使用分段推出移轉至雲端驗證

分段推出可讓您選擇性地測試具有雲端驗證功能的使用者群組,例如 Microsoft Entra 多重要素驗證、條件式存取、身分識別保護,以取得外泄的認證、身分識別治理和其他認證,再剪下您的網域。 本文討論如何進行切換。

開始分段推出之前,如果下列一或多個條件成立,您應該考慮影響:

  • 您目前使用內部部署 Multi-Factor Authentication Server。
  • 您使用智慧卡進行驗證。
  • 您目前的伺服器提供特定的僅限同盟功能。
  • 您正從第三方同盟解決方案移至受控服務。

嘗試這項功能之前,建議您先檢閱我們選擇正確驗證方法的指南。 如需詳細資訊,請參閱選擇 Microsoft Entra 混合式身分識別解決方案的正確驗證方法中的表格。

如需功能的概觀,請檢視此「什麼是分段推出?」影片:

必要條件

  • 您有具有同盟網域的 Microsoft Entra 租 使用者

  • 您已決定移動下列其中一個選項:

    針對這兩個選項,我們建議啟用單一登錄 (SSO) 以達到無訊息登入體驗。 針對已加入網域的 Windows 7 或 8.1 裝置,我們建議使用無縫 SSO。 如需詳細資訊,請參閱 什麼是無縫 SSO。 針對 Windows 10、Windows Server 2016 和更新版本,建議透過已加入 Microsoft Entra 的裝置、Microsoft Entra 混合式已加入裝置或透過新增公司或學校帳戶,透過主要重新整理令牌 (PRT) 使用 SSO。

  • 您已設定移轉至雲端驗證的使用者所需的所有租使用者品牌和條件式存取原則。

  • 如果您已從同盟移至雲端驗證,您必須確認已啟用 DirSync 設定 SynchronizeUpnForManagedUsers ,否則 Microsoft Entra ID 不允許同步更新至 UPN 或使用受控驗證的授權使用者帳戶的替代登入標識符。 如需詳細資訊,請參閱 Microsoft Entra 連線 Sync 服務功能

  • 如果您打算使用 Microsoft Entra 多重要素驗證,建議您使用 自助式密碼重設合併註冊 (SSPR) 和多重要素驗證 ,讓用戶註冊其驗證方法一次。 注意- 使用 SSPR 在分段推出期間使用 MyProfile 頁面重設密碼或變更密碼時,Microsoft Entra 連線 需要同步處理新密碼哈希,在重設後最多可能需要 2 分鐘的時間。

  • 若要使用分段推出功能,您必須是租使用者上的混合式身分識別 管理員 istrator。

  • 若要在特定 Active Directory 樹系上啟用 無縫 SSO ,您必須是網域管理員。

  • 如果您要部署混合式 Microsoft Entra ID 或 Microsoft Entra Join,則必須升級至 Windows 10 1903 更新。

支援的案例

分段推出支援下列案例。 此功能僅適用於:

  • 使用 Microsoft Entra 連線 布建至 Microsoft Entra 識別碼的使用者。 它不適用於僅限雲端的使用者。

  • 瀏覽器和 新式驗證 用戶端上的使用者登入流量。 使用 舊版驗證 的應用程式或雲端服務會回復為同盟驗證流程。 舊版驗證的範例可能是已關閉新式驗證的 Exchange Online,或不支援新式驗證的 Outlook 2010。

  • 群組大小目前限制為50,000位使用者。 如果您有大於50,000個使用者的群組,建議您將此群組分割成多個分段推出群組。

  • Windows 10 混合式聯結或 Microsoft Entra Join 主要重新整理令牌取得,但無法看見 Windows 10 1903 版和更新版本的同盟伺服器,當使用者的 UPN 可路由傳送,且網域後綴會在 Microsoft Entra ID 中驗證時。

  • Windows 10 版本 1909 或更新版本的分段推出支援 Autopilot 註冊。

不支援的情節

分段推出不支援下列案例:

  • 不支援傳統驗證,例如 POP3 和 SMTP。

  • 某些應用程式會在驗證期間將 「domain_hint」 查詢參數傳送至 Microsoft Entra ID。 這些流程會繼續,且已啟用分段推出的用戶會繼續使用同盟進行驗證。

  • 管理員 可以使用安全組推出雲端驗證。 若要避免使用 內部部署的 Active Directory 安全組時的同步延遲,建議您使用雲端安全組。 適用於下列條件:

    • 每個功能最多可以使用10個群組。 也就是說,您可以針對密碼哈希同步處理、傳遞驗證無縫 SSO 使用 10 個群組。
    • 不支援巢狀群組。
    • 分段推出不支持動態群組。
    • 群組內的聯繫人對象會封鎖要新增的群組。
  • 當您第一次新增分段推出安全組時,您限製為200位使用者,以避免UX逾時。新增群組之後,您可以視需要直接將更多使用者新增至該群組。

  • 當使用者使用密碼哈希同步處理進行分段推出時,預設不會套用密碼到期。 您可以啟用 「CloudPasswordPolicyForPasswordSyncedUsersEnabled」 來套用密碼到期。 啟用 「CloudPasswordPolicyForPasswordSyncedUsersEnabled」 時,密碼到期原則會設定為從內部部署設定密碼的 90 天,且沒有自定義的選項。 當用戶處於分段推出階段時,不支援以程序設計方式更新PasswordPolicies屬性。 若要瞭解如何設定 『CloudPasswordPolicyForPasswordSyncedUsersEnabled』,請參閱 密碼到期原則

  • Windows 10 混合式聯結或 Microsoft Entra Join 主要重新整理令牌擷取 1903 之前的 Windows 10 版本。 此案例會回復為同盟伺服器的 WS-Trust 端點,即使使用者登入是在分段推出範圍內也一樣。

  • 當用戶的內部部署 UPN 無法路由時,Windows 10 混合式聯結或 Microsoft Entra join 主要重新整理令牌取得所有版本。 此案例會在階段式推出模式中回復為 WS-Trust 端點,但在分段移轉完成且使用者登入不再依賴同盟伺服器時停止運作。

  • 如果您有 Windows 10 版本 1903 或更新版本的非持續 VDI 安裝程式,則必須保留在同盟網域上。 非受控 VDI 不支援移至受控網域。 如需詳細資訊,請參閱 裝置身分識別和桌面虛擬化

  • 如果您有 Windows Hello 企業版 混合式憑證信任,且憑證是透過您的同盟伺服器作為註冊授權單位或智慧卡使用者所發行,則暫存推出不支援此案例。

    注意

    您仍然需要使用 Microsoft Entra 連線 或 PowerShell,將最終從同盟轉換到雲端驗證。 分段推出不會將網域從同盟切換為受控網域。 如需網域完全移轉的詳細資訊,請參閱 從同盟移轉至密碼哈希同步處理從同盟移轉至傳遞驗證

開始使用分段推出

若要使用 Staged Rollout 測試 密碼哈希同步 登入,請遵循下一節中的前置指示。

如需要使用哪些 PowerShell Cmdlet 的資訊,請參閱 Microsoft Entra ID 2.0 預覽

密碼哈希同步的前置工作

  1. 從 Microsoft Entra 的 [選用功能] 頁面啟用密碼哈希同步處理 連線。 

    Microsoft Entra 連線 中 [選用功能] 頁面的螢幕快照

  2. 請確定已執行完整的 密碼哈希同步 處理週期,讓所有用戶的密碼哈希都同步處理至 Microsoft Entra ID。 若要檢查密碼哈希同步的狀態,您可以使用針對與 Microsoft Entra 連線 Sync 進行密碼哈希同步的疑難解答中的 PowerShell 診斷。

    Microsoft Entra 連線 疑難解答記錄的螢幕快照

如果您想要使用 Staged Rollout 測試 傳遞驗證 登入,請遵循下一節的前置指示加以啟用。

傳遞驗證的前置工作

  1. 識別執行 Windows Server 2012 R2 或更新版本的伺服器,您要 在其中執行傳遞驗證 代理程式。

    請勿選擇 Microsoft Entra 連線 伺服器。 請確定伺服器已加入網域、可以使用 Active Directory 驗證選取的使用者,並可與輸出埠和 URL 上的 Microsoft Entra 標識符通訊。 如需詳細資訊,請參閱快速入門:Microsoft Entra 無縫單一登錄<步驟 1:檢查必要條件>一節。

  2. 下載 Microsoft Entra 連線 驗證代理程式,並將其安裝在伺服器上。 

  3. 若要啟用 高可用性,請在其他伺服器上安裝額外的驗證代理程式。

  4. 請確定您已適當地設定智慧 鎖定設定 。 這樣做有助於確保使用者的 內部部署的 Active Directory 帳戶不會遭到不良動作項目鎖定。

建議您啟用 無縫 SSO ,不論您為分段推出選取的登入方法(密碼哈希同步傳遞驗證)。 若要啟用 無縫 SSO,請遵循下一節的前置指示。

無縫 SSO 的前置工作

使用 PowerShell 在 Active Directory 樹系上啟用 無縫 SSO 。 如果您有一個以上的 Active Directory 樹系,請個別為每個樹系啟用它。 無縫 SSO 只會針對針對針對 [分段推出] 選取的使用者觸發。 這不會影響您現有的同盟設定。

執行下列工作來啟用 無縫 SSO

  1. 登入 Microsoft Entra 連線 Server。

  2. 移至 %programfiles%\Microsoft Entra 連線資料夾。

  3. 執行下列命令以 匯入無縫 SSO PowerShell 模組:

    Import-Module .\AzureADSSO.psd1

  4. 以系統管理員身分執行 PowerShell。 在 PowerShell 中,呼叫 New-AzureADSSOAuthenticationContext。 此命令會開啟一個窗格,您可以在其中輸入租使用者的混合式身分識別 管理員 istrator 認證。

  5. 呼叫 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令會顯示已啟用此功能的 Active Directory 樹系列表(請參閱「網域」清單。 根據預設,它會在租用戶層級設定為 false。

    PowerShell 輸出的範例

  6. 呼叫 $creds = Get-Credential。 出現提示時,輸入預定 Active Directory 樹系的網域系統管理員認證。

  7. 呼叫 Enable-AzureADSSOForest -OnPremCredentials $creds。 此命令會針對無縫 SSO 所需的 Active Directory 樹系,從內部部署域控制器建立 AZUREADSSOACC 計算機帳戶。

  8. 無縫 SSO 需要 URL 位於內部網路區域。 若要使用組策略部署這些 URL,請參閱 快速入門:Microsoft Entra 無縫單一登錄

  9. 如需完整逐步解說,您也可以下載適用於無縫 SSO部署計劃

啟用分段推出

若要將特定功能(傳遞驗證密碼哈希同步無縫 SSO)推出至群組中選取的使用者集,請遵循下一節中的指示。

在您的租用戶上啟用特定功能的分段推出

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

您可以推出下列選項:

  • 密碼哈希同步 + 無縫 SSO
  • 傳遞驗證 + 無縫 SSO
  • 不支持 - 密碼哈希同步 + 傳遞驗證 + 無縫 SSO
  • 憑證式驗證設定
  • Azure 多重要素驗證

若要設定分段推出,請遵循下列步驟:

  1. 以至少混合式身分識別 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

  2. 流覽至身>識別混合式管理>Microsoft Entra 連線> 連線 同步處理。

  3. 在 [Microsoft Entra 連線] 頁面上,於雲端驗證的分段推出下,選取 [啟用受控使用者登入的分段推出] 連結。

  4. 在 [啟用分段推出功能] 頁面上,選取您想要啟用的選項:密碼哈希同步、傳遞驗證無縫單一登錄憑證式驗證。 例如,如果您想要啟用 密碼哈希同步 處理和 無縫單一登錄,請將這兩個控件投影到 [開啟]。

  5. 將群組新增至您選取的功能。 例如, 傳遞驗證無縫 SSO。 若要避免逾時,請確定安全組一開始包含不超過 200 個成員。

    注意

    群組中的成員會自動啟用分段推出。 分段推出不支援巢狀和動態群組。 新增群組時,群組中的使用者會立即更新為使用受控驗證(最多 200 位新群組的使用者)。 編輯群組(新增或移除使用者),變更最多可能需要 24 小時才會生效。 只有在用戶位於無縫 SSO 群組,以及 PTA 或 PHS 群組中時,才會套用無縫 SSO。

稽核

我們已針對針對分段推出執行的各種動作啟用稽核事件:

  • 當您啟用密碼哈希同步、傳遞驗證無縫 SSO 的分段推出時,稽核事件。

    注意

    使用分段推出開啟無縫 SSO,會記錄稽核事件。

    [建立功能推出原則] 窗格 - [活動] 索引標籤

    [為功能建立推出原則] 窗格 - [已修改的屬性] 索引卷標

  • 將群組新增至 密碼哈希同步傳遞驗證無縫 SSO 時稽核事件。

    注意

    當群組新增至 分段推出的密碼哈希同步 時,就會記錄稽核事件。

    [新增群組至功能推出] 窗格 - [活動] 索引卷標

    [新增群組至功能推出] 窗格 - [已修改的屬性] 索引標籤

  • 當已新增至群組的使用者已啟用分段推出時,稽核事件。

    [將使用者新增至功能推出] 窗格 - [活動] 索引卷標

    [將使用者新增至功能推出] 窗格 - [目標][s] 索引標籤

驗證

若要使用 密碼哈希同步傳遞驗證 來測試登入(使用者名稱和密碼登入),請執行下列工作:

  1. 在外部網路上,移至 私人瀏覽器會話中的 [應用程式] 頁面 ,然後輸入針對 [分段推出] 選取之用戶帳戶的 UserPrincipalName (UPN)。

    已設為分段推出目標的使用者不會重新導向至您的同盟登入頁面。 相反地,系統會要求他們在 Microsoft Entra 租使用者品牌登入頁面上登入。

  2. 使用 UserPrincipalName 進行篩選,確定登入成功出現在 Microsoft Entra 登入活動報告中

若要使用 無縫 SSO 測試登入:

  1. 在內部網路上,移至 私人瀏覽器會話中的 [應用程式] 頁面 ,然後輸入針對 [分段推出] 選取之用戶帳戶的 UserPrincipalName (UPN)。

    已針對無縫 SSO 的分段推出為目標的使用者會看到「嘗試登入...」訊息在以無訊息方式登入之前。

  2. 使用 UserPrincipalName 進行篩選,確定登入成功出現在 Microsoft Entra 登入活動報告中

    若要追蹤所選分段推出使用者仍會在 Active Directory 同盟服務 (AD FS) 上發生的使用者登入,請遵循 AD FS 疑難解答:事件和記錄中的指示。 查看廠商檔,瞭解如何在第三方同盟提供者上檢查此專案。

    注意

    當使用者使用 PHS 進行分段推出時,變更密碼可能需要 2 分鐘的時間才會生效,因為同步時間。 請務必設定使用者的期望,以避免在用戶變更其密碼之後,避免技術服務人員通話。

監視

您可以使用 Microsoft Entra 系統管理中心的新混合式驗證活頁簿,監視在分段推出期間從分段推出新增或移除的使用者和群組,以及使用者登入。

混合式驗證活頁簿

從分段推出中移除使用者

從群組中移除使用者會停用該使用者的分段推出。 若要停用分段推出功能,請將控件滑回 [ 關閉]。

常見問題集

問:我可以在生產環境中使用這項功能嗎?

答:是,您可以在生產租使用者中使用這項功能,但建議您先在測試租用戶中試用此功能。

問:這項功能是否可以用來維護永久的「共存」,其中有些使用者使用同盟驗證,而另一些使用者則使用雲端驗證?

答:否,這項功能是專為測試雲端驗證而設計。 成功測試之後,您應該將幾個使用者群組切換至雲端驗證。 我們不建議使用永久混合狀態,因為這種方法可能會導致非預期的驗證流程。

問:我可以使用PowerShell執行分段推出嗎?

A: 可以。 若要瞭解如何使用 PowerShell 執行分段推出,請參閱 Microsoft Entra ID Preview

下一步