Migrace na cloudové ověřování s využitím postupného uvedení
Postupné uvedení umožňuje selektivně testovat skupiny uživatelů s funkcemi cloudového ověřování, jako je vícefaktorové ověřování Microsoft Entra, podmíněný přístup, Ochrana ID Microsoftu Entra za účelem úniku přihlašovacích údajů, zásad správného řízení identit a dalších, před vyjmutím vašich domén. Tento článek popisuje, jak přepnout.
Než začnete s fázovaným uvedením, měli byste zvážit důsledky, pokud platí jedna nebo více následujících podmínek:
- Aktuálně používáte místní Multi-Factor Authentication Server.
- K ověřování používáte čipové karty.
- Váš aktuální server nabízí určité funkce jen pro federaci.
- Přecházíte z řešení federace třetí strany na spravované služby.
Než tuto funkci vyzkoušíte, doporučujeme, abyste si prostudovali našeho průvodce výběrem správné metody ověřování. Další informace najdete v tabulce Porovnání metod v části Volba správné metody ověřování pro řešení hybridní identity Microsoft Entra.
Přehled této funkce najdete ve videu "Co je postupné uvedení?":
Požadavky
Máte tenanta Microsoft Entra s federovanými doménami.
Rozhodli jste se přesunout jednu z následujících možností:
- Synchronizace hodnot hash hesel (synchronizace) Další informace najdete v tématu Co je synchronizace hodnot hash hesel.
- Předávací ověřování. Další informace najdete v tématu Co je předávací ověřování.
- Nastavení ověřování na základě certifikátů (CBA) společnosti Microsoft Entra. Další informace najdete v tématu Přehled ověřování založeného na certifikátech Microsoft Entra.
Pro obě možnosti doporučujeme povolit jednotné přihlašování (SSO), abyste dosáhli tichého přihlašování. U zařízení s Windows 7 nebo 8.1 připojených k doméně doporučujeme používat bezproblémové jednotné přihlašování. Další informace najdete v tématu Co je bezproblémové jednotné přihlašování. Pro Windows 10, Windows Server 2016 a novější verze se doporučuje používat jednotné přihlašování prostřednictvím primárního obnovovacího tokenu (PRT) se zařízeními připojenými k Microsoft Entra, hybridními zařízeními připojenými k Microsoft Entra nebo osobními registrovanými zařízeními prostřednictvím přidání pracovního nebo školního účtu.
Nakonfigurovali jste všechny odpovídající zásady pro branding tenanta a podmíněný přístup, které potřebujete pro uživatele, kteří se migrují do cloudového ověřování.
Pokud jste přešli z federovaného na cloudové ověřování, musíte ověřit, že je povolené nastavení
SynchronizeUpnForManagedUsers
DirSync, jinak ID Microsoft Entra neumožňuje synchronizaci aktualizací hlavního názvu uživatele (UPN) nebo alternativního přihlašovacího ID pro licencované uživatelské účty, které používají spravované ověřování. Další informace najdete v tématu Funkce služby Microsoft Entra Connect Sync.Pokud plánujete používat vícefaktorové ověřování Microsoft Entra, doporučujeme použít kombinovanou registraci pro samoobslužné resetování hesla (SSPR) a vícefaktorové ověřování , aby vaši uživatelé zaregistrovali své metody ověřování jednou. Poznámka: Při použití SSPR k resetování hesla nebo změně hesla pomocí stránky MyProfile během postupného uvedení musí Microsoft Entra Connect synchronizovat novou hodnotu hash hesel, která může trvat až 2 minuty po resetování.
Pokud chcete použít funkci postupného uvedení, musíte být správcem hybridní identity ve vašem tenantovi.
Pokud chcete povolit bezproblémové jednotné přihlašování v konkrétní doménové struktuře služby Active Directory, musíte být správcem domény.
Pokud nasazujete hybridní ID Microsoft Entra nebo připojení Microsoft Entra, musíte upgradovat na aktualizaci Windows 10 1903.
Podporované scénáře
Následující scénáře jsou podporovány pro postupné uvedení. Tato funkce funguje jenom pro:
Uživatelé, kteří jsou zřízeni pro Microsoft Entra ID pomocí Microsoft Entra Connect. Nevztahuje se na uživatele jen pro cloud.
Přenosy přihlašování uživatelů v prohlížečích a moderních klientech ověřování . Aplikace nebo cloudové služby, které používají starší ověřování, se vrátí do federovaných toků ověřování. Příkladem starší verze ověřování může být Exchange Online s vypnutým moderním ověřováním nebo Outlookem 2010, který nepodporuje moderní ověřování.
Velikost skupiny je aktuálně omezená na 50 000 uživatelů. Pokud máte skupiny větší než 50 000 uživatelů, doporučujeme tuto skupinu rozdělit na více skupin pro postupné uvedení.
Windows 10 Hybrid Join nebo Microsoft Entra join primary refresh token acquisition without line-of-sight to the federation server for Windows 10 version 1903 and novější, when user's UPN is routable and domain suffix is verified in Microsoft Entra ID.
Registrace Autopilotu se podporuje ve fázovaném uvedení ve Windows 10 verze 1909 nebo novějším.
Nepodporované scénáře
Pro postupné uvedení se nepodporují následující scénáře:
Starší ověřování, jako je POP3 a SMTP, se nepodporuje.
Některé aplikace během ověřování odesílají parametr dotazu "domain_hint" do Microsoft Entra ID. Tyto toky budou pokračovat a uživatelé, kteří mají povolené postupné uvedení, budou k ověřování dál používat federaci.
Správci můžou zavádět cloudové ověřování pomocí skupin zabezpečení. Abyste se vyhnuli latenci synchronizace při používání místní Active Directory skupin zabezpečení, doporučujeme používat skupiny zabezpečení cloudu. Platí následující podmínky:
- Pro každou funkci můžete použít maximálně 10 skupin. To znamená, že pro synchronizaci hodnot hash hesel, předávacího ověřování a bezproblémové jednotné přihlašování můžete použít 10 skupin.
- Vnořené skupiny nejsou podporované.
- Dynamické skupiny nejsou podporovány pro postupné uvedení.
- Objekty kontaktu uvnitř skupiny blokují přidání skupiny.
Při prvním přidání skupiny zabezpečení pro postupné uvedení jste omezeni na 200 uživatelů, abyste se vyhnuli vypršení časového limitu uživatelského prostředí. Jakmile skupinu přidáte, můžete do ní podle potřeby přidat další uživatele.
Když jsou uživatelé ve fázovaném zavedení se synchronizací hodnot hash hesel (PHS), ve výchozím nastavení se nepoužívá žádné vypršení platnosti hesla. Vypršení platnosti hesla se dá použít povolením CloudPasswordPolicyForPasswordSyncedUsersEnabled. Pokud je povolená možnost CloudPasswordPolicyForPasswordSyncedUsersEnabled, zásada vypršení platnosti hesla je nastavená na 90 dnů od doby, kdy bylo heslo nastaveno v místním prostředí bez možnosti ho přizpůsobit. Aktualizace atributu PasswordPolicies prostřednictvím kódu programu není podporována, když jsou uživatelé ve fázi uvedení. Informace o tom, jak nastavit CloudPasswordPolicyForPasswordSyncedUsersEnabled, najdete v tématu Zásady vypršení platnosti hesla.
Windows 10 Hybrid Join nebo Microsoft Entra join primární obnovovací token pro Windows 10 verze starší než 1903. Tento scénář se vrátí do koncového bodu WS-Trust federačního serveru, i když je přihlášení uživatele v rozsahu postupného uvedení.
Windows 10 Hybrid Join nebo Microsoft Entra join primární obnovovací token pro všechny verze, pokud místní hlavní název uživatele (UPN) není směrovatelný. Tento scénář se při postupném uvedení vrátí do koncového bodu WS-Trust, ale přestane fungovat, když je fázovaná migrace dokončená a přihlašování uživatelů se už nespoléhá na federační server.
Pokud máte nepersistentní instalaci VDI s Windows 10 verze 1903 nebo novější, musíte zůstat ve federované doméně. Přechod na spravovanou doménu se nepodporuje u nepersistentního VDI. Další informace najdete v tématu Identita zařízení a virtualizace plochy.
Pokud máte Windows Hello pro firmy důvěryhodnosti hybridního certifikátu s certifikáty vydanými prostřednictvím federačního serveru, který funguje jako registrační autorita nebo uživatelé čipových karet, scénář se ve fázovaném uvedení nepodporuje.
Poznámka:
Stále potřebujete provést konečnou přímou migraci z federovaného na cloudové ověřování pomocí Microsoft Entra Connect nebo PowerShellu. Postupné uvedení nepřepne domény z federovaného na spravované. Další informace o přímé migraci domény najdete v tématu Migrace z federace na synchronizaci hodnot hash hesel a migrace z federace na předávací ověřování.
Začínáme s fázovaným uvedením
Pokud chcete otestovat přihlášení k synchronizaci hodnot hash hesel pomocí postupného uvedení, postupujte podle pokynů pro předpracování v další části.
Informace o tom, které rutiny PowerShellu použít, najdete v tématu Microsoft Entra ID 2.0 Preview.
Předpracování synchronizace hodnot hash hesel
Povolte synchronizaci hodnot hash hesel ze stránky Volitelné funkce v microsoft Entra Connect.
Ujistěte se, že se spustil celý cyklus synchronizace hodnot hash hesel, aby se všechny hodnoty hash hesel uživatelů synchronizovaly s Microsoft Entra ID. Ke kontrole stavu synchronizace hodnot hash hesel můžete použít diagnostiku PowerShellu při řešení potíží se synchronizací hodnot hash hesel pomocí nástroje Microsoft Entra Connect Sync.
Pokud chcete otestovat předávací ověřování pomocí postupného uvedení, povolte ho podle pokynů k předpracování v další části.
Předpracování pro předávací ověřování
Určete server se systémem Windows Server 2012 R2 nebo novějším, na kterém chcete spustit předávacího ověřovacího agenta.
Nevybírejte server Microsoft Entra Connect. Ujistěte se, že je server připojený k doméně, může ověřovat vybrané uživatele pomocí služby Active Directory a komunikovat s ID Microsoft Entra na odchozích portech a adresách URL. Další informace najdete v části "Krok 1: Kontrola požadavků" rychlého startu : Bezproblémové jednotné přihlašování Microsoft Entra.
Stáhněte ověřovacího agenta Microsoft Entra Connect a nainstalujte ho na server.
Pokud chcete povolit vysokou dostupnost, nainstalujte na jiné servery další ověřovací agenty.
Ujistěte se, že jste správně nakonfigurovali nastavení inteligentního uzamčení. To pomáhá zajistit, aby účty uživatelů místní Active Directory nezamkly špatnými aktéry.
Doporučujeme povolit bezproblémové jednotné přihlašování bez ohledu na způsob přihlášení (synchronizace hodnot hash hesel nebo předávací ověřování), které jste vybrali pro postupné uvedení. Pokud chcete bezproblémové jednotné přihlašování povolit, postupujte podle předpracovních pokynů v další části.
Předpracování pro bezproblémové jednotné přihlašování
Povolení bezproblémového jednotného přihlašování v doménových strukturách služby Active Directory pomocí PowerShellu Pokud máte více než jednu doménovou strukturu služby Active Directory, povolte ji pro každou doménovou strukturu jednotlivě. Bezproblémové jednotné přihlašování se aktivuje jenom pro uživatele, kteří jsou vybraní pro postupné uvedení. Nemá vliv na vaše stávající nastavení federace.
Bezproblémové jednotné přihlašování povolte provedením následujících úloh:
Přihlaste se k serveru Microsoft Entra Connect.
Přejděte do složky %programfiles%\Microsoft Entra Connect .
Spuštěním následujícího příkazu naimportujte bezproblémový modul PowerShellu pro jednotné přihlašování :
Import-Module .\AzureADSSO.psd1
Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext
. Tento příkaz otevře podokno, ve kterém můžete zadat přihlašovací údaje správce hybridní identity vašeho tenanta.Zavolejte
Get-AzureADSSOStatus | ConvertFrom-Json
. Tento příkaz zobrazí seznam doménových struktur služby Active Directory (viz seznam Domény), na kterém je tato funkce povolená. Ve výchozím nastavení je nastavená na hodnotu false na úrovni tenanta.Zavolejte
$creds = Get-Credential
. Na příkazovém řádku zadejte přihlašovací údaje správce domény pro zamýšlenou doménovou strukturu služby Active Directory.Zavolejte
Enable-AzureADSSOForest -OnPremCredentials $creds
. Tento příkaz vytvoří účet počítače AZUREADSSOACC z místního řadiče domény pro doménovou strukturu Služby Active Directory, která se vyžaduje pro bezproblémové jednotné přihlašování.Bezproblémové jednotné přihlašování vyžaduje, aby adresy URL byly v zóně intranetu. Pokud chcete tyto adresy URL nasadit pomocí zásad skupiny, přečtěte si rychlý start: Bezproblémové jednotné přihlašování Microsoft Entra.
Kompletní návod můžete také stáhnout naše plány nasazení pro bezproblémové jednotné přihlašování.
Povolení postupného uvedení
Pokud chcete pro výběrovou sadu uživatelů ve skupině zavést konkrétní funkci (předávací ověřování, synchronizaci hodnot hash hesel nebo bezproblémové jednotné přihlašování), postupujte podle pokynů v dalších částech.
Povolení postupného uvedení konkrétní funkce ve vašem tenantovi
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Můžete zavést tyto možnosti:
- Bezproblémové jednotné přihlašování synchronizace + hodnot hash hesel
- Bezproblémové předávací ověřování +
- - Bezproblémové jednotné + přihlašování k synchronizaci + hodnot hash hesel
- Nastavení ověřování na základě certifikátů
- Vícefaktorové ověřování Azure
Pokud chcete nakonfigurovat postupné uvedení, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
Přejděte k synchronizaci služby Microsoft Entra Connect Connect>pro hybridní správu>identit.>
Na stránce Microsoft Entra Connect v části Postupné zavedení cloudového ověřování vyberte možnost Povolit postupné zavedení pro spravované přihlašování uživatelů.
Na stránce povolit fázované zavedení vyberte možnosti, které chcete povolit: Synchronizace hodnot hash hesel, předávací ověřování, bezproblémové jednotné přihlašování nebo ověřování založené na certifikátech. Pokud například chcete povolit synchronizaci hodnot hash hesel a bezproblémové jednotné přihlašování, posuňte oba ovládací prvky na Zapnuto.
Přidejte skupiny k vybraným funkcím. Například předávací ověřování a bezproblémové jednotné přihlašování. Pokud se chcete vyhnout vypršení časového limitu, ujistěte se, že skupiny zabezpečení zpočátku neobsahují více než 200 členů.
Poznámka:
Členové ve skupině jsou automaticky povoleni pro postupné uvedení. Vnořené a dynamické skupiny členství nejsou podporovány pro postupné uvedení. Při přidávání nové skupiny se uživatelé ve skupině (až 200 uživatelů nové skupiny) aktualizují, aby okamžitě používali spravované ověřování. Úprava skupiny (přidání nebo odebrání uživatelů) může trvat až 24 hodin, než se změny projeví. Bezproblémové jednotné přihlašování se použije jenom v případě, že jsou uživatelé ve skupině bezproblémového jednotného přihlašování a také ve skupině PTA nebo PHS.
Auditování
Povolili jsme události auditu pro různé akce, které provádíme pro postupné uvedení:
Událost auditování, když povolíte postupné zavedení synchronizace hodnot hash hesel, předávacího ověřování nebo bezproblémové jednotné přihlašování.
Poznámka:
Událost auditu se protokoluje, když je zapnuté bezproblémové jednotné přihlašování pomocí postupného uvedení.
Událost auditu při přidání skupiny do synchronizace hodnot hash hesel, předávacího ověřování nebo bezproblémového jednotného přihlašování
Poznámka:
Událost auditu se zaprotokoluje při přidání skupiny do synchronizace hodnot hash hesel pro postupné uvedení.
Událost auditování, pokud je pro postupné uvedení povolené uživatele, který byl přidán do skupiny.
Ověřování
Pokud chcete otestovat přihlášení pomocí synchronizace hodnot hash hesel nebo předávacího ověřování (přihlašování pomocí uživatelského jména a hesla), proveďte následující úlohy:
V extranetu přejděte na stránku Aplikace v privátní relaci prohlížeče a pak zadejte userPrincipalName (UPN) uživatelského účtu vybraného pro postupné uvedení.
Uživatelé, kteří byli cílem postupného uvedení, se nepřesměrují na vaši federovanou přihlašovací stránku. Místo toho se zobrazí výzva, aby se přihlásili na přihlašovací stránce Microsoft Entra s značkou tenanta.
Ujistěte se, že se přihlášení úspěšně zobrazí v sestavě aktivit přihlašování Microsoft Entra filtrováním pomocí userPrincipalName.
Testování přihlášení pomocí bezproblémového jednotného přihlašování:
V intranetu přejděte na stránku Aplikace pomocí relace prohlížeče a zadejte userPrincipalName (UPN) uživatelského účtu vybraného pro postupné uvedení.
Uživatelům, kteří byli cílem postupného zavedení bezproblémového jednotného přihlašování , se zobrazí oznámení o tom, že se pokoušíte přihlásit..." zpráva před bezobslužně přihlášeni.
Ujistěte se, že se přihlášení úspěšně zobrazí v sestavě aktivit přihlašování Microsoft Entra filtrováním pomocí userPrincipalName.
Pokud chcete sledovat přihlášení uživatelů, ke kterým stále dochází u Active Directory Federation Services (AD FS) (AD FS) pro vybrané uživatele fázovaného uvedení, postupujte podle pokynů v tématu Řešení potíží se službou AD FS: Události a protokolování. Projděte si dokumentaci dodavatele o tom, jak to zkontrolovat u poskytovatelů federace třetích stran.
Poznámka:
Když jsou uživatelé ve fázovaném uvedení s phS, může změna hesel trvat až 2 minuty, než se projeví kvůli času synchronizace. Nezapomeňte uživatelům nastavit očekávání, aby se po změně hesla vyhnuli voláním helpdesku.
Sledování
Pomocí nových sešitů hybridního ověřování v Centru pro správu Microsoft Entra můžete monitorovat uživatele a skupiny přidané nebo odebrané z postupného uvedení a přihlášení uživatelů.
Odebrání uživatele z postupného uvedení
Odebrání uživatele ze skupiny zakáže postupné uvedení pro daného uživatele. Pokud chcete funkci postupného uvedení zakázat, posuňte ovládací prvek zpět na Vypnuto.
Nejčastější dotazy
Otázka: Můžu tuto funkci použít v produkčním prostředí?
Ano, tuto funkci můžete použít v produkčním tenantovi, ale doporučujeme ji nejprve vyzkoušet ve svém testovacím tenantovi.
Otázka: Dá se tato funkce použít k zachování trvalé "společné existence", kde někteří uživatelé používají federované ověřování a jiné používají cloudové ověřování?
Ne, tato funkce je určená pro testování cloudového ověřování. Po úspěšném testování byste měli omezit několik skupin uživatelů na cloudové ověřování. Nedoporučujeme používat trvalý smíšený stav, protože tento přístup může vést k neočekávaným tokům ověřování.
Otázka: Můžu k provedení postupného uvedení použít PowerShell?
Odpověď: Ano. Informace o použití PowerShellu k provedení postupného uvedení najdete v tématu Microsoft Entra ID Preview.