通过

通过分阶段推出的方式迁移到云身份验证

分阶段推出允许使用所选用户组逐步测试云身份验证功能。 这些功能包括Microsoft Entra 多重身份验证、条件访问、凭据泄露的标识保护、标识治理等。 此方法允许你在完全转换域之前验证功能和用户体验。

在开始分阶段推出之前,如果满足以下一个或多个条件,就应当考虑影响:

  • 当前正在使用本地多重身份验证服务器。
  • 使用智能卡进行身份验证。
  • 当前服务器提供某些仅限联合的功能。
  • 你要从第三方联合解决方案迁移到托管服务。

在尝试此功能之前,建议查看有关选择正确身份验证方法的指南。 有关详细信息,请参阅为 Microsoft Entra 混合标识解决方案选择正确的身份验证方法中的“比较方法”表。

有关功能概述,请观看这个“什么是分阶段推出?”视频:

先决条件

  • 你有一个包含联合域 Microsoft Entra 租户。

  • 你已决定移动以下选项之一:

    对于这两个选项,建议启用单一登录 (SSO) 以实现静默登录体验。 对于加入域的 Windows 7 或 8.1 设备,建议使用无缝 SSO。 有关详细信息,请参阅什么是无缝 SSO。 对于 Windows 10、Windows Server 2016 及更高版本,请通过 主刷新令牌(PRT)使用 SSO。 对于 Microsoft Entra 加入的设备Microsoft Entra 混合加入的设备个人注册的设备,请使用“添加工作或学校帐户”。

  • 需要配置要迁移到云身份验证的用户所需的所有租户品牌和条件访问策略。

  • 如果从联合身份验证移动到云身份验证,则必须验证 DirSync 设置 synchronizeUpnForManagedUsersEnabled 是否已设置为 true,否则Microsoft Entra ID 不允许将更新同步到使用托管身份验证的许可用户帐户的 UPN 或备用登录 ID。 有关详细信息,请参阅 Microsoft Entra Connect Sync 服务功能

  • 如果计划使用 Microsoft Entra 多重身份验证,建议启用 合并注册。 这样,用户就可以为自助密码重置(SSPR)和多重身份验证注册一次身份验证方法。 注意 - 在分阶段推出期间使用 SSPR 重置密码或使用“MyProfile”页更改密码时,Microsoft Entra Connect 在密码重置后需要同步新的密码哈希,这可能最多需要 2 分钟的时间。

  • 若要使用分阶段推出功能,您需要拥有租户的混合标识管理员权限。

  • 若要在特定 Active Directory 林上启用无缝 SSO,你必须是域管理员。

  • 如果要部署混合 Microsoft Entra ID 或 Microsoft Entra 联接,则必须升级到 Windows 10 1903 更新。

支持的方案

分阶段推出支持以下场景。 该功能仅适用于:

  • 使用 Microsoft Entra Connect 预配到 Microsoft Entra ID 的用户。 它不适用于纯云用户。

  • 浏览器和新式身份验证客户端上的用户登录流量。 使用旧身份验证的应用程序或云服务将回退到联合身份验证流。 例如,关闭了新式身份验证的 Exchange Online 或不支持新式身份验证的 Outlook 2010 是旧身份验证。

  • 分阶段推出支持任意规模的组,只要它们符合 Microsoft Entra 目录服务限制和限制

  • 如果用户的 UPN 可路由,并且域后缀已在 Microsoft Entra ID 中验证,则对于 Windows 10 版本 1903 和更高版本,Windows 10 混合加入或 Microsoft Entra 加入主刷新令牌获取在联合服务器视线以外。

  • Windows 10 版本 1909 或更高版本在分阶段推出时支持 Autopilot 注册。

不支持的方案

分阶段推出不支持以下方案:

  • 不支持 POP3 和 SMTP 等旧式身份验证。

  • 某些应用程序在身份验证过程中会将“domain_hint”查询参数发送到 Microsoft Entra ID。 这些流会继续运行,允许进行分阶段推出的用户可继续使用联合身份验证。

  • 管理员可以使用安全组来推出云身份验证。 为了避免在使用本地 Active Directory 安全组时出现同步延迟,建议使用云安全组。 下列条件适用:

    • 每个功能最多可以使用 10 个组。 也就是说,密码哈希同步、直通身份验证和无缝 SSO 各可以使用 10 个组。
    • 不支持嵌套组。
    • 分阶段推出不支持动态组。
    • 组内的联系人对象会阻止添加组。

  • 首次为分阶段推出添加安全组时,限制于 200 个用户,以避免 UX 超时。添加组后,可以根据需要直接向其添加更多用户。

  • 当用户处于使用密码哈希同步 (PHS) 的阶段性推出阶段时,默认情况下不会应用密码过期。 可以通过启用“CloudPasswordPolicyForPasswordSyncedUsersEnabled”应用密码过期策略。 如果已启用“CloudPasswordPolicyForPasswordSyncedUsersEnabled”,则密码过期策略将设置为自本地设置密码后 90 天内,没有选项可自定义该策略。 当用户处于分阶段推出状态时,不支持以编程方式更新 PasswordPolicies 属性。 要了解如何启用“CloudPasswordPolicyForPasswordSyncedUsersEnabled”,请查看密码过期策略

  • 适用于低于 1903 的 Windows 10 版本的 Windows 10 混合加入或 Microsoft Entra 加入主刷新令牌获取。 此方案将回退到联合服务器的 WS-Trust 终结点,即使用户登录在分阶段推出的范围内发生。

  • 如果用户的本地 UPN 不可路由,则对于所有版本,将获取 Windows 10 混合联接或 Microsoft Entra 联接主刷新令牌。 此方案会回退到处于“分阶段推出”模式的 WS-Trust 终结点,但会在分阶段迁移完成时停止工作,此时用户登录不再依赖于联合服务器。

  • 如果在 Windows 10 版本 1903 或更高版本中使用非永久性 VDI 设置,则必须保留在联合域中。 非持久性 VDI 不支持迁移到托管域。 有关详细信息,请参阅设备标识和桌面虚拟化

  • 如果使用 Windows Hello 企业版混合证书信任,且证书是通过联合服务器以注册机构或智能卡用户身份颁发的,则分阶段推出不支持该方案。

    注意

    仍需要使用 Microsoft Entra Connect 或 PowerShell 进行从联合身份验证到云身份验证的最终直接转换。 分阶段部署不会将域从联合域切换到托管域。 有关域切换的详细信息,请参阅从联合迁移到密码哈希同步从联合迁移到传递身份验证

分阶段推出入门

若要使用分阶段推出测试密码哈希同步登录,请遵循下一部分中的准备工作说明。

有关要使用的 PowerShell cmdlet 的信息,请参阅 Microsoft Entra ID 2.0 预览版

密码哈希同步的准备工作

  1. 通过 Microsoft Entra Connect 中的“可选功能”页启用密码哈希同步。 

    Microsoft Entra Connect 中“可选功能”页的屏幕截图

  2. 请确保已运行完整的密码哈希同步循环,以便将所有用户的密码哈希同步到 Microsoft Entra ID。 要检查密码哈希同步的状态,可以使用通过 Microsoft Entra Connect 同步排查密码哈希同步问题中的 PowerShell 诊断。

    Microsoft Entra Connect 故障排除日志的屏幕截图

如果要使用分阶段推出测试直通身份验证登录,请按照下一部分中的准备工作说明启用该功能。

直通身份验证的准备工作

  1. 识别运行 Windows Server 2012 R2 或更高版本的服务器,你希望在该服务器上运行直通身份验证代理。

    不要选择 Microsoft Entra Connect 服务器。 确保服务器已加入域,可以通过 Active Directory 对所选用户进行身份验证,并且可以在出站端口和 URL 上与 Microsoft Entra ID 通信。 有关详细信息,请参阅快速入门:Microsoft Entra 无缝单一登录中的“步骤 1:检查先决条件”部分。

  2. 下载 Microsoft Entra Connect 身份验证代理,并将其安装在服务器上。 

  3. 若要启用高可用性,请在其他服务器上安装额外的身份验证代理。

  4. 请确保已正确配置智能锁定设置。 这样做有助于确保用户的本地 Active Directory 帐户不会被恶意行为者锁定。

建议无论为分阶段推出选择哪种登录方法(密码哈希同步或传递身份验证),都启用无缝 SSO。 若要启用无缝 SSO,请遵循下一部分中的准备工作说明。

无缝 SSO 的准备工作

使用 PowerShell 在 Active Directory 林中启用无缝 SSO。 如果您有多个 Active Directory 林,请单独为每个林启用它。 只会为已选择对其进行分阶段推出的用户触发无缝 SSO。 这不会影响现有联盟设置。

通过执行以下任务,启用无缝 SSO:

  1. 登录到 Microsoft Entra Connect 服务器。

  2. 转到“%programfiles%\Microsoft Entra Connect”文件夹。

  3. 使用以下命令导入无缝 SSO PowerShell 模块:

    Import-Module .\AzureADSSO.psd1

  4. 以管理员身份运行 PowerShell。 在 PowerShell 中,调用 New-AzureADSSOAuthenticationContext。 此命令将打开一个窗格,可以在其中输入租户的混合标识管理员凭据。

  5. 调用 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令将显示已启用此功能的 Active Directory 森林列表(请查看“域”列表)。 默认情况下,它在租户级别设置为 false。

    PowerShell 输出示例

  6. 调用 $creds = Get-Credential。 出现提示时,输入目标 Active Directory 林的域管理员凭据。

  7. 调用 Enable-AzureADSSOForest -OnPremCredentials $creds。 此命令从本地域控制器为无缝 SSO 所需的 Active Directory 林创建 AZUREADSSOACC 计算机帐户。

  8. 无缝 SSO 要求 URL 位于 Intranet 区域中。 要使用组策略部署这些 URL,请参阅快速入门:Microsoft Entra 无缝单一登录

  9. 如需完整的演练,还可以下载我们的 无缝 SSO 部署计划

启用分阶段推出

若要将特定功能(直通身份验证、密码哈希同步或无缝 SSO)推出到组中的一群用户,请遵循后续部分中的说明。

在租户上启用特定功能的分阶段推出

可以推出下列选项:

  • 密码哈希同步无缝 SSO +
  • 直通身份验证无缝 SSO +
  • 不支持 - 密码哈希同步 + 直通身份验证 + 无缝SSO
  • 基于证书的身份验证设置
  • Azure 多重身份验证

若要配置分阶段推出,请执行以下步骤:

  1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>Entra Connect>Connect 同步

  3. 在“Microsoft Entra Connect”页面的“云身份验证分阶段推出”下,选择“为托管用户登录启用分阶段推出”链接。

  4. 在“启用分阶段推出功能”页上,选择要启用的选项:密码哈希同步直通身份验证无缝单一登录基于证书的身份验证。 例如,如果要启用“密码哈希同步”和“无缝单一登录”,请将两个控件都滑动到“开”。

  5. 将组添加到所选功能。 例如,直通身份验证和无缝 SSO。 若要避免超时,请确保安全组最初仅包含至多 200 个成员。

    注意

    将自动为组中成员启用分阶段推出。 分阶段推出不支持嵌套和动态成员资格组。 添加新组时,该组中的用户(一个新组最多可包含 200 个用户)将立即更新为使用托管身份验证。 编辑某个组(添加或删除用户)后,最长可能需要在 24 小时后更改才会生效。 仅当用户位于“无缝 SSO”组以及“PTA”或“PHS”组中时,才会应用无缝 SSO。

分阶段推出转换期间的用户身份验证行为

当用户被添加到分阶段推出(Staged Rollout,SR)组中,或当其所属的组被添加到分阶段推出中时,他们的身份验证方法将从联合身份验证转换为托管身份验证。 当用户使用现有的联合登录完成一个交互式登录后,此更改将生效。 登录后,Microsoft Entra 将托管身份验证体验应用于后续登录。

同样,当用户从 SR 组中删除或从 SR 中删除其组时,他们将继续使用托管身份验证,直到他们完成一次交互式登录。 之后,将重新应用联合身份验证,将来的登录将重定向到联合标识提供者。

此行为可确保在身份验证方法之间无缝转换,同时保持用户访问连续性和安全性。

审核

对于为分阶段推出而执行的各种操作,已启用审核事件:

  • 为密码哈希同步、传递身份验证或无缝 SSO 启用分阶段推出时审核事件。

    注意

    使用分阶段推出启用无缝 SSO 时,将记录审核事件。

    “为功能创建推出策略”窗格 -“活动”选项卡

    “为功能创建推出策略”窗格 -“已修改的属性”选项卡

  • 将组添加到密码哈希同步、直通身份验证或无缝 SSO 时审核事件。

    注意

    将组添加到密码哈希同步以实现分阶段推出时,记录审核事件。

    “向功能推出添加组”窗格 -“活动”选项卡

    “向功能推出添加组”窗格 -“已修改的属性”选项卡

  • 为添加到组中的用户启用分阶段推出时,审核事件。

    “向功能推出添加用户”窗格 -“活动”选项卡

    “向功能推出添加用户”窗格 -“目标”选项卡

验证

若要测试密码哈希同步登录或直通身份验证登录(用户名和密码登录),请执行以下任务:

  1. 在 Extranet 上,在私密浏览器会话中转到应用页面,然后输入已选择要进行分阶段推出的用户帐户的 UserPrincipalName (UPN)。

    不会将已设为分阶段推出目标的用户重定向到联合登录页。 相反,系统会要求他们在 Microsoft Entra 租户品牌的登录页上登录。

  2. 通过使用 UserPrincipalName 进行筛选,确保登录成功显示在 Microsoft Entra 登录活动报告中。

测试无缝 SSO 登录:

  1. 在 Intranet 上,使用浏览器会话转到应用页面,然后输入已选择要进行分阶段推出的用户帐户的 UserPrincipalName (UPN)。

    对于已设为无缝 SSO 分阶段推出目标的用户,会先显示“正在尝试登录...”消息,然后会以无提示方式将其登录。

  2. 通过使用 UserPrincipalName 进行筛选,确保登录成功显示在 Microsoft Entra 登录活动报告中。

    若要跟踪所选分阶段推出用户仍使用 Active Directory 联合身份验证服务 (AD FS) 进行的用户登录,请遵循 AD FS 排除故障:事件和日志记录中的说明。 查看有关如何在第三方联合身份验证提供程序上检查此项的供应商文档。

    注意

    当用户使用 PHS 进行分阶段推出时,由于同步时间的原因,更改密码可能需要 2 分钟才能生效。 请确保与用户一同设定期望,以避免他们在更改密码后致电支持人员。

监视

可以使用 Microsoft Entra 管理中心中的全新混合身份验证工作簿,监视在分阶段推出中添加或删除的用户和组,以及用户在分阶段推出期间的登录情况。

混合身份验证工作簿

从分阶段推出中删除用户

将用户从群组中删除会禁用该用户的分阶段推出功能。 若要禁用分阶段推出功能,请将控件滑回“关”。

重要

在分阶段推出基于证书的身份验证时,当从组中移除用户且该用户已使用证书登录 Windows 设备时,建议在 Entra ID 中继续为基于证书的身份验证方法启用该用户。 从分阶段推出中移除后,用户应让基于证书的身份验证保持启用状态足够长的时间,以便用户可以登录 Windows 并使用联合标识提供者刷新其主刷新令牌。

常见问题

问:能否在生产中使用此功能?

A:是的,可以在生产租户中使用此功能,但建议首先在测试租户中试用。

问:此功能能否用于维持永久“共存状态”,即某些用户使用联合身份验证、其他用户使用云身份验证的情况?

答:不能,此功能旨在用于测试云身份验证。 在成功测试几组用户后,应切换为云身份验证。 建议不要使用永久混合状态,因为这种方法可能导致意外的身份验证流。

问:可以使用 PowerShell 执行分阶段推出吗?

答:是的。 要了解如何使用 PowerShell 执行分阶段推出,请参阅 Microsoft Entra ID 预览版

后续步骤