Guida alla disattivazione di Active Directory Federation Services (AD FS)

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Microsoft Entra ID offre una semplice esperienza di accesso basata sul cloud per tutte le risorse e le app con autenticazione avanzata e criteri di accesso adattivi basati sul rischio per concedere l'accesso alle risorse riducendo i costi operativi di gestione e gestione di un ambiente AD FS e aumentando l'efficienza IT.

Per ulteriori informazioni su perché dovresti eseguire l'aggiornamento da AD FS a Microsoft Entra ID, visita passaggio da AD FS a Microsoft Entra ID. Consulta la migrazione da autenticazione federativa ad autenticazione cloud per capire come eseguire l'aggiornamento da AD FS.

Questo documento fornisce i passaggi consigliati per la disattivazione dei server AD FS.

Prerequisiti per il decommissionamento dei server AD FS

Prima di iniziare a disattivare i server AD FS, assicurarsi che gli elementi seguenti siano stati completati. Per ulteriori informazioni, vedere migrare dalla federazione all'autenticazione cloud.

1. Installare Microsoft Entra Connect Health per fornire un monitoraggio affidabile dell'infrastruttura di gestione delle identità locale.

2. Completare il lavoro preparatorio per il Single Sign-On (SSO).

3. Eseguire la migrazione dell'autenticazione utente a Microsoft Entra ID. Con l'autenticazione cloud abilitata, Microsoft Entra ID è in grado di gestire in modo sicuro il processo di accesso degli utenti. Microsoft Entra ID offre tre opzioni per l'autenticazione cloud sicura degli utenti:

   • phs (Microsoft Entra Password Hash Synchronization): consente agli utenti di accedere alle applicazioni locali e basate sul cloud usando le stesse password. Microsoft Entra Connect sincronizza un hash di un hash della password di un utente da un'istanza di Active Directory locale a un'istanza di Microsoft Entra basata sul cloud. I due livelli di hashing assicurano che le password non vengano mai esposte o trasmesse ai sistemi cloud.
   • CBA (Certificate Based Authentication) di Microsoft Entra: consente di adottare un metodo di autenticazione resistente al phishing e autenticare gli utenti con un certificato X.509 rispetto all'infrastruttura a chiave pubblica (PKI).
   • Autenticazione pass-through di Microsoft Entra (PTA): consente ai tuoi utenti di accedere sia alle applicazioni locali che a quelle basate sul cloud utilizzando le stesse password. Installa un agente in Active Directory locale e convalida le password degli utenti direttamente in Active Directory locale.

   È possibile provare l'autenticazione cloud per gli utenti usando rollout graduale. Consente di testare in modo selettivo gruppi di utenti con le funzionalità di autenticazione cloud indicate in precedenza.

   Nota

   • PHS & CBA sono le opzioni preferite per l'autenticazione gestita dal cloud. Il PTA deve essere usato solo nei casi in cui sono previsti requisiti normativi per non sincronizzare le informazioni sulle password nel cloud.
   • L'autenticazione utente e la migrazione delle app possono essere eseguite in qualsiasi ordine, ma è consigliabile completare prima la migrazione dell'autenticazione utente.
   • Assicurarsi di valutare i scenari supportati e non supportati per l'implementazione a fasi.

4. Eseguire la migrazione di tutte le applicazioni che attualmente usano AD FS per l'autenticazione a Microsoft Entra ID, perché offre un singolo piano di controllo per la gestione delle identità e degli accessi a Microsoft Entra ID. Assicurarsi anche di eseguire la migrazione delle applicazioni di Office 365 e dei dispositivi aggiunti a Microsoft Entra ID.

   • Migration Assistant può essere usato per la migrazione di applicazioni da AD FS a Microsoft Entra ID.
   • Se non si trova l'applicazione SaaS corretta nella raccolta di app, possono essere richieste da https://aka.ms/AzureADAppRequest.

5. Assicurarsi di eseguire Microsoft Entra Connect Health per almeno una settimana per osservare l'utilizzo delle app in Microsoft Entra ID. Dovrebbe anche essere possibile visualizzare i log di accesso utente in Microsoft Entra ID.

Procedura per dismettere i server AD FS

Questa sezione ti fornisce il processo passo dopo passo per disattivare i tuoi server AD FS.

Prima di raggiungere questo punto, è necessario verificare che non esistano parti affidabili (trust del partner di risposta) che abbiano traffico ancora presente nei server AD FS.

Prima di iniziare, controllare i registri eventi di AD FS e/o Microsoft Entra Connect Health per eventuali errori di accesso o esito positivo, in quanto ciò significa che questi server sono ancora in uso per qualcosa. In caso di successi o fallimenti dell'accesso, controllare come migrare le tue app da AD FS o trasferire l'autenticazione a Microsoft Entra ID.

Dopo aver verificato quanto sopra, è possibile eseguire i passaggi seguenti (presupponendo che i server AD FS non vengano usati per altri elementi):

Nota

Dopo aver spostato l'autenticazione in Microsoft Entra ID, testare l'ambiente per almeno una settimana per verificare che l'autenticazione cloud sia in esecuzione senza problemi.

1. Considerare l'esecuzione di un backup finale prima di dismettere i server AD FS.
2. Rimuovere tutte le voci di AD FS da uno dei servizi di bilanciamento del carico (interni e esterni) configurati nell'ambiente.
3. Eliminare tutte le voci DNS corrispondenti dei rispettivi nomi di farm per i server AD FS nell'ambiente in uso.
4. Sul server primario AD FS, eseguire Get-ADFSProperties e cercare CertificateSharingContainer. Tenere presente questo DN, perché sarà necessario eliminarlo alla fine dell'installazione (dopo alcuni riavvii e quando non è più disponibile)
5. Se il database di configurazione di AD FS usa un'istanza di database di SQL Server come archivio, assicurarsi di eliminare il database prima di disinstallare i server AD FS.
6. Disinstallare i server WAP (proxy).
   • Accedere a ogni server WAP, aprire la Console di gestione accesso remoto e cercare le applicazioni Web pubblicate.
   • Rimuovere qualsiasi elemento correlato ai server AD FS che non vengono più usati.
   • Quando tutte le applicazioni Web pubblicate vengono rimosse, disinstallare WAP con il comando seguente Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
7. Disinstallare i server AD FS.
   • A partire dai nodi secondari, disinstallare AD FS utilizzando il comando Uninstall-WindowsFeature ADFS-Federation, Windows-Internal-Database. Dopo di ciò, eseguire il comando C:\Windows\WID\data\adfs* per eliminare tutti i file di database.
8. Eliminare i certificati SSL (Secure Socket Layer) di AD FS da ogni archiviazione del server.
9. Ricrea l'immagine dei server AD FS con formattazione completa del disco.
10. È ora possibile eliminare in modo sicuro l'account AD FS.
11. Rimuovere il contenuto del CertificateSharingContainer DN usando ADSI Edit dopo la disinstallazione.

Passaggi successivi

• AD FS a Microsoft Entra FAQ