Sdílet prostřednictvím

Osvědčené postupy pro migraci aplikací a ověřování do Microsoft Entra ID

  • Článek

Slyšeli jste, že Azure Active Directory je teď Microsoft Entra ID a myslíte si, že je vhodná doba k migraci služby Active Directory Federation Service (AD FS) do cloudového ověřování (AuthN) v Microsoft Entra ID. Při kontrole možností si projděte naše rozsáhlé prostředky pro migraci aplikací na ID Microsoft Entra a osvědčené postupy.

Dokud nebudete moct migrovat službu AD FS na Microsoft Entra ID, chraňte místní prostředky pomocí programu Microsoft Defender for Identity. Ohrožení zabezpečení můžete proaktivně najít a opravit. Využijte posouzení, analýzu a analýzu dat, vyhodnocování priorit vyšetřování uživatelů a automatickou reakci na ohrožené identity. Migrace do cloudu znamená, že vaše organizace může těžit z moderního ověřování, jako jsou metody bez hesla k ověření.

Tady jsou důvody, proč se můžete rozhodnout nemigrovat službu AD FS:

  • Vaše prostředí má plochá uživatelská jména (například ID zaměstnance).
  • Potřebujete další možnosti pro vlastní poskytovatele vícefaktorového ověřování.
  • Používáte řešení ověřování zařízení ze systémů mobilních Správa zařízení (MDM) třetích stran, jako je VMware.
  • Vaše služba AD FS je duální a má více cloudů.
  • Potřebujete sítě s mezerami vzduchu.

Migrace aplikací

Naplánujte postupné zavedení migrace aplikací a vyberte uživatele, kteří se budou ověřovat v ID Microsoft Entra pro účely testování. Využijte pokyny, naplánujte migraci aplikací na ID Microsoft Entra a prostředky pro migraci aplikací do Microsoft Entra ID.

Další informace najdete v následujícím videu o snadné migraci aplikací pomocí ID Microsoft Entra.

Nástroj pro migraci aplikací

V současné době je migrace aplikací služby AD FS ve verzi Preview pro přesun aplikací SLUŽBY AD FS do Microsoft Entra ID průvodcem pro správce IT k migraci aplikací předávající strany služby AD FS ze služby AD FS do Microsoft Entra ID. Průvodce migrací aplikací služby AD FS poskytuje jednotné prostředí pro zjišťování, vyhodnocování a konfiguraci nových aplikací Microsoft Entra. Má konfiguraci jedním kliknutím pro základní adresy URL SAML, mapování deklarací identity a přiřazení uživatelů pro integraci aplikace s Microsoft Entra ID. K dispozici je kompletní podpora migrace místních aplikací SLUŽBY AD FS s těmito funkcemi:

  • Pokud chcete pomoct s identifikací využití a dopadem aplikace předávající strany, vyhodnoťte aktivity přihlašování k aplikacím předávající strany ad FS.
  • Pokud chcete pomoct s určením blokátorů migrace a požadovaných akcí pro migraci aplikací do Microsoft Entra ID, analyzujte službu AD FS do Microsoft Entra migrace proveditelnosti.
  • Pokud chcete automaticky nakonfigurovat novou aplikaci Microsoft Entra pro aplikaci AD FS, nakonfigurujte nové aplikace Microsoft Entra pomocí procesu migrace aplikace jedním kliknutím.

Fáze 1: Zjišťování a určení rozsahu aplikací

Při zjišťování aplikací můžete zahrnout do vývoje a plánovaných aplikací. Nasaďte je tak, aby se po dokončení migrace ověřilo pomocí ID Microsoft Entra.

Sestava aktivit slouží k přesunu aplikací AD FS do Microsoft Entra ID. Tato sestava vám pomůže identifikovat aplikace, které můžou migrovat na MICROSOFT Entra ID. Vyhodnocuje aplikace SLUŽBY AD FS pro kompatibilitu Microsoft Entra, kontroluje problémy a poskytuje pokyny k přípravě jednotlivých aplikací na migraci.

Pomocí nástroje pro migraci aplikací Microsoft Entra do Microsoft Entra shromážděte aplikace předávající strany ze serveru AD FS a analyzujte konfiguraci. Z této analýzy sestava ukazuje, které aplikace mají nárok na migraci do Microsoft Entra ID. U oprávněných aplikací si můžete projít vysvětlení, proč nemůžou migrovat.

Nainstalujte Microsoft Entra Connect pro místní prostředí pomocí agentů stavu služby AD FS microsoft Entra Connect.

Přečtěte si další informace, Co je Microsoft Entra Connect?

Fáze 2: Klasifikace aplikací a pilotního plánování

Klasifikace migrace aplikací je důležitým cvičením. Po rozhodnutí o pořadí, ve kterém migrujete aplikace, naplánujte migraci a přechod aplikací ve fázích. Uveďte následující kritéria pro klasifikaci aplikací:

  • Moderní ověřovací protokoly, jako jsou aplikace SaaS (Software jako služba) třetích stran v galerii aplikací Microsoft Entra, ale ne prostřednictvím Microsoft Entra ID.
  • Starší ověřovací protokoly pro modernizaci, jako jsou aplikace SaaS třetích stran (ne v galerii, ale můžete je přidat do galerie).
  • Federované aplikace, které používají službu AD FS, a můžou migrovat na MICROSOFT Entra ID.
  • Starší ověřovací protokoly NEJSOU modernizovány. Modernizace může vyloučit protokoly za webovou proxy aplikací (WinSCP (WAP)), které můžou používat proxy aplikací Microsoft Entra a kontrolery doručování aplikací nebo aplikací, které můžou používat zabezpečený hybridní přístup.
  • Nové obchodní aplikace
  • Aplikace pro vyřazení můžou mít funkce, které jsou redundantní s jinými systémy a bez obchodního vlastníka ani použití.

Při výběru prvních aplikací pro migraci je to jednoduché. Kritéria můžou zahrnovat aplikace SaaS v galerii, které podporují více připojení zprostředkovatele identity (IdP). Existují aplikace s přístupem k testovací instanci, aplikacemi s jednoduchými pravidly deklarací identity a aplikacemi, které řídí přístup cílové skupiny.

Fáze 3: Plánování migrace a testování

Nástroje pro migraci a testování zahrnují sadu nástrojů pro migraci aplikací Microsoft Entra, které umožňují zjišťovat, klasifikovat a migrovat aplikace. Odkaz na seznam kurzů aplikací SaaS a plánu nasazení jednotného přihlašování (SSO) Microsoft Entra, který vás provede kompletním procesem.

Přečtěte si o proxy aplikací Microsoft Entra a použijte kompletní plán nasazení proxy aplikací Microsoft Entra. Zvažte zabezpečení hybridního přístupu (SHA) pro ochranu místních a cloudových starších ověřovacích aplikací tím, že je připojíte k Microsoft Entra ID. Pomocí nástroje Microsoft Entra Connect můžete synchronizovat uživatele a skupiny služby AD FS s ID Microsoft Entra.

Fáze 4: Plánování správy a přehledů

Po migraci aplikací postupujte podle pokynů pro správu a přehledy, abyste měli jistotu, že uživatelé budou mít zabezpečený přístup k aplikacím a spravovat je. Získejte a sdílejte přehled o využití a stavu aplikace.

V Centru pro správu Microsoft Entra proveďte audit všech aplikací pomocí těchto metod:

  • Audit aplikací s podnikovými aplikacemi , auditem nebo přístupem ke stejným informacím z rozhraní API pro vytváření sestav Microsoft Entra za účelem integrace do oblíbených nástrojů.
  • Umožňuje zobrazit oprávnění aplikací s podnikovými aplikacemi , oprávnění pro aplikace pomocí Open Authorization (OAuth)/OpenID Connect.
  • Získejte přehledy o přihlašování pomocí podnikových aplikací, přihlášení a z rozhraní API pro vytváření sestav Microsoft Entra.
  • Vizualizujte využití aplikací ze sešitů Microsoft Entra.

Příprava ověřovacího prostředí

Správa, řešení potíží a sestavy produktů a služeb Microsoft Identity pomocí msIdentityTools v Galerie prostředí PowerShell Monitorujte infrastrukturu služby AD FS pomocí služby Microsoft Entra Connect Health. Vytvářejte testovací aplikace ve službě AD FS a pravidelně generujte aktivity uživatelů a monitorujte aktivitu v Centru pro správu Microsoft Entra.

Při synchronizaci objektů s Microsoft Entra ID zkontrolujte pravidla deklarací důvěryhodnosti předávající strany služby AD FS pro skupiny, uživatele a atributy uživatele používané u pravidel deklarací identity dostupných v cloudu. Zajistěte synchronizaci kontejnerů a atributů.

Rozdíly ve scénářích migrace aplikací

Plán migrace aplikací vyžaduje zvláštní pozornost, pokud vaše prostředí obsahuje následující scénáře. Další pokyny najdete na odkazech.

  • Certifikáty. (globální podpisový certifikát služby AD FS). V Microsoft Entra ID můžete použít jeden certifikát na aplikaci nebo jeden certifikát pro všechny aplikace. Zasadíte data vypršení platnosti a nakonfigurujete připomenutí. Delegujte správu certifikátů na nejméně privilegované role. Projděte si běžné dotazy a informace související s certifikáty, které id Microsoft Entra vytvoří za účelem vytvoření federovaného jednotného přihlašování k aplikacím SaaS.
  • Pravidla deklarací identity a základní mapování atributů U aplikací SaaS možná budete potřebovat jenom základní mapování atributů na deklarace identity. Zjistěte, jak přizpůsobit deklarace identity tokenů SAML.
  • Extrahujte uživatelské jméno z hlavního názvu uživatele (UPN). Id Microsoft Entra podporuje transformaci založenou na regulárních výrazech (souvisí také s přizpůsobením deklarace identity tokenu SAML).
  • Seskupte deklarace identity. Vygenerujte deklarace identity skupin filtrované uživateli, kteří jsou členy a přiřadili aplikaci. Deklarace identity skupin pro aplikace můžete nakonfigurovat pomocí ID Microsoft Entra.
  • Webové proxy aplikací. Publikujte pomocí proxy aplikací Microsoft Entra, abyste se mohli bezpečně připojit k místním webovým aplikacím bez vpn. Poskytněte vzdálený přístup k místním webovým aplikacím a nativní podporu starších ověřovacích protokolů.

Plán procesu migrace aplikací

Zvažte zahrnutí následujících kroků do procesu migrace aplikace.

  • Naklonujte konfiguraci aplikace SLUŽBY AD FS. Nastavte testovací instanci aplikace nebo použijte na testovacím tenantovi Microsoft Entra napodobenou aplikaci. Namapujte nastavení služby AD FS na konfigurace Microsoft Entra. Naplánujte vrácení zpět. Přepněte testovací instanci na Microsoft Entra ID a ověřte.
  • Konfigurace deklarací identity a identifikátorů Pokud chcete potvrdit a řešit potíže, napodobte produkční aplikace. Nasměrujte testovací instanci aplikace na testovací aplikaci Microsoft Entra ID. Ověřte a vyřešte potíže s přístupem a podle potřeby aktualizujte konfiguraci.
  • Připravte produkční instanci na migraci. Přidejte produkční aplikaci do ID Microsoft Entra na základě výsledků testu. U aplikací, které umožňují více zprostředkovatelů identity (IDP), nakonfigurujte ID Microsoft Entra jako přidané zprostředkovatele identity do produkční instance.
  • Přepněte produkční instanci tak, aby používala ID Microsoft Entra. U aplikací, které umožňují více souběžných zprostředkovatele identity, změňte výchozí zprostředkovatele identity na Microsoft Entra ID. V opačném případě nakonfigurujte ID Microsoft Entra jako zprostředkovatele identity do produkční instance. Aktualizujte produkční instanci tak, aby používala produkční aplikaci Microsoft Entra jako primární zprostředkovatele identity.
  • Migrujte první aplikaci, spusťte testy migrace a opravte problémy. Referenční stav migrace v sestavách aktivit aplikací služby AD FS, které poskytují pokyny k řešení potenciálních problémů s migrací.
  • Migrace ve velkém měřítku Migrace aplikací a uživatelů ve fázích Pomocí ID Microsoft Entra můžete spravovat migrované aplikace a uživatele při dostatečném testování ověřování.
  • Odeberte federaci. Ověřte, že se vaše farma služby AD FS už nepoužívá k ověřování. Použijte konfigurace související s navrácením služeb po obnovení, zálohováním a exportem.

Migrace ověřování

Při přípravě na migraci ověřování rozhodněte, které metody ověřování jsou pro vaši organizaci potřeba.

Zásady hesel a ověřování

Pomocí vyhrazených zásad pro místní službu AD FS a ID Microsoft Entra zarovnejte zásady vypršení platnosti hesla místně a v Microsoft Entra ID. Zvažte implementaci kombinované zásady hesel a zkontrolujte slabá hesla v Microsoft Entra ID. Po přepnutí na spravovanou doménu platí obě zásady vypršení platnosti hesla.

Umožňuje uživatelům resetovat zapomenutá hesla pomocí samoobslužného resetování hesla (SSPR), aby se snížily náklady na helpdesk. Omezte metody ověřování na základě zařízení. Modernizujte zásady hesel, abyste neměli žádné pravidelné vypršení platnosti s možností odvolat se v případě rizika. Zablokujte slabá hesla a zkontrolujte hesla proti zakázaným seznamům hesel. Povolte ochranu heslem pro místní službu AD FS i cloud.

Migrujte starší nastavení zásad Microsoft Entra ID, která samostatně řídí vícefaktorové ověřování a samoobslužné resetování hesla a jednotnou správu pomocí zásad metod ověřování. Migrujte nastavení zásad s reverzibilním procesem. Zásady vícefaktorového ověřování a SSPR v rámci celého tenanta můžete dál používat, zatímco metody ověřování konfigurujete přesně pro uživatele a skupiny.

Vzhledem k tomu, že přihlášení k Windows a další metody bez hesla vyžadují podrobnou konfiguraci, povolte přihlášení pomocí klíčů zabezpečení Microsoft Authenticator a FIDO2. Skupiny slouží ke správě nasazení a rozsahu uživatelů.

Automatické dokončování přihlašování můžete nakonfigurovat pomocí zjišťování domovské sféry. Naučte se používat přihlášení k automatickému dokončování, abyste přeskočili obrazovku pro zadávání uživatelského jména a automaticky přeposílali uživatele na federované koncové body přihlašování. Zabránit automatickému zpomalování přihlašování pomocí zásad zjišťování domovské sféry, aby bylo možné řídit, jak a kde se uživatelé ověřují.

Zásady vypršení platnosti účtu

Atribut accountExpires správy uživatelských účtů se nesynchronizuje s ID Microsoft Entra. V důsledku toho je v prostředí nakonfigurované pro synchronizaci hodnot hash hesel aktivní účet služby Active Directory s vypršenou platností. Pomocí naplánovaného skriptu PowerShellu zakažte uživatelské účty Služby Active Directory systému Microsoft Windows Server po vypršení jejich platnosti, například rutinu Set-ADUser. Pokud naopak odeberete vypršení platnosti z účtu služby Active Directory systému Microsoft Windows Server, můžete ho znovu použít.

S ID Microsoft Entra můžete zabránit útokům pomocí inteligentního uzamčení. Uzamčení účtů v cloudu před jejich uzamčením v místním prostředí za účelem zmírnění útoků hrubou silou Máte kratší interval pro cloud a ujistěte se, že místní prahová hodnota je alespoň dvě až třikrát větší než prahová hodnota Microsoft Entra. Nastavte dobu uzamčení Microsoft Entra delší než místní doba trvání. Po dokončení migrace nakonfigurujte ochranu esL (Extranet Smart Lockout) služby AD FS.

Plánování nasazení podmíněného přístupu

Flexibilita zásad podmíněného přístupu vyžaduje pečlivé plánování. Přejděte do části Plánování nasazení podmíněného přístupu Microsoft Entra, kde najdete postup plánování. Tady jsou klíčové body, které je potřeba mít na paměti:

  • Koncept zásad podmíněného přístupu s smysluplnými zásadami vytváření názvů
  • Tabulku rozhodovacích bodů návrhu použijte s následujícími poli:
    • Faktory přiřazení: uživatel, cloudové aplikace
    • Podmínky: umístění, typ zařízení, typ klientských aplikací, riziko přihlášení
    • Ovládací prvky: blokování, vyžadováno vícefaktorové ověřování, hybridní připojení ke službě Microsoft Windows Server Active Directory, vyžadováno vyhovující zařízení, typ schválené klientské aplikace
  • Výběr malých sad testovacích uživatelů pro zásady podmíněného přístupu
  • Testování zásad podmíněného přístupu v režimu jen pro generování sestav
  • Ověření zásad podmíněného přístupu pomocí nástroje pro zásady what if
  • Používejte šablony podmíněného přístupu, zejména pokud vaše organizace začíná s podmíněným přístupem.

Zásady podmíněného přístupu

Po dokončení ověřování prvním faktorem vynucujte zásady podmíněného přístupu. Podmíněný přístup není front-line obranou pro scénáře, jako jsou útoky doS (DoS). Podmíněný přístup ale může k určení přístupu použít signály z těchto událostí, jako je riziko přihlášení a umístění žádosti. Tok zásad podmíněného přístupu se podívá na relaci a její podmínky a pak výsledky předá do modulu centrálních zásad.

Pomocí podmíněného přístupu omezte přístup ke schváleným, moderním aplikacím podporujícím ověřování a klientským aplikacím se zásadami ochrany aplikací Intune. U starších klientských aplikací, které nemusí podporovat zásady ochrany aplikací, omezte přístup ke schváleným klientským aplikacím.

Automaticky chránit aplikace na základě atributů. Pokud chcete změnit atributy zabezpečení zákazníků, použijte dynamické filtrování cloudových aplikací k přidání a odebrání oboru zásad aplikace. Pomocí vlastních atributů zabezpečení můžete cílit na aplikace Microsoftu, které se nezobrazují v nástroji pro výběr aplikace podmíněného přístupu.

Pomocí řízení síly ověřování podmíněného přístupu určete, která kombinace metod ověřování přistupuje k prostředku. Zpřístupnit například metody ověřování odolné proti útokům phishing pro přístup k citlivému prostředku.

Vyhodnocení vlastních ovládacích prvků v podmíněném přístupu Uživatelé přesměrují na kompatibilní službu, aby splňovali požadavky na ověřování mimo ID Microsoft Entra. ID Microsoft Entra ověří odpověď a pokud uživatel ověřil nebo ověřil, pokračuje v toku podmíněného přístupu. Jak jsme zmínili v nadcházejících změnách vlastních ovládacích prvků, možnosti ověřování poskytované partnerem bezproblémově fungují s prostředími správce Microsoft Entra a koncových uživatelů.

Vlastní řešení vícefaktorového ověřování

Pokud používáte vlastní zprostředkovatele vícefaktorového ověřování, zvažte migraci ze serveru Multi-Factor Authentication na vícefaktorové ověřování Microsoft Entra. V případě potřeby pomocí nástroje Multi-Factor Authentication Server Migration Utility proveďte migraci na vícefaktorové ověřování. Přizpůsobte si prostředí koncového uživatele nastavením prahové hodnoty uzamčení účtu, upozornění na podvod a oznámení.

Zjistěte, jak migrovat na vícefaktorové ověřování a ověřování uživatelů Microsoft Entra. Přesuňte všechny aplikace, službu vícefaktorového ověřování a ověřování uživatelů do Microsoft Entra ID.

Můžete povolit vícefaktorové ověřování Microsoft Entra a zjistit, jak vytvořit zásady podmíněného přístupu pro skupiny uživatelů, nakonfigurovat podmínky zásad, které vyzvou k vícefaktorové ověřování, a otestovat konfiguraci uživatele a použití vícefaktorového ověřování.

Rozšíření NPS (Network Policy Server) pro vícefaktorové ověřování přidává cloudové možnosti vícefaktorového ověřování do vaší ověřovací infrastruktury pomocí serverů. Pokud používáte vícefaktorové ověřování Microsoft Entra s NPS, určete, co se dá migrovat na moderní protokoly, jako je SAML (Security Assertion Markup Language) a OAuth2. Vyhodnoťte proxy aplikace Microsoft Entra pro vzdálený přístup a použijte zabezpečený hybridní přístup (SHA) k ochraně starších aplikací pomocí Microsoft Entra ID.

Monitorování přihlášení

Pomocí služby Connect Health můžete integrovat přihlášení služby AD FS ke korelaci více ID událostí ze služby AD FS v závislosti na verzi serveru, kde najdete informace o požadavcích a podrobnostech o chybě. Sestava přihlášení Microsoft Entra obsahuje informace o tom, kdy se uživatelé, aplikace a spravované prostředky přihlašují k ID Microsoft Entra a přistupují k prostředkům přístupu. Tyto informace korelují se schématem sestavy přihlašování Microsoft Entra a zobrazují se v uživatelském prostředí sestavy přihlašování Microsoft Entra. V sestavě stream Log Analytics poskytuje data služby AD FS. Použijte a upravte šablonu sešitu služby Azure Monitor pro analýzu scénářů. Mezi příklady patří uzamčení účtu služby AD FS, chybné pokusy o zadání hesla a zvýšení počtu neočekávaných pokusů o přihlášení.

Microsoft Entra protokoluje všechna přihlášení do tenanta Azure, který zahrnuje interní aplikace a prostředky. Projděte si chyby přihlášení a vzory a získejte přehled o tom, jak uživatelé přistupují k aplikacím a službám. Protokoly přihlášení v MICROSOFT Entra ID jsou užitečné protokoly aktivit pro analýzu. Nakonfigurujte protokoly s uchováváním až 30 dnů v závislosti na licencování a exportujte je do systémů Azure Monitor, Sentinel, Splunk a dalších systémů správy událostí (SIEM).

Deklarace identity v podnikové síti

Bez ohledu na to, kde požadavky pocházejí nebo jaké prostředky přistupují, nás model nulová důvěra (Zero Trust) naučí, že "Nikdy nedůvěřujete, vždy ověřte". Zabezpečte všechna umístění, jako by byla mimo podnikovou síť. Deklarujte uvnitř sítí jako důvěryhodná umístění , abyste snížili falešně pozitivní výsledky ochrany identit. Vynucujte vícefaktorové ověřování pro všechny uživatele a vytvořte zásady podmíněného přístupu založené na zařízeních.

Spusťte dotaz na protokoly přihlašování, abyste zjistili uživatele, kteří se připojují z podnikové sítě, ale nejsou hybridním připojením k Microsoft Entra nebo vyhovujícím předpisům. Zvažte uživatele na kompatibilních zařízeních a použití nepodporovaných prohlížečů, jako je Firefox nebo Chrome bez rozšíření. Místo toho použijte stav domény počítače a dodržování předpisů.

Fázované testování migrace ověřování a přímá migrace

K testování použijte cloudové ověřování Microsoft Entra Connect s fázovaným uvedením k řízení testování ověřování uživatelů pomocí skupin. Selektivně otestujte skupiny uživatelů s funkcemi cloudového ověřování, jako je vícefaktorové ověřování Microsoft Entra, podmíněný přístup a Ochrana ID Microsoft Entra. Nepoužívejte ale postupné zavedení pro přírůstkové migrace.

K dokončení migrace na cloudové ověřování použijte fázované zavedení k otestování nových metod přihlašování. Převeďte domény z federovaného na spravované ověřování. Začněte testovací doménou nebo s doménou s nejnižším počtem uživatelů.

V případě potřeby vrácení zpět naplánujte přímou doménu mimo pracovní dobu. Pokud chcete naplánovat vrácení zpět, použijte aktuální nastavení federace. Prohlédněte si průvodce návrhem a nasazením federace.

Do procesu vrácení zpět zahrňte převod spravovaných domén na federované domény. Použijte rutinu New-MgDomainFederationConfiguration . V případě potřeby nakonfigurujte další pravidla deklarací identity. Pokud chcete zajistit dokončený proces, nechejte uvedení postupného vrácení zpět po dobu 24 až 48 hodin po přímé migraci. Odeberte uživatele a skupiny z postupného uvedení a pak ho vypněte.

Po přímé migraci každých 30 dní převrácení klíče pro bezproblémové jednotné přihlašování:

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Vyřazení služby AD FS z provozu

Monitorujte aktivitu služby AD FS z Analýzy využití služby Connect Health pro službu AD FS. Nejprve povolte auditování služby AD FS. Než farmu služby AD FS vyřadíte z provozu, ujistěte se, že neexistuje žádná aktivita služby AD FS. Použijte průvodce vyřazením služby AD FS z provozu a referenční informace k vyřazení služby AD FS z provozu. Tady je souhrn kroků vyřazení klíče z provozu.

  1. Proveďte konečnou zálohu před vyřazením serverů SLUŽBY AD FS z provozu.
  2. Odeberte položky služby AD FS z interních a externích nástrojů pro vyrovnávání zatížení.
  3. Odstraňte odpovídající položky dns (Domain Name Server) pro názvy serverové farmy služby AD FS.
  4. Na primárním serveru SLUŽBY AD FS spusťte příkaz Get-ADFSProperties a vyhledejte CertificateSharingContainer.

    Poznámka:

    Po několika restartováních odstraňte název domény (DN) na konci instalace a jakmile už není dostupný.

  5. Odstraňte konfigurační databázi služby AD FS, pokud jako úložiště používá instanci databáze SQL Serveru.
  6. Odinstalujte servery WAP.
  7. Odinstalujte servery SLUŽBY AD FS.
  8. Odstraňte certifikáty SSL (Secure Sockets Layer) služby AD FS z každého úložiště serveru.
  9. Znovu naformátujte servery SLUŽBY AD FS s úplným formátováním disku.
  10. Odstraňte účet služby AD FS.
  11. Pomocí rozhraní ADSI (Active Directory Service Interfaces) odeberte obsah dnu CertificateSharingContainer .

Další kroky