Migración del servidor MFA
En este tema se explica cómo migrar la configuración de MFA para los usuarios de Microsoft Entra desde el servidor de autenticación multifactor de Microsoft Entra local a la autenticación multifactor de Microsoft Entra.
Introducción a la solución
La Utilidad de migración del servidor MFA ayuda a sincronizar los datos de autenticación multifactor almacenados en el servidor de autenticación multifactor de Microsoft Entra local directamente a la autenticación multifactor de Microsoft Entra. Después de migrar los datos de autenticación a Microsoft Entra ID, los usuarios pueden realizar MFA basado en la nube sin problemas sin tener que volver a registrarse ni confirmar métodos de autenticación. Los administradores pueden usar la Herramienta de Migración del Servidor MFA para dirigirse a usuarios individuales o grupos de usuarios para realizar pruebas y lanzamientos controlados sin necesidad de realizar cambios en todo el entorno.
Vídeo: Uso de la utilidad de migración del servidor MFA
Eche un vistazo a nuestro vídeo para obtener información general sobre la utilidad de migración del servidor MFA y cómo funciona.
Limitaciones y requisitos
La Utilidad de migración del servidor MFA requiere que se instale una nueva compilación de la solución servidor MFA en el servidor MFA principal. La compilación realiza actualizaciones en el archivo de datos del servidor MFA e incluye la nueva utilidad de migración del servidor MFA. No tiene que actualizar webSDK ni el portal de usuarios. La instalación de la actualización no inicia la migración automáticamente.
Nota
La utilidad de migración del servidor MFA se puede ejecutar en un servidor MFA secundario. Para obtener más información, consulte Ejecutar un servidor MFA secundario (opcional).
La Utilidad de migración del servidor MFA copia los datos del archivo de base de datos en los objetos de usuario de Microsoft Entra ID. Durante la migración, los usuarios pueden dirigirse a la autenticación multifactor de Microsoft Entra con fines de prueba mediante el lanzamiento preconfigurado. La migración preconfigurada le permite probar sin realizar ningún cambio en la configuración de federación de dominio. Una vez completadas las migraciones, debe finalizar la migración realizando cambios en la configuración de federación de dominio.
Se requiere AD FS que ejecute Windows Server 2016 o superior para proporcionar autenticación MFA en cualquier usuario de confianza de AD FS, no incluidos Microsoft Entra ID y Office 365.
Revise las directivas de control de acceso de AD FS y asegúrese de que ninguna requiere que MFA se realice localmente como parte del proceso de autenticación.
La implementación preconfigurada puede tener como destino un máximo de 500 000 usuarios (10 grupos que contienen un máximo de 50 000 usuarios cada uno).
Guía de migración
Normalmente, una migración del servidor MFA incluye los pasos descritos en el proceso siguiente:
Algunos puntos importantes:
La fase 1 debe repetirse al agregar usuarios de prueba.
- La herramienta de migración usa grupos de Microsoft Entra para determinar los usuarios para los que se deben sincronizar los datos de autenticación entre el servidor MFA y la autenticación multifactor de Microsoft Entra. Una vez sincronizados los datos de usuario, ese usuario estará listo para usar la autenticación multifactor de Microsoft Entra.
- La implementación escalonada permite redirigir a los usuarios a la autenticación multifactor de Microsoft Entra, también mediante grupos de Microsoft Entra. Aunque, sin duda, podría utilizar los mismos grupos para ambas herramientas, recomendamos no hacerlo, ya que los usuarios podrían ser redirigidos a la autenticación multifactor de Microsoft Entra antes de que la herramienta haya sincronizado sus datos. Se recomienda configurar grupos de Microsoft Entra para sincronizar los datos de autenticación mediante la Utilidad de migración del servidor MFA y otro conjunto de grupos para el lanzamiento preconfigurado para dirigir a los usuarios de destino a la autenticación multifactor de Microsoft Entra en lugar de en el entorno local.
La fase 2 debe repetirse a medida que migre la base de usuarios. Al final de la fase 2, toda la base de usuarios debe usar la autenticación multifactor de Microsoft Entra para todas las cargas de trabajo federadas con el identificador de Microsoft Entra.
Durante las fases anteriores, puede quitar a los usuarios de las carpetas de despliegue escalonado para sacarlos del ámbito de la autenticación multifactor de Microsoft Entra y reenviarlos al servidor de autenticación multifactor de Microsoft Entra local para todas las solicitudes de MFA que se originan en Microsoft Entra ID.
Fase 3 requiere trasladar todos los clientes que se autentican en el servidor MFA local (VPN, administradores de contraseñas, etc.) a la federación de Microsoft Entra a través de SAML/OAUTH. Si no se admiten los estándares de autenticación modernos, es necesario que se instalen servidores NPS con la extensión de la autenticación multifactor de Microsoft Entra instalada. Una vez migradas las dependencias, los usuarios ya no deben usar el portal de usuarios en el servidor MFA, sino que deben administrar sus métodos de autenticación en microsoft Entra ID (aka.ms/mfasetup). Una vez que los usuarios empiecen a administrar sus datos de autenticación en microsoft Entra ID, esos métodos no se sincronizarán con el servidor MFA. Si revierte al servidor MFA local después de que los usuarios hayan realizado cambios en sus métodos de autenticación en el identificador de Entra de Microsoft, esos cambios se perderán. Una vez completadas las migraciones de usuario, cambie la configuración de federación de dominio federatedIdpMfaBehavior. El cambio indica a Microsoft Entra ID que ya no realice MFA localmente y que realice todas las solicitudes de MFA con la autenticación multifactor de Microsoft Entra, independientemente de la pertenencia a grupos.
En las secciones siguientes se explican los pasos de migración con más detalle.
Identificación de las dependencias del servidor de autenticación multifactor de Microsoft Entra
Hemos trabajado duro para asegurarnos de que pasar a nuestra solución de autenticación multifactor de Microsoft Entra basada en la nube mantiene y mejora su posición de seguridad. Hay tres categorías generales que se deben usar para agrupar las dependencias:
- Métodos de MFA
- Portal de usuarios
- servicios de autenticación
Para ayudar a la migración, hemos usado características de servidor MFA ampliamente usadas con el equivalente funcional en la autenticación multifactor de Microsoft Entra para cada categoría.
Métodos de MFA
Abra el Servidor MFA, seleccione Configuración de la empresa:
| Servidor MFA | Autenticación multifactor de Microsoft Entra |
|---|---|
| Pestaña General | |
| sección Preferencias predeterminadas del usuario | |
| Llamada telefónica (estándar) | No se necesita ninguna acción |
| Mensaje de texto (OTP)* | No se necesita ninguna acción |
| Aplicación móvil (estándar) | No se necesita ninguna acción |
| Llamada telefónica (PIN)* | Habilitar OTP de voz |
| Mensaje de texto (OTP + PIN)** | No se necesita ninguna acción |
| Aplicación móvil (PIN)* | Habilitar la coincidencia de números |
| Llamada telefónica/mensaje de texto/aplicación móvil/idioma del token OATH | La configuración de idioma se aplica automáticamente a un usuario en función de la configuración regional en su explorador. |
| Sección de reglas de PIN predeterminadas | No aplicable; consulte los métodos actualizados en la captura de pantalla anterior. |
| Pestaña Resolución de nombre de usuario | No aplicable; La resolución de nombres de usuario no es necesaria para la autenticación multifactor de Microsoft Entra |
| Pestaña Mensaje de texto | No aplicable; La autenticación multifactor de Microsoft Entra usa un mensaje predeterminado para los mensajes de texto |
| Texto de token OATH | No aplicable; La autenticación multifactor de Microsoft Entra usa un mensaje predeterminado para tokens OATH |
| Informes | Informes de actividad de Microsoft Entra sobre métodos de autenticación |
*Cuando se usa un PIN para proporcionar funcionalidad de prueba de presencia, se proporciona el equivalente funcional anterior. Los PIN que no están vinculados criptográficamente a un dispositivo no protegen lo suficientemente frente a escenarios en los que se ha puesto en peligro un dispositivo. Para protegerse frente a estos escenarios, incluidos los ataques de intercambio de SIM, mueve a los usuarios a métodos más seguros según los procedimientos recomendados de métodos de autenticación de Microsoft.
**La experiencia predeterminada de MFA de texto en la autenticación multifactor de Microsoft Entra envía a los usuarios un código, que es necesario introducir en la ventana de inicio de sesión como parte de la autenticación. El requisito de ida y vuelta del código proporciona funcionalidad de prueba de presencia.
Portal de usuarios
Abra el servidor MFA, seleccione Portal de Usuarios:
| Servidor MFA | Autenticación multifactor de Microsoft Entra |
|---|---|
| Pestaña Configuración | |
| Dirección URL del portal de usuarios | aka.ms/mfasetup |
| Permitir la inscripción de usuarios | Consulta Registro de información de seguridad combinado |
| - Solicitar teléfono de respaldo | Consulta Configuración del servicio MFA |
| - Solicitar token OATH de terceros | Consulta Configuración del servicio MFA |
| Permite a los usuarios iniciar una omisión por única vez | Consulte Funcionalidad TAP de Microsoft Entra ID |
| Permitir que los usuarios seleccionen el método | Consulte la configuración del servicio MFA |
| -Llamada | Consulte la documentación de llamadas telefónicas |
| -Mensaje de texto | Consulta Configuración del servicio MFA |
| - Aplicación móvil | Consulta Configuración del servicio MFA |
| - Token OATH | Consulta la documentación del token OATH |
| Permitir que los usuarios seleccionen el idioma | La configuración de idioma se aplica automáticamente a un usuario en función de la configuración regional en su explorador. |
| Permitir que los usuarios activen la aplicación móvil | Consulta Configuración del servicio MFA |
| - Límite de dispositivos | El identificador de Microsoft Entra limita a los usuarios a cinco dispositivos acumulativos (instancias de aplicación móvil + token OATH de hardware + token OATH de software) por usuario |
| Usar preguntas de seguridad para la reserva | Microsoft Entra ID permite a los usuarios elegir un método alternativo en el momento de la autenticación en caso de que falle el método de autenticación elegido. |
| - Preguntas para responder | Las preguntas de seguridad de Microsoft Entra ID solo se pueden usar para SSPR. Consulta más detalles para preguntas de seguridad personalizadas de Microsoft Entra |
| Permitir que los usuarios asocien un token OATH de terceros | Consulta la documentación del token OATH |
| Usar el token OATH como alternativa | Consulta la documentación del token OATH |
| Finalización de la sesión | |
| Pestaña Preguntas de seguridad | Las preguntas de seguridad en el servidor MFA se usaron para obtener acceso al portal de usuarios. La autenticación multifactor de Microsoft Entra solo admite preguntas de seguridad para el autoservicio de restablecimiento de contraseña. Consulta la documentación de preguntas de seguridad. |
| Pestaña Sesiones superadas | Todos los flujos de registro del método de autenticación se administran mediante el identificador de Entra de Microsoft y no requieren configuración. |
| Direcciones IP de confianza | Direcciones IP de confianza de Microsoft Entra ID |
Todos los métodos de MFA disponibles en el servidor MFA deben estar habilitados en la autenticación multifactor de Microsoft Entra mediante la configuración del servicio MFA. Los usuarios no pueden probar sus métodos de MFA recién migrados a menos que estén habilitados.
Servicios de autenticación
El servidor de autenticación multifactor de Microsoft Entra puede proporcionar funcionalidad MFA para soluciones de terceros que usan RADIUS o LDAP actuando como proxy de autenticación. Para descubrir dependencias de RADIUS o LDAP, seleccione las opciones Autenticación RADIUS y Autenticación LDAP en el Servidor MFA. Para cada una de estas dependencias, determine si estos terceros admiten la autenticación moderna. Si es así, considere la posibilidad de federación directamente con el identificador de Entra de Microsoft.
En el caso de las implementaciones RADIUS que no se pueden actualizar, deberás implementar un servidor NPS e instalar la extensión NPS de la autenticación multifactor de Microsoft Entra.
En el caso de las implementaciones LDAP que no se pueden actualizar o mover a RADIUS, determine si se puede usar Microsoft Entra Domain Services. En la mayoría de los casos, LDAP se implementó para admitir cambios de contraseña en línea para los usuarios finales. Una vez migrados, los usuarios finales pueden administrar sus contraseñas mediante el autoservicio de restablecimiento de contraseña en Microsoft Entra ID.
Si ha habilitado el proveedor de autenticación de servidor MFA de en AD FS 2.0 en cualquier relación de confianza de terceros, excepto en la relación de confianza de terceros de Office 365, deberá actualizar a AD FS 3.0 o federar esas partes de confianza directamente en Microsoft Entra ID si admiten métodos de autenticación modernos. Determine el mejor plan de acción para cada una de las dependencias.
Copia de seguridad del archivo de datos del servidor de autenticación multifactor de Microsoft Entra
Realice una copia de seguridad del archivo de datos del servidor MFA ubicado en %programfiles%\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (ubicación predeterminada) en el servidor MFA principal. Asegúrese de que tiene una copia del instalador para la versión instalada actualmente en caso de que tenga que revertir. Si ya no tiene una copia, póngase en contacto con los Servicios de atención al cliente.
En función de la actividad del usuario, el archivo de datos puede quedar obsoleto rápidamente. Los cambios realizados en el servidor MFA, o los cambios realizados por el usuario final a través del portal, después de la copia de seguridad, no serán capturados. Si revierte, no se restaurarán los cambios realizados después de este punto.
Instalación de la actualización del servidor MFA
Ejecute el nuevo instalador en el servidor MFA principal. Antes de actualizar un servidor, quítelo del balanceo de carga o de la distribución del tráfico con otros servidores MFA. No es necesario desinstalar el servidor MFA actual antes de ejecutar el instalador. El instalador realiza una actualización local mediante la ruta de instalación actual (por ejemplo, C:\Archivos de programa\Servidor Multi-Factor Authentication). Si se le pide que instale un paquete de actualización redistribuible de Microsoft Visual C++ 2015, acepte el mensaje. Se instalan las versiones x86 y x64 del paquete. No es necesario instalar actualizaciones para el portal de usuarios, el SDK web ni el adaptador de AD FS.
Nota
Después de ejecutar el instalador en el servidor principal, los servidores secundarios pueden empezar a registrar entradas SB no controladas. Esto se debe a los cambios de esquema realizados en el servidor principal que no reconocen los servidores secundarios. Se esperan estos errores. En entornos con 10 000 usuarios o más, la cantidad de entradas de registro puede aumentar significativamente. Para mitigar este problema, puede aumentar el tamaño de archivo de los registros del servidor MFA o actualizar los servidores secundarios.
Configurar la utilidad de migración del servidor MFA
Después de instalar la actualización del servidor MFA, abra un símbolo del sistema de PowerShell con privilegios elevados: mantén el puntero sobre el icono de PowerShell, haga clic con el botón derecho y seleccione Ejecutar como administrador. Ejecute .\Configure-MultiFactorAuthMigrationUtility.ps1 script que se encuentra en el directorio de instalación del servidor MFA (C:\Archivos de programa\Servidor Multi-Factor Authentication de forma predeterminada).
Este script requiere que proporcione credenciales para un administrador de aplicaciones en el inquilino de Microsoft Entra. Crea una nueva aplicación denominada Utilidad de Migración del Servidor MFA dentro de Microsoft Entra ID, que se utiliza para escribir métodos de autenticación de usuario en cada objeto de usuario de Microsoft Entra.
En el caso de los clientes de la nube gubernamental que deseen realizar migraciones, reemplace las entradas ".com" en el script por ".us". Este script escribe las entradas del Registro HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl y GraphUrl, e indica a la Utilidad de migración que use los puntos de conexión de GRAPH adecuados.
También necesitará acceso a las siguientes direcciones URL:
https://graph.microsoft.com/*(ohttps://graph.microsoft.us/*para clientes en la nube gubernamentales)https://login.microsoftonline.com/*(ohttps://login.microsoftonline.us/*para clientes en la nube gubernamentales)
El script le indica que conceda el consentimiento del administrador a la aplicación recién creada. Vaya a la dirección URL proporcionada o, en el Centro de administración de Microsoft Entra, seleccione Registros de aplicaciones, busque y seleccione la aplicación Utilidad de migración del servidor MFA, seleccione en permisos de API y, a continuación, conceda los permisos adecuados.
Una vez completado, vaya a la carpeta del Servidor de Autenticación Multifactor y abra la aplicación MultiFactorAuthMigrationUtilityUI. Debería ver la siguiente pantalla:
Ha instalado correctamente la utilidad de migración.
Nota
Para asegurarse de que no haya cambios en el comportamiento durante la migración, si el servidor MFA está asociado a un proveedor de MFA sin referencia de inquilino, deberá actualizar la configuración predeterminada de MFA (como saludos personalizados) para el inquilino que va a migrar para que coincida con la configuración del proveedor de MFA. Recomendamos hacerlo antes de migrar a cualquier usuario.
Ejecución de un servidor MFA secundario (opcional)
Si la implementación del servidor MFA tiene un gran número de usuarios o un servidor MFA principal ocupado, puede considerar la posibilidad de implementar un servidor MFA secundario dedicado para ejecutar los servicios de utilidad de migración y sincronización de migración del servidor MFA. Después de actualizar el servidor MFA principal, actualice un servidor secundario existente o implemente un nuevo servidor secundario. El servidor secundario que elija no debe controlar otro tráfico MFA.
El script Configure-MultiFactorAuthMigrationUtility.ps1 debe ejecutarse en el servidor secundario para registrar un certificado con el registro de la aplicación de utilidad de migración del servidor MFA. El certificado se usa para autenticarse en Microsoft Graph. La ejecución de los servicios de utilidad de migración y sincronización en un servidor MFA secundario debe mejorar el rendimiento de las migraciones de usuario manuales y automatizadas.
Migración de datos de usuario
La migración de datos de usuario no quita ni modifica ningún dato en la base de datos del servidor Multi-Factor Authentication. Del mismo modo, este proceso no cambiará donde un usuario realiza MFA. Este proceso es una copia unidireccional de datos del servidor local al objeto de usuario correspondiente en el identificador entra de Microsoft.
La utilidad MFA Server Migration tiene como destino un único grupo de Microsoft Entra para todas las actividades de migración. Puede agregar usuarios directamente a este grupo o agregar otros grupos. También puede agregarlos en fases durante la migración.
Para comenzar el proceso de migración, escriba el nombre o el GUID del grupo de Microsoft Entra que desea migrar. Una vez completado, presione Tab o seleccione fuera de la ventana para empezar a buscar el grupo adecuado. Todos los usuarios del grupo se rellenan. Un grupo grande puede tardar varios minutos en finalizar.
Para ver los datos de atributo de un usuario, resalte el usuario y seleccione Ver:
En esta ventana se muestran los atributos del usuario seleccionado en microsoft Entra ID y en el servidor MFA local. Puede usar esta ventana para ver cómo se escribieron los datos en un usuario después de la migración.
La opción de Configuración permite cambiar la configuración del proceso de migración:
Migración: hay tres opciones para migrar el método de autenticación predeterminado del usuario:
- Migrar siempre
- Migración solo si aún no se ha establecido en Microsoft Entra ID
- Establézcalo en el método más seguro disponible si aún no está establecido en el identificador de Microsoft Entra.
Estas opciones proporcionan flexibilidad al migrar el método predeterminado. Además, la directiva de métodos de autenticación se comprueba durante la migración. Si la directiva no permite el método predeterminado que se va a migrar, se establece en el método más seguro disponible en su lugar.
Coincidencia de usuario: permite especificar un atributo de Active Directory local diferente para buscar coincidencias con Microsoft Entra UPN en lugar de la coincidencia predeterminada con userPrincipalName:
- La utilidad de migración intenta buscar coincidencias directas con UPN antes de usar el atributo de Active Directory local.
- Si no se encuentra ninguna coincidencia, llama a una API de Windows para buscar el UPN de Microsoft Entra y obtener el SID, que usa para buscar en la lista de usuarios del servidor MFA.
- Si la API de Windows no encuentra el usuario o el SID no se encuentra en el servidor MFA, usa el atributo de Active Directory configurado para buscar al usuario en Active Directory local y, a continuación, usa el SID para buscar la lista de usuarios del servidor MFA.
Sincronización automática: inicia un servicio en segundo plano que supervisa continuamente los cambios en los métodos de autenticación a los usuarios del servidor MFA local y los escribe en el identificador de Entra de Microsoft en el intervalo de tiempo especificado definido.
Servidor de sincronización: permite que el servicio de sincronización de migración del servidor MFA se ejecute en un servidor MFA secundario en lugar de ejecutarse solo en la principal. Para configurar el servicio de sincronización de migración para que se ejecute en un servidor secundario, el script
Configure-MultiFactorAuthMigrationUtility.ps1debe ejecutarse en el servidor para registrar un certificado con el registro de la aplicación de la Utilidad de migración para el servidor MFA. El certificado se usa para autenticarse en Microsoft Graph.
El proceso de migración puede ser automático o manual.
Los pasos del proceso manual son:
Para comenzar el proceso de migración de un usuario o selección de varios usuarios, mantenga presionada la tecla Ctrl mientras selecciona cada uno de los usuarios que desea migrar.
Después de seleccionar los usuarios deseados, seleccione Migrar usuarios>Usuarios seleccionados>Aceptar.
Para migrar a todos los usuarios del grupo, seleccione Migrar usuarios>Todos los usuarios del grupo Microsoft Entra>Aceptar.
Puede migrar usuarios incluso si no se modifican. De forma predeterminada, la utilidad se establece en Solo migrar usuarios que han cambiado. Seleccione Migrar todos los usuarios para volver a migrar usuarios migrados previamente sin cambios. La migración de usuarios sin cambios puede ser útil durante las pruebas si un administrador necesita restablecer la configuración de autenticación multifactor de Microsoft Entra de un usuario y desea volver a migrarlos.
Para el proceso automático, seleccione sincronización automática en Configuracióny, a continuación, seleccione si desea que todos los usuarios se sincronicen o solo los miembros de un grupo determinado de Microsoft Entra.
En la tabla siguiente se muestra la lógica de sincronización de los distintos métodos.
| Método | Lógica |
|---|---|
| Teléfono | Si no hay ninguna extensión, actualice el teléfono MFA. Si hay una extensión, actualice el teléfono de Office. Excepción: si el método predeterminado es Mensaje de texto, quite la extensión y actualice el teléfono MFA. |
| Teléfono de copia de seguridad | Si no hay ninguna extensión, actualice teléfono alternativo. Si hay una extensión, actualice el teléfono de Office. Excepción: si teléfono y teléfono de copia de seguridad tienen una extensión, omita Backup Phone. |
| Aplicación móvil | El máximo de cinco dispositivos se migran o solo cuatro si el usuario también tiene un token OATH de hardware. Si hay varios dispositivos con el mismo nombre, migre solo el más reciente. Los dispositivos se ordenan de más reciente a más antiguo. Si los dispositivos ya existen en Microsoft Entra ID, haga coincidir la clave secreta del token OATH y actualice. - Si no hay coincidencia en la clave secreta del token OATH, coincide en el dispositivo -- Si se encuentra, cree un token OATH de software para el dispositivo del servidor MFA para permitir que el método de token OATH funcione. Las notificaciones siguen funcionando con el dispositivo de autenticación multifactor de Microsoft Entra existente. -- Si no se encuentra, cree un nuevo dispositivo. Si agregar un nuevo dispositivo supera el límite de cinco dispositivos, se omite el dispositivo. |
| Token OATH | Si los dispositivos ya existen en Microsoft Entra ID, haga coincidir la clave secreta del token OATH y actualice. - Si no se encuentra, agregue un nuevo dispositivo OATH Token de hardware. Si agregar un nuevo dispositivo supera el límite de cinco dispositivos, se omite el token OATH. |
Los métodos de MFA se actualizan en función de lo que se migró y se establece el método predeterminado. El servidor MFA realiza un seguimiento de la última marca de tiempo de migración y solo vuelve a migrar al usuario si la configuración de MFA del usuario cambia o un administrador modifica qué migrar en el cuadro de diálogo Configuración.
Durante las pruebas, se recomienda realizar primero una migración manual y probar para garantizar que un número determinado de usuarios se comporte según lo previsto. Una vez que las pruebas se realicen correctamente, active la sincronización automática para el grupo de Microsoft Entra que desea migrar. A medida que agrega usuarios a este grupo, su información se sincroniza automáticamente con el identificador de Microsoft Entra. La Utilidad de migración del servidor MFA tiene como destino un grupo de Microsoft Entra, pero ese grupo puede abarcar usuarios y grupos anidados de usuarios.
Una vez completado, una confirmación le informa de las tareas completadas:
Como se mencionó en el mensaje de confirmación, los datos migrados pueden tardar varios minutos en aparecer en objetos de usuario dentro del identificador de Microsoft Entra. Los usuarios pueden ver sus métodos migrados; para ello, vaya a aka.ms/mfasetup.
Sugerencia
Puede reducir el tiempo necesario para mostrar grupos si no necesita ver los métodos MFA de Microsoft Entra. Seleccione Ver>Métodos de Azure AD MFA para alternar la presentación de columnas de AAD predeterminado, Teléfono de AAD, Alternativa de AAD, Oficina de AAD, Dispositivos de AADy Token OATH de AAD. Cuando las columnas están ocultas, se omiten algunas llamadas api de Microsoft Graph, lo que mejora considerablemente el tiempo de carga del usuario.
Visualización de los detalles de la migración
Puede usar registros de auditoría o Log Analytics para ver los detalles de las migraciones de usuarios desde el servidor MFA a la autenticación multifactor de Microsoft Entra.
Uso de registros de auditoría
Para acceder a los registros de auditoría en el Centro de administración de Microsoft Entra para ver los detalles del servidor MFA a las migraciones de usuario de autenticación multifactor de Microsoft Entra, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
Vaya a Identidad>Supervisión y mantenimiento>Registros de auditoría. Para filtrar los registros, seleccione Agregar filtros.
Seleccione Iniciado por (actor) y, después, Aplicar.
Escriba administración de autenticación multifactor de Microsoft Entra y seleccione Aplicar.
Este filtro muestra solo los registros de la utilidad de migración del servidor MFA. Para ver los detalles de una migración de usuarios, seleccione una fila y, después, elija la pestaña Propiedades modificadas . En esta pestaña se muestran los cambios realizados en los métodos de MFA registrados y los números de teléfono.
En la tabla siguiente se muestra el método de autenticación para cada código.
Código Método 0 Teléfono móvil de voz 2 Oficina de voz 3 Móvil alternativo de voz 5 SMS 6 Notificación push de Microsoft Authenticator 7 Token de hardware o software OTP Si se migran dispositivos de usuario, hay una entrada de registro independiente.
Uso de Log Analytics
También se pueden consultar los detalles del servidor de MFA para las migraciones de usuarios de autenticación multifactor de Microsoft Entra mediante Log Analytics.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
En esta captura de pantalla se muestran los cambios para la migración de usuarios:
En esta captura de pantalla se muestran los cambios para la migración de dispositivos:
Log Analytics también se puede usar para resumir la actividad de migración de usuarios.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Validar y probar
Una vez que hayas migrado con éxito los datos de los usuarios, puedes validar la experiencia de los usuarios finales utilizando el despliegue por etapas antes de realizar el cambio de inquilino global. El siguiente proceso le permite dirigirse a grupos específicos de Microsoft Entra para la implementación gradual de MFA. El despliegue gradual indica a Microsoft Entra ID que realice MFA mediante la autenticación multifactor de Microsoft Entra para los usuarios de los grupos de destino, en lugar de enviarlos a instalaciones locales para realizar MFA. Puede validar y probar: se recomienda usar el Centro de administración de Microsoft Entra, pero si lo prefiere, también puede usar Microsoft Graph.
Habilitación de la implementación gradual
Vaya a la siguiente dirección URL: Habilitar características de despliegue por etapas: Microsoft Azure.
Cambie la autenticación multifactor de Azure a Activado y seleccione Administrar grupos.
Seleccione Agregar grupos y agregue los grupos que contienen usuarios que desea habilitar para la autenticación multifactor de Microsoft Entra. Los grupos seleccionados aparecen en la lista mostrada.
Nota
Los grupos a los que apuntas mediante el siguiente método de Microsoft Graph también aparecen en esta lista.
Habilitar el despliegue gradual mediante Microsoft Graph
Creación de featureRolloutPolicy
Dirígete a aka.ms/ge e inicia sesión en Graph Explorer mediante una cuenta de administrador de identidades híbridas en el inquilino que deseas configurar para el lanzamiento preconfigurado.
Asegúrese de que POST esté seleccionado para dirigirse al siguiente punto de conexión:
https://graph.microsoft.com/v1.0/policies/featureRolloutPoliciesEl cuerpo de la solicitud debe contener lo siguiente (cambia la directiva de lanzamiento de MFA por un nombre y una descripción para tu organización):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Realiza una operación GET con el mismo punto de conexión y anota el valor de identificador (tachado en la imagen siguiente):
Dirigirse a los grupos de Microsoft Entra que contienen los usuarios que desea probar
Crea una solicitud POST con el siguiente punto de conexión (reemplaza {ID de directiva} por el valor de identificador que copiaste del paso 1d):
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$refEl cuerpo de la solicitud debe contener lo siguiente (reemplace {ID de grupo} por el identificador de objeto del grupo al que desea dirigirse para la implementación escalonada):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }Repita los pasos a y b para cualquier otro grupo al que desee dirigirse con la implementación gradual.
Para ver la directiva actual, realice una instrucción GET con la siguiente dirección URL:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesToEl proceso anterior usa el recurso featureRolloutPolicy. La documentación pública aún no se ha actualizado con la nueva característica multifactorAuthentication, pero tiene información detallada sobre cómo interactuar con la API.
Confirma que la experiencia de MFA del usuario final. Estas son algunas cosas que se deben comprobar:
- ¿Los usuarios ven sus métodos en aka.ms/mfasetup?
- ¿Los usuarios reciben llamadas telefónicas o mensajes de texto?
- ¿Pueden autenticarse correctamente mediante los métodos anteriores?
- ¿Los usuarios reciben correctamente notificaciones de Authenticator? ¿Pueden aprobar estas notificaciones? ¿La autenticación se realiza correctamente?
- ¿Los usuarios pueden autenticarse correctamente mediante tokens OATH de hardware?
Educar a los usuarios
Asegúrese de que los usuarios saben qué esperar cuando se mueven a la autenticación multifactor de Microsoft Entra, incluidos los nuevos flujos de autenticación. También puede indicar a los usuarios que usen el portal de registro combinado de Id. de Microsoft Entra (aka.ms/mfasetup) para administrar sus métodos de autenticación en lugar del Portal de usuarios una vez completadas las migraciones. Los cambios realizados en los métodos de autenticación de Microsoft Entra ID no se propagarán de nuevo al entorno local. En una situación en la que tiene que volver al MFA Server, los cambios realizados por los usuarios en Microsoft Entra ID no estarán disponibles en el Portal de Usuarios del MFA Server.
Si usa soluciones de terceros que dependen del servidor de autenticación multifactor de Microsoft Entra para la autenticación (consulte servicios de autenticación), querrá que los usuarios sigan realizando cambios en sus métodos MFA en el Portal de usuarios. Estos cambios se sincronizan automáticamente con el identificador de Microsoft Entra. Una vez que haya migrado estas soluciones de terceros, puede trasladar a los usuarios a la página de registro combinado de Microsoft Entra ID.
Completar la migración de usuarios
Repita los pasos de migración que se encuentran en Migrar datos de usuario y secciones Validar y probar hasta que se migren todos los datos de usuario.
Migración de dependencias del servidor MFA
Con los puntos de datos recopilados en los servicios de autenticación, empieza a realizar las distintas migraciones necesarias. Una vez completado esto, considere la posibilidad de que los usuarios administren sus métodos de autenticación en el portal de registro combinado, en lugar de en el portal de usuarios en el servidor MFA.
Actualización de la configuración de federación de dominio
Una vez que haya completado las migraciones de usuario y haya movido todos los servicios de autenticación de fuera del servidor MFA, es el momento de actualizar la configuración de federación de dominio. Después de la actualización, Microsoft Entra ya no envía la solicitud MFA al servidor de federación local.
Para configurar Microsoft Entra ID para que ignore las solicitudes de MFA a su servidor de federación local, instale el SDK de PowerShell de Microsoft Graph y establezca federatedIdpMfaBehavior en rejectMfaByFederatedIdp, como se muestra en el ejemplo siguiente.
Solicitud
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Respuesta
Nota
El objeto de respuesta que se muestra aquí podría acortarse para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Los usuarios ya no son redirigidos a su servidor de federación local para la MFA, tanto si son objeto de la herramienta Staged Rollout como si no. Tenga en cuenta que esto puede tardar hasta 24 horas en surtir efecto.
Nota
La actualización de la configuración de federación de dominio puede tardar hasta 24 horas en surtir efecto.
Opcional: Deshabilitar el portal de usuarios del servidor MFA
Una vez que haya completado la migración de todos los datos de usuario, los usuarios finales pueden comenzar a usar las páginas de registro combinadas de Microsoft Entra ID para administrar los métodos de autenticación multifactor. Hay un par de maneras de evitar que los usuarios usen el portal de usuarios en el servidor MFA:
- Redirigir la dirección URL del portal de usuarios del servidor MFA a aka.ms/mfasetup
- Desactiva la casilla Permitir que los usuarios inicien sesión en la pestaña Configuración de la sección Portal de usuarios del servidor MFA para impedir que los usuarios inicien sesión en el portal por completo.
Retirar el servidor MFA
Cuando ya no necesite el servidor de autenticación multifactor de Microsoft Entra, siga las prácticas normales de desuso del servidor. No se requiere ninguna acción especial en microsoft Entra ID para indicar la retirada del servidor MFA.
Plan de reversión
Si la actualización tiene problemas, siga estos pasos para revertir:
Desinstale el servidor MFA 8.1.
Reemplace PhoneFactor.pfdata por la copia de seguridad realizada antes de actualizar.
Nota
Los cambios desde que se realizó la copia de seguridad se pierden, pero deben ser mínimos si la copia de seguridad se realizó justo antes de la actualización y la actualización no se realizó correctamente.
Ejecute el instalador para su versión anterior (por ejemplo, 8.0.x.x).
Configure Microsoft Entra ID para aceptar solicitudes de MFA en el servidor de federación local. Usa Graph PowerShell para establecer federatedIdpMfaBehavior en
enforceMfaByFederatedIdp, como se muestra en el siguiente ejemplo.Solicitud
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }El siguiente objeto de respuesta se ha acortado para mejorar la legibilidad.
Respuesta
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Establezca el Lanzamiento preconfigurado para la autenticación multifactor de Microsoft Entra en Desactivado. Los usuarios se redirigen de nuevo al servidor de federación local para MFA.