共用方式為

使用分段推出移轉至雲端驗證

  • 發行項

分段推出可讓您選擇性地對使用者群組測試雲端驗證功能,例如 Microsoft Entra 多重要素驗證、條件式存取、認證外洩的 Microsoft Entra ID Protection、身分識別控管等,然後再切換網域。 本文討論如何進行此切換。

在開始分段推出之前,如果有下列一或多種情況,您應該思考其含意:

  • 您目前正在使用內部部署 Microsoft Azure Multi-Factor Authentication Server。
  • 您正在使用智慧卡進行驗證。
  • 目前伺服器提供某些僅限同盟的功能。
  • 您正從第三方同盟解決方案移至受控服務。

在嘗試這項功能前,建議先檢閱指南,以了解如何選擇正確的驗證方法。 如需詳細資訊,請參閱針對 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證方法 (機器翻譯)。

如需此功能的概觀,請觀賞「什麼是分段推出?」影片:

必要條件

  • 您有一個具有同盟網域的 Microsoft Entra 租用戶。

  • 您已決定移動下列其中一個選項:

    針對這兩個選項,建議啟用單一登入 (SSO),以實現無訊息登入體驗。 若為 Windows 7 或 8.1 網域聯結的裝置,建議使用無縫 SSO。 如需詳細資訊,請參閱什麼是無縫 SSO。 若為 Windows 10、Windows Server 2016 和更新版本,建議透過主要重新整理權杖 (PRT) 搭配 已加入 Microsoft Entra 的裝置已加入混合式 Microsoft Entra 的裝置個人註冊的裝置 (透過新增公司或學校帳戶) 來使用 SSO。

  • 針對正在移轉至雲端驗證的使用者,您已為其設定了所需的所有適當租用戶商標和條件式存取原則。

  • 如果您已從同盟移至雲端驗證,您必須確認已啟用 DirSync 設定 SynchronizeUpnForManagedUsers ,否則 Microsoft Entra ID 不允許同步更新 UPN 或使用受控驗證的授權使用者帳戶的替代登入識別碼。 如需詳細資訊,請參閱 Microsoft Entra Connect Sync 服務功能。

  • 如果打算使用 Microsoft Entra 多重要素驗證,建議您使用自助式密碼重設 (SSPR) 和多重要素驗證的合併註冊,讓您的使用者註冊其驗證方法一次。 注意 - 在分段推出中,使用 SSPR 來重設密碼或使用 MyProfile 頁面來變更密碼時,Microsoft Entra Connect 需要在重設後同步新的密碼雜湊,可能長達 2 分鐘。

  • 若要使用分段推出功能,您必須是租用戶上的混合式身分識別管理員。

  • 若要在特定 Active Directory 樹系上啟用 [無縫 SSO],則您必須是網域系統管理員。

  • 如果您要部署混合式 Microsoft Entra ID 或 Microsoft Entra 聯結,則必須升級至 Windows 10 1903 更新。

支援的案例

分段推出支援下列案例。 此功能僅適用於:

  • 使用 Microsoft Entra Connect 佈建至 Microsoft Entra ID 的使用者。 不適用於僅限雲端的使用者。

  • 瀏覽器和新式驗證用戶端上的使用者登入流量。 使用舊版驗證的應用程式或雲端服務,會切換回同盟驗證流程。 例如已關閉新式驗證的 Exchange online 的舊版驗證,或不支援新式驗證的 Outlook 2010。

  • 群組大小目前限制為 50,000 位使用者。 如果群組有超過 50,000 位使用者,建議將此群組分割為多個群組以利於分段推出。

  • 當使用者的 UPN 可以路由傳送,且在 Microsoft Entra ID 中驗證了網域尾碼時,為 Windows 10 1903 版和更新版本取得其適用的 Windows 10 混合式聯結或 Microsoft Entra 聯結主要重新整理權杖,沒有同盟伺服器的視線。

  • 使用 Windows 10 版本 1909 或更新版本時,分段推出支援 Autopilot 註冊。

不支援的情節

分段推出不支援下列案例:

  • 不支援舊版驗證,例如 POP3 和 SMTP。

  • 某些應用程式會在驗證期間將 "domain_hint" 查詢參數傳送至 Microsoft Entra ID。 這些流程會繼續,而已啟用分段推出的使用者會繼續使用同盟進行驗證。

  • 系統管理員可使用安全性群組來推出雲端驗證。 若要避免在使用內部部署 Active Directory 安全性群組時發生同步延遲,建議使用雲端安全性群組。 適用於下列條件:

    • 每項功能最多可使用 10 個群組。 亦即,您可將 10 個群組分別用於 [密碼雜湊同步]、[傳遞驗證]及 [無縫 SSO]
    • 不支援巢狀群組。
    • 分段推出不支援動態群組。
    • 群組內的連絡人物件會禁止新增群組。

  • 在第一次新增安全性群組以進行分段推出時,會限制為 200 位使用者,以避免 UX 逾時。新增群組後,即可視需要將更多使用者直接新增至群組。

  • 當使用者利用密碼雜湊同步 (PHS) 進行分段推出時,預設不會套用任何密碼到期。 您可以啟用 "CloudPasswordPolicyForPasswordSyncedUsersEnabled" 來套用密碼到期。 啟用 "CloudPasswordPolicyForPasswordSyncedUsersEnabled" 時,密碼到期原則會設定為 90 天,從內部部署設定密碼的時間算起,其沒有選項進行自訂。 當使用者處於分段推出狀態時,不支援以程式設計方式更新 PasswordPolicies 屬性。 若要了解如何設定 'CloudPasswordPolicyForPasswordSyncedUsersEnabled',請參閱密碼到期原則

  • 為 1903 之前的 Windows 10 版本,取得其適用的 Windows 10 混合式聯結或 Microsoft Entra Join 主要重新整理權杖。 就算使用者登入在分段推出的範圍內,此案例仍會回復到同盟伺服器的 WS-Trust 端點。

  • 當使用者的內部部署 UPN 無法路由傳送時,為所有版本取得其適用的 Windows 10 混合式聯結或 Microsoft Entra 聯結主要重新整理權杖。 在分段推出模式下,此案例會回復到 WS-Trust 端點,但在分段移轉完成且使用者登入不再依賴同盟伺服器時,會停止運作。

  • 如果您有 Windows 10 版本 1903 或更新版本的非永續性 VDI 設定,則必須保留在同盟網域上。 非永續性 VDI 不支援移至受控網域。 如需詳細資訊,請參閱裝置身分識別和桌面虛擬化

  • 如果您有 Windows Hello 企業版混合式憑證信任,其中憑證是透過充當登錄授權單位或智慧卡使用者的同盟伺服器所發出,則在分段推出時不支援此案例。

    注意

    您仍然需要使用 Microsoft Entra Connect 或 PowerShell 來進行從同盟到雲端驗證最後的完全移轉。 分段推出不會將網域從同盟切換至受控。 如需有關網域完全移轉的詳細資訊,請參閱從同盟移轉至密碼雜湊同步,以及從同盟移轉至傳遞驗證

開始使用分段推出

若要使用分段推出來測試 [密碼雜湊同步] 登入,請遵循下一節中的工作前指示。

如需應使用哪些 PowerShell Cmdlet 的資訊,請參閱 Microsoft Entra ID 2.0 Preview

密碼雜湊同步的前置工作

  1. 在 Microsoft Entra Connect 中,從 [選用功能] 頁面啟用 [密碼雜湊同步]。 

    Microsoft Entra Connect 中 [選用功能] 頁面的螢幕擷取畫面

  2. 請確定已執行完整的 [密碼雜湊同步]週期,以便所有使用者的密碼雜湊都同步至 Microsoft Entra ID。 若要檢查 [密碼雜湊同步] 的狀態,您可使用透過 Microsoft Entra Connect 同步對密碼雜湊同步進行疑難排解中的 PowerShell 診斷。

    Microsoft Entra Connect 疑難排解記錄的螢幕擷取畫面

如果要使用分段推出來測試 [傳遞驗證]登入,請遵循下一節中的工作前指示來啟用此功能。

傳遞驗證的前置工作

  1. 找出想要執行 [傳遞驗證] 代理程式的伺服器 (其執行 Windows Server 2012 R2 或更新版本)。

    不要選擇 Microsoft Entra Connect 伺服器。 請確認伺服器已加入網域、可使用 Active Directory 來驗證所選使用者,並可與輸出連接埠和 URL 上的 Microsoft Entra ID 通訊。 如需詳細資訊,請參閱快速入門:Microsoft Entra 無縫單一登入的「步驟 1:檢查先決條件」一節。

  2. 下載 Microsoft Entra Connect 驗證代理程式並在伺服器上安裝。 

  3. 若要啟用高可用性,請在其他伺服器上安裝額外驗證代理程式。

  4. 請確認已適當設定智慧型鎖定設定。 這樣有助於確保使用者的內部部署 Active Directory 帳戶不會遭到不良執行者鎖定。

不論您為分段推出選取哪個登入方法 ([密碼雜湊同步] 或 [傳遞驗證]),都建議啟用 [無縫 SSO]。 若要啟用 [無縫 SSO],請遵循下一節中的前置工作指示。

無縫 SSO 的前置工作

使用 PowerShell 在 Active Directory 樹系上啟用 [無縫 SSO]。 如果您有多個 Active Directory 樹系,請針對每個樹系個別將其啟用。 只會針對為了分段推出而選取的使用者觸發 [無縫 SSO]。 不會影響現有的同盟設定。

執行下列工作以啟用 [無縫 SSO]

  1. 登入 Microsoft Entra Connect 伺服器。

  2. 移至 %programfiles%\Microsoft Entra Connect 資料夾。

  3. 使用下列命令匯入 [無縫 SSO] PowerShell 模組:

    Import-Module .\AzureADSSO.psd1

  4. 以系統管理員身分執行 PowerShell。 在 PowerShell 中,呼叫 New-AzureADSSOAuthenticationContext。 此命令會開啟一個窗格,讓您可在其中輸入租用戶的混合式身分識別管理員認證。

  5. 呼叫 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令會顯示已啟用這項功能的 Active Directory 樹系清單 (查看 [網域] 清單)。 根據預設,在租用戶層級會設為 False。

    PowerShell 輸出的範例

  6. 呼叫 $creds = Get-Credential。 出現提示時,輸入預定 Active Directory 樹系的網域管理員認證。

  7. 呼叫 Enable-AzureADSSOForest -OnPremCredentials $creds。 此命令會從 Active Directory 樹系的內部部署網域控制站建立 [無縫 SSO] 所需 AZUREADSSOACC 電腦帳戶。

  8. [無縫 SSO] 需要 URL 位於內部網路區域中。 若要使用群組策略部署這些 URL,請參閱快速入門:Microsoft Entra 無縫單一登入

  9. 如需完整的逐步解說,您也可下載 [無縫 SSO]部署計劃

啟用分段推出

若要將特定功能 ([傳遞驗證]、[密碼雜湊同步] 或 [無縫 SSO]) 推出至群組中的一組所選使用者,請遵循下一節中的指示。

針對租用戶上的特定功能啟用分段推出

提示

本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。

您可推出下列選項:

  • [密碼雜湊同步] + [無縫 SSO]
  • [傳遞驗證] + [無縫 SSO]
  • 不支援 - [密碼雜湊同步] + [傳遞驗證] + [無縫 SSO]
  • 憑證式驗證設定
  • Azure Multifactor Authentication

若要設定分段推出,請遵循下列步驟:

  1. 以至少混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]> [混合式管理]> [Microsoft Entra Connect]> [Connect 同步處理]

  3. 在 [Microsoft Entra Connect] 頁面的 [分段推出雲端驗證] 下,選取 [為受控使用者登入啟用分段推出] 連結。

  4. 在 [啟用分段推出功能] 頁面上,選取您想要啟用的選項:[密碼雜湊同步]、[傳遞驗證]、[無縫單一登入] 或 [憑證式驗證]。 例如,如果您想要啟用 [密碼雜湊同步] 和 [無縫單一登入],請將控制項滑動至 [開啟]

  5. 將群組新增至您選取的功能。 例如,[傳遞驗證] 和 [無縫 SSO]。 若要避免逾時,請確認安全性群組一開始不包含超過 200 位成員。

    注意

    群組中的成員會自動啟用,以進行分段推出。 分段推出不支援巢狀和動態成員資格群組。 新增群組時,群組中的使用者 (一個新群組最多 200 個使用者) 將會更新為立即使用受控驗證。 編輯群組 (新增或移除使用者),最多可能需要 24 小時的時間,變更才會生效。 只有當使用者位於無縫 SSO 群組,同時也位於 PTA 或 PHS 群組時,才會套用無縫 SSO。

稽核

針對我們在分段推出時執行的各種動作,我們已啟用稽核事件:

  • 對 [密碼雜湊同步]、[傳遞驗證] 或 [無縫 SSO] 啟用分段推出時的稽核事件。

    注意

    使用分段推出啟用 [無縫 SSO] 時會記錄稽核事件。

    [為功能建立推出原則] 窗格 - [活動] 索引標籤

    [為功能建立推出原則] 窗格 - [已修改的屬性] 索引標籤

  • 將群組新增至 [密碼雜湊同步]、[傳遞驗證] 或 [無縫 SSO] 時,就會發生稽核事件。

    注意

    為分段推出將群組新增至 [密碼雜湊同步] 時會記錄稽核事件。

    [將群組新增至功能推出] 窗格 - [活動] 索引標籤

    [將群組新增至功能推出] 窗格 - [已修改的屬性] 索引標籤

  • 新增至群組的使用者啟用分段推出時的稽核事件。

    [將使用者新增至功能推出] 窗格 - [活動] 索引標籤

    [將使用者新增至功能推出] 窗格 - [目標] 索引標籤

驗證

若要使用 [密碼雜湊同步] 或 [傳遞驗證] (使用者名稱和密碼登入) 來測試登入,請執行下列工作:

  1. 在外部網路上,透過私密瀏覽器工作階段前往 [應用程式] 頁面,然後為分段推出已選的使用者帳戶,輸入其 UserPrincipalName (UPN)。

    分段推出已選定的使用者不會重新導向同盟登入頁面。 反之,系統會要求其登入 Microsoft Entra 租用戶商標的登入頁面。

  2. 藉由篩選 UserPrincipalName 來確保 Microsoft Entra 登入活動報告中顯示登入成功。

使用 [無縫 SSO] 來測試登入:

  1. 在內部網路上,使用瀏覽器工作階段前往 [應用程式] 頁面,然後為分段推出已選取的使用者帳戶,輸入其 UserPrincipalName (UPN)。

    [無縫 SSO] 的分段推出已選定的使用者在自動登入之前會看到「正在嘗試登入...」訊息。

  2. 藉由篩選 UserPrincipalName 來確保 Microsoft Entra 登入活動報告中顯示登入成功。

    若要追蹤選定的分段推出使用者仍在 Active Directory 同盟服務 (AD FS) 上發生的使用者登入,請遵循 AD FS 疑難排解:事件與記錄中的指示。 請參閱廠商文件,以了解如何透過協力廠商同盟提供者對此進行檢查。

    注意

    當使用者使用 PHS 進行分段推出時,因為有同步時間,變更密碼可能長達 2 分鐘才會生效。 請務必為使用者設定預期時間,以避免在使用者變更密碼之後就撥打技術服務人員電話。

監視

您可以在 Microsoft Entra 系統管理中心中使用新的混合式驗證活頁簿,監視在分段推出中新增或移除的使用者和群組,以及分段推出當時的使用者登入。

混合式驗證活頁簿

將使用者從分段推出移除

從群組移除使用者時會對該使用者停用分段推出。 若要停用分段推出功能,請將控制項移回 [關閉]

常見問題集

問:我可在生產中使用這項功能嗎?

答:是,您可在生產租用戶者中使用這項功能,但建議先在測試租用戶中試用。

問:這項功能是否可用來維護永久性的「共存」,其中某些使用者使用同盟驗證,而其他則使用雲端驗證?

A:否,此功能是專為測試雲端驗證所設計。 在成功測試幾個使用者群組之後,您應該完全移轉至雲端驗證。 我們不建議使用永久性混合狀態,因為此方法可能會導致非預期的驗證流程。

問:我可使用 PowerShell 來執行分段推出嗎?

A: 可以。 若要瞭解如何使用 PowerShell 來執行分段推出,請參閱 Microsoft Entra ID 預覽

下一步