Migration des MFA-Servers
In diesem Thema wird erläutert, wie MFA-Einstellungen für Microsoft Entra-Benutzer vom lokalen Microsoft Entra-Multi-Faktor-Authentifizierungsserver zur Microsoft Entra-Multi-Faktor-Authentifizierung migriert werden.
Lösungsübersicht
Das Hilfsprogramm zur MFA-Server-Migration unterstützt die direkte Synchronisierung von Daten zur Multi-Faktor-Authentifizierung, die im lokalen Microsoft Entra-Multi-Faktor-Authentifizierungsserver gespeichert sind, mit Microsoft Entra-Multi-Faktor-Authentifizierung. Nachdem die Authentifizierungsdaten zu Microsoft Entra-ID migriert wurden, können Benutzer cloudbasierte MFA nahtlos durchführen, ohne sich erneut registrieren zu müssen oder Authentifizierungsmethoden zu bestätigen. Administratoren können mit dem Hilfsprogramm zur MFA-Server-Migration für einzelne Benutzer oder Gruppen von Benutzern Tests und kontrollierte Rollouts durchführen, ohne mandantenweite Änderungen vornehmen zu müssen.
Video: Verwenden des MFA Server Migration Utility
Sehen Sie sich unser Video an, um einen Überblick über das MFA Server Migration Utility und dessen Funktionsweise zu erhalten.
Einschränkungen und Anforderungen
Für das MFA-Servermigrationsprogramm muss ein neuer Build der MFA-Serverlösung auf Ihrem primären MFA-Server installiert werden. Der Build erstellt Updates für die MFA-Server-Datendatei und enthält das neue Hilfsprogramm zur MFA-Server-Migration. Sie müssen das WebSDK- oder Benutzerportal nicht aktualisieren. Durch die Installation des Updates wird die Migration nicht automatisch gestartet.
Anmerkung
Das MFA Server Migration Utility kann auf einem sekundären MFA-Server ausgeführt werden. Weitere Informationen finden Sie unter Ausführen eines sekundären MFA-Servers (optional).
Das Hilfsprogramm zur MFA-Server-Migration kopiert die Daten aus der Datenbankdatei in die Benutzerobjekte in Microsoft Entra ID. Während der Migration können Benutzer mithilfe des gestaffelten Rollouts für Testzwecke für Microsoft Entra-Multi-Faktor-Authentifizierung ausgesucht werden. Mit der mehrstufigen Migration können Sie testen, ohne Änderungen an den Domänenverbundeinstellungen vorzunehmen. Nach Abschluss der Migration müssen Sie Ihre Migration abschließen, indem Sie Änderungen an den Domänenverbundeinstellungen vornehmen.
AD FS mit Windows Server 2016 oder höher ist erforderlich, um die MFA-Authentifizierung für alle von AD FS abhängigen Parteien bereitzustellen, Microsoft Entra ID und Office 365 nicht eingeschlossen.
Überprüfen Sie Ihre AD FS-Zugriffssteuerungsrichtlinien, und stellen Sie sicher, dass für keine MFA als Teil des Authentifizierungsprozesses lokal ausgeführt werden muss.
Das mehrstufige Rollout kann auf maximal 500.000 Benutzer ausgerichtet sein (10 Gruppen mit maximal 50.000 Benutzern).
Migrationshandbuch
Eine MFA Server-Migration umfasst im Allgemeinen die Schritte im folgenden Prozess:
Einige wichtige Punkte:
Phase 1 sollte wiederholt werden, wenn Sie Testbenutzer hinzufügen.
- Das Migrationstool verwendet Microsoft Entra-Gruppen, um die Benutzer zu bestimmen, für die Authentifizierungsdaten zwischen MFA Server und Microsoft Entra mehrstufige Authentifizierung synchronisiert werden sollen. Nachdem Benutzerdaten synchronisiert wurden, kann dieser Benutzer die mehrstufige Microsoft Entra-Authentifizierung verwenden.
- Mit dem gestaffelten Rollout können Sie Benutzer auch mithilfe von Microsoft Entra-Gruppen zur Microsoft Entra-Multi-Faktor-Authentifizierung umleiten. Obwohl Sie sicherlich dieselben Gruppen für beide Tools verwenden könnten, raten wir davon ab, da Benutzer möglicherweise zur Microsoft Entra-Multifaktor-Authentifizierung umgeleitet werden können, bevor das Tool ihre Daten synchronisiert hat. Sie sollten Microsoft Entra-Gruppen für die Synchronisierung von Authentifizierungsdaten durch das Hilfsprogramm zur MFA-Server-Migration einrichten, und einen anderen Satz von Gruppen für den gestaffelten Rollout, um Benutzer gezielt an Microsoft Entra-Multi-Faktor-Authentifizierung zu leiten anstatt an den lokalen MFA-Server.
Phase 2 sollte wiederholt werden, wenn Sie Ihre Benutzerbasis migrieren. Am Ende von Phase 2 sollte Ihre gesamte Benutzerbasis Microsoft Entra-Multi-Faktor-Authentifizierung für alle Workloads verwenden, die mit Microsoft Entra ID verbunden sind.
In den vorherigen Phasen können Sie Benutzer aus den gestaffelten Rollout-Ordnern entfernen, um sie aus dem Gültigkeitsbereich der Microsoft Entra-Multi-Faktor-Authentifizierung zu entfernen und sie für alle MFA-Anforderungen, die von Microsoft Entra ID stammen, zurück an Ihren lokalen Microsoft Entra-Authentifizierungsserver weiterzuleiten.
Phase 3 erfordert das Verschieben aller Clients, die sich bei dem lokalen MFA-Server (VPNs, Kennwortmanager usw.) über SAML/OAUTH bei dem Microsoft Entra-Verbund authentifizieren. Wenn moderne Authentifizierungsstandards nicht unterstützt werden, müssen Sie NPS-Server mit der installierten Erweiterung zur Microsoft Entra-Multi-Faktor-Authentifizierung einrichten. Sobald Abhängigkeiten migriert werden, sollten Benutzer nicht mehr das Benutzerportal auf dem MFA-Server verwenden, sondern ihre Authentifizierungsmethoden in Microsoft Entra ID (aka.ms/mfasetup) verwalten. Sobald Benutzer mit der Verwaltung ihrer Authentifizierungsdaten in der Microsoft Entra-ID beginnen, werden diese Methoden nicht wieder mit MFA Server synchronisiert. Wenn Sie ein Rollback auf den lokalen MFA-Server ausführen, nachdem Benutzer Änderungen an ihren Authentifizierungsmethoden in der Microsoft Entra-ID vorgenommen haben, gehen diese Änderungen verloren. Nachdem Benutzermigrationen abgeschlossen sind, ändern Sie die Domänenverbundeinstellung federatedIdpMfaBehavior. Die Änderung weist Microsoft Entra ID an, MFA nicht mehr lokal auszuführen und alle MFA-Anforderungen unabhängig von der Gruppenmitgliedschaft mit Microsoft Entra-Multi-Faktor-Authentifizierung auszuführen.
In den folgenden Abschnitten werden die Migrationsschritte ausführlicher erläutert.
Abhängigkeiten des Microsoft Entra-Servers für die Multifaktor-Authentifizierung identifizieren
Wir haben hart gearbeitet, um sicherzustellen, dass die Umstellung auf unsere cloudbasierte Microsoft Entra Multi-Factor Authentication-Lösung ihren Sicherheitsstatus gewährleistet und verbessert. Es gibt drei allgemeine Kategorien, die zum Gruppieren von Abhängigkeiten verwendet werden sollten:
Um Ihre Migration zu unterstützen, haben wir die häufig verwendeten MFA-Server-Features mit dem funktionalen Äquivalent in Microsoft Entra-Multi-Faktor-Authentifizierung für jede Kategorie abgeglichen.
MFA-Methoden
Öffnen Sie den MFA-Server, wählen Sie Unternehmenseinstellungen aus:
MFA-Server | Microsoft Entra-Multi-Faktor-Authentifizierung |
---|---|
Registerkarte „Allgemein“ | |
Abschnitt „Benutzerstandard“ | |
Telefonanruf (Standard) | Keine Aktion erforderlich |
SMS (OTP)* | Keine Aktion erforderlich |
Mobile Anwendung (Standard) | Keine Aktion erforderlich |
Telefonanruf (PIN)* | Aktivieren von VoIP-OTP |
Textnachricht (OTP + PIN)** | Keine Aktion erforderlich |
Mobile App (PIN)* | Nummernabgleich aktivieren |
Telefonanruf/Sms/mobile App/OATH-Tokensprache | Spracheinstellungen werden automatisch auf einen Benutzer auf Grundlage der Lokaleinstellungen in seinem Browser angewendet. |
Abschnitt „PIN-Standardregeln“ | Nicht zutreffend; siehe aktualisierte Methoden im vorherigen Screenshot |
Registerkarte „Auflösung von Benutzernamen“ | Nicht zutreffend; für die Microsoft Entra-Multi-Faktor-Authentifizierung ist keine Auflösung des Benutzernamens erforderlich |
Registerkarte „SMS“ | Nicht zutreffend; Die mehrstufige Microsoft Entra-Authentifizierung verwendet eine Standardnachricht für Textnachrichten. |
Registerkarte „OATH-Token“ | Nicht zutreffend; Microsoft Entra-Multi-Faktor-Authentifizierung verwendet eine Standardnachricht für OATH-Token |
Berichte | Aktivitätsberichte für Microsoft Entra-Authentifizierungsmethoden |
*Wenn eine PIN verwendet wird, um die Funktionalität zum Nachweis der Anwesenheit bereitzustellen, wird das funktionale Äquivalent oben bereitgestellt. PINs, die nicht kryptografisch an ein Gerät gebunden sind, schützen nicht ausreichend vor Szenarien, in denen ein Gerät kompromittiert wurde. Um sich vor diesen Szenarien zu schützen, einschließlich SIM-Swapangriffen, sollten Sie Benutzer auf sicherere Methoden gemäß den bewährten Vorgehensweisen für Microsoft-Authentifizierungsmethoden umstellen.
**Die standardmäßige Text-MFA-Umgebung bei der Multi-Faktor-Authentifizierung mit Microsoft Entra sendet Benutzenden einen Code, den sie als Teil der Authentifizierung in das Anmeldefenster eingeben müssen. Die Anforderung eines Code-Roundtrips stellt eine Funktionalität zum Nachweis der Anwesenheit bereit.
Benutzerportal
Öffnen Sie den MFA-Server, wählen Sie Benutzerportalaus:
MFA-Server | Microsoft Entra-Multi-Faktor-Authentifizierung |
---|---|
Registerkarte „Einstellungen“ | |
URL des Benutzerportals | aka.ms/mfasetup |
Benutzerregistrierung zulassen | Siehe Kombinierte Registrierung von Sicherheitsinformationen |
– Zur Angabe eines Ersatzanschlusses auffordern | Siehe MFA-Diensteinstellungen |
– Zur Angabe eines OATH-Tokens von Drittanbietern auffordern | Siehe MFA-Diensteinstellungen |
Ermöglicht Benutzenden das Initiieren einer Einmalumgehung | Siehe Microsoft Entra ID TAP-Funktionalität |
Benutzern das Auswählen der Methode gestatten | Siehe MFA-Diensteinstellungen |
-Telefonat | Siehe Dokumentation zu Telefonanrufen |
- Textnachricht | Siehe MFA-Diensteinstellungen |
– Mobile App | Siehe MFA-Diensteinstellungen |
– OATH-Token | Siehe Dokumentation zum OATH-Token |
Benutzern das Auswählen der Sprache gestatten | Spracheinstellungen werden auf Benutzende automatisch basierend auf den Gebietsschemaeinstellungen in ihren Browsern angewendet |
Zulassen, dass Benutzer mobile Apps aktivieren | Siehe MFA-Diensteinstellungen |
– Gerätelimit | Microsoft Entra ID-Beschränkung auf fünf kumulative Geräte (mobile App-Instanzen + Hardware-OATH-Token + Software-OATH-Token) pro benutzende Person |
Verwenden Sie Sicherheitsfragen als Ausweichlösung | Mit der Microsoft Entra-ID können Benutzer zur Authentifizierungszeit eine Fallbackmethode auswählen, wenn die ausgewählte Authentifizierungsmethode fehlschlägt. |
Zu beantwortende Fragen | Sicherheitsfragen in Microsoft Entra ID können nur für SSPR verwendet werden. Weitere Details finden Sie unter Benutzerdefinierte Sicherheitsfragen zu Microsoft Entra |
Benutzern das Zuordnen von Drittanbieter-OATH-Token ermöglichen | Siehe Dokumentation zum OATH-Token |
OATH-Token als Alternative verwenden | Siehe Dokumentation zum OATH-Token |
Sitzungstimeout | |
Registerkarte „Sicherheitsfragen“ | Sicherheitsfragen vom MFA-Server wurden verwendet, um Zugriff auf das Benutzerportal zu bekommen. Microsoft Entra-Multi-Faktor-Authentifizierung unterstützt nur Sicherheitsfragen für die Self-Service-Kennwortzurücksetzung. Weitere Informationen finden Sie in der Dokumentation zu Sicherheitsfragen. |
Registerkarte „Bestandene Sitzungen“ | Alle Registrierungsflüsse für Authentifizierungsmethoden werden von der Microsoft Entra-ID verwaltet und erfordern keine Konfiguration. |
Vertrauenswürdige IPs | Vertrauenswürdige IP-Adressen für Microsoft Entra ID |
Alle in MFA-Server verfügbaren MFA-Methoden müssen in Microsoft Entra-Multi-Faktor-Authentifizierung mithilfe der MFA-Diensteinstellungen aktiviert werden. Benutzer können ihre neu migrierten MFA-Methoden nur ausprobieren, wenn sie aktiviert sind.
Authentifizierungsdienste
Microsoft Entra multifactor authentication Server kann MFA-Funktionen für Lösungen von Drittanbietern bereitstellen, die RADIUS oder LDAP verwenden, indem sie als Authentifizierungsproxy fungieren. Um RADIUS- oder LDAP-Abhängigkeiten zu ermitteln, wählen Sie die Optionen RADIUS-Authentifizierung und LDAP-Authentifizierung im MFA-Server aus. Ermitteln Sie für jede dieser Abhängigkeiten, ob diese Drittanbieter die moderne Authentifizierung unterstützen. Wenn ja, sollten Sie den Verbund direkt mit Microsoft Entra ID in Betracht ziehen.
Für RADIUS-Bereitstellungen, die nicht aktualisiert werden können, müssen Sie einen NPS-Server bereitstellen und die NPS-Erweiterung der Microsoft Entra-Multi-Faktor-Authentifizierung installieren.
Für LDAP-Bereitstellungen, die nicht aktualisiert oder zu RADIUS verschoben werden können, bestimmen Sie, ob Microsoft Entra Domain Services verwendet werden können. In den meisten Fällen wurde LDAP bereitgestellt, um Inlinekennwortänderungen für Endbenutzer zu unterstützen. Sobald sie migriert wurden, können Endbenutzer ihre Kennwörter mithilfe der Self-Service-Kennwortzurücksetzung in Microsoft Entra ID verwalten.
Wenn Sie den MFA-Server-Authentifizierungsanbieter in AD FS 2.0 für Vertrauensstellungen der vertrauenden Seite außer für die Vertrauensstellung der vertrauenden Seite von Office 365 aktiviert haben, müssen Sie auf AD FS 3.0 aktualisieren oder diese vertrauenden Seiten direkt mit Microsoft Entra ID verbinden, wenn sie moderne Authentifizierungsmethoden unterstützen. Ermitteln Sie den besten Aktionsplan für jede der Abhängigkeiten.
Sichern der Datendatei des Microsoft Entra-Multi-Faktor-Authentifizierungsservers
Erstellen Sie eine Sicherung der MFA-Server-Datendatei, die sich unter „%Programme%\Multi-Factor Authentication-Server\Daten\PhoneFactor.pfdata“ (Standardspeicherort) auf Ihrem primären MFA-Server befindet. Stellen Sie sicher, dass Sie über eine Kopie des Installers für Ihre aktuell installierte Version verfügen, falls Sie ein Rollback durchführen müssen. Wenn Sie nicht mehr über eine Kopie verfügen, wenden Sie sich an den Kundendienst.
Je nach Benutzeraktivität kann die Datendatei schnell veraltet werden. Änderungen, die am MFA-Server oder von Endbenutzern über das Portal vorgenommen werden, nachdem die Sicherung erstellt wurde, werden nicht erfasst. Wenn Sie ein Rollback ausführen, werden alle änderungen, die nach diesem Punkt vorgenommen wurden, nicht wiederhergestellt.
Installieren des MFA-Server-Updates
Führen Sie das neue Installationsprogramm auf dem primären MFA-Server aus. Entfernen Sie einen Server vor dem Upgrade aus dem Lastenausgleich oder Austausch von Datenverkehr mit anderen MFA-Servern. Sie müssen Ihren aktuellen MFA-Server nicht deinstallieren, bevor Sie das Installationsprogramm ausführen. Das Installationsprogramm führt ein direktes Upgrade mithilfe des aktuellen Installationspfads (z. B. „C:\Programme\Multi-Factor Authentication Server“) aus. Wenn Sie aufgefordert werden, ein Microsoft Visual C++ 2015 Redistributable Update-Paket zu installieren, akzeptieren Sie die Eingabeaufforderung. Sowohl die x86- als auch die x64-Versionen des Pakets werden installiert. Es ist nicht erforderlich, Updates für Das Benutzerportal, Web SDK oder AD FS-Adapter zu installieren.
Anmerkung
Nachdem Sie das Installationsprogramm auf Ihrem primären Server ausgeführt haben, können sekundäre Server beginnen, Unbehandelte SB-Einträge zu protokollieren. Dies liegt an Schemaänderungen, die auf dem primären Server vorgenommen wurden, die von sekundären Servern nicht erkannt werden. Diese Fehler werden erwartet. In Umgebungen mit 10.000 Benutzern oder mehr kann sich die Anzahl der Protokolleinträge erheblich erhöhen. Um dieses Problem zu beheben, können Sie die Dateigröße Ihrer MFA-Serverprotokolle erhöhen oder die sekundären Server aktualisieren.
Konfiguration des MFA-Server-Migrationstools
Öffnen Sie nach der Installation des MFA Server-Updates eine PowerShell-Eingabeaufforderung mit erhöhten Rechten: Zeigen Sie mit der Maus auf das PowerShell-Symbol, wählen Sie mit der rechten Maustaste aus, und wählen Sie Als Administrator ausführen aus. Führen Sie das Skript „.\Configure-MultiFactorAuthMigrationUtility.ps1“ in Ihrem MFA-Server-Installationsverzeichnis (standardmäßig „C:\Programme\Multi-Factor Authentication Server“) aus.
Dieses Skript erfordert, dass Sie Anmeldeinformationen für einen Anwendungsadministrator in Ihrem Microsoft Entra-Mandanten bereitstellen. Es wird eine neue Anwendung namens "MFA Server Migration Utility" innerhalb von Microsoft Entra ID erstellt, die dazu dient, Authentifizierungsmethoden für Benutzer in jedes Microsoft Entra-Benutzerobjekt zu schreiben.
Ersetzen Sie für Government Cloud-Kunden, die Migrationen durchführen möchten, ".com"-Einträge im Skript durch ".us". Dieses Skript schreibt die Registrierungseinträge HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl und GraphUrl und weist das Migrationshilfsprogramm an, die entsprechenden GRAPH-Endpunkte zu verwenden.
Außerdem benötigen Sie Zugriff auf die folgenden URLs:
https://graph.microsoft.com/*
(oderhttps://graph.microsoft.us/*
für Regierungs-Cloud-Kunden)https://login.microsoftonline.com/*
(oderhttps://login.microsoftonline.us/*
für Regierungs-Cloud-Kunden)
Das Skript weist Sie an, der neu erstellten Anwendung Administratorzustimmung zu erteilen. Navigieren Sie zur bereitgestellten URL, oder wählen Sie im Microsoft Entra Admin Center Anwendungsregistrierungen aus, suchen Sie die App Hilfsprogramm zur MFA-Server-Migration, und wählen Sie sie aus, wählen Sie API-Berechtigungen aus, und erteilen Sie dann die entsprechenden Berechtigungen.
Navigieren Sie anschließend zum Ordner „Multi-Factor Authentication Server“, und öffnen Sie die Anwendung MultiFactorAuthMigrationUtilityUI. Sie sollten den folgenden Bildschirm sehen:
Sie haben das Migrationsprogramm erfolgreich installiert.
Anmerkung
Um sicherzustellen, dass es während der Migration zu keinen Verhaltensänderungen kommt, müssen Sie, wenn Ihr MFA-Server einem MFA-Anbieter ohne Mandantenverweis zugeordnet ist, die MFA-Standardeinstellungen (z. B. benutzerdefinierte Begrüßungen) für den Mandanten, zu dem Sie migrieren, aktualisieren, damit sie den Einstellungen in Ihrem MFA-Anbieter entsprechen. Es wird empfohlen, dies vor der Migration von Benutzenden zu erledigen.
Ausführen eines sekundären MFA-Servers (optional)
Wenn Ihre MFA-Serverimplementierung über eine große Anzahl von Benutzern oder einen ausgelasteten primären MFA-Server verfügt, sollten Sie in Erwägung ziehen, einen dedizierten sekundären MFA-Server für die Ausführung des MFA Server Migration Utilitys und der Migrationssynchronisierungsdienste bereitzustellen. Aktualisieren Sie nach dem Upgrade des primären MFA-Servers entweder einen vorhandenen sekundären Server oder stellen Sie einen neuen sekundären Server bereit. Der von Ihnen ausgewählte sekundäre Server sollte keinen anderen MFA-Datenverkehr behandeln.
Das skript Configure-MultiFactorAuthMigrationUtility.ps1 sollte auf dem sekundären Server ausgeführt werden, um ein Zertifikat bei der Registrierung der MFA Server Migration Utility-App zu registrieren. Das Zertifikat wird verwendet, um sich bei Microsoft Graph zu authentifizieren. Das Ausführen des Migrationshilfsprogramms und der Synchronisierungsdienste auf einem sekundären MFA-Server sollte die Leistung von manuellen und automatisierten Benutzermigrationen verbessern.
Migrieren von Benutzerdaten
Durch das Migrieren von Benutzerdaten werden keine Daten in der Mehrstufigen Authentifizierungsserverdatenbank entfernt oder geändert. Ebenso ändert sich dieser Vorgang nicht, wenn ein Benutzer MFA ausführt. Bei diesem Vorgang handelt es sich um eine unidirektionale Kopie von Daten vom lokalen Server auf das entsprechende Benutzerobjekt in der Microsoft Entra-ID.
Das MFA Server Migration-Hilfsprogramm zielt auf eine einzelne Microsoft Entra-Gruppe für alle Migrationsaktivitäten ab. Sie können Dieser Gruppe Benutzer direkt hinzufügen oder andere Gruppen hinzufügen. Sie können sie auch während der Migration schrittweise hinzufügen.
Geben Sie zum Starten des Migrationsprozesses den Namen oder die GUID der Microsoft Entra-Gruppe ein, die Sie migrieren möchten. Drücken Sie nach Abschluss die TAB-TASTE, oder wählen Sie außerhalb des Fensters aus, um mit der Suche nach der entsprechenden Gruppe zu beginnen. Alle in der Gruppe enthaltenen Benutzenden werden eingetragen. Eine große Gruppe kann mehrere Minuten benötigen, um fertig zu werden.
Wenn Sie Attributdaten für einen Benutzer anzeigen möchten, markieren Sie den Benutzer, und wählen Sie Ansichtaus:
In diesem Fenster werden die Attribute für den ausgewählten Benutzer sowohl in der Microsoft Entra-ID als auch im lokalen MFA-Server angezeigt. Sie können dieses Fenster verwenden, um zu sehen, wie Daten nach der Migration einem Benutzer zugewiesen wurden.
Mit der Option Einstellungen können Sie die Einstellungen für den Migrationsprozess ändern:
Migrieren – es gibt drei Optionen für die Migration der Standardauthentifizierungsmethode des Benutzers:
- Immer migrieren
- Nur migrieren, wenn dies nicht bereits in Microsoft Entra ID festgelegt ist
- Auf die sicherste Methode festgelegt, die verfügbar ist, wenn sie noch nicht in der Microsoft Entra-ID festgelegt ist
Diese Optionen bieten Flexibilität beim Migrieren der Standardmethode. Darüber hinaus wird die Richtlinie für Authentifizierungsmethoden während der Migration überprüft. Wenn die migrierte Standardmethode nicht durch eine Richtlinie zulässig ist, wird sie stattdessen auf die sicherste verfügbare Methode festgelegt.
Benutzerabgleich: Ermöglicht Ihnen, ein anderes lokales Active Directory-Attribut für den Abgleich des Microsoft Entra-UPN anzugeben, anstatt den Standardabgleich mit userPrincipalName zu verwenden:
- Das Hilfsprogramm für die Migration versucht einen direkten Abgleich mit dem UPN, ehe es das lokale Active Directory-Attribut verwendet.
- Wenn keine Übereinstimmung gefunden wird, ruft es eine Windows-API zum Auffinden des Microsoft Entra-UPN und zum Abrufen der SID auf, die zum Durchsuchen der Benutzerliste des MFA-Servers verwendet wird.
- Wenn die Windows-API den Benutzer nicht findet oder die SID nicht im MFA-Server gefunden wird, verwendet sie das konfigurierte Active Directory-Attribut, um den Benutzer im lokalen Active Directory zu finden, und verwenden Sie dann die SID, um die MFA Server-Benutzerliste zu durchsuchen.
Automatische Synchronisierung – Startet einen Hintergrunddienst, der alle Authentifizierungsmethodenänderungen an Benutzenden im lokalen MFA-Server kontinuierlich überwacht, und schreibt sie in die Microsoft Entra-ID im angegebenen festgelegten Zeitintervall.
Synchronisierungsserver: Ermöglicht die Ausführung des MFA-Servermigrationsdiensts auf einem sekundären MFA-Server und nicht nur auf dem primären Server. Um den Migrationssynchronisierungsdienst so zu konfigurieren, dass er auf einem sekundären Server ausgeführt wird, muss das skript
Configure-MultiFactorAuthMigrationUtility.ps1
auf dem Server ausgeführt werden, um ein Zertifikat bei der Registrierung der MFA Server Migration Utility-App zu registrieren. Das Zertifikat wird verwendet, um sich bei Microsoft Graph zu authentifizieren.
Der Migrationsprozess kann automatisch oder manuell erfolgen.
Die manuellen Prozessschritte sind:
Um mit dem Migrationsprozess für einen Benutzer oder eine Auswahl mehrerer Benutzer zu beginnen, halten Sie die STRG-TASTE gedrückt, während Sie die einzelnen Benutzer auswählen, die Sie migrieren möchten.
Nachdem Sie die gewünschten Benutzenden ausgewählt haben, klicken Sie auf Benutzende migrieren>Ausgewählte Benutzende>OK.
Um alle Benutzenden in der Gruppe zu migrieren, wählen Sie Benutzende migrieren>Alle Benutzende in der Microsoft Entra-Gruppe>OK aus.
Sie können Benutzer auch dann migrieren, wenn sie unverändert sind. Standardmäßig ist im Hilfsprogramm die Option Nur geänderte Benutzende migrieren festgelegt. Wählen Sie Alle Benutzenden migrieren, um zuvor migrierte Benutzende, die unverändert sind, erneut zu migrieren. Das Migrieren unveränderter Benutzender kann beim Testen hilfreich sein, wenn ein Administrator die Microsoft Entra-MFA-Einstellungen von Benutzenden zurücksetzen muss und diese erneut migrieren möchte.
Wählen Sie für den automatischen Prozess Automatische Synchronisierung in Einstellungen aus, und wählen Sie dann aus, ob alle Benutzenden synchronisiert werden sollen, oder ob nur Mitglieder einer bestimmten Microsoft Entra-Gruppe.
In der folgenden Tabelle sind die Synchronisierungslogik für die verschiedenen Methoden aufgeführt.
Methode | Logik |
---|---|
Telefon | Wenn keine Erweiterung vorhanden ist, aktualisieren Sie das MFA-Telefon. Wenn eine Erweiterung vorhanden ist, aktualisieren Sie das Office-Telefon. Ausnahme: Wenn die Standardmethode "Text Message" lautet, legen Sie die Erweiterung ab, und aktualisieren Sie das MFA-Telefon. |
Sicherungstelefon | Wenn keine Erweiterung vorhanden ist, aktualisieren Sie das alternative Telefon. Wenn eine Erweiterung vorhanden ist, aktualisieren Sie das Office-Telefon. Ausnahme: Wenn sowohl „Telefon“ als auch „Ersatzanschluss“ eine Erweiterung haben, überspringen Sie „Ersatzanschluss“. |
Mobile App | Maximal fünf Geräte werden migriert oder nur vier, wenn der Benutzer auch über ein Hardware-OATH-Token verfügt. Wenn mehrere Geräte mit demselben Namen vorhanden sind, migrieren Sie nur die neueste. Geräte sind von neu nach alt sortiert. Wenn Geräte bereits in Microsoft Entra ID vorhanden sind, führen Sie einen Abgleich mit dem geheimen OATH-Token-Schlüssel und ein Update durch. – Wenn keine Übereinstimmung mit dem geheimen OATH-Tokenschlüssel vorliegt, führen Sie einen Abgleich mit dem Gerätetoken durch. – Falls gefunden, erstellen Sie ein Software-OATH-Token für das MFA-Server-Gerät, damit die OATH-Tokenmethode funktioniert. Benachrichtigungen funktionieren weiterhin mit dem vorhandenen Microsoft Entra-Mehrfaktor-Authentifizierungsgerät. -- Falls nicht gefunden, erstellen Sie ein neues Gerät. Wenn das Hinzufügen eines neuen Geräts die Fünf-Geräte-Grenze überschreitet, wird das Gerät übersprungen. |
OATH-Token | Wenn Geräte bereits in Microsoft Entra ID vorhanden sind, führen Sie einen Abgleich mit dem geheimen OATH-Token-Schlüssel und ein Update durch. – Wenn nicht gefunden, fügen Sie ein neues Hardware-OATH-Tokengerät hinzu. Wenn das Hinzufügen eines neuen Geräts den Grenzwert von fünf Geräten überschreitet, wird das OATH-Token übersprungen. |
MFA-Methoden werden basierend darauf, was migriert wurde, aktualisiert und die Standardmethode festgelegt. MFA Server verfolgt den letzten Migrationszeitstempel nach und migriert den Benutzer nur erneut, wenn sich die MFA-Einstellungen des Benutzers ändern oder ein Administrator ändert, was im Dialogfeld Einstellungen migriert werden soll.
Während des Tests wird empfohlen, zuerst eine manuelle Migration durchzuführen und zu testen, um sicherzustellen, dass sich eine bestimmte Anzahl von Benutzern wie erwartet verhält. Sobald das Testen erfolgreich ist, aktivieren Sie die automatische Synchronisierung für die Microsoft Entra-Gruppe, die Sie migrieren möchten. Wenn Sie dieser Gruppe Benutzer hinzufügen, werden ihre Informationen automatisch mit der Microsoft Entra-ID synchronisiert. Das MFA Server Migration Utility zielt auf eine Microsoft Entra-Gruppe ab, diese Gruppe kann jedoch sowohl Benutzer als auch geschachtelte Benutzergruppen umfassen.
Nach Abschluss informiert Sie eine Bestätigung über die abgeschlossenen Aufgaben:
Wie in der Bestätigungsmeldung erwähnt, kann es mehrere Minuten dauern, bis die migrierten Daten in Benutzerobjekten innerhalb der Microsoft Entra-ID angezeigt werden. Benutzer können ihre migrierten Methoden anzeigen, indem sie zu aka.ms/mfasetup navigieren.
Tipp
Sie können die zum Anzeigen von Gruppen erforderliche Zeit reduzieren, wenn Sie keine Microsoft Entra MFA-Methoden anzeigen müssen. Wählen Sie Ansicht>Azure AD-MFA-Methoden aus, um die Anzeige von Spalten für AAD Default, AAD Phone, AAD Alternate, AAD Office, AAD Devices und AAD OATH Token umzuschalten. Wenn Spalten ausgeblendet sind, werden einige Microsoft Graph-API-Aufrufe übersprungen, wodurch die Ladezeit des Benutzers erheblich verbessert wird.
Anzeigen von Migrationsdetails
Sie können Überwachungsprotokolle oder Log Analytics verwenden, um Details zu Benutzermigrationen von MFA Server zur Microsoft Entra-Multi-Faktor-Authentifizierung anzuzeigen.
Verwenden von Überwachungsprotokollen
Führen Sie die folgenden Schritte aus, um auf die Überwachungsprotokolle im Microsoft Entra Admin Center zuzugreifen und Details zu Benutzermigrationsvorgängen von MFA Server zur Microsoft Entra-Multi-Faktor-Authentifizierung anzuzeigen:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsadministration an.
Browsen Sie zu Identität>Überwachung und Integrität>Überwachungsprotokolle. Wählen Sie Filter hinzufügen aus, um die Protokolle zu filtern.
Wählen Sie Initiiert von (Akteur) und dann Anwenden aus.
Geben Sie Microsoft Entra-Multi-Faktor-Authentifizierungsverwaltung ein, und wählen Sie Anwenden aus.
Dieser Filter zeigt nur Protokolle des MFA Server Migration Utility an. Wenn Sie Details für eine Benutzermigration anzeigen möchten, wählen Sie eine Zeile aus, und wählen Sie dann die Registerkarte Geänderte Eigenschaften aus. Auf dieser Registerkarte werden Änderungen an registrierten MFA-Methoden und Telefonnummern angezeigt.
In der folgenden Tabelle sind die Authentifizierungsmethode für jeden Code aufgeführt.
Code Methode 0 Voice für Mobilgerät 2 Voice für Geschäftsgerät 3 Voice für alternatives Mobilgerät 5 SMS 6 Microsoft Authenticator-Pushbenachrichtigung 7 Hardware- oder Softwaretoken-OTP Wenn irgendwelche Benutzergeräte migriert wurden, gibt es einen separaten Protokolleintrag.
Verwenden von Log Analytics
Die Details zu Benutzermigrationen von MFA Server zur Microsoft Entra-Multi-Faktor-Authentifizierung können ebenfalls mit der Protokollanalyse abgefragt werden.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
Dieser Screenshot zeigt Änderungen für die Benutzermigration:
Dieser Screenshot zeigt Änderungen für die Gerätemigration:
Log Analytics kann auch zum Zusammenfassen von Benutzermigrationsaktivitäten verwendet werden.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Überprüfen und Testen
Nachdem Sie Benutzerdaten erfolgreich migriert haben, können Sie die Endbenutzerumgebung mithilfe des gestaffelten Rollouts überprüfen, bevor Sie die globale Mandantenänderung vornehmen. Der folgende Prozess ermöglicht Ihnen, bestimmte Microsoft Entra-Gruppen für den gestaffelten Rollout für MFA zu verwenden. Der gestaffelte Rollout weist Microsoft Entra ID an, MFA mithilfe der Microsoft Entra-Multi-Faktor-Authentifizierung für Benutzende in den Zielgruppen auszuführen, anstatt sie hierfür an den lokalen MFA-Server zu senden. Sie können überprüfen und testen – wir empfehlen die Verwendung des Microsoft Entra Admin Centers, aber wenn Sie es vorziehen, können Sie auch Microsoft Graph verwenden.
Aktivieren des gestaffelten Rollouts
Navigieren Sie zu der folgenden URL: Mehrstufige Rollout-Funktionen aktivieren – Microsoft Azure.
Ändern Sie Azure-Multi-Faktor-Authentifizierung in Ein, und wählen Sie dann Gruppen verwalten aus.
Wählen Sie Gruppen hinzufügen aus, und fügen Sie die Gruppen hinzu, die Benutzende enthalten, die Sie für die mehrstufige Authentifizierung mit Microsoft Entra aktivieren möchten. Ausgewählte Gruppen werden in der angezeigten Liste angezeigt.
Anmerkung
Alle Gruppen, auf die Sie mit der folgenden Microsoft Graph-Methode abzielen, werden ebenfalls in dieser Liste angezeigt.
Aktivieren des gestaffelten Rollouts mithilfe von Microsoft Graph
Erstellen der featureRolloutPolicy
Navigieren Sie zu aka.ms/ge, und melden Sie sich mit einem Hybrididentitätsadministrator-Konto in dem Mandanten, den Sie für den gestaffelten Rollout einrichten möchten, bei Graph Explorer an.
Stellen Sie sicher, dass POST für den folgenden Endpunkt ausgewählt ist:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies
Der Text Ihrer Anforderung sollte Folgendes enthalten (ändern Sie MFA-Rolloutrichtlinie in einen Namen und eine Beschreibung für Ihre Organisation):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Führen Sie einen GET-Befehl mit demselben Endpunkt aus, und notieren Sie sich den ID-Wert (in der folgenden Abbildung durchgestrichen):
Richten Sie sich auf die Microsoft Entra-Gruppe(n) aus, die die Benutzer enthalten, die Sie testen möchten.
Erstellen Sie eine POST-Anforderung mit dem folgenden Endpunkt (ersetzen Sie {ID der Richtlinie} durch den ID-Wert, den Sie aus Schritt 1d kopiert haben):
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$ref
Der Textkörper der Anforderung sollte Folgendes enthalten (ersetzen Sie {ID der Gruppe} durch die Objekt-ID der Gruppe, die Sie für den gestaffelten Rollout festlegen möchten):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }
Wiederholen Sie die Schritte a und b für alle anderen Gruppen, auf die Sie mit mehrstufigem Rollout abzielen möchten.
Sie können die aktuelle Richtlinie anzeigen, indem Sie einen GET-Befehl für folgende URL ausführen:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesTo
Der vorherige Vorgang verwendet die featureRolloutPolicy-Ressource. Die öffentliche Dokumentation wurde noch nicht mit dem neuen mehrstufigen Authentifizierungsfeature aktualisiert, enthält aber detaillierte Informationen zur Interaktion mit der API.
Stellen Sie sicher, dass die MFA-Endbenutzeroberfläche funktioniert. Hier sind einige Punkte, die Sie überprüfen sollten:
- Sehen Benutzende ihre Methoden in aka.ms/mfasetup?
- Erhalten Benutzer Telefonanrufe/Textnachrichten?
- Können sie sich mit den oben genannten Methoden erfolgreich authentifizieren?
- Erhalten Benutzer erfolgreich Authentifikator-Benachrichtigungen? Können sie diese Benachrichtigungen genehmigen? Ist die Authentifizierung erfolgreich?
- Sind Benutzer in der Lage, sich erfolgreich mit Hardware-OATH-Token zu authentifizieren?
Benutzer schulen
Stellen Sie sicher, dass Benutzer wissen, was sie erwarten müssen, wenn sie zur mehrstufigen Microsoft Entra-Authentifizierung umgestellt werden, einschließlich neuer Authentifizierungsflüsse. Sie können die Benutzer auch anweisen, das Microsoft Entra ID Combined Registration Portal (aka.ms/mfasetup) zu verwenden, um ihre Authentifizierungsmethoden anstelle des Benutzerportals zu verwalten, sobald die Migration abgeschlossen ist. Alle Änderungen, die an Authentifizierungsmethoden in der Microsoft Entra-ID vorgenommen wurden, werden nicht an Ihre lokale Umgebung weitergegeben. In einer Situation, in der Sie ein Rollback auf den MFA Server durchführen mussten, sind alle Änderungen, die Benutzer in Microsoft Entra ID vorgenommen haben, nicht im Benutzerportal des MFA-Servers verfügbar.
Wenn Sie Lösungen von Drittanbietern verwenden, die vom Microsoft Entra-Multifaktor-Authentifizierungsserver für die Authentifizierung abhängen (siehe Authentifizierungsdienste), sollten Benutzer weiterhin Änderungen an ihren MFA-Methoden im Benutzerportal vornehmen. Diese Änderungen werden automatisch mit der Microsoft Entra-ID synchronisiert. Nachdem Sie diese Drittanbieter-Lösungen migriert haben, können Sie Benutzende zur Microsoft Entra ID-Seite zur kombinierten Registrierung verschieben.
Abschließen der Benutzermigration
Wiederholen Sie die Migrationsschritte aus den Abschnitten Migrieren von Benutzerdaten und Überprüfen und Testen, bis alle Benutzerdaten migriert sind.
Migrieren von MFA-Server-Abhängigkeiten
Beginnen Sie mit den Datenpunkten, die Sie in Authentifizierungsdienste gesammelt haben, mit der Durchführung der verschiedenen erforderlichen Migrationen. Sobald dies abgeschlossen ist, sollten Sie erwägen, dass Benutzende ihre Authentifizierungsmethoden anstatt im Benutzerportal auf MFA-Server im Portal zur kombinierten Registrierung verwalten.
Aktualisieren der Domänenverbundeinstellungen
Nachdem Sie Benutzermigrationen abgeschlossen und alle Ihre -Authentifizierungsdienste von MFA Server verschoben haben, ist es an der Zeit, Ihre Domänenverbundeinstellungen zu aktualisieren. Nach dem Update sendet Microsoft Entra keine MFA-Anforderung mehr an Ihren lokalen Verbundserver.
Um Microsoft Entra ID so zu konfigurieren, dass MFA-Anforderungen an Ihren lokalen Verbundserver ignoriert werden, installieren Sie das Microsoft Graph PowerShell SDK und legen Sie federatedIdpMfaBehavior auf rejectMfaByFederatedIdp
fest, wie im folgenden Beispiel gezeigt wird.
Anfrage
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Antwort
Anmerkung
Das hier gezeigte Antwortobjekt kann zur Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Benutzende werden nicht mehr an Ihren lokalen Föderationsserver für MFA umgeleitet, unabhängig davon, ob sie vom Staged Rollout-Tool betroffen sind oder nicht. Beachten Sie, dass dies bis zu 24 Stunden dauern kann, bis es wirksam wird.
Anmerkung
Die Aktualisierung der Domänenverbundeinstellung kann bis zu 24 Stunden dauern, bis sie wirksam wird.
Optional: Deaktivieren des MFA-Serverbenutzerportals
Nachdem Sie die Migration aller Benutzerdaten abgeschlossen haben, können Endbenutzer mit der Verwendung der kombinierten Microsoft Entra-ID-Registrierungsseiten beginnen, um MFA-Methoden zu verwalten. Es gibt eine Reihe von Möglichkeiten, benutzer am Verwenden des Benutzerportals in MFA Server zu hindern:
- Umleiten Ihrer MFA-Server-Benutzerportal-URL an aka.ms/mfasetup
- Deaktivieren Sie das Kontrollkästchen Benutzeranmeldung zulassen auf der Registerkarte Einstellungen im Abschnitt „Benutzerportal“ von MFA Server, um grundsätzlich zu verhindern, dass sich Benutzer im Portal anmelden.
Außerbetriebnahme von MFA-Server
Wenn Sie den mehrstufigen Microsoft Entra-Authentifizierungsserver nicht mehr benötigen, befolgen Sie Ihre normalen Methoden für die Deaktivierung des Servers. Es ist keine besondere Aktion in Microsoft Entra ID erforderlich, um die Außerbetriebnahme von MFA-Server anzugeben.
Rollbackplan
Wenn beim Upgrade Probleme auftreten, führen Sie die folgenden Schritte aus, um ein Rollback auszuführen:
Deinstallieren Sie MFA Server 8.1.
Ersetzen Sie PhoneFactor.pfdata durch die vor dem Upgrade vorgenommene Sicherung.
Anmerkung
Alle Änderungen, seit die Sicherung vorgenommen wurde, gehen verloren, sollten jedoch minimal sein, wenn die Sicherung direkt vor dem Upgrade vorgenommen wurde und das Upgrade nicht erfolgreich war.
Führen Sie das Installationsprogramm für Ihre vorherige Version aus (z. B. 8.0.x.x).
Konfigurieren Sie die Microsoft Entra-ID, um MFA-Anforderungen an Ihren lokalen Verbundserver zu akzeptieren. Verwenden Sie Graph PowerShell, um federatedIdpMfaBehavior auf
enforceMfaByFederatedIdp
festzulegen, wie im folgenden Beispiel gezeigt.Anforderung
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Das folgende Antwortobjekt wird zur Lesbarkeit gekürzt.
Antwort
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Legen Sie den mehrstufigen Rollout für die Microsoft Entra-Authentifizierung auf deaktiviert fest. Benutzer werden erneut zu Ihrem lokalen Verbundserver für MFA umgeleitet.