Migrace z federace na ověřování založené na certifikátech Microsoft Entra (CBA)

Tento článek vysvětluje, jak migrovat z používání federovaných serverů, jako je například Active Directory Federation Services (AD FS), na cloudovou autentizaci pomocí ověřování založeného na certifikátech Microsoft Entra (CBA).

Postupné uvedení

Správce tenanta by mohl zcela převést federovanou doménu na Microsoft Entra CBA bez pilotního testování. To se provádí povolením metody ověřování CBA v Microsoft Entra ID a převodem celé domény na spravované ověřování. Pokud zákazník chce před úplnou změnou domény na řízenou otestovat ověřování malé skupiny uživatelů prostřednictvím Microsoft Entra CBA, může využít funkci postupného zavedení.

Postupné zavedení pro ověřování založené na certifikátech (CBA) pomáhá zákazníkům přecházet od provádění CBA u federovaného zprostředkovatele identity na Microsoft Entra ID tím, že selektivně přesouvá malou skupinu uživatelů, aby používali CBA v Microsoft Entra ID (nebudou již přesměrováni na federovaného zprostředkovatele identity) s vybranými skupinami uživatelů, než je konfigurace domény v Microsoft Entra ID převedena z federované na spravovanou. Postupné zavedení není navrženo tak, aby udržovalo doménu federovanou po dlouhou dobu nebo zvládalo velké množství uživatelů.

Podívejte se na toto rychlé video ukazující migraci z ověřování na základě certifikátů ADFS na Microsoft Entra CBA.

Poznámka:

Když je pro uživatele povolené fázované uvedení, považuje se uživatel za spravovaného uživatele a veškeré ověřování proběhne u Microsoft Entra ID. Pokud je pro federovaného tenanta při procesu postupného zavádění povolená funkce CBA, ověřování hesla funguje jenom v případě, že je povolená funkce PHS. Jinak ověřování heslem selže.

Povolení postupného zavedení pro ověřování na základě certifikátů ve vašem tenantovi

Pokud chcete nakonfigurovat postupné uvedení, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Vyhledejte a vyberte Microsoft Entra Connect.
3. Na stránce Microsoft Entra Connect v části Fázové zavádění cloudového ověřování vyberte Povolit fázové zavádění pro spravovaná přihlášení uživatelů.
4. Na stránce funkce Povolit postupné uvedení vyberte Na u možnosti ověřování na základě certifikátu
5. Vyberte Spravovat skupiny a přidejte skupiny, které chcete být součástí cloudového ověřování. Pokud se chcete vyhnout vypršení časového limitu, ujistěte se, že skupiny zabezpečení zpočátku neobsahují více než 200 členů.

Poznámka:

Microsoft doporučuje ke správě fázovaného zavedení pro ověřování na základě certifikátů Entra a zásad metod ověřování na základě certifikátů používat samostatné skupiny.

Další informace najdete v tématu Postupné uvedení.

Použití nástroje Microsoft Entra Connect k aktualizaci atributu certificateUserIds

Správce služby AD FS může pomocí Editoru synchronizačních pravidel vytvářet pravidla pro synchronizaci hodnot atributů ze služby AD FS s objekty uživatele Microsoft Entra. Další informace najdete v tématu Pravidla synchronizace pro certificateUserIds.

Microsoft Entra Connect vyžaduje speciální roli s názvem Správce hybridní identity, která uděluje potřebná oprávnění. Tuto roli potřebujete pro oprávnění k zápisu do nového cloudového atributu.

Poznámka:

Pokud uživatel používá synchronizované atributy, jako je například atribut onPremisesUserPrincipalName v objektu uživatele pro vazbu uživatelského jména, může každý uživatel, který má přístup správce k serveru Microsoft Entra Connect, změnit mapování synchronizovaných atributů a změnit hodnotu synchronizovaného atributu. Uživatel nemusí být správcem cloudu. Správce služby AD FS by se měl ujistit, že přístup pro správu k serveru Microsoft Entra Connect by měl být omezený a privilegované účty by měly být jenom cloudové účty.

Nejčastější dotazy týkající se migrace ze služby AD FS do Microsoft Entra ID

Můžeme mít privilegované účty s federovaným serverem AD FS?

I když je to možné, Microsoft doporučuje privilegované účty jako účty jen pro cloud. Používání cloudových účtů pouze pro privilegovaný přístup omezuje riziko v Microsoft Entra ID z ohroženého místního prostředí. Další informace najdete v tématu Ochrana Microsoftu 365 před místními útoky.

Pokud je organizace hybridním prostředím, na kterém běží AD FS i Azure CBA, jsou stále ohrožené ohrožením zabezpečení služby AD FS?

Microsoft doporučuje privilegované účty jako účty jen pro cloud. Tento postup omezuje expozici v ID Microsoft Entra z ohroženého místního prostředí. Zachování privilegovaných účtů pouze cloudové je základem pro dosažení tohoto cíle.

Pro synchronizované účty:

• Pokud jsou ve spravované doméně (nikoli federované), neexistuje žádné riziko ze strany federovaného zprostředkovatele identity.
• Pokud jsou ve federované doméně, ale podmnožina účtů se přesouvá do Microsoft Entra CBA prostřednictvím postupného zavádění, podléhají rizikům souvisejícím s federovaným zprostředkovatelem identity, dokud se federovaná doména plně nepřepne na cloudové ověřování.

Měly by organizace odstranit federované servery, jako je AD FS, aby se zabránilo možnosti přecházet ze služby AD FS do Azure?

S federací by útočník mohl zosobnit kohokoli, jako například CIO, i když nemůže získat roli výhradně pro cloud, jako je vysoce privilegovaný účet správce.

Když je doména federovaná v Microsoft Entra ID, vysoká míra důvěry je kladena na federovaného zprostředkovatele identity. Služba AD FS je jedním z příkladů, ale myšlenka platí pro jakéhokoli federovaného zprostředkovatele identity. Mnoho organizací nasadí federovaný zprostředkovatel identity, jako je AD FS, výhradně k dosažení ověřování na základě certifikátů. V tomto případě Microsoft Entra CBA zcela odstraňuje závislost na službě AD FS. S Microsoft Entra CBA mohou zákazníci přesunout své aplikační aktiva do Microsoft Entra ID, aby modernizovali infrastrukturu IAM a snížili náklady se zvýšeným zabezpečením.

Z hlediska zabezpečení neexistuje žádná změna přihlašovacích údajů, včetně certifikátu X.509, cacs, PIV atd. nebo používané infrastruktury veřejných klíčů. Vlastníci infrastruktury veřejných klíčů si zachovají úplnou kontrolu nad životním cyklem vystavování a odvoláváním certifikátů a zásad. Kontrola odvolání a ověření probíhá u Microsoft Entra ID místo federovaného poskytovatele identity (IdP). Tyto kontroly umožňují ověřování bez hesla, které je odolné proti útokům phishing, přímo do Microsoft Entra ID pro všechny uživatele.

Jak funguje ověřování s federovanými službami AD FS a cloudovým ověřováním Microsoft Entra s Windows?

Microsoft Entra CBA vyžaduje, aby uživatel nebo aplikace poskytli UPN hlavní název uživatele Microsoft Entra, který se přihlašuje.

V příkladu prohlížeče uživatel nejčastěji zadává své uživatelské přihlašovací jméno Microsoft Entra UPN. Hlavní název uživatele (UPN) Microsoft Entra se používá pro zjišťování oblastí a uživatelů. Použitý certifikát se pak musí shodovat s tímto uživatelem pomocí jedné z nakonfigurovaných vazeb uživatelského jména v zásadách.

Při přihlášení do Windows záleží na tom, zda je zařízení hybridní nebo připojené k Microsoft Entra. Ale v obou případech, pokud je poskytnuta nápověda uživatelského jména, Windows odešle tuto nápovědu jako UPN systému Microsoft Entra. Použitý certifikát se pak musí shodovat s tímto uživatelem pomocí jedné z nakonfigurovaných vazeb uživatelského jména v zásadách.

Další kroky

• Přehled Microsoft Entra CBA
• Podrobné technické informace pro Microsoft Entra CBA
• Jak nakonfigurovat Microsoft Entra CBA
• Microsoft Entra CBA na zařízeních s iOSem
• Microsoft Entra CBA na zařízeních s Androidem
• Přihlášení do Windows pomocí chytré karty Microsoft Entra CBA
• ID uživatele certifikátu
• Nejčastější dotazy