Delen via


MFA servermigratie

In dit onderwerp wordt beschreven hoe u MFA-instellingen migreert voor Microsoft Entra-gebruikers van on-premises Azure MFA-server naar Microsoft Entra-meervoudige verificatie.

Overzicht van de oplossing

Het hulpprogramma voor migratie van MFA-servers helpt bij het synchroniseren van meervoudige verificatiegegevens die zijn opgeslagen in de on-premises Azure MFA-server, rechtstreeks naar Microsoft Entra multifactor-verificatie. Nadat de verificatiegegevens zijn gemigreerd naar Microsoft Entra ID, kunnen gebruikers MFA in de cloud naadloos uitvoeren zonder dat ze zich opnieuw hoeven te registreren of verificatiemethoden te bevestigen. Beheer s kunnen het hulpprogramma voor migratie van MFA-servers gebruiken om individuele gebruikers of groepen gebruikers te targeten voor het testen en beheren van de implementatie zonder dat u wijzigingen in de hele tenant hoeft aan te brengen.

Video: Het hulpprogramma voor migratie van MFA-servers gebruiken

Bekijk onze video voor een overzicht van het MFA Server Migration Utility en hoe het werkt.

Beperkingen en vereisten

  • Voor het MFA-servermigratiehulpprogramma moet een nieuwe build van de MFA-serveroplossing worden geïnstalleerd op uw primaire MFA-server. De build voert updates uit voor het MFA Server-gegevensbestand en bevat het nieuwe MFA-servermigratiehulpprogramma. U hoeft de WebSDK- of gebruikersportal niet bij te werken. Als u de update installeert, wordt de migratie niet automatisch gestart.

    Notitie

    Het hulpprogramma voor migratie van MFA-servers kan worden uitgevoerd op een secundaire MFA-server. Raadpleeg een secundaire MFA-server uitvoeren (optioneel) voor meer informatie.

  • Het MFA Server Migration Utility kopieert de gegevens uit het databasebestand naar de gebruikersobjecten in Microsoft Entra ID. Tijdens de migratie kunnen gebruikers worden gericht op meervoudige verificatie van Microsoft Entra voor testdoeleinden met behulp van gefaseerde implementatie. Met gefaseerde migratie kunt u testen zonder wijzigingen aan te brengen in de federatie-instellingen van uw domein. Zodra de migraties zijn voltooid, moet u de migratie voltooien door wijzigingen aan te brengen in de federatie-instellingen van uw domein.

  • AD FS met Windows Server 2016 of hoger is vereist om MFA-verificatie te bieden op ad FS relying party's, niet inclusief Microsoft Entra ID en Office 365.

  • Controleer uw AD FS-toegangsbeheerbeleid en zorg ervoor dat geen MFA on-premises moet worden uitgevoerd als onderdeel van het verificatieproces.

  • Gefaseerde implementatie kan zich richten op maximaal 500.000 gebruikers (10 groepen met een maximum van 50.000 gebruikers).

Migratiehandleiding

Fase Stappen
Preparaten Afhankelijkheden van De Azure Multi-Factor Authentication-server identificeren
Back-up maken van azure Multi-Factor Authentication-servergegevensbestand
MFA Server-update installeren
Hulpprogramma voor migratie van MFA-server configureren
Migraties Gebruikersgegevens migreren
Valideren en testen
Gefaseerde implementatie
Gebruikers informeren
Gebruikersmigratie voltooien
Afwerken MFA-serverafhankelijkheden migreren
Domeinfederatie-instellingen bijwerken
MFA-servergebruikersportal uitschakelen
MFA-server buiten gebruik stellen

Een migratie van een MFA-server omvat over het algemeen de stappen in het volgende proces:

Diagram van MFA-servermigratiefasen.

Enkele belangrijke punten:

Fase 1 moet worden herhaald wanneer u testgebruikers toevoegt.

  • Het migratieprogramma maakt gebruik van Microsoft Entra-groepen voor het bepalen van de gebruikers waarvoor verificatiegegevens moeten worden gesynchroniseerd tussen MFA-server en Microsoft Entra-meervoudige verificatie. Nadat gebruikersgegevens zijn gesynchroniseerd, is die gebruiker klaar om meervoudige verificatie van Microsoft Entra te gebruiken.
  • Met gefaseerde implementatie kunt u gebruikers omleiden naar Meervoudige Verificatie van Microsoft Entra, ook met behulp van Microsoft Entra-groepen. Hoewel u zeker dezelfde groepen voor beide hulpprogramma's kunt gebruiken, raden we u aan om te voorkomen dat gebruikers kunnen worden omgeleid naar Meervoudige Verificatie van Microsoft Entra voordat het hulpprogramma hun gegevens heeft gesynchroniseerd. We raden u aan Microsoft Entra-groepen in te stellen voor het synchroniseren van verificatiegegevens door het MFA Server Migration Utility en een andere set groepen voor gefaseerde implementatie om gerichte gebruikers naar Microsoft Entra-verificatie te leiden in plaats van on-premises.

Fase 2 moet worden herhaald wanneer u uw gebruikersbestand migreert. Aan het einde van fase 2 moet uw volledige gebruikersbestand gebruikmaken van Meervoudige Verificatie van Microsoft Entra voor alle workloads die zijn gefedereerd met Microsoft Entra-id.

Tijdens de vorige fasen kunt u gebruikers verwijderen uit de gefaseerde implementatiemappen om ze buiten het bereik van Microsoft Entra-verificatie te halen en ze terug te sturen naar uw on-premises Azure MFA-server voor alle MFA-aanvragen die afkomstig zijn van Microsoft Entra-id.

Fase 3 vereist het verplaatsen van alle clients die worden geverifieerd bij de on-premises MFA-server (VPN's, wachtwoordbeheerders, enzovoort) naar Microsoft Entra-federatie via SAML/OAUTH. Als moderne verificatiestandaarden niet worden ondersteund, moet u NPS-server(s) opstaan met de Multifactor Authentication-extensie van Microsoft Entra geïnstalleerd. Zodra afhankelijkheden zijn gemigreerd, mogen gebruikers de gebruikersportal op de MFA-server niet meer gebruiken, maar moeten ze hun verificatiemethoden in Microsoft Entra ID (aka.ms/mfasetup) beheren. Zodra gebruikers hun verificatiegegevens in Microsoft Entra ID gaan beheren, worden deze methoden niet meer gesynchroniseerd naar de MFA-server. Als u terugkeert naar de on-premises MFA-server nadat gebruikers hun verificatiemethoden in Microsoft Entra ID hebben gewijzigd, gaan deze wijzigingen verloren. Nadat gebruikersmigraties zijn voltooid, wijzigt u de federatie-instelling van het federatieve domein federatedIdpMfaBehavior . De wijziging vertelt Microsoft Entra ID dat MFA niet langer on-premises wordt uitgevoerd en dat alle MFA-aanvragen met Meervoudige Verificatie van Microsoft Entra worden uitgevoerd, ongeacht het groepslidmaatschap.

In de volgende secties worden de migratiestappen uitgebreider beschreven.

Afhankelijkheden van De Azure Multi-Factor Authentication-server identificeren

We hebben hard gewerkt om ervoor te zorgen dat u overstapt op onze cloudgebaseerde Microsoft Entra-oplossing voor meervoudige verificatie uw beveiligingspostuur behoudt en zelfs verbetert. Er zijn drie algemene categorieën die moeten worden gebruikt om afhankelijkheden te groeperen:

Om uw migratie te helpen, hebben we veel gebruikte MFA-serverfuncties vergeleken met het functionele equivalent in Microsoft Entra-meervoudige verificatie voor elke categorie.

MFA-methoden

Open de MFA-server en klik op Bedrijf Instellingen:

Schermopname van Company Instellingen.

MFA-server Meervoudige verificatie van Microsoft Entra
Tabblad General
Sectie Standaardinstellingen voor gebruikers
Telefoon aanroepen (standaard) Geen actie vereist
Sms-bericht (OTP)* Geen actie vereist
Mobiele app (Standard) Geen actie vereist
Telefoon bellen (pincode)* Voice OTP inschakelen
Sms-bericht (OTP + pincode)** Geen actie vereist
Mobiele app (pincode)* Nummerkoppeling inschakelen
Telefoon call/text message/mobile app/OATH-tokentaal Taalinstellingen worden automatisch toegepast op een gebruiker op basis van de landinstellingen in hun browser
Sectie Standaardpincode Niet van toepassing; bijgewerkte methoden bekijken in de vorige schermafbeelding
Tabblad Gebruikersnaamomzetting Niet van toepassing; gebruikersnaamomzetting is niet vereist voor meervoudige verificatie van Microsoft Entra
Tabblad Tekstbericht Niet van toepassing; Meervoudige verificatie van Microsoft Entra maakt gebruik van een standaardbericht voor sms-berichten
Tabblad OATH-token Niet van toepassing; Meervoudige verificatie van Microsoft Entra maakt gebruik van een standaardbericht voor OATH-tokens
Rapporten Activiteitenrapporten van Microsoft Entra-verificatiemethoden

*Wanneer een pincode wordt gebruikt om functionaliteit voor bewijs van aanwezigheid te bieden, wordt het functionele equivalent hierboven gegeven. Pincodes die niet cryptografisch zijn gekoppeld aan een apparaat, beschermen niet voldoende tegen scenario's waarbij een apparaat is aangetast. Als u zich wilt beschermen tegen deze scenario's, waaronder simwisselaanvallen, verplaatst u gebruikers naar veiligere methoden volgens aanbevolen procedures voor Microsoft-verificatiemethoden.

**De standaard text MFA-ervaring in Meervoudige Verificatie van Microsoft Entra verzendt gebruikers een code, die ze moeten invoeren in het aanmeldingsvenster als onderdeel van verificatie. De vereiste om de code te roundtripen biedt proof-of-presence-functionaliteit.

Gebruikersportal

Open de MFA-server en klik op De gebruikersportal:

Schermopname van de gebruikersportal.

MFA-server Meervoudige verificatie van Microsoft Entra
tabblad Instellingen
URL van gebruikersportal aka.ms/mfasetup
Registreren van gebruikers toestaan Gecombineerde registratie van beveiligingsgegevens bekijken
- Vragen om een back-uptelefoon Zie MFA-service-instellingen
- Vragen om een OATH-token van derden Zie MFA-service-instellingen
Gebruikers toestaan een eenmalige bypass te starten Microsoft Entra ID TAP-functionaliteit weergeven
Toestaan dat gebruikers de methode selecteren Zie MFA-service-instellingen
- Telefoon gesprek Raadpleeg Telefoon oproepdocumentatie
- Sms-bericht Zie MFA-service-instellingen
- Mobiele app Zie MFA-service-instellingen
- OATH-token Raadpleeg de documentatie voor het OATH-token
Toestaan dat gebruikers de taal selecteren Taalinstellingen worden automatisch toegepast op een gebruiker op basis van de landinstellingen in hun browser
Toestaan dat gebruikers de mobiele app activeren Zie MFA-service-instellingen
- Apparaatlimiet Microsoft Entra ID beperkt gebruikers tot vijf cumulatieve apparaten (mobiele app-exemplaren + hardware OATH-token + software-OATH-token) per gebruiker
Beveiligingsvragen gebruiken als terugvaloptie Met Microsoft Entra-id kunnen gebruikers een terugvalmethode kiezen op het moment van verificatie als de gekozen verificatiemethode mislukt
- Vragen om te beantwoorden Beveiligingsvragen in Microsoft Entra-id kunnen alleen worden gebruikt voor SSPR. Zie meer informatie over aangepaste beveiligingsvragen van Microsoft Entra
Toestaan dat gebruikers OATH-token van derden koppelen Raadpleeg de documentatie voor het OATH-token
OATH-token gebruiken als terugvaloptie Raadpleeg de documentatie voor het OATH-token
Sessietime-out
Tabblad Beveiligingsvragen Beveiligingsvragen in de MFA-server zijn gebruikt om toegang te krijgen tot de gebruikersportal. Meervoudige verificatie van Microsoft Entra ondersteunt alleen beveiligingsvragen voor selfservice voor wachtwoordherstel. Raadpleeg de documentatie over beveiligingsvragen.
Tabblad Geslaagde sessies Alle registratiestromen voor verificatiemethoden worden beheerd door Microsoft Entra-id en vereisen geen configuratie
Vertrouwde IP-adressen Vertrouwde IP-adressen van Microsoft Entra ID

Alle MFA-methoden die beschikbaar zijn in de MFA-server, moeten zijn ingeschakeld in Microsoft Entra-meervoudige verificatie met behulp van de MFA-service-instellingen. Gebruikers kunnen hun zojuist gemigreerde MFA-methoden niet proberen, tenzij ze zijn ingeschakeld.

Verificatieservices

Azure MFA Server kan MFA-functionaliteit bieden voor oplossingen van derden die RADIUS of LDAP gebruiken door te fungeren als een verificatieproxy. Als u RADIUS- of LDAP-afhankelijkheden wilt detecteren, klikt u op RADIUS-verificatie en LDAP-verificatieopties in de MFA-server. Bepaal voor elk van deze afhankelijkheden of deze derden moderne verificatie ondersteunen. Zo ja, overweeg dan rechtstreeks federatie met Microsoft Entra-id.

Voor RADIUS-implementaties die niet kunnen worden bijgewerkt, moet u een NPS-server implementeren en de NPS-extensie voor meervoudige verificatie van Microsoft Entra installeren.

Voor LDAP-implementaties die niet kunnen worden bijgewerkt of verplaatst naar RADIUS, moet u bepalen of Microsoft Entra Domain Services kan worden gebruikt. In de meeste gevallen is LDAP geïmplementeerd ter ondersteuning van inline wachtwoordwijzigingen voor eindgebruikers. Zodra ze zijn gemigreerd, kunnen eindgebruikers hun wachtwoorden beheren met selfservice voor wachtwoordherstel in Microsoft Entra-id.

Als u de MFA-serververificatieprovider in AD FS 2.0 hebt ingeschakeld voor vertrouwensrelaties van relying party's, met uitzondering van de vertrouwensrelatie van de Relying Party van Office 365, moet u upgraden naar AD FS 3.0 of die relying party's rechtstreeks federeren naar Microsoft Entra-id als ze moderne verificatiemethoden ondersteunen. Bepaal het beste actieplan voor elk van de afhankelijkheden.

Back-up maken van azure Multi-Factor Authentication-servergegevensbestand

Maak een back-up van het MFA-servergegevensbestand op %programfiles%\Multi-Factor Authentication-server\Data\Telefoon Factor.pfdata (standaardlocatie) op uw primaire MFA-server. Zorg ervoor dat u een kopie van het installatieprogramma voor uw momenteel geïnstalleerde versie hebt voor het geval u terug moet draaien. Als u geen kopie meer hebt, neemt u contact op met de klantenservice.

Afhankelijk van gebruikersactiviteit kan het gegevensbestand snel verouderd raken. Wijzigingen die zijn aangebracht in de MFA-server of wijzigingen van eindgebruikers die via de portal zijn aangebracht nadat de back-up is gemaakt, worden niet vastgelegd. Als u terugdraait, worden eventuele wijzigingen die na dit punt zijn aangebracht, niet hersteld.

MFA Server-update installeren

Voer het nieuwe installatieprogramma uit op de primaire MFA-server. Voordat u een upgrade uitvoert van een server, verwijdert u deze uit taakverdeling of verkeer delen met andere MFA-servers. U hoeft de huidige MFA-server niet te verwijderen voordat u het installatieprogramma uitvoert. Het installatieprogramma voert een in-place upgrade uit met behulp van het huidige installatiepad (bijvoorbeeld C:\Program Files\Multi-Factor Authentication-server). Als u wordt gevraagd om een Herdistribueerbaar updatepakket voor Microsoft Visual C++ 2015 te installeren, accepteert u de prompt. Zowel de x86- als x64-versies van het pakket worden geïnstalleerd. Het is niet vereist om updates te installeren voor de gebruikersportal, web-SDK of AD FS-adapter.

Notitie

Nadat u het installatieprogramma op uw primaire server hebt uitgevoerd, kunnen secundaire servers beginnen met het registreren van niet-verwerkte SB-vermeldingen . Dit komt door schemawijzigingen die zijn aangebracht op de primaire server die niet worden herkend door secundaire servers. Deze fouten worden verwacht. In omgevingen met 10.000 gebruikers of meer kan de hoeveelheid logboekvermeldingen aanzienlijk toenemen. U kunt dit probleem oplossen door de bestandsgrootte van uw MFA-serverlogboeken te vergroten of uw secundaire servers te upgraden.

Het hulpprogramma voor migratie van MFA-servers configureren

Nadat u de MFA-serverupdate hebt geïnstalleerd, opent u een PowerShell-opdrachtprompt met verhoogde bevoegdheid: beweeg de muisaanwijzer over het PowerShell-pictogram, klik met de rechtermuisknop en klik op Uitvoeren als Beheer istrator. Voer het script .\Configure-MultiFactorAuthMigrationUtility.ps1 uit dat is gevonden in de installatiemap van de MFA-server (C:\Program Files\Multi-Factor Authentication-server standaard).

Voor dit script moet u referenties opgeven voor een toepassings-Beheer istrator in uw Microsoft Entra-tenant. Het script maakt vervolgens een nieuwe MFA Server Migration Utility-toepassing in Microsoft Entra-id, die wordt gebruikt voor het schrijven van verificatiemethoden voor gebruikers naar elk Microsoft Entra-gebruikersobject.

Voor overheidscloudklanten die migraties willen uitvoeren, vervangt u de vermeldingen '.com' in het script door '.us'. Dit script schrijft vervolgens de registervermeldingen HKLM:\SOFTWARE\WOW6432Node\Positive Networks\Telefoon Factor\ StsUrl en GraphUrl en instrueer het migratiehulpprogramma om de juiste GRAPH-eindpunten te gebruiken.

U hebt ook toegang nodig tot de volgende URL's:

  • https://graph.microsoft.com/* (of https://graph.microsoft.us/* voor overheidscloudklanten)
  • https://login.microsoftonline.com/* (of https://login.microsoftonline.us/* voor overheidscloudklanten)

Met het script krijgt u de opdracht om beheerderstoestemming te verlenen aan de zojuist gemaakte toepassing. Navigeer naar de opgegeven URL of klik in het Microsoft Entra-beheercentrum op Toepassingsregistraties, zoek en selecteer de MFA Server Migration Utility-app , klik op API-machtigingen en geef vervolgens de juiste machtigingen.

Schermopname van machtigingen.

Als u klaar bent, gaat u naar de map Multi-Factor Authentication-server en opent u de toepassing MultiFactorAuthMigrationUtilityUI . U ziet het volgende scherm:

Schermopname van MFA Server Migration Utility.

U hebt het migratiehulpprogramma geïnstalleerd.

Notitie

Als uw MFA-server is gekoppeld aan een MFA-provider zonder tenantverwijzing, moet u de standaard-MFA-instellingen (zoals aangepaste begroetingen) bijwerken voor de tenant die u migreert om overeen te komen met de instellingen in uw MFA-provider om ervoor te zorgen dat deze niet worden gewijzigd tijdens de migratie. We raden u aan dit te doen voordat u gebruikers migreert.

Een secundaire MFA-server uitvoeren (optioneel)

Als uw MFA-server-implementatie een groot aantal gebruikers of een drukke primaire MFA-server heeft, kunt u overwegen om een toegewezen secundaire MFA-server te implementeren voor het uitvoeren van de MFA-servermigratiehulpprogramma en migratiesynchronisatieservices. Nadat u de primaire MFA-server hebt bijgewerkt, moet u een bestaande secundaire server upgraden of een nieuwe secundaire server implementeren. De secundaire server die u kiest, mag geen ander MFA-verkeer verwerken.

Het script Configure-MultiFactorAuthMigrationUtility.ps1 moet worden uitgevoerd op de secundaire server om een certificaat te registreren bij de registratie van de app MFA Server Migration Utility. Het certificaat wordt gebruikt om te verifiëren bij Microsoft Graph. Het uitvoeren van de migratiehulpprogramma en synchronisatieservices op een secundaire MFA-server moet de prestaties van zowel handmatige als geautomatiseerde gebruikersmigraties verbeteren.

Gebruikersgegevens migreren

Als u gebruikersgegevens migreert, worden geen gegevens verwijderd of gewijzigd in de multi-Factor Authentication-serverdatabase. Op dezelfde manier wordt dit proces niet gewijzigd wanneer een gebruiker MFA uitvoert. Dit proces is een eenrichtingskopie van gegevens van de on-premises server naar het bijbehorende gebruikersobject in Microsoft Entra ID.

Het hulpprogramma MFA-servermigratie is gericht op één Microsoft Entra-groep voor alle migratieactiviteiten. U kunt gebruikers rechtstreeks aan deze groep toevoegen of andere groepen toevoegen. U kunt ze ook in fasen toevoegen tijdens de migratie.

Als u het migratieproces wilt starten, voert u de naam of GUID in van de Microsoft Entra-groep die u wilt migreren. Als u klaar bent, drukt u op Tab of klikt u buiten het venster om te beginnen met het zoeken naar de juiste groep. Alle gebruikers in de groep worden ingevuld. Het kan enkele minuten duren voordat een grote groep is voltooid.

Als u kenmerkgegevens voor een gebruiker wilt weergeven, markeert u de gebruiker en selecteert u Weergeven:

Schermopname van het weergeven van gebruiksinstellingen.

In dit venster worden de kenmerken voor de geselecteerde gebruiker weergegeven in zowel De Microsoft Entra-id als de on-premises MFA-server. U kunt dit venster gebruiken om te zien hoe gegevens na de migratie naar een gebruiker zijn geschreven.

Met de optie Instellingen kunt u de instellingen voor het migratieproces wijzigen:

Schermopname van instellingen.

  • Migreren: er zijn drie opties voor het migreren van de standaardverificatiemethode van de gebruiker:

    • Altijd migreren
    • Alleen migreren als deze nog niet is ingesteld in Microsoft Entra-id
    • Instellen op de veiligste methode die beschikbaar is als deze nog niet is ingesteld in Microsoft Entra-id

    Deze opties bieden flexibiliteit wanneer u de standaardmethode migreert. Daarnaast wordt het beleid voor verificatiemethoden gecontroleerd tijdens de migratie. Als de standaardmethode die wordt gemigreerd niet is toegestaan door beleid, wordt deze ingesteld op de veiligste methode die beschikbaar is.

  • Gebruikersovereenkomst: hiermee kunt u een ander on-premises Active Directory-kenmerk opgeven voor overeenkomende Microsoft Entra UPN in plaats van de standaardovereenkomst met userPrincipalName:

    • Het migratiehulpprogramma probeert direct te koppelen aan UPN voordat het on-premises Active Directory-kenmerk wordt gebruikt.
    • Als er geen overeenkomst wordt gevonden, wordt een Windows-API aangeroepen om de Microsoft Entra UPN te vinden en de SID op te halen, die wordt gebruikt om de gebruikerslijst van de MFA-server te doorzoeken.
    • Als de Windows-API de gebruiker niet vindt of als de SID niet wordt gevonden in de MFA-server, wordt het geconfigureerde Active Directory-kenmerk gebruikt om de gebruiker in de on-premises Active Directory te vinden en gebruikt u vervolgens de SID om de gebruikerslijst van de MFA-server te doorzoeken.
  • Automatische synchronisatie: hiermee start u een achtergrondservice die voortdurend wijzigingen in de verificatiemethode voor gebruikers in de on-premises MFA-server bewaakt en schrijft naar De Microsoft Entra-id op het opgegeven tijdsinterval dat is gedefinieerd.

  • Synchronisatieserver: hiermee kan de MFA-servermigratiesynchronisatieservice worden uitgevoerd op een secundaire MFA-server in plaats van alleen op de primaire server te worden uitgevoerd. Als u de Migratiesynchronisatieservice wilt configureren voor uitvoering op een secundaire server, moet het Configure-MultiFactorAuthMigrationUtility.ps1 script worden uitgevoerd op de server om een certificaat te registreren bij de registratie van de app MFA Server Migration Utility. Het certificaat wordt gebruikt om te verifiëren bij Microsoft Graph.

Het migratieproces kan automatisch of handmatig zijn.

De stappen voor het handmatige proces zijn:

  1. Als u het migratieproces voor een gebruiker of selectie van meerdere gebruikers wilt starten, houdt u Ctrl ingedrukt terwijl u elk van de gebruikers selecteert die u wilt migreren.

  2. Nadat u de gewenste gebruikers hebt geselecteerd, klikt u op Gebruikers>migreren geselecteerde gebruikers>OK.

  3. Als u alle gebruikers in de groep wilt migreren, klikt u op Alle>gebruikers migreren in de Microsoft Entra-groep>OK.

  4. U kunt gebruikers migreren, zelfs als ze ongewijzigd zijn. Het hulpprogramma is standaard ingesteld op Alleen gebruikers migreren die zijn gewijzigd. Klik op Alle gebruikers migreren om eerder gemigreerde gebruikers opnieuw te migreren die ongewijzigd zijn. Het migreren van ongewijzigde gebruikers kan nuttig zijn tijdens het testen als een beheerder de Azure MFA-instellingen van een gebruiker opnieuw moet instellen en deze opnieuw wil migreren.

    Schermopname van het dialoogvenster Gebruikers migreren.

Klik voor het automatische proces op Automatische synchronisatie in Instellingen en selecteer vervolgens of u wilt dat alle gebruikers worden gesynchroniseerd of alleen leden van een bepaalde Microsoft Entra-groep.

De volgende tabel bevat de synchronisatielogica voor de verschillende methoden.

Methode Logica
Telefoon Als er geen extensie is, werkt u de MFA-telefoon bij.
Als er een extensie is, werkt u office-telefoon bij.
Uitzondering: Als de standaardmethode Sms-bericht is, zet u de extensie neer en werkt u de MFA-telefoon bij.
Back-up maken Telefoon Als er geen extensie is, werkt u alternatieve telefoon bij.
Als er een extensie is, werkt u office-telefoon bij.
Uitzondering: Als zowel Telefoon als Back-up Telefoon een extensie hebben, slaat u Back-up Telefoon over.
Mobiele app Maximaal vijf apparaten worden gemigreerd of slechts vier als de gebruiker ook een hardware-OATH-token heeft.
Als er meerdere apparaten met dezelfde naam zijn, migreert u alleen de meest recente.
Apparaten worden besteld van nieuw naar oud.
Als apparaten al bestaan in Microsoft Entra ID, moet u overeenkomen met de geheime sleutel van het OATH-token en bijwerken.
- Als er geen overeenkomst is op de geheime sleutel van het OATH-token, komt u overeen met het apparaattoken
-- Als dit wordt gevonden, maakt u een Software OATH-token voor het MFA Server-apparaat om de methode OATH-token te laten werken. Meldingen werken nog steeds met behulp van het bestaande Microsoft Entra-apparaat voor meervoudige verificatie.
-- Als dit niet is gevonden, maakt u een nieuw apparaat.
Als het toevoegen van een nieuw apparaat de limiet van vijf apparaten overschrijdt, wordt het apparaat overgeslagen.
OATH-token Als apparaten al bestaan in Microsoft Entra ID, moet u overeenkomen met de geheime sleutel van het OATH-token en bijwerken.
- Als dit niet wordt gevonden, voegt u een nieuw hardware-OATH-tokenapparaat toe.
Als het toevoegen van een nieuw apparaat de limiet van vijf apparaten overschrijdt, wordt het OATH-token overgeslagen.

MFA-methoden worden bijgewerkt op basis van wat is gemigreerd en de standaardmethode wordt ingesteld. De MFA-server houdt de laatste tijdstempel van de migratie bij en migreert de gebruiker alleen opnieuw als de MFA-instellingen van de gebruiker worden gewijzigd of als een beheerder wijzigt wat moet worden gemigreerd in het dialoogvenster Instellingen.

Tijdens het testen raden we u aan eerst een handmatige migratie uit te voeren en te testen om ervoor te zorgen dat een bepaald aantal gebruikers zich gedraagt zoals verwacht. Zodra het testen is voltooid, schakelt u automatische synchronisatie in voor de Microsoft Entra-groep die u wilt migreren. Wanneer u gebruikers aan deze groep toevoegt, worden hun gegevens automatisch gesynchroniseerd met Microsoft Entra-id. MFA Server Migration Utility is gericht op één Microsoft Entra-groep, maar die groep kan zowel gebruikers als geneste groepen gebruikers omvatten.

Zodra de bewerking is voltooid, wordt u op de hoogte gemaakt van de voltooide taken:

Schermopname van bevestiging.

Zoals vermeld in het bevestigingsbericht, kan het enkele minuten duren voordat de gemigreerde gegevens worden weergegeven op gebruikersobjecten in Microsoft Entra-id. Gebruikers kunnen hun gemigreerde methoden bekijken door naar aka.ms/mfasetup te navigeren.

Tip

U kunt de tijd beperken die nodig is om groepen weer te geven als u Microsoft Entra MFA-methoden niet hoeft te bekijken. Klik op Azure>AD MFA-methoden weergeven om de weergave van kolommen voor AAD-standaard, AAD-Telefoon, AAD Alternatief, AAD Office, AAD-apparaten en AAD OATH-token in te schakelen. Wanneer kolommen zijn verborgen, worden sommige Microsoft Graph API-aanroepen overgeslagen, waardoor de laadtijd van gebruikers aanzienlijk wordt verbeterd.

Migratiedetails weergeven

U kunt auditlogboeken of Log Analytics gebruiken om details van MFA-server naar Azure MFA-gebruikersmigraties te bekijken.

Auditlogboeken gebruiken

Voer de volgende stappen uit om toegang te krijgen tot de auditlogboeken in het Microsoft Entra-beheercentrum om details van MFA-server naar Azure MFA-gebruikersmigraties weer te geven:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatie-Beheer istrator.

  2. Blader naar logboeken voor identiteitsbewaking>en statuscontrole>. Als u de logboeken wilt filteren, klikt u op Filters toevoegen.

    Schermopname van het toevoegen van filters.

  3. Selecteer Gestart door (actor) en klik op Toepassen.

    Schermopname van de optie Gestart door actor.

  4. Typ Azure MFA-beheer en klik op Toepassen.

    Schermopname van de optie MFA-beheer.

  5. Met dit filter worden alleen logboeken van het MFA-servermigratiehulpprogramma weergegeven. Als u details voor een gebruikersmigratie wilt weergeven, klikt u op een rij en kiest u vervolgens het tabblad Gewijzigde eigenschappen . Op dit tabblad ziet u wijzigingen in geregistreerde MFA-methoden en telefoonnummers.

    Schermopname van details van gebruikersmigratie.

    De volgende tabel bevat de verificatiemethode voor elke code.

    Code Methode
    0 Spraak mobiel
    2 Spraakkantoor
    3 Spraak alternatief mobiel
    5 Sms
    6 Pushmelding van Microsoft Authenticator
    7 Hardware- of softwaretoken OTP
  6. Als er gebruikersapparaten zijn gemigreerd, is er een afzonderlijke logboekvermelding.

    Schermopname van een gemigreerd apparaat.

Log Analytics gebruiken

De details van MFA-server naar Azure MFA-gebruikersmigraties kunnen ook worden opgevraagd met behulp van Log Analytics.

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc

In deze schermopname ziet u wijzigingen voor gebruikersmigratie:

Schermopname van Log Analytics voor gemigreerde gebruiker.

In deze schermopname ziet u wijzigingen voor apparaatmigratie:

Schermopname van Log Analytics voor gemigreerd apparaat.

Log Analytics kan ook worden gebruikt om de migratieactiviteit van gebruikers samen te vatten.

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)

Schermopname van log analytics-samenvatting.

Valideren en testen

Zodra u gebruikersgegevens hebt gemigreerd, kunt u de ervaring van de eindgebruiker valideren met behulp van gefaseerde implementatie voordat u de globale tenant wijzigt. Met het volgende proces kunt u zich richten op specifieke Microsoft Entra-groepen voor gefaseerde implementatie voor MFA. Gefaseerde implementatie vertelt Microsoft Entra-id om MFA uit te voeren met behulp van Microsoft Entra-meervoudige verificatie voor gebruikers in de doelgroepen, in plaats van dat ze on-premises worden verzonden om MFA uit te voeren. U kunt valideren en testen. Het wordt aangeraden het Microsoft Entra-beheercentrum te gebruiken, maar als u wilt, kunt u ook Microsoft Graph gebruiken.

Gefaseerde implementatie inschakelen

  1. Navigeer naar de volgende URL: Gefaseerde implementatiefuncties inschakelen - Microsoft Azure.

  2. Wijzig azure-meervoudige verificatie in Aan en klik vervolgens op Groepen beheren.

    Schermopname van gefaseerde implementatie.

  3. Klik op Groepen toevoegen en voeg de groepen toe die gebruikers bevatten die u wilt inschakelen voor Azure MFA. Geselecteerde groepen worden weergegeven in de weergegeven lijst.

    Notitie

    Groepen die u target met behulp van de onderstaande Microsoft Graph-methode, worden ook weergegeven in deze lijst.

    Schermopname van het menu Groepen beheren.

Gefaseerde implementatie inschakelen met Microsoft Graph

  1. De featureRolloutPolicy maken

    1. Navigeer naar aka.ms/ge en meld u aan bij Graph Explorer met behulp van een hybrid identity Beheer istrator-account in de tenant die u wilt instellen voor gefaseerde implementatie.

    2. Zorg ervoor dat POST is geselecteerd op het volgende eindpunt: https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies

    3. De hoofdtekst van uw aanvraag moet het volgende bevatten (wijzig het MFA-implementatiebeleid in een naam en beschrijving voor uw organisatie):

      {
           "displayName": "MFA rollout policy",
           "description": "MFA rollout policy",
           "feature": "multiFactorAuthentication",
           "isEnabled": true,
           "isAppliedToOrganization": false
      }
      

      Schermopname van aanvraag.

    4. Voer een GET uit met hetzelfde eindpunt en noteer de id-waarde (doorgestreept in de volgende afbeelding):

      Schermopname van get-opdracht.

  2. Richt u op de Microsoft Entra-groep(en) die de gebruikers bevatten die u wilt testen

    1. Maak een POST-aanvraag met het volgende eindpunt (vervang {ID van beleid} door de id-waarde die u hebt gekopieerd uit stap 1d):

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$ref

    2. De hoofdtekst van de aanvraag moet het volgende bevatten (vervang {ID van groep} door de object-id van de groep waarop u zich wilt richten voor gefaseerde implementatie):

      {
      "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}"
      }
      
    3. Herhaal de stappen a en b voor alle andere groepen waarop u zich wilt richten met gefaseerde implementatie.

    4. U kunt het huidige beleid weergeven door een GET uit te voeren op basis van de volgende URL:

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesTo

      In het voorgaande proces wordt de featureRolloutPolicy-resource gebruikt. De openbare documentatie is nog niet bijgewerkt met de nieuwe functie multifactorAuthentication, maar bevat gedetailleerde informatie over de interactie met de API.

  3. Bevestig dat de MFA-ervaring van de eindgebruiker. Hier volgen enkele zaken die u kunt controleren:

    1. Zien gebruikers hun methoden in aka.ms/mfasetup?
    2. Ontvangen gebruikers telefoongesprekken/sms-berichten?
    3. Kunnen ze zich verifiëren met behulp van de bovenstaande methoden?
    4. Ontvangen gebruikers verificatormeldingen? Kunnen ze deze meldingen goedkeuren? Is de verificatie geslaagd?
    5. Kunnen gebruikers zich verifiëren met hardware-OATH-tokens?

Gebruikers informeren

Zorg ervoor dat gebruikers weten wat ze kunnen verwachten wanneer ze worden verplaatst naar Azure MFA, inclusief nieuwe verificatiestromen. U kunt ook gebruikers opdracht geven om de gecombineerde registratieportal van Microsoft Entra ID (aka.ms/mfasetup) te gebruiken om hun verificatiemethoden te beheren in plaats van de gebruikersportal zodra de migraties zijn voltooid. Wijzigingen in verificatiemethoden in Microsoft Entra-id worden niet doorgevoerd in uw on-premises omgeving. In een situatie waarin u moet terugkeren naar MFA Server, zijn wijzigingen die gebruikers hebben aangebracht in Microsoft Entra ID niet beschikbaar in de gebruikersportal van de MFA-server.

Als u oplossingen van derden gebruikt die afhankelijk zijn van Azure MFA Server voor verificatie (zie Verificatieservices), wilt u dat gebruikers hun MFA-methoden blijven wijzigen in de gebruikersportal. Deze wijzigingen worden automatisch gesynchroniseerd met Microsoft Entra ID. Nadat u deze oplossingen van derden hebt gemigreerd, kunt u gebruikers verplaatsen naar de gecombineerde registratiepagina van Microsoft Entra ID.

Gebruikersmigratie voltooien

Herhaal de migratiestappen in de secties Gebruikersgegevens migreren en Valideren en testen totdat alle gebruikersgegevens zijn gemigreerd.

MFA-serverafhankelijkheden migreren

Met behulp van de gegevenspunten die u hebt verzameld in verificatieservices, begint u met het uitvoeren van de verschillende migraties die nodig zijn. Zodra dit is voltooid, kunt u overwegen om gebruikers hun verificatiemethoden te laten beheren in de gecombineerde registratieportal in plaats van in de gebruikersportal op de MFA-server.

Domeinfederatie-instellingen bijwerken

Nadat u gebruikersmigraties hebt voltooid en al uw verificatieservices van de MFA-server hebt verplaatst, is het tijd om uw domeinfederatie-instellingen bij te werken. Na de update verzendt Microsoft Entra geen MFA-aanvraag meer naar uw on-premises federatieserver.

Als u Microsoft Entra ID wilt configureren om MFA-aanvragen te negeren op uw on-premises federatieserver, installeert u de Microsoft Graph PowerShell SDK en stelt u federatedIdpMfaBehavior rejectMfaByFederatedIdpin, zoals wordt weergegeven in het volgende voorbeeld.

Aanvragen

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

Response

Opmerking: het antwoordobject dat hier wordt weergegeven, kan worden ingekort voor leesbaarheid.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

Gebruikers worden niet langer omgeleid naar uw on-premises federatieserver voor MFA, ongeacht of ze zijn gericht op het gefaseerde implementatieprogramma of niet. Houd er rekening mee dat het tot 24 uur kan duren voordat dit van kracht wordt.

Notitie

De update van de domeinfederatie-instelling kan tot 24 uur duren.

Optioneel: MFA-servergebruikersportal uitschakelen

Zodra u alle gebruikersgegevens hebt gemigreerd, kunnen eindgebruikers de gecombineerde registratiepagina's van Microsoft Entra ID gebruiken om MFA-methoden te beheren. Er zijn een aantal manieren om te voorkomen dat gebruikers de gebruikersportal gebruiken in MFA-server:

  • De URL van de MFA-servergebruikersportal omleiden naar aka.ms/mfasetup
  • Schakel het selectievakje Gebruikers toestaan zich aan te melden uit op het tabblad Instellingen in de sectie Gebruikersportal van MFA-server om te voorkomen dat gebruikers zich helemaal aanmelden bij de portal.

MFA-server buiten gebruik stellen

Wanneer u de Azure MFA-server niet meer nodig hebt, volgt u de gebruikelijke procedures voor het afschaffen van de server. Er is geen speciale actie vereist in Microsoft Entra ID om aan te geven dat MFA Server buiten gebruik wordt gesteld.

Plan voor terugdraaien

Als de upgrade problemen heeft, voert u de volgende stappen uit om terug te keren:

  1. Verwijder MFA Server 8.1.

  2. Vervang Telefoon Factor.pfdata door de back-up die is gemaakt voordat u een upgrade uitvoert.

    Notitie

    Wijzigingen sinds de back-up zijn gemaakt, gaan verloren, maar moeten minimaal zijn als er een back-up is gemaakt vóór de upgrade en de upgrade is mislukt.

  3. Voer het installatieprogramma uit voor uw vorige versie (bijvoorbeeld 8.0.x.x).

  4. Configureer De Microsoft Entra-id om MFA-aanvragen te accepteren voor uw on-premises federatieserver. Gebruik Graph PowerShell om federatedIdpMfaBehavior in te enforceMfaByFederatedIdpstellen op, zoals wordt weergegeven in het volgende voorbeeld.

    Aanvragen

    PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
    Content-Type: application/json
    {
      "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
    }
    

    Het volgende antwoordobject wordt ingekort voor de leesbaarheid.

    Respons

    HTTP/1.1 200 OK
    Content-Type: application/json
    {
      "@odata.type": "#microsoft.graph.internalDomainFederation",
      "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
       "issuerUri": "http://contoso.com/adfs/services/trust",
       "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
       "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
       "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
       "preferredAuthenticationProtocol": "wsFed",
       "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
       "signOutUri": "https://sts.contoso.com/adfs/ls",
       "promptLoginBehavior": "nativeSupport",
       "isSignedAuthenticationRequestRequired": true,
       "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
       "signingCertificateUpdateStatus": {
            "certificateUpdateResult": "Success",
            "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
        },
       "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
    }
    

Stel de gefaseerde implementatie voor Azure MFA in op Uit. Gebruikers worden opnieuw omgeleid naar uw on-premises federatieserver voor MFA.

Volgende stappen