Migrace z federace na ověřování založené na certifikátech Microsoft Entra (CBA)
Tento článek vysvětluje, jak migrovat ze spouštění federovaných serverů, jako jsou místní Active Directory Federation Services (AD FS) (AD FS) do cloudového ověřování pomocí ověřování založeného na certifikátech Microsoft Entra (CBA).
Postupné uvedení
Správce tenanta by mohl plně omezit federovanou doménu na CBA Microsoft Entra bez pilotního testování povolením metody ověřování CBA v Microsoft Entra ID a převodem celé domény na spravované ověřování. Pokud ale zákazník chce otestovat malou dávku uživatelů, která se ověřuje v jazyce Microsoft Entra CBA před přímou správou celé domény, může využít funkci postupného zavedení.
Postupné zavedení pro ověřování založené na certifikátech (CBA) pomáhá zákazníkům přecházet od provádění CBA u federovaného zprostředkovatele identity na Id Microsoft Entra tím, že selektivně přesune malou skupinu uživatelů, aby používali CBA v Microsoft Entra ID (už se nepřesměrovává na federovaný zprostředkovatele identity) s vybranými skupinami uživatelů, než pak převede konfiguraci domény v Microsoft Entra ID z federovaného na spravované. Postupné zavedení není určené pro doménu, aby zůstala federovaná po dlouhou dobu nebo pro velké objemy uživatelů.
Podívejte se na toto rychlé video ukazující migraci z ověřování na základě certifikátů ADFS na Microsoft Entra CBA.
Poznámka:
Když je pro uživatele povolené postupné uvedení, považuje se uživatel za spravovaného uživatele a veškeré ověřování proběhne na id Microsoft Entra. Pokud je pro federovaného tenanta povolené CBA při postupném uvedení, ověřování hesla funguje jenom v případě, že je povolená služba PHS, jinak ověřování heslem selže.
Povolení postupného zavedení pro ověřování na základě certifikátů ve vašem tenantovi
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Pokud chcete nakonfigurovat postupné uvedení, postupujte takto:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
- Vyhledejte a vyberte Microsoft Entra Connect.
- Na stránce Microsoft Entra Connect v části Postupné uvedení cloudového ověřování klikněte na Povolit postupné uvedení pro přihlášení spravovaného uživatele.
- Na stránce funkce Povolit postupné uvedení klikněte na možnost Ověřování na základě certifikátu.
- Klikněte na Spravovat skupiny a přidejte skupiny, které chcete být součástí cloudového ověřování. Pokud se chcete vyhnout vypršení časového limitu, ujistěte se, že skupiny zabezpečení zpočátku neobsahují více než 200 členů.
Další informace najdete v tématu Postupné uvedení.
Použití nástroje Microsoft Entra Connect k aktualizaci atributu certificateUserIds
Správce služby AD FS může pomocí Editoru synchronizačních pravidel vytvářet pravidla pro synchronizaci hodnot atributů ze služby AD FS s objekty uživatele Microsoft Entra. Další informace najdete v tématu Pravidla synchronizace pro certificateUserIds.
Microsoft Entra Connect vyžaduje speciální roli s názvem Správce hybridní identity, která uděluje potřebná oprávnění. Tuto roli potřebujete pro oprávnění k zápisu do nového cloudového atributu.
Poznámka:
Pokud uživatel používá synchronizované atributy, například onPremisesUserPrincipalName atribut v objektu uživatele pro vazbu uživatelského jména, mějte na paměti, že každý uživatel, který má přístup správce k serveru Microsoft Entra Connect, může změnit mapování synchronizovaných atributů a změnit hodnotu synchronizovaného atributu. Uživatel nemusí být správcem cloudu. Správce služby AD FS by se měl ujistit, že přístup pro správu k serveru Microsoft Entra Connect by měl být omezený a privilegované účty by měly být jenom cloudové účty.
Nejčastější dotazy týkající se migrace ze služby AD FS do Microsoft Entra ID
Můžeme mít privilegované účty s federovaným serverem AD FS?
I když je to možné, Microsoft doporučuje privilegované účty jako účty jen pro cloud. Používání účtů jen pro přístup k privilegovaným omezením přístupu v Microsoft Entra ID z ohroženého místního prostředí. Další informace najdete v tématu Ochrana Microsoftu 365 před místními útoky.
Pokud je organizace hybridním prostředím, na kterém běží AD FS i Azure CBA, jsou stále ohrožené ohrožením zabezpečení služby AD FS?
Microsoft doporučuje privilegované účty jako účty jen pro cloud. Tento postup omezí vystavení v ID Microsoft Entra z ohroženého místního prostředí. Zachování privilegovaných účtů je pro tento cíl základem jen pro cloud.
Pro synchronizované účty:
- Pokud jsou ve spravované doméně (ne federované), neexistuje žádné riziko od federovaného zprostředkovatele identity.
- Pokud jsou ve federované doméně, ale podmnožina účtů se přesouvá do Microsoft Entra CBA fázovaným uvedením, podléhají rizikům souvisejícím s federovaným zprostředkovatele identity, dokud se federovaná doména plně nepřepne na cloudové ověřování.
Měly by organizace odstranit federované servery, jako je AD FS, aby se zabránilo možnosti přecházet ze služby AD FS do Azure?
S federací by útočník mohl zosobnit všechny uživatele, jako je například ředitel IT, i když nemůže získat roli jen pro cloud, jako je účet vysoce privilegovaného správce.
Když je doména federovaná v Microsoft Entra ID, vysoká úroveň důvěryhodnosti se umístí do federovaného zprostředkovatele identity. Služba AD FS je jedním z příkladů, ale pojem platí pro všechny federované zprostředkovatele identity. Mnoho organizací nasadí federovaný zprostředkovatele identity, jako je služba AD FS, výhradně pro ověření na základě certifikátů. Microsoft Entra CBA v tomto případě zcela odebere závislost služby AD FS. S Microsoft Entra CBA mohou zákazníci přesunout své aplikační aktiva do Microsoft Entra ID, aby modernizovali infrastrukturu IAM a snížili náklady se zvýšeným zabezpečením.
Z hlediska zabezpečení neexistuje žádná změna přihlašovacích údajů, včetně certifikátu X.509, cacs, PIV atd. nebo používané infrastruktury veřejných klíčů. Vlastníci infrastruktury veřejných klíčů si zachovají úplnou kontrolu nad životním cyklem vystavování a odvoláváním certifikátů a zásad. Kontrola odvolání a ověření probíhá u ID Microsoft Entra místo federovaného ZDP. Tyto kontroly umožňují ověřování bez hesla, které je odolné proti útokům phishing, přímo do Microsoft Entra ID pro všechny uživatele.
Jak funguje ověřování s federovanými službami AD FS a cloudovým ověřováním Microsoft Entra s Windows?
Microsoft Entra CBA vyžaduje uživatele nebo aplikaci k poskytnutí hlavního názvu uživatele Microsoft Entra UPN uživatele, který se přihlásí.
V příkladu prohlížeče uživatel nejčastěji zadá do svého hlavního názvu uživatele Microsoft Entra UPN. Hlavní název uživatele (UPN) Microsoft Entra se používá pro zjišťování sfér a uživatelů. Použitý certifikát se pak musí shodovat s tímto uživatelem pomocí jedné z nakonfigurovaných vazeb uživatelského jména v zásadách.
V přihlášení k Windows shoda závisí na tom, jestli je zařízení hybridní nebo je připojené k Microsoft Entra. Ale v obou případech, pokud je k dispozici nápověda uživatelského jména, systém Windows odešle nápovědu jako hlavní název uživatele Microsoft Entra UPN. Použitý certifikát se pak musí shodovat s tímto uživatelem pomocí jedné z nakonfigurovaných vazeb uživatelského jména v zásadách.
Další kroky
- Přehled jazyka Microsoft Entra CBA
- Podrobné technické informace pro Microsoft Entra CBA
- Jak nakonfigurovat Jazyk CBA microsoftu Entra
- Microsoft Entra CBA na zařízeních s iOSem
- Microsoft Entra CBA na zařízeních s Androidem
- Přihlášení čipové karty systému Windows pomocí jazyka Microsoft Entra CBA
- ID uživatele certifikátu
- Nejčastější dotazy