從同盟移轉至 Microsoft Entra 憑證型驗證 (CBA)

  • 發行項

本文說明如何使用 Microsoft Entra 憑證式驗證(CBA)從內部部署Active Directory 同盟服務 (AD FS) 等執行中的同盟伺服器移轉至雲端驗證。

分段推出

租使用者系統管理員可以在 Entra ID 中啟用 CBA 驗證方法,並將整個網域轉換成受控驗證,以完全將同盟網域完全移轉至 Entra ID CBA,而不需要試驗測試。 不過,如果客戶想要在完整網域完全移轉至受控網域之前,先測試一小批使用者對 Entra ID CBA 進行驗證,則可以使用分段推出功能。

憑證型驗證的分段推出 (CBA)可協助客戶從在同盟 IdP 執行 CBA 轉換至 Microsoft Entra ID,選擇性地將一組使用者移至 Entra ID 上使用 CBA,在 Entra ID(不再重新導向至同盟 IdP)與選取的使用者群組之後,再將 Entra ID 中的網域組態從同盟轉換為受管理。 分段推出並非專為網域長時間或大量使用者保持同盟而設計。

觀看此快速影片,示範從 ADFS 憑證型驗證移轉至 Microsoft Entra CBA

注意

為使用者啟用分段推出時,系統會將使用者視為受控使用者,且所有驗證都會發生在 Microsoft Entra ID。 針對同盟租使用者,如果在分段推出上啟用 CBA,則密碼驗證只有在啟用 PHS 時才能運作,否則密碼驗證將會失敗。

針對租使用者上的憑證式驗證啟用分段推出

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

若要設定分段推出,請遵循下列步驟:

  1. 以至少使用者管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 搜尋並選取 [Microsoft Entra 連線 ]。
  3. 在 [Microsoft Entra 連線] 頁面上的 [雲端驗證分段推出] 底下,按一下 [ 啟用受控使用者登入 的分段推出]。
  4. 在 [ 啟用分段推出 功能] 頁面上,按一下 [開啟 ] 選項 的 [憑證式驗證]
  5. 按一下 [ 管理群組 ],並新增您想要成為雲端驗證一部分的群組。 若要避免逾時,請確定安全性群組一開始包含不超過 200 個成員。

如需詳細資訊,請參閱 分段推出

使用 Microsoft Entra 連線更新 certificateUserIds 屬性

AD FS 系統管理員可以使用 同步處理規則編輯器 來建立規則,將屬性的值從 AD FS 同步至 Microsoft Entra 使用者物件。 如需詳細資訊,請參閱 certificateUserIds 的同步處理規則。

Microsoft Entra 連線需要名為 Hybrid Identity 管理員istrator 的特殊角色,以授與必要的許可權。 您需要此角色,才能寫入新的雲端屬性。

注意

如果使用者使用同步處理的屬性,例如使用者名稱系結之使用者物件中的 onPremisesUserPrincipalName 屬性,請注意任何具有 Microsoft Entra 連線 伺服器系統管理存取權的使用者都可以變更同步處理的屬性對應,並變更同步處理屬性的值。 使用者不需要是雲端管理員。AD FS 系統管理員應確定 Microsoft Entra 連線 伺服器的系統管理存取權應受到限制,而特殊許可權帳戶應為僅限雲端帳戶。

從 AD FS 移轉至 Microsoft Entra 識別碼的常見問題

我們是否可以使用同盟 AD FS 伺服器擁有特殊許可權帳戶?

雖然可行,但 Microsoft 建議特殊許可權帳戶為僅限雲端帳戶。 使用僅限雲端的帳戶,在 Microsoft Entra ID 中從遭入侵的內部部署環境中暴露特殊許可權存取限制。 如需詳細資訊,請參閱 保護 Microsoft 365 免受內部部署攻擊

如果組織是同時執行 AD FS 和 Azure CBA 的混合式組織,他們仍然容易受到 AD FS 入侵的影響嗎?

Microsoft 建議特殊許可權帳戶為僅限雲端帳戶。 這種做法會限制 Microsoft Entra 識別碼中暴露在遭入侵的內部部署環境中。 維護僅限雲端的特殊許可權帳戶是此目標的基礎。

針對同步處理的帳戶:

  • 如果它們位於受控網域(未同盟),則同盟 IdP 沒有風險。
  • 如果它們位於同盟網域中,但分集帳戶正由 Staged Rollout 移至 Microsoft Entra CBA,則在同盟網域完全切換至雲端驗證之前,它們會面臨與同盟 Idp 相關的風險。

組織是否應該排除 AD FS 之類的同盟伺服器,以防止從 AD FS 到 Azure 進行樞紐分析的功能?

透過同盟,攻擊者可能會模擬任何人,例如 CIO,即使他們無法取得雲端專用角色,例如 Global 管理員istrator 帳戶。

當網域在 Microsoft Entra ID 中同盟時,同盟 IdP 上會放置高度信任。 AD FS 是一個範例,但任何 同盟 IdP 的概念都成立 。 許多組織都會部署同盟 IdP,例如 AD FS,專門完成憑證式驗證。 在此情況下,Microsoft Entra CBA 會完全移除 AD FS 相依性。 透過 Microsoft Entra CBA,客戶可以將其應用程式資產移至 Microsoft Entra ID,以將其 IAM 基礎結構現代化,並藉由提高安全性來降低成本。

從安全性觀點來看,認證不會有任何變更,包括 X.509 憑證、CAC、PIV 等等,或是所使用的 PKI。 PKI 擁有者會保留憑證發行和撤銷生命週期和原則的完整控制權。 撤銷檢查和驗證會在 Microsoft Entra ID 發生,而不是同盟 Idp。 這些檢查可讓所有使用者直接對 Microsoft Entra ID 進行無密碼、防網路釣魚驗證。

驗證如何搭配使用同盟 AD FS 和 Microsoft Entra 雲端驗證與 Windows?

Microsoft Entra CBA 要求使用者或應用程式提供登入使用者的 Microsoft Entra UPN。

在瀏覽器範例中,使用者最常在其 Microsoft Entra UPN 中輸入。 Microsoft Entra UPN 用於領域和使用者探索。 接著使用的憑證必須符合此使用者,方法是在原則中使用其中一個已設定的使用者名稱系結。

在 Windows 登入中,比對取決於裝置是否為混合式或已加入 Microsoft Entra。 但在這兩種情況下,如果提供使用者名稱提示,Windows 會將提示傳送為 Microsoft Entra UPN。 接著使用的憑證必須符合此使用者,方法是在原則中使用其中一個已設定的使用者名稱系結。

下一步