從同盟移轉至雲端驗證
在本文中,您將了解如何使用 Microsoft Entra 密碼雜湊同步 (PHS) 或傳遞驗證 (PTA) 來部署雲端使用者驗證。 雖然我們提供的使用案例是從 Active Directory 同盟服務 (AD FS) 移至雲端驗證方法,但這些指引也適用於其他內部部署系統。
在繼續之前,建議您先複習一下此指南:選擇正確的驗證方法,並比較最適合您組織的方法。
建議使用 PHS 部署行雲端驗證。
分段推出
分段推出是一種絕佳的方式,可讓您選擇性地對使用者群組測試雲端驗證功能,例如 Microsoft Entra 多重要素驗證、條件式存取、認證外洩的身分識別保護、身分識別控管等,然後再切換網域。
請參閱分段推出的實作計畫,以了解支援和不支援的案例。 建議您先使用分段推出來進行測試,再切換網域。
移轉程序流程
必要條件
開始移轉之前,請確定您符合下列必要條件。
必要角色
若要執行分段推出,您必須是租用戶的混合式身分識別管理員。
設定 Microsoft Entra Connect 伺服器
安裝 Microsoft Entra Connect (Microsoft Entra Connect) 或 升級至最新版本。 設定 Microsoft Entra Connect 伺服器之後,從 AD FS 遷移到雲端驗證方法的時間可從數小時縮減到數分鐘。
文件目前的同盟設定
若要尋找您目前的同盟設定,請執行 Get-MgDomainFederationConfiguration。
Get-MgDomainFederationConfiguration - DomainID yourdomain.com
請確認可能已為您的同盟設計和部署文件自訂的任何設定。 具體而言,在 PreferredAuthenticationProtocol、federatedIdpMfaBehavior、SupportsMfa (如果未設定 federatedIdpMfaBehavior),以及 PromptLoginBehavior 中尋找自訂項目。
備份同盟設定
雖然這項部署不會變更 AD FS 伺服器陣列中的其他信賴憑證者,但您仍可以備份您的設定:
使用 Microsoft AD FS 快速還原工具來還原現有的伺服器陣列或建立新的伺服器陣列。
使用下列 PowerShell 範例,可匯出 Microsoft 365 身分識別平台的信賴憑證者信任,以及您新增的任何相關聯自訂宣告規則:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
規劃專案
當技術專案失敗時,通常是因為對影響、結果和責任不符預期。 若要避免這些問題,請確定您已包含適當的專案關係人,並且了解專案中的專案關係人角色。
方案通訊
移轉至雲端驗證之後,使用者存取 Microsoft 365 及透過 Microsoft Entra ID 進行驗證的其他資源時,其登入體驗都會改變。 在網路外部的使用者只會看到 Microsoft Entra 登入頁面。
主動與您的使用者溝通他們的體驗如何改變、何時會改變,以及如何在遇到問題時取得支援。
規劃維護時間範圍
新式驗證用戶端 (Office 2016 和 Office 2013、iOS 和 Android 應用程式) 會使用有效的重新整理權杖取得新的存取權杖,以繼續存取資源,而不會返回 AD FS。 這些用戶端不會因為網域轉換程序而收到任何密碼提示。 用戶端無需額外設定即可繼續運作。
注意
當您從同盟移轉至雲端驗證時,將網域從同盟轉換為受控的程序最多可能需要 60 分鐘的時間。 在此程序中,在重新登入 Microsoft Entra 系統管理中心 或受 Microsoft Entra ID 保護的其他瀏覽器型應用程式時,系統可能不會提示使用者輸入認證。 建議您在維護期間包含此延遲。
規劃復原
提示
如果有復原需求,請考慮在非上班時間規劃網域的轉換。
若要規劃復原,請使用目前記錄的同盟設定,並參閱同盟設計和部署文件。
復原流程應包含使用 New-MgDomainFederationConfiguration Cmdlet 將受控網域轉換成同盟網域。 如有必要,請設定額外的宣告規則。
移轉考量
以下是重要的移轉考量。
規劃自訂設定
在 Microsoft Entra ID 中無法複製 onload.js 檔案。 如果您的 AD FS 執行個體經過大量自訂,並且依賴 onload.js 檔案中的特定自訂設定,請確認 Microsoft Entra ID 是否符合您目前的自訂需求,並據此進行規劃。 將即將進行的變更告知您的使用者。
登入經驗
您無法自訂 Microsoft Entra 登入體驗。 無論使用者先前登入的方式為何,您都需要完整的網域名稱 (例如使用者主體名稱 (UPN) 或電子郵件) 以登入 Microsoft Entra ID。
組織商標
您可以 自訂 Microsoft Entra 登入頁面。 轉換之後,登入頁面上應該會有 AD FS 的一些視覺效果變更。
注意
除非您擁有 Microsoft 365 的授權,否則免費 Microsoft Entra ID 授權中無法提供組織商標。
規劃條件式存取原則
評估您目前是否正在使用條件式存取來進行驗證,或是否使用 AD FS 中的存取控制原則。
請考慮將 AD FS 存取控制原則替換為對等的 Microsoft Entra 條件式存取原則和 Exchange Online 用戶端存取規則。 您可以使用 Microsoft Entra ID 或內部部署群組進行條件式存取。
停用舊版驗證 - 由於與舊版驗證通訊協定相關聯的風險已提高,因此建立條件式存取原則來封鎖舊版驗證。
規劃 MFA 支援
針對同盟網域,可由 Microsoft Entra 條件式存取或由內部部署同盟提供者來強制執行 MFA。 您可以透過設定安全性設定 federatedIdpMfaBehavior 來啟用保護以防止略過 Microsoft Entra 多重要素驗證。 在您的 Microsoft Entra 租用戶中啟用同盟網域的保護。 當同盟使用者存取需要 MFA 的條件式存取原則所控管的應用程式時,請務必執行 Microsoft Entra 多重要素驗證。 這包括執行 Microsoft Entra 多重要素驗證,甚至當同盟識別提供者發出已執行內部部署 MFA 的同盟權杖宣告時。 每次強制執行 Microsoft Entra 多重要素驗證可確保不良執行者無法透過模擬已執行 MFA 的識別提供者來略過 Microsoft Entra 多重要素驗證,並且強烈建議這樣做,除非您使用第三方 MFA 提供者為同盟使用者執行 MFA。
下表說明每個選項的行為。 如需詳細資訊,請參閱 federatedIdpMfaBehavior。
| 值 | Description |
|---|---|
| acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID 會接受由同盟識別提供者執行的 MFA。 如果同盟識別提供者未執行 MFA,則 Microsoft Entra ID 會執行 MFA。 |
| enforceMfaByFederatedIdp | Microsoft Entra ID 會接受由同盟識別提供者執行的 MFA。 如果同盟識別提供者未執行 MFA,則會將要求重新導向至同盟識別提供者以執行 MFA。 |
| rejectMfaByFederatedIdp | Microsoft Entra ID 一律會執行 MFA,並拒絕由同盟識別提供者執行的 MFA。 |
federatedIdpMfaBehavior 設定是 Set-MsolDomainFederationSettings MSOnline v1 PowerShell Cmdlet 的 SupportsMfa 屬性的進化版本。
對於已設定 SupportsMfa 屬性的網域,這些規則會決定 federatedIdpMfaBehavior 和 SupportsMfa 如何一起運作:
- 不支援在 federatedIdpMfaBehavior 與 SupportsMfa 之間切換。
- 設定 federatedIdpMfaBehavior 屬性之後,Microsoft Entra ID 會忽略 SupportsMfa 設定。
- 如果從未設定 federatedIdpMfaBehavior 屬性,則 Microsoft Entra ID 會繼續採用 SupportsMfa 設定。
- 如果未設定 federatedIdpMfaBehavior 或 SupportsMfa,則 Microsoft Entra ID 會預設為
acceptIfMfaDoneByFederatedIdp行為。
您可以執行 Get-MgDomainFederationConfiguration 來檢查保護的狀態:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
規劃實作
本節包含切換登入方法並轉換網域之前的前置工作。
建立分段推出的必要群組
如果您不是使用分段推出,請略過此步驟。
建立用於分段推出的群組,以及條件式存取原則,如果您決定將其新增的話。
我們建議您使用在 Microsoft Entra ID 中主控的群組,也稱為僅限雲端群組。 您可以使用 Microsoft Entra 安全性群組或 Microsoft 365 群組,將使用者移至 MFA 和進行條件式存取原則。 如需詳細資訊,請參閱<建立 Microsoft Entra 安全性群組>和<適用於系統管理員的 Microsoft 365 群組概觀>。
群組中的成員會自動啟用,以進行分段推出。 分段推出不支援巢狀群組和動態群組。
SSO 的前置工作
您使用的 SSO 版本取決於您的裝置作業系統和聯結狀態。
針對 Windows 10、Windows Server 2016 和更新版本,建議您使用已加入 Microsoft Entra 的裝置、已加入 Microsoft Entra 混合式的裝置和已註冊 Microsoft Entr 的裝置,透過主要重新整理權杖 (PRT) 使用 SSO。
針對 macOS 和 iOS 裝置,我們建議您透過 Apple 裝置的 Microsoft Enterprise SSO 外掛程式使用 SSO。 此功能需要您的 Apple 裝置由 MDM 管理。 如果您使用 Intune 作為 MDM,請遵循適用於 Apple Intune 的 Microsoft 企業 SSO 外掛程式部署指南。 如果您使用另一個 MDM,請遵循 Jamf Pro / 一般 MDM 部署指南。
針對 Windows 7 和 8.1 裝置,建議您透過加入網域的方式使用無縫 SSO,以在 Microsoft Entra ID 中註冊電腦。 您不必像 Windows 10 裝置一樣同步這些帳戶。 不過,您必須使用 PowerShell 來完成此前置工作,才能使用無縫 SSO。
PHS 和 PTA 的前置工作
實作您的 解決方案
最後,您會依照規劃將登入方法切換為 PHS 或 PTA,並將網域從同盟轉換成雲端驗證。
使用分段推出
如果您使用的是分段推出,請遵循下列連結中的步驟:
測試完成後,將網域從同盟轉換成受控。
不使用分段推出
您已有兩個選項可啟用此變更:
選項 A:使用 Microsoft Entra Connect 進行切換。
如果您一開始使用 Microsoft Entra Connect 設定 AD FS/ping-federated 環境則可使用此選項。
選項 B:使用 Microsoft Entra Connect 和 PowerShell 進行切換
如果您最初未使用 Microsoft Entra Connect 設定同盟網域或您使用第三方同盟服務,則可使用此選項。
若要選擇其中一個選項,您必須知道目前的設定。
匯入 Microsoft Entra Connect 設定
- 至少以混合系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [混合式管理]> [Microsoft Entra Connect]> [雲端同步]。
- 確認 USER SIGN_IN 設定,如下圖所示:
若要確認同盟的設定方式:
在您的 Microsoft Entra Connect 伺服器上,開啟 [Microsoft Entra Connect],並選取 [設定]。
在 [其他工作] > [管理同盟] 下,選取 [檢視同盟設定]。
如果此區段中出現 AD FS 設定,您就可以放心假設 AD FS 原本是使用 Microsoft Entra Connect 進行設定的。 請參閱下圖範例 -
如果目前的設定未列出 AD FS,則必須手動使用 PowerShell 將網域從同盟身分識別轉換為受控識別。
選項 A
使用 Microsoft Entra Connect 從同盟切換至新的登入方法
在您的 Microsoft Entra Connect 伺服器上,開啟 [Microsoft Entra Connect],並選取 [設定]。
在 [其他工作] 頁面中,選取 [變更使用者登入],然後選取 [下一步]。
在 [連線至 Microsoft Entra ID] 頁面上,輸入您的全域管理員帳號認證。
在 [使用者登入] 頁面上:
如果您選取 [傳遞驗證] 選項按鈕,並且 Windows 7 和 8.1 裝置需要 SSO,請核取 [啟用單一登入],然後選取 [下一步]。
如果您選取 [密碼雜湊同步] 選項按鈕,請務必選取 [不要轉換使用者帳戶] 核取方塊。 該選項已淘汰。 如果 Windows 7 和 8.1 裝置需要 SSO,請核取 [啟用單一登入],然後選取 [下一步]。
深入了解:使用 PowerShell 啟用無縫 SSO。
在 [啟用單一登入] 頁面上,輸入網域系統管理員帳戶的認證,然後選取 [下一步]。
必須要有網域系統管理員帳戶認證,才能啟用無縫 SSO。 此程序會完成下列需要更高權限的動作:
- 在您的內部部署 Active Directory 執行個體中建立名為 AZUREADSSO 的電腦帳戶 (代表 Microsoft Entra ID)。
- 安全地與 Microsoft Entra ID 共用電腦帳戶的 Kerberos 解密金鑰。
- 建立兩個 Kerberos 服務主體名稱 (SPN),以代表 Microsoft Entra 在登入期間使用的兩個 URL。
網域管理員認證不會儲存在 Microsoft Entra Connect 或 Microsoft Entra ID,並且會在程序成功完成時捨棄。 其功用是「開啟」此功能。
請參深入了解:無縫 SSO:深入技術性討論。
在 [已可設定] 頁面上,確定已選取 [在設定完成時開始同步處理程序] 核取方塊。 然後,選取 [設定]。
重要
至此,所有已同盟的網域都會變更為受控驗證。 您選取的使用者登入方法會是新的驗證方法。
在 Microsoft Entra 系統管理中心,選取 [Microsoft Entra ID],然後選取 [Microsoft Entra Connect]。
確認下列設定:
- [同盟] 設為 [停用]。
- [無縫單一登入] 設為 [啟用]。
- [密碼雜湊同步] 會設為 [啟用]。
如果您要切換到 PTA,請遵循後續步驟。
為 PTA 部署其他驗證代理程式
注意
PTA 必須在 Microsoft Entra Connect 伺服器上和執行 Windows Server 的內部部署電腦上,部署輕量型代理程式。 為了縮短延遲,代理程式的安裝位置應盡可能靠近 Active Directory 網域控制站。
對大多數客戶來說,二或三個驗證代理程式即足以提供高可用性和必要的容量。 一個租用戶最多可註冊 12 個代理程式。 第一個代理程式一律安裝於 Microsoft Entra Connect 伺服器本身。 若要了解代理程式的限制與代理程式的部署選項,請參閱 Microsoft Entra 傳遞驗證:目前限制。
選取 [傳遞驗證]。
在 [傳遞驗證] 頁面上,選取 [下載] 按鈕。
在 [下載代理程式] 頁面上,選取 [接受條款並下載]。
其他驗證代理程式會開始下載。 請在已加入網域的伺服器上安裝第二個驗證代理程式。
執行驗證代理程式安裝。 在安裝期間,您必須輸入全域管理員帳戶的認證。
安裝驗證代理程式之後,您可以返回 PTA 健康情況頁面來檢查更多代理程式的狀態。
選項 B
使用 Microsoft Entra 和 PowerShell 從同盟切換至新的登入方法
如果您最初未使用 Microsoft Entra Connect 設定同盟網域或您使用第三方同盟服務,則可使用此選項。
在您的 Microsoft Entra Connectt 伺服器上,遵循選項 A 中的步驟 1-5。請注意,在使用者登入頁面上,[不要設定] 選項已預先選取。
![請參閱使用者登入頁面上的 [不要設定] 選項](media/deploy-cloud-user-authentication/do-not-configure-on-user-sign-in-page.png)
在 Microsoft Entra 系統管理中心,選取 [Microsoft Entra ID],然後選取 [Microsoft Entra Connect]。
確認下列設定:
[同盟] 設為 [啟用]。
[無縫單一登入] 設為 [停用]。
[密碼雜湊同步] 會設為 [啟用]。
如果只是 PTA,請遵循下列步驟來安裝更多 PTA 代理程式伺服器。
在 Microsoft Entra 系統管理中心,選取 [Microsoft Entra ID],然後選取 [Microsoft Entra Connect]。
選取 [傳遞驗證]。 確認狀態為 [使用中]。
如果驗證代理程式未啟用,請先完成這些疑難排解步驟,再繼續進行下一個步驟中的網域轉換程序。 若未先驗證 PTA 代理程式已成功安裝,且其狀態在 Microsoft Entra 系統管理中心中顯示為「使用中」,即進行網域轉換,可能導致驗證中斷。
從同盟網域轉換成受控網域
此時,同盟驗證仍是使用中狀態,且可供您的網域運作。 若要繼續進行部署,您必須將每個網域從同盟身分識別轉換為受控識別。
重要
您不需要同時轉換所有網域。 您可以選擇從生產租用戶上的測試網域開始,或是從使用者數量最少的網域開始。
使用 Microsoft Graph PowerShell SDK 完成轉換:
在 PowerShell 中,使用全域管理員帳戶登入 Microsoft Entra ID。
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"若要轉換第一個網域,請執行下列命令:
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"在 Microsoft Entra 系統管理中心中,選取 [Microsoft Entra ID > Microsoft Entra Connect]。
確認已透過執行下列命令的方式,將網域轉換成受控。 驗證類型應設定為受控。
Get-MgDomain -DomainId yourdomain.com
為了確保 Microsoft Entra Connect 在將您的網域轉換為受控驗證之後將傳遞驗證辨識為已啟用,請更新 Microsoft Entra Connect 中的登入方法設定以反映變更。 如需其他詳細資料,請參閱 Microsoft Entra 傳遞驗證文件。
完成您的移轉
完成下列工作以確認註冊方法,並完成轉換程序。
測試新的登入方法
如果您的租用戶先前使用同盟身分識別,則使用者會從 Microsoft Entra 登入頁面重新導向至您的 AD FS 環境。 現在,租用戶已設定為使用新的登入方法,而不是同盟驗證,因此使用者不會重新導向至 AD FS。
使用者反而可以直接在 Microsoft Entra 登入頁面中登入。
遵循下列連結中的步驟 - 使用 PHS/PTA 和無縫 SSO 驗證登入 (如有必要)
將使用者從分段推出移除
如果您使用分段推出,請記得在完成切換之後關閉分段推出功能。
若要停用分段推出功能,請將控制項移回 [關閉]。
同步 UserPrincipalName 更新
在過去,除非下列兩項條件都成立,否則即無法從內部部署環境使用同步服務更新 UserPrincipalName 屬性:
- 使用者位於受控 (非同盟) 識別網域中。
- 使用者尚未獲得指派的授權。
若要了解如何驗證或開啟這項功能,請參閱同步 userPrincipalName 更新。
管理您的實作
變換無縫 SSO Kerberos 解密金鑰
建議至少每 30 天變換一次 Kerberos 解密金鑰,以便和 Active Directory 網域成員提交密碼變更的方式保持一致。 AZUREADSSO 電腦帳戶物件並未連結任何相關聯的裝置,因此您必須手動執行變換。
請參閱常見問題集:如何才能變換 AZUREADSSO 電腦帳戶的 Kerberos 解密金鑰?
監視與記錄
請監控執行驗證代理程式的伺服器,以維護解決方案的可用性。 除了一般伺服器效能計數器以外,驗證代理程式還會公開有助於您了解驗證統計資料和錯誤的效能物件。
驗證代理程式會將作業記錄到位於應用程式和服務記錄下方的 Windows 事件記錄檔中。 您也可以開啟記錄以進行疑難排解。
若要確認在分段推出時所執行的各種動作,您可以稽核 PHS、PTA 或無縫 SSO 的事件。
疑難排解
您的支援團隊應該了解如何針對從同盟變更至受控期間或之後所引起的任何驗證問題,進行疑難排解。 請使用下列疑難排解說明文件協助您的支援團隊熟悉常見的疑難排解步驟,以及有助於隔離並解決問題的適當動作。
解除委任 AD FS 基礎結構
將應用程式驗證從 AD FS 遷移至 Microsoft Entra ID
移轉需要評估應用程式在內部部署環境中的設定方式,然後將該設定對應至 Microsoft Entra ID。
如果您打算繼續搭配使用 AD FS 與使用 SAML / WS-FED 或 Oauth 通訊協定的內部部署與 SaaS 應用程式,則在轉換網域以進行使用者驗證之後,您將會使用 AD FS 和 Microsoft Entra ID。 在此情況下,您可以透過 Microsoft Entra 應用程式 Proxy 或其中一個 Microsoft Entra ID 合作夥伴,使用安全的混合式存取 (SHA) 來保護內部部署應用程式和資源。 使用應用程式 Proxy 或我們的其中一個合作夥伴,可以為您的內部部署應用程式提供安全的遠端存取。 使用者可以在 單一登入之後,從任何裝置輕鬆連線至其應用程式來獲得好處。
您可以將目前與 ADFS 同盟的 SaaS 應用程式移至 Microsoft Entra ID。 重新設定以透過 Azure App 資源庫的內建連接器,或藉由在 Microsoft Entra ID 中註冊應用程式,使用 Microsoft Entra ID 進行驗證。
如需詳細資訊,請參閱將應用程式驗證從 Active Directory 同盟服務移至 Microsoft Entra ID。
移除信賴憑證者信任
如果您已有 Microsoft Entra Connect Health,您可以從 Microsoft Entra 系統管理中心監視使用量。 如果該使用情況未顯示任何新的驗證要求,而且您確認所有使用者和用戶端都成功通過 Microsoft Entra ID 驗證,則可以放心移除 Microsoft 365 信賴憑證者信任。
如果 AD FS 未用於其他用途 (即其他信賴憑證者信任),則此時即可解除委任 AD FS。
移除 AD FS
如需從環境中完全移除 AD FS 所需採取的完整步驟清單,請遵循 Active Directory 同盟服務解除委任指南。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: