Migrera från MFA Server till Microsoft Entra multifaktorautentisering
Multifaktorautentisering är viktigt för att skydda din infrastruktur och dina tillgångar från dåliga aktörer. Azure Multi-Factor Authentication Server (MFA Server) är inte tillgängligt för nya distributioner och kommer att bli inaktuell. Kunder som använder MFA Server bör övergå till att använda molnbaserad Microsoft Entra multifaktorautentisering.
I den här artikeln förutsätter vi att du har en hybridmiljö där:
- Du använder MFA Server för multifaktorautentisering.
- Du använder federation på Microsoft Entra-ID med Active Directory Federation Services (AD FS) (AD FS) eller en annan federationsprodukt för identitetsprovider.
- Även om den här artikeln är begränsad till AD FS gäller liknande steg för andra identitetsprovidrar.
- MFA-servern är integrerad med AD FS.
- Du kan ha program som använder AD FS för autentisering.
Det finns flera möjliga sluttillstånd för migreringen, beroende på ditt mål.
| Mål: Inaktivera endast MFA-server | Mål: Inaktivera MFA Server och flytta till Microsoft Entra-autentisering | Mål: Inaktivera MFA-server och AD FS | |
|---|---|---|---|
| MFA-provider | Ändra MFA-provider från MFA Server till Microsoft Entra multifaktorautentisering. | Ändra MFA-provider från MFA Server till Microsoft Entra multifaktorautentisering. | Ändra MFA-provider från MFA Server till Microsoft Entra multifaktorautentisering. |
| Användarautentisering | Fortsätt att använda federation för Microsoft Entra-autentisering. | Flytta till Microsoft Entra-ID med synkronisering av lösenordshash (rekommenderas) eller genomströmningsautentisering och sömlös enkel inloggning (SSO). | Flytta till Microsoft Entra-ID med lösenordshashsynkronisering (rekommenderas) eller Genomströmningsautentisering och enkel inloggning. |
| Programautentisering | Fortsätt att använda AD FS-autentisering för dina program. | Fortsätt att använda AD FS-autentisering för dina program. | Flytta appar till Microsoft Entra-ID innan du migrerar till Microsoft Entra multifaktorautentisering. |
Om du kan kan du flytta både multifaktorautentiseringen och användarautentiseringen till Azure. Stegvis vägledning finns i Flytta till Microsoft Entra multifaktorautentisering och Microsoft Entra-användarautentisering.
Om du inte kan flytta användarautentiseringen kan du läsa den stegvisa vägledningen för att flytta till Microsoft Entra multifaktorautentisering med federation.
Förutsättningar
- AD FS-miljö (krävs om du inte migrerar alla dina appar till Microsoft Entra innan du migrerar MFA Server)
- Uppgradera till AD FS för Windows Server 2019, Beteendenivå för servergrupp (FBL) 4. Med den här uppgraderingen kan du välja autentiseringsprovider baserat på gruppmedlemskap för en smidigare användarövergång. Även om det är möjligt att migrera i AD FS för Windows Server 2016 FBL 3 är det inte lika smidigt för användarna. Under migreringen uppmanas användarna att välja en autentiseringsprovider (MFA Server eller Microsoft Entra multifaktorautentisering) tills migreringen är klar.
- Behörigheter
- Företagsadministratörsroll i Active Directory för att konfigurera AD FS-servergrupp för Microsoft Entra multifaktorautentisering
- En global administratör krävs för att hantera den här funktionen.
Överväganden för alla migreringsvägar
Att migrera från MFA Server till Microsoft Entra multifaktorautentisering innebär mer än att bara flytta de registrerade MFA-telefonnumren. Microsofts MFA-server kan integreras med många system och du måste utvärdera hur dessa system använder MFA Server för att förstå de bästa sätten att integrera med Microsoft Entra multifaktorautentisering.
Migrera MFA-användarinformation
Vanliga sätt att tänka på att flytta användare i batchar är att flytta dem efter regioner, avdelningar eller roller som administratörer. Du bör flytta användarkonton iterativt, börja med test- och pilotgrupper och se till att du har en återställningsplan på plats.
Du kan använda migreringsverktyget för MFA Server för att synkronisera MFA-data som lagras i den lokala Azure MFA-servern till Microsoft Entra multifaktorautentisering och använda stegvis distribution för att omdirigera användare till Azure MFA. Stegvis distribution hjälper dig att testa utan att göra några ändringar i domänfederationsinställningarna.
Om du vill hjälpa användarna att skilja det nyligen tillagda kontot från det gamla kontot som är länkat till MFA-servern kontrollerar du att kontonamnet för mobilappen på MFA-servern namnges på ett sätt som särskiljer de två kontona. Till exempel har kontonamnet som visas under Mobilapp på MFA-servern bytt namn till lokal MFA-server. Kontonamnet på Microsoft Authenticator ändras med nästa push-meddelande till användaren.
Att migrera telefonnummer kan också leda till att inaktuella nummer migreras och gör det mer sannolikt att användarna stannar kvar på telefonbaserad MFA i stället för att konfigurera säkrare metoder som Microsoft Authenticator i lösenordslöst läge. Vi rekommenderar därför att alla användare registrerar sig för kombinerad säkerhetsinformation oavsett vilken migreringsväg du väljer.
Migrera maskinvarusäkerhetsnycklar
Microsoft Entra ID har stöd för OATH-maskinvarutoken. Du kan använda migreringsverktyget för MFA Server för att synkronisera MFA-inställningar mellan MFA Server och Microsoft Entra multifaktorautentisering och använda stegvis distribution för att testa användarmigreringar utan att ändra domänfederationsinställningarna.
Om du bara vill migrera OATH-maskinvarutoken måste du ladda upp token till Microsoft Entra-ID med hjälp av en CSV-fil, som vanligtvis kallas "seed file". Startfilen innehåller hemliga nycklar, tokenserienummer och annan nödvändig information som behövs för att ladda upp token till Microsoft Entra-ID.
Om du inte längre har startfilen med hemliga nycklar går det inte att exportera hemliga nycklar från MFA Server. Om du inte längre har åtkomst till de hemliga nycklarna kontaktar du maskinvaruleverantören för support.
MFA Server Web Service SDK kan användas för att exportera serienumret för alla OATH-token som tilldelats till en viss användare. Du kan använda den här informationen tillsammans med startfilen för att importera token till Microsoft Entra-ID och tilldela OATH-token till den angivna användaren baserat på serienumret. Användaren måste också kontaktas vid importtillfället för att kunna ange OTP-information från enheten för att slutföra registreringen. Se hjälpfilsavsnittet GetUserInfo>userSettings>OathTokenSerialNumber i Multi-Factor Authentication Server på din MFA-server.
Fler migreringar
Beslutet att migrera från MFA Server till Microsoft Entra multifaktorautentisering öppnar dörren för andra migreringar. Att slutföra fler migreringar beror på många faktorer, bland annat:
- Din vilja att använda Microsoft Entra-autentisering för användare
- Din vilja att flytta dina program till Microsoft Entra-ID
Eftersom MFA Server är en integrerad del av både program- och användarautentisering bör du överväga att flytta båda dessa funktioner till Azure som en del av MFA-migreringen och slutligen inaktivera AD FS.
Våra rekommendationer:
- Använd Microsoft Entra-ID för autentisering eftersom det möjliggör mer robust säkerhet och styrning
- Flytta program till Microsoft Entra-ID om möjligt
Om du vill välja den bästa användarautentiseringsmetoden för din organisation läser du Välj rätt autentiseringsmetod för din Hybrididentitetslösning för Microsoft Entra. Vi rekommenderar att du använder synkronisering av lösenordshash (PHS).
Lösenordsfri autentisering
Som en del av registreringen av användare för att använda Microsoft Authenticator som en andra faktor rekommenderar vi att du aktiverar lösenordslös telefoninloggning som en del av registreringen. Mer information, inklusive andra lösenordslösa metoder som FIDO2-säkerhetsnycklar och Windows Hello för företag finns i Planera en distribution av lösenordsfri autentisering med Microsoft Entra-ID.
Självbetjäning av lösenordsåterställning i Microsoft Identity Manager
Microsoft Identity Manager (MIM) SSPR kan använda MFA Server för att anropa SMS engångslösenord som en del av flödet för lösenordsåterställning. MIM kan inte konfigureras för att använda Microsoft Entra multifaktorautentisering. Vi rekommenderar att du utvärderar flytten av SSPR-tjänsten till Microsoft Entra SSPR. Du kan använda möjligheten för användare som registrerar sig för Microsoft Entra multifaktorautentisering att använda den kombinerade registreringsupplevelsen för att registrera sig för Microsoft Entra SSPR.
Om du inte kan flytta din SSPR-tjänst eller om du använder MFA Server för att anropa MFA-begäranden för PAM-scenarier (Privileged Access Management) rekommenderar vi att du uppdaterar till ett alternativt MFA-alternativ från tredje part.
RADIUS-klienter och Microsoft Entra multifaktorautentisering
MFA Server stöder RADIUS för att anropa multifaktorautentisering för program och nätverksenheter som stöder protokollet. Om du använder RADIUS med MFA Server rekommenderar vi att du flyttar klientprogram till moderna protokoll som SAML, OpenID Connect eller OAuth på Microsoft Entra ID. Om programmet inte kan uppdateras kan du distribuera nätverksprincipservern (NPS) med multifaktorautentiseringstillägget Microsoft Entra. NPS-tillägget (network policy server) fungerar som ett kort mellan RADIUS-baserade program och Microsoft Entra multifaktorautentisering för att tillhandahålla en andra autentiseringsfaktor. Med den här "adaptern" kan du flytta RADIUS-klienterna till Microsoft Entra multifaktorautentisering och inaktivera MFA-servern.
Viktiga överväganden
Det finns begränsningar när du använder NPS för RADIUS-klienter, och vi rekommenderar att du utvärderar eventuella RADIUS-klienter för att avgöra om du kan uppgradera dem till moderna autentiseringsprotokoll. Kontakta tjänstleverantören om det finns produktversioner som stöds och deras funktioner.
- NPS-tillägget använder inte principer för villkorsstyrd åtkomst i Microsoft Entra. Om du håller dig till RADIUS och använder NPS-tillägget kräver alla autentiseringsbegäranden som går till NPS att användaren utför MFA.
- Användare måste registrera sig för Microsoft Entra multifaktorautentisering innan de använder NPS-tillägget. I annat fall misslyckas tillägget med att autentisera användaren, vilket kan generera supportsamtal.
- När NPS-tillägget anropar MFA skickas MFA-begäran till användarens standardmetod för MFA.
- Eftersom inloggningen sker i program som inte är från Microsoft kan användaren ofta inte se ett visuellt meddelande om att multifaktorautentisering krävs och att en begäran har skickats till deras enhet.
- Under kravet på multifaktorautentisering måste användaren ha åtkomst till sin standardautentiseringsmetod för att uppfylla kravet. De kan inte välja en alternativ metod. Deras standardautentiseringsmetod används även om den är inaktiverad i autentiseringsmetoderna för klientorganisationen och principer för multifaktorautentisering.
- Användare kan ändra sin standardmetod för multifaktorautentisering på sidan Säkerhetsinformation (aka.ms/mysecurityinfo).
- Tillgängliga MFA-metoder för RADIUS-klienter styrs av klientsystemen som skickar RADIUS-åtkomstbegäranden.
- MFA-metoder som kräver användarindata när de har angett ett lösenord kan endast användas med system som stöder svar på åtkomstutmaningar med RADIUS. Indatametoder kan omfatta OTP, oath-maskinvarutoken eller Microsoft Authenticator.
- Vissa system kan begränsa tillgängliga metoder för multifaktorautentisering till Push-meddelanden och telefonsamtal från Microsoft Authenticator.
Not
Algoritmen för lösenordskryptering som används mellan RADIUS-klienten och NPS-systemet och de indatametoder som klienten kan använda påverkar vilka autentiseringsmetoder som är tillgängliga. Mer information finns i Ta reda på vilka autentiseringsmetoder användarna kan använda.
Vanliga RADIUS-klientintegreringar omfattar program som Fjärrskrivbordsgatewayer och VPN-servrar. Andra kan vara:
- Citrix Gateway
- Citrix Gateway stöder både RADIUS- och NPS-tilläggsintegrering och saml-integrering.
- Cisco VPN
- Cisco VPN stöder både RADIUS- och SAML-autentisering för enkel inloggning.
- Genom att gå från RADIUS-autentisering till SAML kan du integrera Cisco VPN utan att distribuera NPS-tillägget.
- Alla VPN:er
- Vi rekommenderar att du federerar ditt VPN som en SAML-app om möjligt. Med den här federationen kan du använda villkorsstyrd åtkomst. Mer information finns i en lista över VPN-leverantörer som är integrerade i Microsoft Entra ID-appgalleriet .
Resurser för att distribuera NPS
- Lägga till ny NPS-infrastruktur
- Metodtips för NPS-distribution
- Hälsokontrollskript för Microsoft Entra-multifaktorautentisering för NPS-tillägg
- Integrera befintlig NPS-infrastruktur med Microsoft Entra multifaktorautentisering