Migrace z federace na ověřování založené na certifikátech Microsoft Entra (CBA)

Tento článek vysvětluje, jak migrovat ze spouštění federovaných serverů, jako jsou místní Active Directory Federation Services (AD FS) (AD FS) do cloudového ověřování pomocí ověřování založeného na certifikátech Microsoft Entra (CBA).

Postupné uvedení

Správce tenanta by mohl zcela převést federovanou doménu na Microsoft Entra CBA bez pilotního testování. To se provádí povolením metody ověřování CBA v Microsoft Entra ID a převodem celé domény na spravované ověřování. Pokud zákazník chce před úplnou změnou domény na řízenou otestovat ověřování malé skupiny uživatelů prostřednictvím Microsoft Entra CBA, může využít funkci postupného zavedení.

Postupné zavedení pro ověřování založené na certifikátech (CBA) pomáhá zákazníkům přecházet od provádění CBA u federovaného zprostředkovatele identity na Id Microsoft Entra tím, že selektivně přesune malou skupinu uživatelů, aby používali CBA v Microsoft Entra ID (už se nepřesměrovává na federovaný zprostředkovatele identity) s vybranými skupinami uživatelů, než pak převede konfiguraci domény v Microsoft Entra ID z federovaného na spravované. Postupné zavedení není určené pro doménu, aby zůstala federovanou po dlouhá období nebo pro velký počet uživatelů.

Podívejte se na toto rychlé video ukazující migraci z ověřování na základě certifikátů ADFS na Microsoft Entra CBA.

Poznámka:

Když je pro uživatele povolené fázované uvedení, považuje se uživatel za spravovaného uživatele a veškeré ověřování proběhne u Microsoft Entra ID. Pokud je pro federovaného tenanta při procesu postupného zavádění povolená funkce CBA, ověřování hesla funguje jenom v případě, že je povolená funkce PHS. Jinak ověřování heslem selže.

Povolení postupného zavedení pro ověřování na základě certifikátů ve vašem tenantovi

Pokud chcete nakonfigurovat postupné uvedení, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Vyhledejte a vyberte Microsoft Entra Connect.
3. Na stránce Microsoft Entra Connect v části Fázové zavádění cloudového ověřování vyberte Povolit fázové zavádění pro spravovaná přihlášení uživatelů.
4. Na stránce funkce Povolit postupné uvedení vyberte Na u možnosti ověřování na základě certifikátu
5. Vyberte Spravovat skupiny a přidejte skupiny, které chcete být součástí cloudového ověřování. Pokud se chcete vyhnout vypršení časového limitu, ujistěte se, že skupiny zabezpečení zpočátku neobsahují více než 200 členů.

Další informace najdete v tématu Postupné uvedení.

Použití nástroje Microsoft Entra Connect k aktualizaci atributu certificateUserIds

Správce služby AD FS může pomocí Editoru synchronizačních pravidel vytvářet pravidla pro synchronizaci hodnot atributů ze služby AD FS s objekty uživatele Microsoft Entra. Další informace najdete v tématu Pravidla synchronizace pro certificateUserIds.

Microsoft Entra Connect vyžaduje speciální roli s názvem Správce hybridní identity, která uděluje potřebná oprávnění. Tuto roli potřebujete pro oprávnění k zápisu do nového cloudového atributu.

Poznámka:

Pokud uživatel používá synchronizované atributy, jako je například atribut onPremisesUserPrincipalName v objektu uživatele pro vazbu uživatelského jména, může každý uživatel, který má přístup správce k serveru Microsoft Entra Connect, změnit mapování synchronizovaných atributů a změnit hodnotu synchronizovaného atributu. Uživatel nemusí být správcem cloudu. Správce služby AD FS by se měl ujistit, že přístup pro správu k serveru Microsoft Entra Connect by měl být omezený a privilegované účty by měly být jenom cloudové účty.

Nejčastější dotazy týkající se migrace ze služby AD FS do Microsoft Entra ID

Můžeme mít privilegované účty s federovaným serverem AD FS?

I když je to možné, Microsoft doporučuje privilegované účty jako účty jen pro cloud. Používání účtů jen pro přístup k privilegovaným omezením přístupu v Microsoft Entra ID z ohroženého místního prostředí. Další informace najdete v tématu Ochrana Microsoftu 365 před místními útoky.

Pokud je organizace hybridním prostředím, na kterém běží AD FS i Azure CBA, jsou stále ohrožené ohrožením zabezpečení služby AD FS?

Microsoft doporučuje privilegované účty jako účty jen pro cloud. Tento postup omezuje expozici v ID Microsoft Entra z ohroženého místního prostředí. Zachování privilegovaných účtů je pro tento cíl základem jen pro cloud.

Pro synchronizované účty:

• Pokud jsou ve spravované doméně (ne federované), neexistuje žádné riziko od federovaného zprostředkovatele identity.
• Pokud jsou ve federované doméně, ale podmnožina účtů se přesouvá do Microsoft Entra CBA fázovaným uvedením, podléhají rizikům souvisejícím s federovaným zprostředkovatele identity, dokud se federovaná doména plně nepřepne na cloudové ověřování.

Měly by organizace odstranit federované servery, jako je AD FS, aby se zabránilo možnosti přecházet ze služby AD FS do Azure?

S federací by útočník mohl zosobnit všechny uživatele, jako je například ředitel IT, i když nemůže získat roli jen pro cloud, jako je účet vysoce privilegovaného správce.

Když je doména federovaná v Microsoft Entra ID, vysoká úroveň důvěryhodnosti se umístí do federovaného zprostředkovatele identity. Služba AD FS je jedním z příkladů, ale pojem platí pro všechny federované zprostředkovatele identity. Mnoho organizací nasadí federovaný zprostředkovatele identity, jako je služba AD FS, výhradně pro ověření na základě certifikátů. Microsoft Entra CBA v tomto případě zcela odebere závislost služby AD FS. S Microsoft Entra CBA mohou zákazníci přesunout své aplikační aktiva do Microsoft Entra ID, aby modernizovali infrastrukturu IAM a snížili náklady se zvýšeným zabezpečením.

Z hlediska zabezpečení neexistuje žádná změna přihlašovacích údajů, včetně certifikátu X.509, cacs, PIV atd. nebo používané infrastruktury veřejných klíčů. Vlastníci infrastruktury veřejných klíčů si zachovají úplnou kontrolu nad životním cyklem vystavování a odvoláváním certifikátů a zásad. Kontrola odvolání a ověření probíhá u ID Microsoft Entra místo federovaného ZDP. Tyto kontroly umožňují ověřování bez hesla, které je odolné proti útokům phishing, přímo do Microsoft Entra ID pro všechny uživatele.

Jak funguje ověřování s federovanými službami AD FS a cloudovým ověřováním Microsoft Entra s Windows?

Microsoft Entra CBA vyžaduje uživatele nebo aplikaci k poskytnutí hlavního názvu uživatele Microsoft Entra UPN uživatele, který se přihlásí.

V příkladu prohlížeče uživatel nejčastěji zadá do svého hlavního názvu uživatele Microsoft Entra UPN. Hlavní název uživatele (UPN) Microsoft Entra se používá pro zjišťování sfér a uživatelů. Použitý certifikát se pak musí shodovat s tímto uživatelem pomocí jedné z nakonfigurovaných vazeb uživatelského jména v zásadách.

V přihlášení k Windows shoda závisí na tom, jestli je zařízení hybridní nebo je připojené k Microsoft Entra. Ale v obou případech, pokud je poskytnuta nápověda uživatelského jména, Windows odešle tuto nápovědu jako UPN systému Microsoft Entra. Použitý certifikát se pak musí shodovat s tímto uživatelem pomocí jedné z nakonfigurovaných vazeb uživatelského jména v zásadách.

Další kroky

• Přehled jazyka Microsoft Entra CBA
• Podrobné technické informace pro Microsoft Entra CBA
• Jak nakonfigurovat Jazyk CBA microsoftu Entra
• Microsoft Entra CBA na zařízeních s iOSem
• Microsoft Entra CBA na zařízeních s Androidem
• Windows přihlášení pomocí čipové karty Microsoft Entra CBA
• ID uživatele certifikátu
• Nejčastější dotazy