分段推出可讓您逐步測試具有所選使用者群組的雲端驗證功能。 這些功能包括 Microsoft Entra 多重要素驗證、條件式存取、防止認證洩漏的身分識別保護、身分識別治理等。 此方法可讓您在完整轉換網域之前驗證功能和用戶體驗。
在開始分段推出之前,如果有下列一或多種情況,您應該思考其含意:
- 您目前正在使用內部部署多因素驗證伺服器。
- 您正在使用智慧卡進行驗證。
- 目前伺服器提供某些僅限於聯邦使用的功能。
- 您正從第三方同盟解決方案移至受控服務。
在嘗試這項功能前,建議先檢閱指南,以了解如何選擇正確的驗證方法。 如需詳細資訊,請參閱 選擇適用於您Microsoft Entra 混合式身分識別解決方案的正確驗證方法中的表格。
如需此功能的概觀,請觀賞「什麼是分段推出?」影片:
必要條件
您有一個 Microsoft Entra 租戶,並包含 聯合網域。
您已決定移動下列其中一個選項:
- 密碼哈希同步處理 (sync)。 如需詳細資訊,請參閱 什麼是密碼哈希同步處理
- 通過驗證。 如需詳細資訊,請參閱 什麼是傳遞驗證
- Microsoft Entra Certificate-based authentication (CBA) 設定。 如需詳細資訊,請參閱Microsoft以憑證為基礎的驗證概觀
針對這兩個選項,建議啟用單一登入 (SSO),以實現無訊息登入體驗。 若為 Windows 7 或 8.1 網域聯結的裝置,建議使用無縫 SSO。 如需詳細資訊,請參閱 什麼是無縫 SSO。 針對 Windows 10、Windows Server 2016 和後續版本,請使用 主更新憑證(PRT) 進行 SSO。 針對 Microsoft Entra 已加入的裝置、Microsoft Entra 混合加入的裝置 或 個人註冊的裝置 使用 [新增公司或學校帳戶]。
您需要為移轉至雲端驗證的使用者設定所有適當的租戶品牌和條件式存取政策。
如果您從同盟移至雲端驗證,您必須確認 DirSync 設定
synchronizeUpnForManagedUsersEnabled已設定為true,否則 Microsoft Entra ID 不允許同步更新至 UPN 或使用受控驗證的授權使用者帳戶的替代登入標識符。 如需詳細資訊,請參閱 Microsoft Entra Connect Sync 服務功能。如果您打算使用 Microsoft Entra 多重要素驗證,建議您啟用 合併註冊。 這可讓使用者針對自助式密碼重設 (SSPR) 和多重要素驗證註冊其驗證方法一次。 注意 - 在分段推出期間,使用 SSPR 重設密碼或使用 MyProfile 頁面變更密碼時,Microsoft Entra Connect 需要在重設後同步新的密碼雜湊,可能需要長達 2 分鐘。
若要使用分段推出功能,您必須是您租戶的混合身分識別管理員。
若要在特定 Active Directory 樹系上啟用「無縫 SSO」,則您必須是網域系統管理員。
如果您要部署混合式 Microsoft Entra ID 或 Microsoft Entra 聯結,則必須升級至 Windows 10 1903 更新。
支援的案例
支援分段推出的情境包括下列項目。 此功能僅適用於:
使用 Microsoft Entra Connect 佈建至 Microsoft Entra ID 的使用者。 不適用於僅限雲端的使用者。
瀏覽器和 新式驗證 用戶端上的使用者登入流量。 使用舊版驗證的應用程式或雲端服務,會切換回同盟驗證流程。 例如已關閉新式驗證的 Exchange online 的舊版驗證,或不支援新式驗證的 Outlook 2010。
分段推出支援任何大小的群組,前提是它們符合 Microsoft Entra 目錄服務限制和限制
Windows 10 1903 版及更新版本的使用者在 UPN 可被路由且在 Microsoft Entra ID 中已驗證網域尾碼時,無需直接連接至聯合伺服器,即可獲得 Windows 10 混合式聯合或 Microsoft Entra 聯合的主重新整理權杖。
若使用 Windows 10 版本 1909 或更新版本,Autopilot 註冊在分段推出策略中獲得支援。
不支援的場景
分階段推出不支援下列情境:
不支援舊版驗證,例如 POP3 和 SMTP。
某些應用程式會在驗證期間將 "domain_hint" 查詢參數傳送至 Microsoft Entra ID。 這些流程會繼續,而已啟用分段推出的使用者會繼續使用同盟進行驗證。
系統管理員可使用安全性群組來推出雲端驗證。 若要避免在使用內部部署 Active Directory 安全性群組時發生同步延遲,建議使用雲端安全性群組。 適用於下列條件:
- 每項功能最多可使用 10 個群組。 亦即,您可將 10 個群組分別用於「密碼雜湊同步」、「傳遞驗證」及「無縫 SSO」。
- 不支援巢狀群組。
- 分段推出功能不支援動態群組。
- 群組中的聯絡物件會阻止群組被新增。
在第一次新增安全性群組以進行分段推出時,會限制為 200 位使用者,以避免 UX 逾時。新增群組後,即可視需要將更多使用者直接新增至群組。
當使用者利用密碼雜湊同步 (PHS) 進行分段推出時,預設不會套用任何密碼到期。 您可以啟用 "CloudPasswordPolicyForPasswordSyncedUsersEnabled" 來實施密碼到期策略。 啟用 "CloudPasswordPolicyForPasswordSyncedUsersEnabled" 時,密碼到期政策會設定為從內部部署設定密碼的時間起計算的 90 天,且無法自訂該政策。 當使用者處於分段推出狀態時,不支援以程式設計方式更新 PasswordPolicies 屬性。 若要瞭解如何設定 『CloudPasswordPolicyForPasswordSyncedUsersEnabled』,請參閱 密碼到期原則。
適用於版本低於 1903 的 Windows 10 混合聯結或 Microsoft Entra 聯結的主要重整權杖取得。 即使使用者登入在分段推出的範圍內,此案例仍會回退到同盟伺服器的 WS-Trust 端點。
當使用者的內部部署 UPN 無法路由時,Windows 10 混合式加入或 Microsoft Entra 加入的主要刷新權杖取得適用於所有版本。 在分段推出模式下,此案例會回復到 WS-Trust 端點,但在分段移轉完成且使用者登入不再依賴同盟伺服器時,會停止運作。
如果您有 Windows 10 版本 1903 或更新版本的非永續性 VDI 設定,則必須保留在同盟網域上。 非永續性 VDI 不支援移至受控網域。 如需詳細資訊,請參閱 裝置身分識別和桌面虛擬化。
如果您有 Windows Hello 企業版混合式憑證信任,其中憑證是透過充當登錄授權單位或智慧卡使用者的同盟伺服器所發出,則在分段推出時不支援此案例。
備註
您仍然需要使用 Microsoft Entra Connect 或 PowerShell 來進行從同盟到雲端驗證最後的完全移轉。 分段推出不會將網域從同盟切換至受控。 如需網域完全移轉的詳細資訊,請參閱 從同盟移轉至密碼哈希同步處理 和 從同盟移轉至傳遞驗證。
開始使用分段推出
若要透過階段性推行來測試「密碼雜湊同步」
如需了解要使用哪些 PowerShell cmdlet 的資訊,請參閱 Microsoft Entra ID 2.0 預覽。
密碼雜湊同步的前置工作
從 Microsoft Entra Connect 中的 [選用功能] 頁面啟用 密碼哈希同步。
![Microsoft Entra Connect 中 [選用功能] 頁面的螢幕快照](media/how-to-connect-staged-rollout/staged-1.png)
請確定已執行完整的「密碼雜湊同步」週期,以便所有使用者的密碼雜湊都同步至 Microsoft Entra ID。 若要檢查 密碼哈希同步的狀態,您可以使用 Microsoft Entra Connect Sync 進行密碼哈希同步的 PowerShell 診斷疑難排解。
如果您想要使用 Staged Rollout 測試 直通式驗證 登入,請遵循下一節的前置指示加以啟用。
直通式身份驗證的前置工作
找出想要執行「傳遞驗證」代理程式的伺服器 (其執行 Windows Server 2012 R2 或更新版本)。
請勿 選擇 Microsoft Entra Connect 伺服器。 請確認伺服器已加入網域、可使用 Active Directory 來驗證所選使用者,並可與輸出連接埠和 URL 上的 Microsoft Entra ID 通訊。 如需詳細資訊,請參閱
快速入門:Microsoft Entra 無縫單一登錄 的<步驟 1:檢查必要條件>一節。下載 Microsoft Entra Connect 驗證代理程式,並將其安裝在伺服器上。
若要啟用 高可用性,請在其他伺服器上安裝額外的驗證代理程式。
請確定您已適當地設定 智慧鎖定設定 。 這樣有助於確保使用者的內部部署 Active Directory 帳戶不會遭到不良執行者鎖定。
不論您在分段推出時選擇哪個登入方法(「密碼雜湊同步」
無縫單一登入(SSO)的前置工作
使用 PowerShell 在 Active Directory 樹系上啟用「無縫 SSO」。 如果您有多個 Active Directory 樹系,請針對每個樹系個別將其啟用。 只會針對為了分段推出而選取的使用者觸發「無縫 SSO」。 不會影響現有的同盟設定。
執行下列工作來啟用 無縫 SSO :
登入 Microsoft Entra Connect 伺服器。
移至 %programfiles%\Microsoft Entra Connect 資料夾。
使用下列命令匯入「無縫 SSO」PowerShell 模組:
Import-Module .\AzureADSSO.psd1以系統管理員身分執行 PowerShell。 在 PowerShell 中,呼叫
New-AzureADSSOAuthenticationContext。 此命令會開啟一個窗格,讓您可在其中輸入租用戶的混合式身分識別管理員認證。呼叫
Get-AzureADSSOStatus | ConvertFrom-Json。 此命令會顯示已啟用這項功能的 Active Directory 樹系清單 (查看 [網域] 清單)。 根據預設,在租用戶層級會設為 False。
呼叫
$creds = Get-Credential。 出現提示時,輸入預定 Active Directory 樹系的網域管理員認證。呼叫
Enable-AzureADSSOForest -OnPremCredentials $creds。 此命令會從 Active Directory 樹系的內部部署網域控制站建立「無縫 SSO」所需 AZUREADSSOACC 電腦帳戶。「無縫 SSO」需要 URL 位於內部網路區域中。 若要使用組策略部署這些 URL,請參閱 快速入門:Microsoft Entra 無縫單一登錄。
如需完整逐步解說,您也可以下載適用於無縫 SSO 的部署計劃。
啟用分段推出
若要將特定功能 (「傳遞驗證」、「密碼雜湊同步」或「無縫 SSO」) 推出至群組中的一組所選使用者,請遵循下一節中的指示。
針對租用戶上的特定功能啟用分段推出
您可推出下列選項:
- 密碼哈希同步處理 + 無縫 SSO
- 直通驗證 + 無縫單一登入 (SSO)
- 不支援 - 密碼哈希同步處理 + 傳遞驗證 + 無縫 SSO
- 憑證式驗證設定
- Azure 多重要素驗證
若要設定分段推出,請遵循下列步驟:
以至少混合式身分識別系統管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>Entra Connect>同步處理。
在 [Microsoft Entra Connect] 頁面的 [分段推出雲端驗證] 下,選取 [為受控使用者登入啟用分段推出] 連結。
在 [ 啟用分段推出功能 ] 頁面上,選取您想要啟用的選項: 密碼哈希同步、 傳遞驗證、 無縫單一登錄或 憑證式驗證。 例如,如果您想要啟用 [密碼雜湊同步] 和 [無縫單一登入],請將控制項滑動至 [開啟]。
將群組新增至您選取的功能。 例如,參透式驗證和無縫單一登入。 若要避免逾時,請確認安全性群組一開始不包含超過 200 位成員。
備註
群組中的成員會自動被啟用,進行分段推出。 分階段推出不支援巢狀及動態成員資格群組。 新增群組時,群組中的使用者 (一個新群組最多 200 個使用者) 將會更新為立即使用受控驗證。 編輯群組 (新增或移除使用者),最多可能需要 24 小時的時間,變更才會生效。 只有當使用者位於無縫 SSO 群組,同時也位於 PTA 或 PHS 群組時,才會套用無縫 SSO。
分段推出轉換期間的使用者驗證行為
當使用者新增至分段推出群組或其所屬群組新增至分段推出時,他們的身份驗證方法會從同盟轉換為管理型。 當使用者使用現有的同盟登入完成一個互動式登入之後,此變更就會生效。 登入之後,Microsoft Entra 會套用後續登入的受控驗證體驗。
同樣地,當使用者從 SR 群組中移除或從 SR 移除其群組時,他們將繼續使用受控驗證,直到他們完成一個互動式登入為止。 之後,會重新套用同盟,而未來的登入將會重新導向至同盟識別提供者。
此行為可確保驗證方法之間的無縫轉換,同時維護使用者存取持續性和安全性。
稽核
針對我們在分段推出時執行的各種動作,我們已啟用稽核事件:
對「密碼雜湊同步」、「傳遞驗證」或「無縫 SSO」啟用分段推出時的稽核事件。
備註
使用分段推出功能啟用「無縫 SSO」時,會記錄稽核事件。
![[建立功能發佈政策] 窗格 - [已修改的屬性] 索引標籤](media/how-to-connect-staged-rollout/staged-8.png)
將群組新增至「密碼雜湊同步」、「傳遞驗證」或「無縫 SSO」時,就會發生稽核事件。
備註
當將群組新增至「密碼雜湊同步」用於分段部署時,會記錄稽核事件。
![[新增群組至功能發布] 窗格 - [活動標籤]](media/how-to-connect-staged-rollout/staged-9.png)
![[新增群組至功能推出] 窗格 - [已修改的屬性] 索引標籤](media/how-to-connect-staged-rollout/staged-10.png)
使用者被新增至群組並啟用分段推出時的稽核事件。
![[將使用者新增至功能推出] 窗格 - [活動] 標籤](media/how-to-connect-staged-rollout/staged-11.png)
![[將使用者新增至功能部署] 窗格 - [目標] 索引標籤](media/how-to-connect-staged-rollout/staged-12.png)
驗證
若要使用 [密碼雜湊同步] 或 [傳遞驗證] (使用者名稱和密碼登入) 來測試登入,請執行下列工作:
在外部網路上,透過私密瀏覽器工作階段前往 [應用程式] 頁面,然後為分段推出已選的使用者帳戶,輸入其 UserPrincipalName (UPN)。
已納入分段推出的使用者不會被重新導向至您的聯邦登入頁面。 反之,系統會要求其登入 Microsoft Entra 租用戶商標的登入頁面。
使用 UserPrincipalName 進行篩選,確定登入成功出現在 Microsoft Entra 登入活動報告中 。
若要使用 無縫 SSO 測試登入:
在內部網路上,使用瀏覽器會話移至 [ 應用程式] 頁面 ,然後輸入針對 [分段推出] 選取之用戶帳戶的 UserPrincipalName (UPN)。
選定用於 [無縫 SSO] 分段推出的目標使用者會在自動且靜默登入之前看到「正在嘗試登入...」訊息。
使用 UserPrincipalName 進行篩選,確定登入成功出現在 Microsoft Entra 登入活動報告中 。
若要追蹤仍在 Active Directory 同盟服務(AD FS)上針對所選階段性推出使用者發生的使用者登入,請遵循 AD FS 疑難解答:事件和記錄中的指示。 請參閱廠商文件,以了解如何透過協力廠商同盟提供者對此進行檢查。
備註
當使用者使用 PHS 進行分段推出時,因為有同步時間,變更密碼可能長達 2 分鐘才會生效。 確保為使用者設定預期,以避免他們更改密碼後撥打客服電話尋求幫助。
監視
您可以在 Microsoft Entra 系統管理中心中使用新的混合式驗證活頁簿,監視在分段推出中新增或移除的使用者和群組,以及在分段推出期間的使用者登入。
從分段推出中移除使用者
將使用者從群組中移除時,會為該使用者停用漸進式推行。 若要停用分段推出功能,請將控制項移回 [關閉]。
這很重要
在分段推出中從群組中移除使用者以進行憑證式驗證時,當使用者已使用憑證登入 Windows 裝置時,建議在 Entra ID 中為憑證型驗證方法保留用戶啟用。 在從進行中的階段性推出中移除後,使用者應該持續啟用憑證驗證,時間足夠以讓使用者能夠登入 Windows 並使用聯邦身份提供者刷新其主要刷新權杖。
常見問題集
問:我可以在生產環境中使用這項功能嗎?
答:是,您可在生產租用戶者中使用這項功能,但建議先在測試租用戶中試用。
問:這項功能是否可以用來維護永久的「共存」,其中有些使用者使用同盟驗證,而另一些使用者則使用雲端驗證?
A:否,此功能是專為測試雲端驗證所設計。 在成功測試後,您應該將一些使用者群組切換至雲端驗證。 我們不建議使用永久性混合狀態,因為此方法可能會導致非預期的驗證流程。
問:我可以使用PowerShell執行分段推出嗎?
A: 可以。 若要瞭解如何使用 PowerShell 執行分段推出,請參閱 Microsoft Entra ID Preview。