Active Directory 同盟服務 (AD FS) 解除委任指南

Microsoft Entra ID 透過強大的身分驗證和基於風險的即時自適應存取原則，為所有資源和應用程式提供簡單的雲端型登入體驗，以授予資源的存取權，進而降低管理和維護 AD FS 環境的運作成本，並提高 IT 效率。

有關為何應該從 AD FS 升級至 Microsoft Entra ID 的詳細資訊，請瀏覽從 AD FS 移至 Microsoft Entra ID。 請參閱 從同盟移轉至雲端驗證 以了解 如何 從 AD FS 升級。

本文件將提供您解除委任 AD FS 伺服器的建議步驟。

解除委任 AD FS 伺服器的必要條件

開始解除委任 AD FS 伺服器之前，請確定下列項目已完成。 如需詳細資訊，請參閱 從同盟移轉至雲端驗證。

1. 安裝 Microsoft Entra Connect Health ，以提供對內部部署身分識別基礎結構的可靠監視。

2. 完成 單一登入 (SSO) 的前置工作。

3. 將使用者驗證遷移至 Microsoft Entra ID。 啟用雲端驗證後，Microsoft Entra ID 能夠安全地處理使用者的登入過程。 Microsoft Entra ID 為您提供三個選項，用於對使用者進行安全的雲端驗證：

   • Microsoft Entra Password Hash Synchronization (PHS) – 允許您的使用者以相同密碼同時登入內部部署和雲端式應用程式。 Microsoft Entra Connect 將使用者密碼雜湊的雜湊碼從內部部署的 Active Directory 執行個體同步到雲端式 Microsoft Entra 執行個體。 兩層雜湊可確保您的密碼永遠不會公開或傳輸至雲端系統。
   • Microsoft Entra 憑證的驗證 (CBA) – 使您能夠採用防網路釣魚身份驗證方法，並使用 X.509 憑證針對公鑰基礎結構 (PKI) 對使用者進行驗證。
   • Microsoft Entra 傳遞驗證 (PTA) – 允許使用者以相同密碼同時登入內部部署和雲端式應用程式。 它會在內部部署 Active Directory 上安裝代理程式，並直接針對內部部署 Active Directory 驗證使用者的密碼。

   您可以使用 分段推出 來嘗試使用者的雲端驗證。 它可讓您選擇性地測試具有上述雲端驗證功能的使用者群組。

   注意

   • PHS & CBA 是雲端託管驗證的首選選項。 只有在法規需求無法將任何密碼資訊同步處理至雲端的情況下，才必須使用 PTA。
   • 使用者驗證和應用程式移轉可以依任何順序完成，不過，建議您先完成使用者驗證移轉。
   • 請務必評估分段推出 支援的 和 不支援的 案例。

4. 將目前使用 AD FS 進行驗證的所有應用程式 遷移到 Microsoft Entra ID，因為它為身分識別和存取管理提供了到 Microsoft Entra ID 的單個控制平面。 確保還將 Office 365 應用程式和已加入的裝置遷移到 Microsoft Entra ID。

   • Migration Assistant 可用於將應用程式從 AD FS 遷移到 Microsoft Entra ID。
   • 如果您在應用程式庫中找不到正確的 SaaS 應用程式，可以從 https://aka.ms/AzureADAppRequest 要求它們。

5. 確保執行 Microsoft Entra Connect Health 至少一周，以觀察 Microsoft Entra ID 中應用程式的使用方式。 您還應該能夠在 Microsoft Entra ID 中查看使用者登入記錄。

解除委任 AD FS 伺服器的步驟

本章節提供解除委任 AD FS 伺服器的逐步流程。

到達此點之前，您必須確認 AD FS 伺服器中已沒有任何有流量的信賴憑證者 (回復部分信賴)。

在開始之前，請檢查 AD FS 事件記錄和/或 Microsoft Entra Connect Health 是否有任何登入失敗或成功，因為這意味著這些伺服器仍在用於某些目的。 如果看到登入成功或失敗，請查看如何從 AD FS 遷移應用程式或將驗證移到 Microsoft Entra ID。

驗證上述內容之後，您可以採取下列步驟 (假設 AD FS 伺服器現在不會用於任何其他內容):

注意

將驗證移到 Microsoft Entra ID 後，請測試環境至少一周，以驗證雲端驗證是否順利執行，毫無問題。

1. 請考慮在解除委任 AD FS 伺服器之前，先採取選擇性 最終備份。
2. 從您可能已在環境中設定的任何負載平衡器 (內部與外部) 移除任何 AD FS 專案。
3. 刪除環境中 AD FS 伺服器之個別伺服器陣列名稱的任何對應 DNS 專案。
4. 在主要 AD FS 伺服器上執行 Get-ADFSProperties，並尋找 CertificateSharingContainer。 請記下此 DN，因為您必須在安裝結束時將其刪除 (在重新開機後，以及無法使用時)
5. 如果您的 AD FS 設定資料庫使用 SQL Server 資料庫執行個體作為存放區，請務必先刪除資料庫，再解除安裝 AD FS 伺服器。
6. 解除安裝 WAP (Proxy) 伺服器。
   • 登入每個 WAP 伺服器，開啟遠端存取管理主控台，並尋找已發佈的 Web 應用程式。
   • 移除與任何不再使用 AD FS 伺服器相關的内容。
   • 移除所有已發佈的 Web 應用程式時，請使用下列命令解除安裝 WAP，Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess。
7. 解除安裝 AD FS 伺服器。
   • 從次要節點開始，使用 Uninstall-WindowsFeature ADFS-Federation，Windows-Internal-Database 命令解除安裝 AD FS。 在這之後，執行 del C:\Windows\WID\data\adfs* 命令以刪除任何資料庫檔案
8. 從每部伺服器儲存體刪除 AD FS 安全通訊端層 (SSL) 憑證。
9. 使用完整磁碟格式重新製作 AD FS 伺服器的映像。
10. 您現在可以安全地刪除您的 AD FS 帳戶。
11. 在解除安裝之後，使用 ADSI Edit 編輯 CertificateSharingContainer DN 的內容。

後續步驟

• AD FS 至 Microsoft Entra 常見問題