Procedure consigliate per eseguire la migrazione di applicazioni e dell’autenticazione a Microsoft Entra ID

Ora che Azure Active Directory è Microsoft Entra ID è un buon momento per eseguire la migrazione di Active Directory Federation Service (AD FS) all' autenticazione cloud (AuthN) in Microsoft Entra ID. Quando si esaminano le opzioni, consultare le risorse complete per eseguire la migrazione delle app a Microsoft Entra ID e le procedure consigliate.

Fino a quando non è possibile eseguire la migrazione di Active Directory Federation Services (AD FS) a Microsoft Entra ID, proteggere le risorse locali con Microsoft Defender per identità. È possibile trovare e correggere le vulnerabilità in modo proattivo. Usare verifiche, analisi e data Intelligence, punteggi di priorità di indagine utente e risposta automatica per le identità compromesse. La migrazione al cloud permette all’organizzazione di trarre vantaggio di un’autenticazione moderna come i metodi di autenticazione senza password.

Ecco i motivi per cui scegliere di non eseguire la migrazione di Active Directory Federation Services (AD FS):

• L'ambiente ha nomi utente flat ( ad esempio ID dipendente).
• Sono necessarie altre opzioni per i provider di autenticazione personalizzata a più fattori.
• Si usano soluzioni di autenticazione dei dispositivi di sistemi di gestione di dispositivi mobili (MDM) di terze parti, ad esempio VMware.
• Active Directory Federation Services (AD FS) è doppiamente alimentato da più cloud.
• È necessario disporre di reti air-gapped.

Eseguire la migrazione delle applicazioni

Pianificare un'implementazione a fasi della migrazione delle applicazioni e selezionare gli utenti per l'autenticazione a Microsoft Entra ID per i test. Usare il materiale sussidiario in pianificare la migrazione dell'applicazione a Microsoft Entra ID e risorse per eseguire la migrazione delle app a Microsoft Entra ID.

Per altre informazioni vedere il video seguente, Migrazione semplice delle applicazioni con Microsoft Entra ID.

Strumento di migrazione delle applicazioni

Attualmente nell’anteprima, Migrazione delle applicazioni Active Directory Federation Services (AD FS) per spostare le app Active Directory Federation Services (AD FS) in Microsoft Entra ID è una guida per gli amministratori IT per eseguire la migrazione delle applicazioni relying party Active Directory Federation Services (AD FS) da AD FS a Microsoft Entra ID. La procedura guidata della migrazione delle applicazioni Active Directory Federation Services (AD FS) offre un'esperienza unificata per identificare, valutare e configurare nuove applicazioni Microsoft Entra. Dispone di configurazione con un clic per gli URL SAML di base, del mapping delle attestazioni e delle assegnazioni utente per integrare l'applicazione con Microsoft Entra ID. È disponibile il supporto end-to-end per eseguire la migrazione di applicazioni Active Directory Federation Services (AD FS) locali con queste funzionalità:

• Per identificare l'utilizzo e l'impatto delle applicazioni, valutare le attività di accesso alle applicazioni relying party di Active Directory Federation Services (AD FS)
• Per determinare i blocchi di migrazione e le azioni necessarie per eseguire la migrazione delle applicazioni a Microsoft Entra ID, analizzare la fattibilità della migrazione di Active Directory Federation Services (AD FS) a Microsoft Entra
• Per configurare automaticamente una nuova applicazione Microsoft Entra in un'applicazione Active Directory Federation Services (AD FS), configurare nuove applicazioni Microsoft Entra con un processo di migrazione delle applicazioni con un clic

Fase 1: Individuare e definire l'ambito delle app

Durante l' Individuazione delle appincludere le app pianificate e in fase di sviluppo. Definire l'ambito delle applicazioni per usare Microsoft Entra ID per l'autenticazione al termine della migrazione.

Usare il report attività per spostare le app Active Directory Federation Services (AD FS) in Microsoft Entra ID. Questo report consente di identificare le applicazioni che possono eseguire la migrazione a Microsoft Entra ID. Il report valuta le applicazioni Active Directory Federation Services (AD FS) per la compatibilità con Microsoft Entra, verifica la presenza di problemi e fornisce materiale sussidiario per la preparazione delle singole applicazioni per la migrazione.

Usare lo Strumento di migrazione Active Directory Federation Services (AD FS) per Microsoft Entra App per raccogliere applicazioni relying party dal server AD FS e analizzare la configurazione. Da questa analisi, il report mostra quali app sono idonee per la migrazione a Microsoft Entra ID. Delle app non idonee è possibile esaminare le spiegazioni del motivo per cui non stato possibile eseguire la migrazione.

Installare Microsoft Entra Connect per gli ambienti locali con gliAgenti per l’integrità di Microsoft Entra Connect per AD FS.

Altre informazioni su Che cos'è Microsoft Entra Connect?

Fase 2: Classificare le app e pianificare il progetto pilota

La Classificazione della migrazione delle app è un esercizio importante. Dopo aver deciso l'ordine in cui si esegue la migrazione delle app, pianificare la migrazione e la transizione delle app in fasi. Includere i criteri seguenti per la classificazione delle app:

• Protocolli di autenticazione moderni, ad esempio app SaaS (Software as a Service) di terze parti nella Raccolta di applicazioni di Microsoft Entra, ma non tramite Microsoft Entra ID.
• Protocolli di autenticazione legacy per modernizzare, ad esempio app SaaS di terze parti (non inclusi, ma che è possibile aggiungere alla raccolta).
• App federate che usano Active Directory Federation Services (AD FS) e possono eseguire la migrazione a Microsoft Entra ID.
• Protocolli di autenticazione legacy NON per modernizzare. La modernizzazione può escludere i protocolli dietro il Web Application Proxy (WAP) (WinSCP) che usano il Proxy dell’applicazione di Microsoft Entra e la rete di distribuzione dell’applicazione/ i controller di distribuzione dell’applicazione che usano l’ Accesso ibrido sicuro.
• Nuove app line-of-business (LOB).
• Le app per la deprecazione possono avere funzionalità ridondanti con altri sistemi, oltre a non avere nessun proprietario o utilizzo aziendale.

Quando si scelgono le prime app per la migrazione, mantenerle semplici. I criteri possono includere app SaaS nella raccolta che supportano più connessioni di provider di identità (IDP). Sono disponibili app con accesso all'istanza di test, app con regole di attestazioni semplici e app che controllano l'accesso dei destinatari.

Fase 3: Pianificare la migrazione e il test

Gli Strumenti di migrazione e di test includono il Toolkit di migrazione delle app di Microsoft Entra per individuare, classificare ed eseguire la migrazione delle app. Fare riferimento all'elenco delle Esercitazioni sulle app SaaS e al Piano di distribuzione dell’accesso Single Sign-On (SSO) di Microsoft Entra che spiegano il processo end-to-end.

Informazioni sulProxy dell’applicazione di Microsoft Entra e sull'uso del Piano di distribuzione del proxy dell’applicazione di Microsoft Entra completo. Prendere in considerazione l’ Accesso ibrido sicuro (SHA) per proteggere le applicazioni di autenticazione legacy locali e in cloud connettendole a Microsoft Entra ID. Usare Microsoft Entra Connect per sincronizzare utenti e gruppi di Active Directory Federation Services (AD FS) con Microsoft Entra ID.

Fase 4: Pianificare la gestione e le informazioni dettagliate

Dopo la migrazione delle app, seguire le Linee guida per la gestione e le informazioni dettagliate per assicurarsi che gli utenti possano accedere alle app e gestirle in modo sicuro. Acquisire e condividere informazioni dettagliate sull'utilizzo e sull'integrità delle app.

Dall' Interfaccia di amministrazione di Microsoft Entra controllare che tutte le app usino questi metodi:

• Controllare le app con Applicazioni aziendali, Controllo o accedere alle stesse informazioni dall' API di creazione di report di Microsoft Entra per integrazione negli strumenti preferiti.
• Visualizzare le autorizzazioni dell'app con Applicazioni aziendali, Autorizzazioni per le app che usano OAuth (Open Authorization) o OpenID Connect.
• Ottenere informazioni dettagliate sull'accesso con Applicazioni aziendali, Accessi e dall' API di creazione report di Microsoft Entra.
• Visualizzare l'utilizzo dell’app dalle Cartelle di lavoro di Microsoft Entra.

Preparare l'ambiente di convalida

Gestire, risolvere i problemi e creare report su prodotti e servizi di Microsoft Identity con MSIdentityTools nella PowerShell Gallery. Monitorare l'infrastruttura Active Directory Federation Services (AD FS) con Microsoft Entra Connect Health. Creare app di test in Active Directory Federation Services (AD FS) e generare regolarmente attività utente, monitorando l'attività nell'interfaccia di amministrazione di Microsoft Entra.

Durante la sincronizzazione degli oggetti con Microsoft Entra ID, controllare le regole delle attestazioni dell’ attendibilità della relying party di Active Directory Federation Services (AD FS) per gruppi, utenti e attributi utente usati nelle regole delle attestazioni disponibili nel cloud. Verificare la sincronizzazione di contenitori e attributi.

Differenze negli scenari di migrazione delle app

Il piano di migrazione delle app richiede particolare attenzione quando l'ambiente include gli scenari seguenti. Per altre indicazioni seguire i collegamenti.

• Certificati. (certificato di firma globale di Active Directory Federation Services (AD FS)). In Microsoft Entra ID è possibile usare un certificato per ogni applicazione o un certificato per tutte le applicazioni. Distribuire le date di scadenza e configurare promemoria. Delegare la gestione dei certificati a ruoli con privilegi minimi. Esaminare le domande e le informazioni relative ai certificati creati da Microsoft Entra ID per determinare l'accesso SSO federato alle applicazioni SaaS.
• Regole delle attestazioni e mapping degli attributi di base. Per le applicazioni SaaS sono necessari solo gli attributi di base per il mapping di attestazione. Informazioni su come personalizzare le attestazioni del token SAML.
• Estrarre il nome utente dal nome dell’entità utente (UPN) Microsoft Entra ID supporta la trasformazione basata su espressione regolare - regex (correlata anche alla personalizzazione dell'attestazione del token SAML.)
• Attestazioni di gruppo. Generare attestazioni di gruppo filtrate dagli utenti membri e assegnate all'applicazione. È possibile configurare le attestazioni di gruppo per le applicazioni usando Microsoft Entra ID.
• Proxy dell’applicazione Web Pubblicare con il Proxy dell'applicazione di Microsoft Entra per connettersi in modo sicuro alle app Web locali senza VPN. Fornire accesso remoto alle app Web locali e al supporto nativo per i protocolli di autenticazione legacy.

Piano del processo di migrazione delle applicazioni

Prendere in considerazione i passaggi seguenti nel processo di migrazione dell'applicazione.

• Clonare la configurazione dell'app Active Directory Federation Services (AD FS). Configurare un'istanza di test dell'app o usare un'app fittizia in un tenant di test di Microsoft Entra. Eseguire il mapping delle impostazioni di Active Directory Federation Services (AD FS) alle configurazioni di Microsoft Entra. Pianificare un ripristino dello stato precedente. Passare l'istanza di test a Microsoft Entra ID e convalidare.
• Configurare attestazioni e identificatori. Per confermare e risolvere i problemi, simulare le app di produzione. Puntare un'istanza di test dell'app all'applicazione di test di Microsoft Entra ID. Convalidare e risolvere i problemi di accesso aggiornando la configurazione se serve.
• Preparare l'istanza di produzione per la migrazione. Aggiungere l'applicazione di produzione a Microsoft Entra ID in base ai risultati del test. Per le applicazioni che consentono più provider di identità (IDP), configurare Microsoft Entra ID come IDP aggiunto all'istanza di produzione.
• Passare all'istanza di produzione per usare Microsoft Entra ID. Per le applicazioni che consentono più IDP simultaneamente, modificare l'IDP predefinito in Microsoft Entra ID. In caso contrario, configurare Microsoft Entra ID come IDP per l'istanza di produzione. Aggiornare l'istanza di produzione per usare l'applicazione di produzione di Microsoft Entra come IDP primario.
• Eseguire la migrazione della prima app, eseguire i test di migrazione e risolvere i problemi. Fare riferimento allo stato della migrazione nei Report attività dell'applicazione Active Directory Federation Services (AD FS) che forniscono indicazioni su come risolvere potenziali problemi di migrazione.
• Eseguire la migrazione su larga scala Eseguire la migrazione di app e utenti in fasi. Usare Microsoft Entra ID per gestire le app e gli utenti migrati mentre si testa sufficientemente l'autenticazione.
• Rimuovere la federazione. Verificare che la farm di Active Directory Federation Services (AD FS) non venga più utilizzata per l'autenticazione. Usare le configurazioni relative al failback, al backup e all'esportazione.

Eseguire la migrazione dell'autenticazione

Mentre ci si prepara alla migrazione dell'autenticazione, decidere quali metodi di autenticazione sono necessari per l'organizzazione.

• La Sincronizzazione dell'hash delle password (PHS) con Microsoft Entra ID è disponibile per il failover o come autenticazione primaria dell'utente finale. Configurare il rilevamento di rischi come parte di Microsoft Entra ID Protection. Esaminare l'esercitazione identificare e correggere i rischi usando l'API Microsoft Graph e le informazioni su come implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.
• L’ Autenticazione basata su certificato (CBA) di Microsoft Entra esegue l'autenticazione direttamente in Microsoft Entra ID senza la necessità di un IDP federato. I vantaggi principali includono le funzionalità che aiutano a migliorare la sicurezza con l’autenticazione basata su certificato (CBA) anti-phishing e soddisfano i requisiti dell’ordine esecutivo (EO) 14028 per l'autenticazione a più fattori anti-phishing. Si riducono i costi e i rischi associati all'infrastruttura federativa locale e si semplifica l'esperienza di gestione in Microsoft Entra ID con controlli granulari.
• Microsoft Entra Connect: Autenticazione pass-through (PTA) usa un agente software per connettersi alle password archiviate in locale per la convalida. Gli utenti accedono alle app cloud con lo stesso nome utente e la stessa password per le risorse locali, che funzionano perfettamente con i criteri di Accesso condizionale di Microsoft Entra. Il blocco intelligente impedisce attacchi di forza bruta. Installare gli agenti di autenticazione in locale con l'infrastruttura di Microsoft Windows Server Active Directory corrente. Usare l’autenticazione pass-through (PTA), se i requisiti normativi specificano che gli hash delle password non possono essere sincronizzati con Microsoft Entra ID; altrimenti usare la sincronizzazione dell'hash delle password (PHS).
• Esperienza di accesso Single Sign-On (SSO) corrente senza Active Directory Federation Services (AD FS). L’ Accesso Single Sign-On facile offre un'esperienza di accesso Single Sign-On (SSO) da dispositivi aggiunti a un dominio nella rete aziendale (Kerberos). Funziona con la sincronizzazione dell'hash delle password (PHS), l'autenticazione pass-through (PTA) e l’autenticazione basata su certificato (CBA) e non necessita di altre infrastrutture locali. È possibile consentire agli utenti di accedere a Microsoft Entra ID con posta elettronica come ID di accesso alternativo usando le stesse credenziali dell'ambiente directory locale. Con l'autenticazione ibrida gli utenti necessitano di un set di credenziali.
• Raccomandazione: sincronizzazione dell'hash delle password (PHS) su autenticazione pass-through (PTA), autenticazione senza password in Microsoft Entra ID con Windows Hello for Business, chiavi di sicurezza FIDO2 o Microsoft Authenticator. Se si prevede di usare l' Attendibilità dei certificati ibridi di Windows Hello for Business, eseguire prima la migrazione all'attendibilità del cloud e ripetere la registrazione di tutti gli utenti.

Criteri di autenticazione e password

Insieme ai criteri dedicati per Active Directory Federation Services (AD FS) locale e Microsoft Entra ID, allineare i criteri di scadenza delle password in locale e in Microsoft Entra ID. Valutare la possibilità di implementare un criterio password combinato e verificare la presenza di password deboli in Microsoft Entra ID. Dopo aver eseguito il passaggio a un dominio gestito, si applicano entrambi i criteri di scadenza delle password.

Consentire agli utenti di reimpostare le password dimenticate con Reimpostazione della password self-service (SSPR) per ridurre i costi dell'help desk. Limitare i metodi di autenticazione basati su dispositivo. Modernizzare i criteri password in modo da non avere scadenze periodiche con la capacità di revocare quando a rischio. Bloccare le password vulnerabili e confronta le password con gli elenchi di password escluse. Abilitare la protezione password sia per Active Directory Federation Services (AD FS) locale che per il cloud.

Eseguire la migrazione delle impostazioni dei criteri legacy di Microsoft Entra ID, che controllano separatamente l'autenticazione a più fattori e la reimpostazione della password self-service (SSPR) per la gestione unificata con i Criteri dei metodi di autenticazione. Eseguire la migrazione delle impostazioni dei criteri con un processo reversibile. È possibile continuare a usare l'autenticazione a più fattori a livello di tenant e i criteri di reimpostazione della password self-service, esattamente mentre si configurano i metodi di autenticazione per utenti e gruppi.

Poiché l'accesso a Windows e altri metodi senza password richiedono una configurazione dettagliata, abilitare l'accesso con Microsoft Authenticator e le Chiavi di sicurezza FIDO2. Usare i gruppi per gestire la distribuzione e definire l'ambito degli utenti.

È possibile configurare l'accelerazione automatica dell'accesso usando l'individuazione dell'area di autenticazione principale. Informazioni su come usare l'accesso con accelerazione automatica per ignorare la schermata di immissione del nome utente e inoltrare automaticamente gli utenti agli endpoint di accesso federati. Impedire l'accelerazione automatica dell'accesso usando i criteri di individuazione dell'area di autenticazione principale per avere diversi modi per controllare come e dove gli utenti eseguono l'autenticazione.

Criteri di scadenza dell’account

L'attributo accountExpires della gestione dell’account utente non viene sincronizzato con Microsoft Entra ID. Di conseguenza, un account Active Directory scaduto in un ambiente configurato per la sincronizzazione dell'hash delle password è attivo in Microsoft Entra ID. Usare uno script di PowerShell pianificato per disabilitare gli account di Microsoft Windows Server Active Directory dopo la loro scadenza, ad esempio il cmdlet Set-ADUser. Viceversa, quando si rimuove la scadenza da un account di Microsoft Windows Server Active Directory, riattivare l'account.

Con Microsoft Entra ID è possibile evitare attacchi usando il blocco intelligente. Bloccare gli account nel cloud prima di bloccarli in locale per attenuare gli attacchi di forza bruta. Impostare un intervallo più breve per il cloud, assicurandosi che la soglia locale sia almeno due o tre volte superiore alla soglia di Microsoft Entra. Impostare una durata del blocco di Microsoft Entra più lunga della durata locale. Al termine della migrazione, configurare la protezione del blocco intelligente della Extranet (ESL) di Active Directory Federation Services (AD FS).

Pianificare la distribuzione dell'accesso condizionale

La flessibilità dei criterio di accesso condizionale richiede un'attenta pianificazione. Passare a Pianificare una distribuzione dell'accesso condizionale di Microsoft Entra per i passaggi per la pianificazione. Ecco i punti chiave da considerare:

• Bozza di Criteri di accesso condizionale con convenzioni di denominazione significative
• Usare un foglio di calcolo dei punti decisionali di progettazione con i campi seguenti:
  • Fattori di assegnazione: utente, app cloud
  • Condizioni: percorsi, tipo di dispositivo, tipo di app client, rischio di accesso
  • Controlli: blocco, autenticazione a più fattori obbligatoria, aggiunta a Microsoft Windows Server Active Directory ibrido, dispositivo conforme obbligatorio, tipo di app client approvato
• Selezionare piccoli set di utenti di test per i criteri di accesso condizionale
• Testare i criteri di accesso condizionale in modalità solo report
• Convalidare i criteri di accesso condizionale con lo strumento dei criteri di simulazione
• Usare i Modelli di accesso condizionale, soprattutto se l'organizzazione è nuova all’accesso condizionale

Criteri di accesso condizionale

Al completamento del primo fattore di autenticazione, applicare i criteri di accesso condizionale. L'accesso condizionale non è una difesa cruciale in scenari come negli attacchi Denial of Service (DoS). Tuttavia, l'accesso condizionale può usare i segnali di questi eventi, ad esempio il rischio di accesso e la posizione di una richiesta per determinare l'accesso. Il flusso dei criteri di accesso condizionale analizza una sessione e le relative condizioni, quindi inserisce i risultati nel motore dei criteri centrale.

Con l’accesso condizionale limitare l'accesso alle app client che supportano l'autenticazione moderna approvate con i criteri di protezione app di Intune Per le app client meno recenti che non supportano i criteri di protezione delle app, limitare l'accesso alle app client approvate.

Proteggere automaticamente le app in base agli attributi. Per modificare gli attributi di sicurezza dei clienti, usare il filtro dinamico delle applicazioni cloud per aggiungere e rimuovere l'ambito del criterio di applicazione. Usare attributi di sicurezza personalizzati per identificare le applicazioni proprietarie di Microsoft che non vengono visualizzate nella selezione dell’applicazione di Accesso condizionale.

Usare il controllo livello di autenticazione dell’accesso condizionale per specificare quale combinazione di metodi di autenticazione accedono a una risorsa. Ad esempio, rendere disponibili metodi di autenticazione anti-phishing per accedere a una risorsa sensibile.

Valutare i controlli personalizzati in Accesso condizionale. Reindirizzamento degli utenti a un servizio compatibile per soddisfare i requisiti di autenticazione esterni a Microsoft Entra ID. Microsoft Entra ID verifica la risposta e, se l'utente è stato autenticato o convalidato, prosegue nel flusso di accesso condizionale. Come accennato in Imminenti modifiche ai controlli personalizzati, le funzionalità di autenticazione fornite dai partner funzionano perfettamente con l'amministratore di Microsoft Entra e le esperienze degli utenti finali.

Soluzioni di autenticazione personalizzata a più fattori

Se si usano provider di autenticazione personalizzata a più fattori, si consiglia di eseguire la migrazione dal server Multi-Factor Authentication all'autenticazione a più fattori di Microsoft Entra. Se necessario, usare l' Utilità di migrazione del server Multi-Factor Authentication per eseguire la migrazione all'autenticazione a più fattori. Personalizzare l'esperienza utente finale impostando la soglia di blocco dell'account, l'avviso di illecito e notifica.

Informazioni su come eseguire la migrazione all'autenticazione a più fattori e all'autenticazione utente di Microsoft Entra. Spostare tutte le applicazioni, il servizio di autenticazione a più fattori e l'autenticazione utente in Microsoft Entra ID.

È possibile abilitare l'autenticazione a più fattori di Microsoft Entra e imparare a creare criteri di accesso condizionale per gruppi di utenti, configurare le condizioni del criterio che richiede l'autenticazione a più fattori e testare la configurazione dell'utente e l'uso dell'autenticazione a più fattori.

L'estensione NPS (Server dei criteri di rete) per l’autenticazione a più fattori aggiunge funzionalità di autenticazione a più fattori basate sul cloud all'infrastruttura di autenticazione usando i server. Se si usa l’ Autenticazione a più fattori Microsoft Entra con l’estensione NPS, determinare su cosa eseguire la migrazione ai protocolli moderni, come SAML (Security Assertion Markup Language) e OAuth2. Valutare il proxy dell'applicazione di Microsoft Entra per l'accesso remoto e usare l’ Accesso ibrido sicuro (SHA) per proteggere le app legacy con Microsoft Entra ID.

Monitorare gli accessi

Usare Connect Health per integrare gli accessi ad Active Directory Federation Services (AD FS) per correlare più ID evento in Active Directory Federation Services (AD FS), a seconda della versione del server,e per informazioni sui dettagli della richiesta e dell'errore. Il Report degli accessi di Microsoft Entra include informazioni su quando utenti, applicazioni e risorse gestite accedono a Microsoft Entra ID e accedono alle risorse. Queste informazioni sono correlate allo schema del report di accesso di Microsoft Entra e vengono visualizzate nell'esperienza utente del report di accesso di Microsoft Entra. Insieme al report un flusso di Log Analytics fornisce dati di Active Directory Federation Services (AD FS). Usare e modificare il modello di cartella di lavoro di monitoraggio di Azure per l'analisi dello scenario. Tra gli esempi sono inclusi i blocchi dell'account Active Directory Federation Services (AD FS), i tentativi password non validi e l'aumento dei tentativi di accesso imprevisti.

Microsoft Entra registra tutti gli accessi in un tenant di Azure che include app e risorse interne. La revisione degli errori di accesso e dei modelli fornisce informazioni dettagliate sul modo in cui gli utenti accedono ad applicazioni e servizi. I log di accesso in Microsoft Entra ID sono log attività utili per l'analisi. Configurare i log con conservazione dei dati fino a 30 giorni, a seconda della licenza, ed esportarli in Monitoraggio di Azure, Sentinel, Splunk e altri sistemi di informazioni di sicurezza e gestione degli eventi (SIEM)

Attestazione di presenza all'interno della rete aziendale

Indipendentemente da dove provengono le richieste o a quali risorse accedono, il modello Zero Trust ci insegna a "non fidarsi mai e a verificare sempre". Proteggere tutte le posizioni come se fossero esterne alla rete aziendale. Dichiarare i percorsi all’interno delle reti come percorsi attendibili per ridurre i falsi positivi di protezione delle identità. Applicare l'autenticazione a più fattori per tutti gli utenti e stabilire criteri di accesso condizionale basati su dispositivo.

Eseguire una query sui log di accesso per individuare gli utenti che si connettono dall'interno della rete aziendale, ma non sono aggiunti o conformi a Microsoft Entra ibrido. Considerare gli utenti su dispositivi conformi e l'uso di browser non supportati, ad esempio Firefox o Chrome senza l'estensione. Invece, usare il dominio computer e lo stato di conformità.

Test e cutover a fasi della migrazione dell'autenticazione

Per i test usare l’ Autenticazione cloud di Microsoft Entra Connect con l'implementazione a fasi per controllare l'autenticazione utente di test con i gruppi. Testare in modo selettivo i gruppi di utenti con funzionalità di autenticazione cloud come l’ Autenticazione a più fattori di Microsoft Entra, l' Accesso condizionale e Microsoft Entra ID Protection. Tuttavia, si consiglia di non usare l'implementazione a fasi per le migrazioni incrementali.

Per completare la migrazione all'autenticazione cloud usare l'implementazione a fasi per testare i nuovi metodi di accesso. Convertire i domini con autenticazione federata in gestita. Iniziare con un dominio di test o con il dominio con il minor numero di utenti.

Pianificare il cutover del dominio fuori dall’orario di ufficio, in caso fosse necessario un ripristino dello stato precedente. Per pianificare il ripristino dello stato precedente usare le impostazioni di federazione correnti. Vedere la guida alla progettazione e distribuzione della federazione.

Includere la conversione di domini gestiti in domini federati nel processo di ripristino dello stato precedente. Usare il cmdlet New-MgDomainFederationConfiguration. Se necessario, configurare altre regole attestazioni. Per garantire che il processo venga completato, ignorare l’implementazione a fasi del ripristino dello stato precedente per 24-48 ore dopo il cutover. Rimuovere utenti e gruppi dall'implementazione a fasi e quindi disattivarla.

Dopo il cutover, ogni 30 giorni, eseguire il ripristino dello stato precedente della chiave per l’ accesso Single Sign-On (SSO) facile:

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Rimuovere le autorizzazioni di Active Directory Federation Services (AD FS)

Monitorare l'attività di Active Directory Federation Services (AD FS) in Analisi di utilizzo di Connect Health per Active Directory Federation Services (AD FS). Prima abilitare il controllo per Active Directory Federation Services (AD FS). Prima di rimuovere le autorizzazioni della farm di Active Directory Federation Services (AD FS), assicurarsi che non sia presente alcuna attività di Active Directory Federation Services (AD FS). Usare la Guida alla rimozione delle autorizzazioni di Active Directory Federation Services (AD FS) e le Informazioni di riferimento sulla rimozione delle autorizzazioni di Active Directory Federation Services (AD FS). Ecco un riepilogo dei passaggi alla rimozione delle chiavi.

1. Eseguire un backup finale prima di rimuovere le autorizzazioni dei server Active Directory Federation Services (AD FS).
2. Rimuovere le voci di Active Directory Federation Services (AD FS) dai servizi di bilanciamento del carico interni ed esterni.
3. Eliminare le voci DNS (Domain Name Server) corrispondenti ai nomi del cluster di server Active Directory Federation Services (AD FS).
4. Nel server Active Directory Federation Services (AD FS) primario eseguire Get-ADFSProperties e cercare CertificateSharingContainer.

   Nota

   Eliminare il nome di dominio (DN) alla fine dell'installazione, dopo alcuni riavvii e quando non è più disponibile.

5. Eliminare il database di configurazione di Active Directory Federation Services (AD FS), se usa un'istanza di database SQL Server come archivio.
6. Disinstallare i server WAP.
7. Disinstallare i server Active Directory Federation Services (AD FS)
8. Eliminare i certificati SSL (Secure Sockets Layer) di Active Directory Federation Services (AD FS) da ogni archiviazione server.
9. Ricreare l'immagine dei server Active Directory Federation Services (AD FS) con formattazione completa del disco.
10. Eliminare l'account Active Directory Federation Services (AD FS).
11. Usare Active Directory Service Interfaces (ADSI) Edit per rimuovere il contenuto del DN CertificateSharingContainer.

Passaggi successivi

• Eseguire la migrazione dalla federazione all'autenticazione cloud in Microsoft Entra ID spiega come distribuire l'autenticazione utente cloud con la sincronizzazione dell'hash delle password (PHS) di Microsoft Entra o l'autenticazione pass-through (PTA)
• Le Risorse per eseguire la migrazione delle app a Microsoft Entra ID consentono di eseguire la migrazione dell'accesso e dell'autenticazione dell'applicazione a Microsoft Entra ID
• Pianificare la migrazione dell'applicazione a Microsoft Entra ID descrive i vantaggi d i Microsoft Entra ID e come pianificare la migrazione dell'autenticazione dell'applicazione
• Usare la documentazione di Microsoft Entra Connect Health con Active Directory Federation Services (AD FS) sul monitoraggio dell'infrastruttura Active Directory Federation Services (AD FS) con Microsoft Entra Connect Health
• Gestire i metodi di autenticazione dispone di metodi di autenticazione che supportano scenari di accesso
• Pianificare la distribuzione dell'accesso condizionale spiega come usare l'accesso condizionale per automatizzare le decisioni e applicare i criteri di accesso dell'organizzazione per le risorse
• Microsoft Entra Connect: Autenticazione cloud tramite implementazione a fasi descrive come testare in modo selettivo gruppi di utenti con funzionalità di autenticazione cloud prima di eseguire il cutover dei domini
• La Guida alla rimozione delle autorizzazioni di Active Directory Federation Services (AD FS) offre raccomandazioni sulla rimozione delle autorizzazioni