将 Active Directory 联合服务器迁移到 Microsoft Entra 时的常见问题解答

Microsoft Entra ID 使用强身份验证和基于风险的实时自适应访问策略授予资源访问权限，为所有资源和应用提供简单的基于云的登录体验，可以降低 AD FS 环境的管理和运维成本，并提高 IT 效率。

有关为何应从 AD FS 升级到 Microsoft Entra ID 的详细信息，请访问从 AD FS 迁移到 Microsoft Entra ID。 请参阅从联合身份验证迁移到云身份验证了解如何从 AD FS 升级。

一般问题

本文档提供有关从 AD FS 迁移到 Microsoft Entra ID 时的常见问题解答。

是否可以与密码哈希同步或直通身份验证一起运行 AD FS？

可以。 这种情况很常见。 使用分阶段推出可帮助你验证一部分用户能否在域保持联合状态的同时直接向 Microsoft Entra ID 进行身份验证。 文档从联合身份验证迁移到云身份验证可引导你完成该过程。

在内部通过 AD FS 访问站点时，用户将获得单一登录体验。 迁移到 Microsoft Entra ID 时如何保留相同的体验？

有几种方法可以做到这一点。 第一种方法（也是建议的方法）是将现有已加入 Windows 10/11 域的计算机加入混合 Microsoft Entra，或使用 Microsoft Entra 加入。 这样你就可以获得相同的无缝单一登录体验。 第二种方法是对未加入混合 Microsoft Entra 的计算机或下层 Windows 客户端利用无缝单一登录，这样就仍可获得相同的体验。

我正在使用 AD FS 设备声明注册已加入混合 Microsoft Entra 的设备。 如何让设备继续使用 AD FS 完成其混合 AADJ 过程？

可以按照配置混合 Microsoft Entra 加入过程，让设备在不使用 AD FS 的情况下完成注册过程。

我在 AD FS 中有授权规则。 在 Microsoft Entra ID 中执行此操作的等效方式是什么？

这些规则相当于 Microsoft Entra 条件访问策略。 可以从多个预生成的模板策略着手。

将用户分配到分阶段推出组时，其当前会话是否受影响并被迫重新进行身份验证？

否，他们的当前会话将保持有效，下次需要身份验证时，他们将使用托管身份验证而不是联合身份验证。

我与另一家公司建立了声明提供程序信任关系以便能够访问资源。 如何转移此信任关系？

应考虑利用 Microsoft Entra B2B 来实现相同的身份验证访问。

Microsoft Entra ID 是否支持我们的自定义声明规则？

是，具体取决于所需的规则。 最佳调查位置是使用 AD FS 应用程序活动报告，然后了解如何自定义 SAML 声明

将域从联合域切换到托管域后，更改需要多长时间才能生效？

最长可能需要 4 个小时才能完全切换，因此请相应地规划好维护时段

使用 O365 是否需要 AD FS？

否，O365 可以直接进行身份验证，而无需 ADFS。

将应用程序配置移动到 Microsoft Entra ID 后，是否需要执行其他操作才能完成迁移？

是的，在将应用本身重新配置（直接转换）以使用 Microsoft Entra ID 之前，应用程序到 Microsoft Entra 的迁移不会完成。

如果用户要使用其电子邮件地址或用户主体名称 (UPN) 登录，是否需要 ADFS？

否，Microsoft Entra ID 支持使用电子邮件地址或用户主体名称登录。

后续步骤

• AD FS 解除授权指南