:n.
- Om de finns i en federerad domän, men en delmängd av konton flyttas till Microsoft Entra CBA genom stegvis distribution, utsätts de för risker relaterade till federerad Idp tills den federerade domänen är helt växlad till molnautentisering.
Bör organisationer eliminera federerade servrar som AD FS för att förhindra möjligheten att pivoteras från AD FS till Azure?
Med federation kan en angripare personifiera vem som helst, till exempel en CIO, även om de inte kan få en molnbaserad roll som ett administratörskonto med hög behörighet.
När en domän federeras i Microsoft Entra-ID placeras en hög förtroendenivå på den federerade IdP:en. AD FS är ett exempel, men begreppet gäller för alla federerade IdP:er. Många organisationer distribuerar en federerad IdP, till exempel AD FS uteslutande för att utföra certifikatbaserad autentisering. Microsoft Entra CBA tar helt bort AD FS-beroendet i det här fallet. Med Microsoft Entra CBA kan kunderna flytta sin programegendom till Microsoft Entra ID för att modernisera sin IAM-infrastruktur och minska kostnaderna med ökad säkerhet.
Ur ett säkerhetsperspektiv sker ingen ändring av autentiseringsuppgifterna, inklusive X.509-certifikatet, CACs, PIV:er och så vidare, eller till PKI:n som används. PKI-ägarna behåller fullständig kontroll över livscykeln och principen för utfärdande och återkallande av certifikat. Återkallningskontrollen och autentiseringen sker vid Microsoft Entra-ID i stället för federerad Idp. Dessa kontroller möjliggör lösenordslös, nätfiskeresistent autentisering direkt till Microsoft Entra-ID för alla användare.
Hur fungerar autentisering med federerad AD FS- och Microsoft Entra-molnautentisering med Windows?
Microsoft Entra CBA kräver att användaren eller programmet anger Microsoft Entra UPN för användaren som loggar in.
I webbläsarexemplet skriver användaren oftast in sitt Microsoft Entra UPN. Microsoft Entra UPN används för sfär- och användaridentifiering. Certifikatet som används måste matcha användaren med hjälp av en av de konfigurerade användarnamnsbindningarna i principen.
Vid Windows-inloggning beror matchningen på om enheten är hybrid eller Microsoft Entra-ansluten. Men i båda fallen, om användarnamnstips tillhandahålls, skickar Windows tipset som ett Microsoft Entra UPN. Certifikatet som används måste matcha användaren med hjälp av en av de konfigurerade användarnamnsbindningarna i principen.