從同盟移轉至雲端驗證
在本文中,您將瞭解如何使用 Microsoft Entra Password hash synchronization (PHS) 或 傳遞驗證 (PTA) 部署雲端用戶驗證。 雖然我們呈現從 Active Directory 同盟服務 (AD FS) 移至雲端驗證方法的使用案例,但指導方針也適用於其他內部部署系統。
在您繼續之前,建議您先檢閱我們的指南 ,以選擇正確的驗證方法 ,並比較最適合您組織的方法。
我們建議使用 PHS 進行雲端驗證。
分段推出
分段推出是選擇性地測試具有雲端驗證功能的使用者群組的絕佳方式,例如 Microsoft Entra 多重要素驗證、條件式存取、身分識別保護,以取得外泄認證、身分識別治理和其他認證,然後再剪下您的網域。
請參閱分段推出實作計劃,以了解 支援 和 不支援的案例。 建議您先使用分段推出來測試,再剪下網域。
移轉程序流程
必要條件
開始移轉之前,請確定您符合這些必要條件。
所需角色
針對分段推出,您必須是租使用者上的混合式身分識別 管理員 istrator。
逐步執行 Microsoft Entra 連線 伺服器
安裝 Microsoft Entra 連線 (Microsoft Entra 連線) 或升級至最新版本。 當您逐步執行 Microsoft Entra 連線 伺服器時,它會減少從 AD FS 移轉至雲端驗證方法的時間,從可能數小時到數分鐘。
記載目前的同盟設定
若要尋找目前的同盟設定,請執行 Get-MgDomainFederationConfiguration。
Get-MgDomainFederationConfiguration - DomainID yourdomain.com
確認任何可能已針對同盟設計和部署檔自定義的設定。 具體而言,請在 PreferredAuthenticationProtocol、federatedIdpMfaBehavior、SupportsMfa(如果未設定 federatedIdpMfaBehavior)和 PromptLoginBehavior 中尋找自定義專案。
備份同盟設定
雖然此部署不會變更 AD FS 伺服器陣列中的其他信賴憑證者,但您可以備份您的設定:
使用 Microsoft AD FS 快速還原工具 來還原現有的伺服器陣列或建立新的伺服器數位。
匯出 Microsoft 365 身分識別平臺信賴憑證者信任,以及您使用下列 PowerShell 範例新增的任何相關聯的自定義宣告規則:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
規劃專案
當技術專案失敗時,通常是因為對影響、結果和責任不符預期。 若要避免這些陷阱, 請確定您參與正確的項目關係人 ,以及專案中的項目關係人角色已充分瞭解。
方案通訊
移轉至雲端驗證之後,存取 Microsoft 365 和其他透過 Microsoft Entra ID 驗證的資源的使用者登入體驗會變更。 網路外部的使用者只會看到 Microsoft Entra 登入頁面。
主動與您的使用者溝通他們的體驗如何改變、何時會改變,以及如何在遇到問題時取得支援。
規劃維護期間
新式驗證用戶端(Office 2016 和 Office 2013、iOS 和 Android 應用程式)會使用有效的重新整理令牌來取得新的存取令牌,以繼續存取資源,而不是返回 AD FS。 這些用戶端不受網域轉換程式所產生的任何密碼提示的影響。 用戶端會繼續在沒有額外設定的情況下運作。
注意
當您從同盟移轉至雲端驗證時,將網域從同盟轉換為受控的程式最多可能需要 60 分鐘的時間。 在此程式期間,系統可能不會提示使用者輸入任何新登入 Microsoft Entra 系統管理中心的認證,或以 Microsoft Entra ID 保護的其他瀏覽器型應用程式。 建議您在維護期間包含此延遲。
規劃復原
提示
請考慮在停機期間規劃移轉網域,以防復原需求。
若要規劃復原,請使用記載的 目前同盟設定 ,並檢查 同盟設計和部署檔。
回復程式應該包含使用 New-MgDomainFederationConfiguration Cmdlet 將受控網域轉換成同盟網域。 如有必要,請設定額外的宣告規則。
移轉考量
以下是重要的移轉考慮。
規劃自訂設定
無法在 Microsoft Entra ID 中複製onload.js檔案。 如果您的 AD FS 實例已大量自定義,並依賴onload.js檔案中的特定自定義設定,請確認 Microsoft Entra ID 是否符合您目前的自定義需求並據以規劃。 將這些即將進行的變更傳達給您的使用者。
登入經驗
您無法自定義 Microsoft Entra 登入體驗。 無論您的使用者先前如何登入,您都需要完整的功能變數名稱,例如用戶主體名稱(UPN)或電子郵件,才能登入 Microsoft Entra ID。
組織商標
您可以 自定義 Microsoft Entra 登入頁面。 轉換之後,應該預期 AD FS 登入頁面上的某些視覺效果變更。
注意
除非您擁有 Microsoft 365 授權,否則免費 Microsoft Entra ID 授權無法使用組織商標。
規劃條件式存取原則
評估您目前是否使用條件式存取進行驗證,或在AD FS中使用訪問控制原則。
請考慮將AD FS訪問控制原則取代為對等的 Microsoft Entra 條件式存取原則 和 Exchange Online 用戶端存取規則。 您可以針對條件式存取使用 Microsoft Entra ID 或內部部署群組。
停用舊版驗證 - 由於與舊版驗證 通訊協定相關聯的風險增加,請建立 條件式存取原則來封鎖舊版驗證。
規劃 MFA 的支援
針對同盟網域,MFA 可由 Microsoft Entra 條件式存取或內部部署同盟提供者強制執行。 您可以藉由設定 federatedIdpMfaBehavior 的安全性設定,啟用保護以防止略過 Microsoft Entra 多重要素驗證。 啟用 Microsoft Entra 租使用者中同盟網域的保護。 當同盟使用者存取需要 MFA 的條件式存取原則所控管的應用程式時,請確定一律執行 Microsoft Entra 多重要素驗證。 這包括執行 Microsoft Entra 多重要素驗證,即使同盟識別提供者已發出內部部署 MFA 已執行的同盟令牌宣告。 每次強制執行 Microsoft Entra 多重要素驗證可確保不良動作專案無法略過 Microsoft Entra 多重要素驗證,方法是模仿該識別提供者已執行 MFA,而且強烈建議您執行 MFA,除非您使用第三方 MFA 提供者為同盟使用者執行 MFA。
下表說明每個選項的行為。 如需詳細資訊,請參閱 federatedIdpMfaBehavior。
| 值 | Description |
|---|---|
| acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID 接受同盟識別提供者執行的 MFA。 如果同盟識別提供者未執行 MFA,Microsoft Entra ID 會執行 MFA。 |
| enforceMfaByFederatedIdp | Microsoft Entra ID 接受同盟識別提供者執行的 MFA。 如果同盟識別提供者未執行 MFA,它會將要求重新導向至同盟識別提供者以執行 MFA。 |
| rejectMfaByFederatedIdp | Microsoft Entra ID 一律會執行 MFA,並拒絕同盟識別提供者執行的 MFA。 |
federatedIdpMfaBehavior 設定是 Set-MsolDomainFederation 設定 MSOnline v1 PowerShell Cmdlet 的 SupportsMfa 屬性進化版本。
對於已經設定 SupportsMfa 屬性的網域,這些規則會決定 federatedIdpMfaBehavior 和 SupportsMfa 如何共同運作:
- 不支援在 federatedIdpMfaBehavior 和 SupportsMfa 之間切換。
- 設定 federatedIdpMfaBehavior 屬性之後,Microsoft Entra ID 會忽略 SupportsMfa 設定。
- 如果未設定 federatedIdpMfaBehavior 屬性,Microsoft Entra ID 會繼續接受 SupportsMfa 設定。
- 如果未設定 federatedIdpMfaBehavior 或 SupportsMfa,則 Microsoft Entra ID 預設為
acceptIfMfaDoneByFederatedIdp行為。
您可以執行 Get-MgDomainFederationConfiguration 來檢查保護的狀態:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
規劃實作
本節包含預先作業,再切換登入方法並轉換網域。
建立分段推出的必要群組
如果您未使用分段推出,請略過此步驟。
如果您決定新增群組,請為分段推出建立群組,以及針對條件式存取原則建立群組。
建議您使用掌握在 Microsoft Entra ID 中的群組,也稱為僅限雲端群組。 您可以使用 Microsoft Entra 安全組或 Microsoft 365 群組,將使用者移至 MFA 和條件式存取原則。 如需詳細資訊,請參閱建立 Microsoft Entra 安全組,以及系統管理員 Microsoft 365 群組 的概觀。
群組中的成員會自動啟用分段推出。 分段推出不支援巢狀和動態群組。
SSO 的前置工作
您使用的 SSO 版本取決於您的裝置 OS 和加入狀態。
針對 Windows 10、Windows Server 2016 和更新版本,我們建議透過主要重新整理令牌 (PRT) 使用 SSO 搭配加入 Microsoft Entra 的裝置、Microsoft Entra 混合式加入的裝置和 Microsoft Entra 已註冊的裝置。
針對macOS和iOS裝置,我們建議透過Apple裝置的 Microsoft Enterprise SSO 外掛程式使用 SSO。 此功能需要您的 Apple 裝置由 MDM 管理。 如果您使用 Intune 作為 MDM,請遵循 Apple Intune 部署指南的 Microsoft Enterprise SSO 外掛程式。 如果您使用另一個 MDM,請遵循 Jamf Pro /一般 MDM 部署指南。
針對 Windows 7 和 8.1 裝置,我們建議使用 無縫 SSO 搭配已加入網域,以在 Microsoft Entra ID 中註冊電腦。 您不需要像 Windows 10 裝置一樣同步處理這些帳戶。 不過,您必須完成此 前置工作,才能使用PowerShell進行無縫 SSO。
PHS 和 PTA 的前置工作
實作您的 解決方案
最後,您可以依計劃將登入方法切換至 PHS 或 PTA,並將網域從同盟轉換為雲端驗證。
使用分段推出
如果您使用分段推出,請遵循下列連結中的步驟:
測試完成之後, 請將網域從同盟轉換為受管理。
不使用分段推出
您有兩個選項可開啟此變更:
選項 A:使用 Microsoft Entra 切換 連線。
如果您一開始使用 Microsoft Entra 連線 設定 AD FS/ ping 同盟環境,可以使用。
選項 B:使用 Microsoft Entra 連線 和 PowerShell 切換
如果您一開始未使用 Microsoft Entra 連線 或使用第三方同盟服務,則可以使用同盟網域。
若要選擇其中一個選項,您必須知道目前的設定為何。
確認目前的 Microsoft Entra 連線 設定
- 以至少混合式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至身分>識別混合式管理>Microsoft Entra 連線> Cloud 同步處理。
- 確認使用者SIGN_IN設定,如下圖所示:
若要確認同盟的設定方式:
在您的 Microsoft Entra 連線 伺服器上,開啟 Microsoft Entra 連線,然後選取 [設定]。
在 [其他工作管理同盟] 底下,選取 [檢視同盟設定]。>
如果本節中出現 AD FS 組態,您可以放心地假設 AD FS 原本是使用 Microsoft Entra 連線 進行設定。 請參閱下圖作為範例-
如果 AD FS 未列在目前的設定中,您必須使用 PowerShell 手動將網域從同盟身分識別轉換成受控識別。
選項 A
使用 Microsoft Entra 連線 從同盟切換到新的登入方法
在您的 Microsoft Entra 連線 伺服器上,開啟 Microsoft Entra 連線,然後選取 [設定]。
在 [ 其他工作] 頁面上,選取 [ 變更使用者登入],然後選取 [ 下一步]。
在 [連線 至 Microsoft Entra ID] 頁面上,輸入您的全域 管理員 istrator 帳戶認證。
在 [ 使用者登入 ] 頁面上:
如果您選取 [ 傳遞驗證 ] 選項按鈕,如果 Windows 7 和 8.1 裝置需要 SSO,請檢查 [啟用單一登錄],然後選取 [下一步]。
如果您選取 [ 密碼哈希同步處理 ] 選項按鈕,請務必選取 [不要轉換使用者帳戶 ] 複選框。 選項已被取代。 如果 Windows 7 和 8.1 裝置需要 SSO,請檢查 [啟用單一登錄],然後選取 [ 下一步]。
![檢查 [使用者登入] 頁面上啟用單一登錄](media/deploy-cloud-user-authentication/user-sign-in.png)
深入瞭解: 使用 PowerShell 啟用無縫 SSO。
在 [啟用單一登錄] 頁面上,輸入網域 管理員 istrator 帳戶的認證,然後選取 [下一步]。
需要網域 管理員 istrator 帳戶認證,才能啟用無縫 SSO。 此程式會完成下列動作,這些動作需要這些提高的許可權:
- 系統會在您的 內部部署的 Active Directory 實例中建立名為 AZUREADSSO 的電腦帳戶(代表 Microsoft Entra ID)。
- 計算機帳戶的 Kerberos 解密金鑰會安全地與 Microsoft Entra 識別碼共用。
- 系統會建立兩個 Kerberos 服務主體名稱 (SPN),以代表 Microsoft Entra 登入期間使用的兩個 URL。
網域系統管理員認證不會儲存在 Microsoft Entra 連線 或 Microsoft Entra 識別符中,並在程式成功完成時捨棄。 它們可用來開啟這項功能。
深入瞭解: 無縫 SSO 技術深入探討。
在 [ 準備設定] 頁面上,確定 已選取 [設定完成 時啟動同步處理程式] 複選框。 然後,選取 [ 設定]。
重要
此時,所有同盟網域都會變更為受控驗證。 您選取的使用者登入方法是新的驗證方法。
在 Microsoft Entra 系統管理中心中,選取 [Microsoft Entra 標識符],然後選取 [Microsoft Entra 連線]。
確認這些設定:
- 同盟 設定為 [已停用]。
- 無縫單一登錄 設定為 [已啟用]。
- 密碼哈希同步 設定為 [已啟用]。
如果您要切換至 PTA,請遵循後續步驟。
為 PTA 部署更多驗證代理程式
注意
PTA 需要在 Microsoft Entra 連線 伺服器上,以及在執行 Windows Server 的內部部署電腦上部署輕量型代理程式。 若要降低延遲,請盡可能接近您的 Active Directory 域控制器安裝代理程式。
對大多數客戶而言,兩或三個驗證代理程式足以提供高可用性和所需的容量。 租使用者最多可以註冊 12 個代理程式。 第一個代理程式一律安裝在 Microsoft Entra 連線 伺服器本身。 若要瞭解代理程式限制和代理程式部署選項,請參閱 Microsoft Entra 傳遞驗證:目前的限制。
選取 [傳遞驗證]。
在 [ 傳遞驗證 ] 頁面上,選取 [ 下載] 按鈕。
在 [ 下載代理程式] 頁面上,選取 [ 接受條款並下載]。f
更多驗證代理程式會開始下載。 在加入網域的伺服器上安裝次要驗證代理程式。
執行驗證代理程式安裝。 在安裝期間,您必須輸入 Global 管理員 istrator 帳戶的認證。
安裝驗證代理程式時,您可以返回 PTA 健康情況頁面,以檢查更多代理程式的狀態。
選項 B
使用 Microsoft Entra 連線 和 PowerShell 從同盟切換至新的登入方法
如果您一開始未使用 Microsoft Entra 連線 或使用第三方同盟服務,則可以使用同盟網域。
在您的 Microsoft Entra 連線 伺服器上,遵循選項 A 中的步驟 1- 5。請注意,在 [使用者登入] 頁面上,會預先選取 [不要設定] 選項。
![請參閱使用者登入頁面上的 [不要設定] 選項](media/deploy-cloud-user-authentication/do-not-configure-on-user-sign-in-page.png)
在 Microsoft Entra 系統管理中心中,選取 [Microsoft Entra 標識符],然後選取 [Microsoft Entra 連線]。
確認這些設定:
[同盟 ] 設定為 [已啟用]。
無縫單一登錄 設定為 [已停用]。
密碼哈希同步 設定為 [已啟用]。
僅限 PTA 時,請遵循下列步驟來安裝更多 PTA 代理程式伺服器。
在 Microsoft Entra 系統管理中心中,選取 [Microsoft Entra 標識符],然後選取 [Microsoft Entra 連線]。
選取 [傳遞驗證]。 確認狀態為 [作用中]。
如果驗證代理程式未使用中,請先完成這些 疑難解答步驟 ,再繼續進行下一個步驟中的網域轉換程式。 如果您在驗證 PTA 代理程式成功安裝之前轉換網域,且其狀態為 Microsoft Entra 系統管理中心的 [作用中],您就有可能造成驗證中斷。
將網域從同盟轉換為受控網域
此時,同盟驗證仍然作用中,而且適用於您的網域。 若要繼續部署,您必須將每個網域從同盟身分識別轉換成受控識別。
重要
您不需要同時轉換所有網域。 您可以選擇從生產租使用者上的測試網域開始,或從具有最低用戶數目的網域開始。
使用 Microsoft Graph PowerShell SDK 完成轉換:
在 PowerShell 中,使用全域 管理員 istrator 帳戶登入 Microsoft Entra ID。
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"若要轉換第一個網域,請執行下列命令:
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"在 Microsoft Entra 系統管理中心中,選取 [Microsoft Entra ID > Microsoft Entra 連線]。
執行下列命令,確認網域已轉換為受控網域。 [驗證類型] 應設定為 [受控]。
Get-MgDomain -DomainId yourdomain.com
完成您的移轉
完成下列工作以驗證註冊方法,並完成轉換程式。
測試新的登入方法
當您的租使用者使用同盟身分識別時,使用者會從 Microsoft Entra 登入頁面重新導向至 AD FS 環境。 既然租用戶已設定為使用新的登入方法,而不是同盟驗證,使用者就不會重新導向至 AD FS。
相反地,使用者在 Microsoft Entra 登入頁面上直接登入。
遵循此連結中的步驟 - 使用 PHS/ PTA 和無縫 SSO 驗證登入 (必要時)
從分段推出中移除使用者
如果您使用分段推出,您應該記得在完成剪下之後關閉分段推出功能。
若要停用分段推出功能,請將控件滑回 [關閉]。
同步處理 UserPrincipalName 更新
在過去,除非這兩個條件都成立,否則會封鎖使用內部部署環境的同步處理服務 UserPrincipalName 屬性的更新:
- 用戶位於受控(非敗用)身分識別網域中。
- 使用者尚未獲指派授權。
若要瞭解如何驗證或開啟這項功能,請參閱 同步處理 userPrincipalName 更新。
管理您的實作
變換無縫 SSO Kerberos 解密金鑰
建議您至少每隔 30 天變換 Kerberos 解密密鑰,以配合 Active Directory 網域成員提交密碼變更的方式。 沒有連結至 AZUREADSSO 計算機帳戶對象的相關聯裝置,因此您必須手動執行變換。
請參閱常見問題 如何? 變換 AZUREADSSO 計算機帳戶的 Kerberos 解密密鑰?。
監視與記錄
監視執行驗證代理程式的伺服器,以維護解決方案可用性。 除了一般伺服器性能計數器之外,驗證代理程式也會公開性能物件,以協助您了解驗證統計數據和錯誤。
驗證代理程式會將作業記錄到位於 Application and Service 記錄下的 Windows 事件記錄檔。 您也可以開啟記錄以進行疑難解答。
若要確認在分段推出上執行的各種動作,您可以 稽核 PHS、PTA 或無縫 SSO 的事件。
疑難排解
您的支援小組應該瞭解如何針對從同盟變更為受控期間或之後發生的任何驗證問題進行疑難解答。 使用下列疑難解答文件,協助您的支援小組熟悉常見的疑難解答步驟和適當的動作,以協助隔離和解決問題。
解除委任AD FS基礎結構
將應用程式驗證從AD FS遷移至 Microsoft Entra 識別碼
移轉需要評估應用程式在內部部署設定的方式,然後將該組態對應至 Microsoft Entra ID。
如果您打算繼續使用 AD FS 搭配內部部署和 SaaS 應用程式使用 SAML / WS-FED 或 Oauth 通訊協定,在轉換網域以進行使用者驗證之後,您將同時使用 AD FS 和 Microsoft Entra ID。 在此情況下,您可以透過 Microsoft Entra 應用程式 Proxy 或其中一個 Microsoft Entra ID 合作夥伴整合,使用安全混合式存取來保護內部部署應用程式和資源。 使用 應用程式 Proxy 或我們的其中一個合作夥伴,可以提供您內部部署應用程式的安全遠端訪問。 用戶藉由在單一 登錄之後,輕鬆地從任何裝置連線到其應用程式而受益。
您可以將目前與 ADFS 同盟的 SaaS 應用程式移至 Microsoft Entra ID。 重新設定以透過 Azure 應用連結庫的內建連接器,或在 Microsoft Entra ID 中註冊應用程式,向 Microsoft Entra 標識符進行驗證。
如需詳細資訊,請參閱將應用程式驗證從 Active Directory 同盟服務 移至 Microsoft Entra ID。
拿掉信賴憑證者信任
如果您有 Microsoft Entra 連線 Health,您可以從 Microsoft Entra 系統管理中心監視使用量。 如果使用量未顯示新的驗證 req,而且您驗證所有使用者和用戶端都已成功透過 Microsoft Entra 標識符進行驗證,則移除 Microsoft 365 信賴憑證者信任是安全的。
如果您未將AD FS用於其他用途(也就是針對其他信賴憑證者信任),您此時可以解除委任AD FS。
拿掉AD FS
如需完整移除環境 AD FS 的步驟清單,請遵循 Active Directory 同盟服務 (AD FS) 解除委任指南。