MFA Server migration (Migracja aplikacji MFA Server)
W tym temacie opisano sposób migrowania ustawień uwierzytelniania wieloskładnikowego dla użytkowników usługi Microsoft Entra z lokalnego serwera usługi Azure MFA do uwierzytelniania wieloskładnikowego firmy Microsoft.
Omówienie rozwiązania
Narzędzie do migracji serwera MFA ułatwia synchronizowanie danych uwierzytelniania wieloskładnikowego przechowywanych na lokalnym serwerze usługi Azure MFA bezpośrednio do uwierzytelniania wieloskładnikowego firmy Microsoft. Po przeprowadzeniu migracji danych uwierzytelniania do identyfikatora Entra firmy Microsoft użytkownicy mogą bezproblemowo wykonywać uwierzytelnianie wieloskładnikowe oparte na chmurze bez konieczności ponownego rejestrowania lub potwierdzania metod uwierzytelniania. Administracja s mogą używać narzędzia MFA Server Migration Utility do kierowania pojedynczych użytkowników lub grup użytkowników do testowania i kontrolowanego wdrożenia bez konieczności wprowadzania żadnych zmian w całej dzierżawie.
Wideo: Jak używać narzędzia do migracji serwera MFA
Zapoznaj się z naszym filmem wideo, aby zapoznać się z omówieniem narzędzia do migracji serwera MFA i jego działaniem.
Ograniczenia i wymagania
Narzędzie do migracji serwera MFA wymaga nowej kompilacji rozwiązania serwera MFA, które ma zostać zainstalowane na podstawowym serwerze usługi MFA. Kompilacja tworzy aktualizacje pliku danych serwera MFA i zawiera nowe narzędzie do migracji serwera MFA. Nie musisz aktualizować zestawu WebSDK ani portalu użytkowników. Instalowanie aktualizacji nie uruchamia migracji automatycznie.
Uwaga
Narzędzie do migracji serwera MFA można wykonać na pomocniczym serwerze MFA. Aby uzyskać więcej informacji, zobacz Uruchamianie pomocniczego serwera MFA (opcjonalnie).
Narzędzie MFA Server Migration Utility kopiuje dane z pliku bazy danych do obiektów użytkownika w usłudze Microsoft Entra ID. Podczas migracji użytkownicy mogą być ukierunkowani na uwierzytelnianie wieloskładnikowe firmy Microsoft na potrzeby testowania przy użyciu wdrożenia etapowego. Migracja etapowa umożliwia testowanie bez wprowadzania żadnych zmian w ustawieniach federacji domeny. Po zakończeniu migracji należy sfinalizować migrację, wprowadzając zmiany w ustawieniach federacji domeny.
Usługi AD FS z systemem Windows Server 2016 lub nowszym jest wymagane do zapewnienia uwierzytelniania wieloskładnikowego dla wszystkich jednostki uzależnionej usług AD FS, a nie w tym microsoft Entra ID i Office 365.
Przejrzyj zasady kontroli dostępu usług AD FS i upewnij się, że żadne nie wymaga uwierzytelniania wieloskładnikowego do wykonania lokalnie w ramach procesu uwierzytelniania.
Wdrożenie etapowe może obejmować maksymalnie 500 000 użytkowników (10 grup zawierających maksymalnie 50 000 użytkowników).
Przewodnik migracji
Migracja serwera MFA zwykle obejmuje kroki opisane w następującym procesie:
Kilka ważnych kwestii:
Faza 1 powinna być powtarzana podczas dodawania użytkowników testowych.
- Narzędzie do migracji używa grup Firmy Microsoft Entra do określania użytkowników, dla których dane uwierzytelniania powinny być synchronizowane między serwerem MFA i uwierzytelnianiem wieloskładnikowym firmy Microsoft Entra. Po zsynchronizowaniu danych użytkownika użytkownik jest gotowy do korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft.
- Wdrożenie etapowe umożliwia przekierowanie użytkowników do uwierzytelniania wieloskładnikowego firmy Microsoft, również przy użyciu grup firmy Microsoft Entra. Chociaż z pewnością można użyć tych samych grup dla obu narzędzi, zalecamy, aby użytkownicy mogli potencjalnie zostać przekierowani do uwierzytelniania wieloskładnikowego firmy Microsoft przed zsynchronizowaniem danych przez narzędzie. Zalecamy skonfigurowanie grup entra firmy Microsoft na potrzeby synchronizowania danych uwierzytelniania za pomocą narzędzia MFA Server Migration Utility, a także innego zestawu grup wdrożenia etapowego w celu kierowania docelowych użytkowników do uwierzytelniania wieloskładnikowego firmy Microsoft, a nie do środowiska lokalnego.
Faza 2 powinna być powtarzana podczas migracji bazy użytkowników. Po zakończeniu fazy 2 cała baza użytkowników powinna używać uwierzytelniania wieloskładnikowego firmy Microsoft dla wszystkich obciążeń federacyjnych z identyfikatorem Entra firmy Microsoft.
W poprzednich fazach można usunąć użytkowników z folderów wprowadzania etapowego, aby usunąć ich z zakresu uwierzytelniania wieloskładnikowego firmy Microsoft i kierować ich z powrotem do lokalnego serwera usługi Azure MFA dla wszystkich żądań uwierzytelniania wieloskładnikowego pochodzącego z identyfikatora Entra firmy Microsoft.
Faza 3 wymaga przeniesienia wszystkich klientów, którzy uwierzytelniają się na lokalnym serwerze MFA (sieci VPN, menedżerów haseł itd.) do usługi Microsoft Entra federation za pośrednictwem protokołu SAML/OAUTH. Jeśli nowoczesne standardy uwierzytelniania nie są obsługiwane, musisz skonfigurować serwery NPS z zainstalowanym rozszerzeniem uwierzytelniania wieloskładnikowego firmy Microsoft. Po przeprowadzeniu migracji zależności użytkownicy nie powinni już używać portalu użytkowników na serwerze usługi MFA, ale raczej powinni zarządzać metodami uwierzytelniania w usłudze Microsoft Entra ID (aka.ms/mfasetup). Gdy użytkownicy zaczną zarządzać danymi uwierzytelniania w usłudze Microsoft Entra ID, te metody nie zostaną zsynchronizowane z powrotem do serwera MFA. Jeśli wrócisz do lokalnego serwera usługi MFA po wprowadzeniu zmian w ich metodach uwierzytelniania w identyfikatorze Entra firmy Microsoft, te zmiany zostaną utracone. Po zakończeniu migracji użytkowników zmień ustawienie federacji domeny federacyjnej FederatedIdpMfaBehavior . Zmiana informuje microsoft Entra ID, aby nie wykonywał już uwierzytelniania wieloskładnikowego lokalnie i wykonywać wszystkie żądania uwierzytelniania wieloskładnikowego usługi MFA za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft, niezależnie od członkostwa w grupie.
W poniższych sekcjach opisano bardziej szczegółowo kroki migracji.
Identyfikowanie zależności serwera usługi Azure Multi-Factor Authentication
Ciężko pracowaliśmy, aby upewnić się, że przejście do naszego opartego na chmurze rozwiązania Microsoft Entra multifactor authentication będzie utrzymywać i nawet poprawić poziom zabezpieczeń. Istnieją trzy szerokie kategorie, które powinny być używane do grupowania zależności:
Aby ułatwić migrację, dopasowaliśmy powszechnie używane funkcje serwera MFA z funkcjonalnym odpowiednikiem w usłudze Microsoft Entra multifactor authentication dla każdej kategorii.
Metody uwierzytelniania wieloskładnikowego
Otwórz serwer MFA, kliknij pozycję Ustawienia firmy:
| Serwer MFA | Uwierzytelnianie wieloskładnikowe firmy Microsoft |
|---|---|
| Karta Ogólne | |
| Sekcja Ustawienia domyślne użytkownika | |
| połączenie Telefon (Standardowa) | Nie jest wymagane żadne działanie |
| Wiadomość sms (OTP)* | Nie jest wymagane żadne działanie |
| Aplikacja mobilna (Standardowa) | Nie jest wymagane żadne działanie |
| Telefon wywołanie (NUMER PIN)* | Włączanie protokołu OTP głosu |
| Wiadomość SMS (OTP + NUMER PIN)** | Nie jest wymagane żadne działanie |
| Aplikacja mobilna (numer PIN)* | Włącz dopasowywanie liczb |
| Telefon wywołanie/wiadomość SMS/aplikacja mobilna/język tokenu OATH | Ustawienia języka zostaną automatycznie zastosowane do użytkownika na podstawie ustawień regionalnych w przeglądarce |
| Domyślna sekcja reguł numeru PIN | Nie dotyczy; zobacz zaktualizowane metody na poprzednim zrzucie ekranu |
| Karta Rozpoznawanie nazwy użytkownika | Nie dotyczy; Rozpoznawanie nazwy użytkownika nie jest wymagane w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft |
| Karta Wiadomość SMS | Nie dotyczy; Uwierzytelnianie wieloskładnikowe firmy Microsoft używa domyślnego komunikatu dla wiadomości SMS |
| Karta Token OATH | Nie dotyczy; Uwierzytelnianie wieloskładnikowe firmy Microsoft używa domyślnego komunikatu dla tokenów OATH |
| Raporty | Raporty aktywności metod uwierzytelniania entra firmy Microsoft |
*Gdy numer PIN jest używany do zapewnienia funkcjonalności sprawdzania obecności, odpowiednik funkcjonalny jest podany powyżej. Numery PIN, które nie są kryptograficznie powiązane z urządzeniem, nie są wystarczająco chronione przed scenariuszami, w których urządzenie zostało naruszone. Aby chronić się przed tymi scenariuszami, w tym atakami zamiany sim, przenieś użytkowników do bardziej bezpiecznych metod zgodnie z najlepszymi rozwiązaniami dotyczącymi metod uwierzytelniania firmy Microsoft.
**Domyślne środowisko uwierzytelniania wieloskładnikowego tekstu w usłudze Microsoft Entra wysyła użytkownikom kod, który jest wymagany do wprowadzenia w oknie logowania w ramach uwierzytelniania. Wymaganie zaokrąglenia kodu zapewnia funkcjonalność weryfikacji obecności.
Portal użytkowników
Otwórz serwer MFA, kliknij pozycję Portal użytkowników:
| Serwer MFA | Uwierzytelnianie wieloskładnikowe firmy Microsoft |
|---|---|
| karta Ustawienia | |
| Adres URL portalu użytkowników | aka.ms/mfasetup |
| Zezwalaj na rejestrację użytkownika | Zobacz Rejestracja połączonych informacji zabezpieczających |
| - Monituj o utworzenie kopii zapasowej telefonu | Zobacz Ustawienia usługi MFA |
| — Monituj o token OATH innej firmy | Zobacz Ustawienia usługi MFA |
| Zezwalaj użytkownikom na inicjowanie jednorazowego obejścia | Zobacz Funkcje interfejsu TAP identyfikatora entra firmy Microsoft |
| Zezwalaj użytkownikom na wybór metody | Zobacz Ustawienia usługi MFA |
| - połączenie Telefon | Zobacz dokumentację wywołań Telefon |
| - Wiadomość SMS | Zobacz Ustawienia usługi MFA |
| - Aplikacja mobilna | Zobacz Ustawienia usługi MFA |
| - Token OATH | Zobacz dokumentację tokenu OATH |
| Zezwalaj użytkownikom na wybór języka | Ustawienia języka zostaną automatycznie zastosowane do użytkownika na podstawie ustawień regionalnych w przeglądarce |
| Zezwalaj użytkownikom na uaktywnienie aplikacji mobilnej | Zobacz Ustawienia usługi MFA |
| — Limit urządzeń | Identyfikator entra firmy Microsoft ogranicza użytkowników do pięciu skumulowanych urządzeń (wystąpień aplikacji mobilnych i sprzętowego tokenu OATH i tokenu OATH oprogramowania) na użytkownika |
| Użyj pytań zabezpieczających w przypadku uwierzytelniania rezerwowego | Microsoft Entra ID umożliwia użytkownikom wybranie metody rezerwowej w czasie uwierzytelniania, jeśli wybrana metoda uwierzytelniania zakończy się niepowodzeniem |
| - Pytania, na które należy odpowiedzieć | Pytania zabezpieczające w identyfikatorze Entra firmy Microsoft mogą być używane tylko w przypadku samoobsługowego resetowania hasła. Zobacz więcej szczegółów na temat pytań dotyczących zabezpieczeń niestandardowych firmy Microsoft |
| Zezwalaj użytkownikom na skojarzenie tokenu OATH innej firmy | Zobacz dokumentację tokenu OATH |
| Użyj tokenu OATH w przypadku uwierzytelniania rezerwowego | Zobacz dokumentację tokenu OATH |
| Limit czasu sesji | |
| Karta Pytania zabezpieczające | Pytania zabezpieczające na serwerze MFA były używane do uzyskiwania dostępu do portalu użytkowników. Uwierzytelnianie wieloskładnikowe firmy Microsoft obsługuje tylko pytania zabezpieczające dotyczące samoobsługowego resetowania hasła. Zobacz dokumentację pytań zabezpieczających. |
| Karta Przekazane sesje | Wszystkie przepływy rejestracji metod uwierzytelniania są zarządzane przez identyfikator Entra firmy Microsoft i nie wymagają konfiguracji |
| Zaufane adresy IP | Zaufane adresy IP identyfikatora entra firmy Microsoft |
Wszystkie metody uwierzytelniania wieloskładnikowego dostępne na serwerze MFA muszą być włączone w usłudze Microsoft Entra multifactor authentication przy użyciu ustawień usługi MFA. Użytkownicy nie mogą wypróbować nowo zmigrowanych metod uwierzytelniania wieloskładnikowego, chyba że są włączone.
Usługi uwierzytelniania
Serwer usługi Azure MFA może udostępniać funkcje uwierzytelniania wieloskładnikowego dla rozwiązań innych firm, które używają protokołu RADIUS lub LDAP, działając jako serwer proxy uwierzytelniania. Aby odnaleźć zależności usługi RADIUS lub LDAP, kliknij pozycję Opcje uwierzytelniania USŁUGI RADIUS i uwierzytelniania LDAP na serwerze usługi MFA. Dla każdej z tych zależności określ, czy te strony trzecie obsługują nowoczesne uwierzytelnianie. Jeśli tak, rozważ federację bezpośrednio z identyfikatorem Entra firmy Microsoft.
W przypadku wdrożeń usługi RADIUS, których nie można uaktualnić, należy wdrożyć serwer NPS i zainstalować rozszerzenie SERWERA NPS firmy Microsoft Entra.
W przypadku wdrożeń LDAP, których nie można uaktualnić ani przenieść do usługi RADIUS, określ, czy można użyć usług Microsoft Entra Domain Services. W większości przypadków protokół LDAP został wdrożony w celu obsługi zmian haseł w wierszu dla użytkowników końcowych. Po przeprowadzeniu migracji użytkownicy końcowi mogą zarządzać swoimi hasłami przy użyciu samoobsługowego resetowania hasła w usłudze Microsoft Entra ID.
Jeśli włączono dostawcę uwierzytelniania serwera MFA w usługach AD FS 2.0 na dowolnych zaufania jednostki uzależnionej z wyjątkiem zaufania jednostki uzależnionej usługi Office 365, należy przeprowadzić uaktualnienie do usług AD FS 3.0 lub sfederować te jednostki uzależnione bezpośrednio do identyfikatora Entra firmy Microsoft, jeśli obsługują nowoczesne metody uwierzytelniania. Określ najlepszy plan działania dla każdego z zależności.
Tworzenie kopii zapasowej pliku danych serwera Usługi Azure Multi-Factor Authentication
Utwórz kopię zapasową pliku danych serwera MFA znajdującego się w folderze %programfiles%\Multi-Factor Authentication Server\Data\Telefon Factor.pfdata (lokalizacja domyślna) na podstawowym serwerze usługi MFA. Upewnij się, że masz kopię instalatora dla aktualnie zainstalowanej wersji na wypadek konieczności wycofania. Jeśli nie masz już kopii, skontaktuj się z pomocą techniczną.
W zależności od aktywności użytkownika plik danych może szybko stać się nieaktualny. Wszelkie zmiany wprowadzone na serwerze usługi MFA lub wszelkie zmiany wprowadzone przez użytkownika końcowego za pośrednictwem portalu po utworzeniu kopii zapasowej nie zostaną przechwycone. Jeśli wycofasz się, wszelkie zmiany wprowadzone po tym punkcie nie zostaną przywrócone.
Instalowanie aktualizacji serwera MFA
Uruchom nowy instalator na podstawowym serwerze usługi MFA. Przed uaktualnieniem serwera usuń go z równoważenia obciążenia lub udostępniania ruchu innym serwerom usługi MFA. Nie musisz odinstalować bieżącego serwera MFA przed uruchomieniem instalatora. Instalator przeprowadza uaktualnienie w miejscu przy użyciu bieżącej ścieżki instalacji (na przykład C:\Program Files\Multi-Factor Authentication Server). Jeśli zostanie wyświetlony monit o zainstalowanie pakietu aktualizacji pakietu redystrybucyjnego programu Microsoft Visual C++ 2015, zaakceptuj monit. Instalowane są wersje pakietu x86 i x64. Nie jest wymagane zainstalowanie aktualizacji portalu użytkowników, zestawu WEB SDK ani adaptera AD FS.
Uwaga
Po uruchomieniu instalatora na serwerze podstawowym serwery pomocnicze mogą zacząć rejestrować nieobsługiwane wpisy SB . Jest to spowodowane zmianami schematu wprowadzonych na serwerze podstawowym, które nie zostaną rozpoznane przez serwery pomocnicze. Te błędy są oczekiwane. W środowiskach z co najmniej 10 000 użytkowników liczba wpisów dziennika może znacznie wzrosnąć. Aby rozwiązać ten problem, możesz zwiększyć rozmiar pliku dzienników serwera MFA lub uaktualnić serwery pomocnicze.
Konfigurowanie narzędzia do migracji serwera MFA
Po zainstalowaniu aktualizacji serwera MFA otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień: umieść kursor na ikonie programu PowerShell, kliknij prawym przyciskiem myszy i kliknij polecenie Uruchom jako Administracja istrator. Uruchom skrypt .\Configure-MultiFactorAuthMigrationUtility.ps1 znajdujący się w katalogu instalacyjnym serwera MFA (domyślnie C:\Program Files\Multi-Factor Authentication Server).
Ten skrypt będzie wymagał podania poświadczeń dla Administracja istratora aplikacji w dzierżawie usługi Microsoft Entra. Następnie skrypt utworzy nową aplikację MFA Server Migration Utility w ramach identyfikatora Firmy Microsoft Entra, która będzie używana do pisania metod uwierzytelniania użytkowników dla każdego obiektu użytkownika Entra firmy Microsoft.
W przypadku klientów korzystających z chmury dla instytucji rządowych, którzy chcą przeprowadzić migrację, zastąp wpisy ".com" w skrypcie ciągiem ".us". Ten skrypt napisze następnie wpisy rejestru HKLM:\SOFTWARE\WOW6432Node\Positive Networks\Telefon Factor\ StsUrl i GraphUrl oraz poinstruują narzędzie migracji, aby używało odpowiednich punktów końcowych programu GRAPH.
Będziesz również potrzebować dostępu do następujących adresów URL:
https://graph.microsoft.com/*(lubhttps://graph.microsoft.us/*dla klientów chmury dla instytucji rządowych)https://login.microsoftonline.com/*(lubhttps://login.microsoftonline.us/*dla klientów chmury dla instytucji rządowych)
Skrypt poinstruuje Cię, aby udzielić zgody administratora na nowo utworzoną aplikację. Przejdź do podanego adresu URL lub w centrum administracyjnym firmy Microsoft Entra kliknij pozycję Rejestracje aplikacji, znajdź i wybierz aplikację MFA Server Migration Utility , kliknij uprawnienia interfejsu API, a następnie przyznaj odpowiednie uprawnienia.
Po zakończeniu przejdź do folderu Multi-Factor Authentication Server i otwórz aplikację MultiFactorAuthMigrationUtilityUI . Powinien zostać wyświetlony następujący ekran:
Narzędzie do migracji zostało pomyślnie zainstalowane.
Uwaga
Aby zapewnić brak zmian zachowania podczas migracji, jeśli serwer MFA jest skojarzony z dostawcą uwierzytelniania wieloskładnikowego bez odwołania do dzierżawy, musisz zaktualizować domyślne ustawienia uwierzytelniania wieloskładnikowego (takie jak niestandardowe powitania) dla dzierżawy, którą migrujesz, aby dopasować ustawienia dostawcy uwierzytelniania wieloskładnikowego. Zalecamy wykonanie tej czynności przed migracją wszystkich użytkowników.
Uruchamianie pomocniczego serwera MFA (opcjonalnie)
Jeśli implementacja serwera MFA ma dużą liczbę użytkowników lub zajęty podstawowy serwer MFA, warto rozważyć wdrożenie dedykowanego pomocniczego serwera MFA na potrzeby uruchamiania usług MFA Server Migration Utility and Migration Sync. Po uaktualnieniu podstawowego serwera MFA uaktualnij istniejący serwer pomocniczy lub wdróż nowy serwer pomocniczy. Wybrany serwer pomocniczy nie powinien obsługiwać innego ruchu uwierzytelniania wieloskładnikowego.
Skrypt Configure-MultiFactorAuthMigrationUtility.ps1 powinien zostać uruchomiony na serwerze pomocniczym, aby zarejestrować certyfikat przy użyciu rejestracji aplikacji MFA Server Migration Utility. Certyfikat jest używany do uwierzytelniania w programie Microsoft Graph. Uruchomienie usług narzędzia migracji i synchronizacji na pomocniczym serwerze MFA powinno poprawić wydajność migracji użytkowników ręcznych i automatycznych.
Migrowanie danych użytkownika
Migrowanie danych użytkownika nie powoduje usunięcia ani zmiany żadnych danych w bazie danych serwera Multi-Factor Authentication. Podobnie ten proces nie zmieni miejsca, w którym użytkownik wykonuje uwierzytelnianie wieloskładnikowe. Ten proces jest jednokierunkową kopią danych z serwera lokalnego do odpowiedniego obiektu użytkownika w usłudze Microsoft Entra ID.
Narzędzie do migracji serwera MFA jest przeznaczone dla jednej grupy firmy Microsoft Entra dla wszystkich działań migracji. Możesz dodawać użytkowników bezpośrednio do tej grupy lub dodawać inne grupy. Można je również dodawać na etapach podczas migracji.
Aby rozpocząć proces migracji, wprowadź nazwę lub identyfikator GUID grupy Microsoft Entra, którą chcesz przeprowadzić migrację. Po zakończeniu naciśnij klawisz Tab lub kliknij poza oknem, aby rozpocząć wyszukiwanie odpowiedniej grupy. Wszyscy użytkownicy w grupie są wypełniani. Ukończenie dużej grupy może potrwać kilka minut.
Aby wyświetlić dane atrybutów użytkownika, wyróżnij użytkownika i wybierz pozycję Wyświetl:
W tym oknie zostaną wyświetlone atrybuty wybranego użytkownika zarówno w identyfikatorze Firmy Microsoft Entra, jak i lokalnym serwerze usługi MFA. Za pomocą tego okna można wyświetlić sposób zapisywania danych do użytkownika po migracji.
Opcja Ustawienia umożliwia zmianę ustawień procesu migracji:
Migrowanie — istnieją trzy opcje migracji domyślnej metody uwierzytelniania użytkownika:
- Zawsze migrowanie
- Migrowanie tylko wtedy, gdy nie zostało jeszcze ustawione w identyfikatorze Entra firmy Microsoft
- Ustaw na najbezpieczniejszą metodę dostępną, jeśli nie jest jeszcze ustawiona w identyfikatorze Entra firmy Microsoft
Te opcje zapewniają elastyczność podczas migracji metody domyślnej. Ponadto zasady metod uwierzytelniania są sprawdzane podczas migracji. Jeśli migrowana metoda domyślna nie jest dozwolona przez zasady, jest ustawiona na najbezpieczniejszą dostępną metodę.
Dopasowanie użytkownika — umożliwia określenie innego atrybutu lokalna usługa Active Directory w celu dopasowania nazwy UPN firmy Microsoft zamiast domyślnego dopasowania do userPrincipalName:
- Narzędzie do migracji próbuje bezpośrednio dopasować do nazwy UPN przed użyciem atrybutu lokalna usługa Active Directory.
- Jeśli nie zostanie znalezione dopasowanie, wywołuje interfejs API systemu Windows w celu znalezienia nazwy UPN firmy Microsoft i pobrania identyfikatora SID, którego używa do wyszukiwania listy użytkowników serwera MFA.
- Jeśli interfejs API systemu Windows nie znajdzie użytkownika lub identyfikator SID nie zostanie znaleziony na serwerze usługi MFA, użyje skonfigurowanego atrybutu usługi Active Directory, aby znaleźć użytkownika w lokalna usługa Active Directory, a następnie użyj identyfikatora SID, aby wyszukać listę użytkowników serwera MFA.
Automatyczna synchronizacja — uruchamia usługę w tle, która będzie stale monitorować wszelkie zmiany metod uwierzytelniania dla użytkowników na lokalnym serwerze MFA i zapisywać je w identyfikatorze Entra firmy Microsoft w określonym przedziale czasu zdefiniowanym.
Serwer synchronizacji — umożliwia uruchomienie usługi synchronizacji migracji serwera MFA na pomocniczym serwerze MFA, a nie tylko na serwerze podstawowym. Aby skonfigurować usługę Migration Sync do uruchamiania na serwerze pomocniczym, należy uruchomić skrypt na serwerze,
Configure-MultiFactorAuthMigrationUtility.ps1aby zarejestrować certyfikat przy użyciu rejestracji aplikacji MFA Server Migration Utility. Certyfikat jest używany do uwierzytelniania w programie Microsoft Graph.
Proces migracji może być automatyczny lub ręczny.
Kroki procesu ręcznego to:
Aby rozpocząć proces migracji dla użytkownika lub wyboru wielu użytkowników, naciśnij i przytrzymaj klawisz Ctrl podczas wybierania każdego użytkownika, który chcesz migrować.
Po wybraniu żądanych użytkowników kliknij przycisk Migrowanie>wybranych użytkowników>OK.
Aby przeprowadzić migrację wszystkich użytkowników w grupie, kliknij przycisk Migruj użytkowników>Wszyscy użytkownicy w grupie>Microsoft Entra OK.
Możesz migrować użytkowników, nawet jeśli nie zmienią się. Domyślnie narzędzie jest ustawione na wartość Tylko zmigrować użytkowników, którzy się zmienili. Kliknij pozycję Migruj wszystkich użytkowników, aby ponownie przeprowadzić migrację wcześniej zmigrowanych użytkowników , którzy nie zmienią się. Migracja bez zmian użytkowników może być przydatna podczas testowania, jeśli administrator musi zresetować ustawienia usługi Azure MFA użytkownika i chce je ponownie migrować.
W przypadku procesu automatycznego kliknij pozycję Automatyczna synchronizacja w Ustawienia, a następnie wybierz, czy chcesz synchronizować wszystkich użytkowników, czy tylko członków danej grupy Microsoft Entra.
W poniższej tabeli wymieniono logikę synchronizacji dla różnych metod.
| Method | Logika |
|---|---|
| Telefon | Jeśli nie ma rozszerzenia, zaktualizuj telefon MFA. Jeśli istnieje rozszerzenie, zaktualizuj telefon pakietu Office. Wyjątek: Jeśli domyślną metodą jest wiadomość SMS, upuść rozszerzenie i zaktualizuj telefon MFA. |
| Telefon kopii zapasowej | Jeśli nie ma rozszerzenia, zaktualizuj alternatywny telefon. Jeśli istnieje rozszerzenie, zaktualizuj telefon pakietu Office. Wyjątek: jeśli zarówno Telefon, jak i Telefon kopii zapasowej mają rozszerzenie, pomiń Telefon kopii zapasowej. |
| Aplikacja mobilna | Maksymalnie pięć urządzeń zostanie zmigrowanych lub tylko czterech, jeśli użytkownik ma również token OATH sprzętu. Jeśli istnieje wiele urządzeń o tej samej nazwie, zmigruj tylko najnowsze. Urządzenia będą uporządkowane od najnowszych do najstarszych. Jeśli urządzenia już istnieją w identyfikatorze Entra firmy Microsoft, należy dopasować go do klucza tajnego tokenu OATH i zaktualizować. — Jeśli klucz tajny tokenu OATH nie jest zgodny, dopasuj je do tokenu urządzenia -- Jeśli zostanie znaleziony, utwórz token OATH oprogramowania dla urządzenia serwera MFA, aby umożliwić działanie metody tokenu OATH. Powiadomienia będą nadal działać przy użyciu istniejącego urządzenia uwierzytelniania wieloskładnikowego firmy Microsoft. -- Jeśli nie znaleziono, utwórz nowe urządzenie. Jeśli dodanie nowego urządzenia przekroczy limit pięciu urządzeń, urządzenie zostanie pominięte. |
| OATH Token | Jeśli urządzenia już istnieją w identyfikatorze Entra firmy Microsoft, należy dopasować go do klucza tajnego tokenu OATH i zaktualizować. — Jeśli nie zostanie znalezione, dodaj nowe urządzenie sprzętowe tokenU OATH. Jeśli dodanie nowego urządzenia przekroczy limit pięciu urządzeń, token OATH zostanie pominięty. |
Metody uwierzytelniania wieloskładnikowego zostaną zaktualizowane w oparciu o to, co zostało zmigrowane, a zostanie ustawiona metoda domyślna. Serwer MFA będzie śledzić znacznik czasu ostatniej migracji i migrować użytkownika tylko wtedy, gdy ustawienia uwierzytelniania wieloskładnikowego użytkownika zmienią się lub administrator modyfikuje, co należy przeprowadzić migrację w oknie dialogowym Ustawienia.
Podczas testowania zalecamy najpierw przeprowadzenie migracji ręcznej i przetestowanie, aby zapewnić, że dana liczba użytkowników zachowuje się zgodnie z oczekiwaniami. Po pomyślnym zakończeniu testowania włącz automatyczną synchronizację dla grupy Firmy Microsoft Entra, którą chcesz przeprowadzić migrację. Podczas dodawania użytkowników do tej grupy ich informacje będą automatycznie synchronizowane z identyfikatorem Entra firmy Microsoft. Narzędzie MFA Server Migration Utility jest przeznaczone dla jednej grupy firmy Microsoft Entra, jednak ta grupa może obejmować zarówno użytkowników, jak i zagnieżdżone grupy użytkowników.
Po zakończeniu zostanie wyświetlone potwierdzenie informujące o ukończonych zadaniach:
Jak wspomniano w komunikacie potwierdzającym, może upłynąć kilka minut, aż zmigrowane dane będą wyświetlane na obiektach użytkownika w ramach identyfikatora Entra firmy Microsoft. Użytkownicy mogą wyświetlać swoje zmigrowane metody, przechodząc do aka.ms/mfasetup.
Napiwek
Jeśli nie musisz wyświetlać metod uwierzytelniania wieloskładnikowego firmy Microsoft, możesz skrócić czas wymagany do wyświetlania grup. Kliknij pozycję Wyświetl>metody usługi Azure AD MFA, aby przełączyć wyświetlanie kolumn dla usługi AAD Default, AAD Telefon, AAD Alternate, AAD Office, AAD Devices i AAD OATH Token. Gdy kolumny są ukryte, niektóre wywołania interfejsu API programu Microsoft Graph są pomijane, co znacznie poprawia czas ładowania użytkownika.
Wyświetlanie szczegółów migracji
Możesz użyć dzienników inspekcji lub usługi Log Analytics, aby wyświetlić szczegóły migracji użytkowników usługi MFA do usługi Azure MFA.
Korzystanie z dzienników inspekcji
Aby uzyskać dostęp do dzienników inspekcji w centrum administracyjnym firmy Microsoft Entra, aby wyświetlić szczegóły migracji serwera MFA do usługi Azure MFA, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.
Przejdź do obszaru Monitorowanie tożsamości>i dzienniki inspekcji kondycji.> Aby filtrować dzienniki, kliknij pozycję Dodaj filtry.
Wybierz pozycję Zainicjowane przez (aktor) i kliknij przycisk Zastosuj.
Wpisz Azure MFA Management i kliknij przycisk Zastosuj.
Ten filtr wyświetla tylko dzienniki narzędzia MFA Server Migration Utility. Aby wyświetlić szczegóły migracji użytkowników, kliknij wiersz, a następnie wybierz kartę Zmodyfikowane właściwości . Ta karta zawiera zmiany zarejestrowanych metod uwierzytelniania wieloskładnikowego i numerów telefonów.
W poniższej tabeli wymieniono metodę uwierzytelniania dla każdego kodu.
Kod Method 0 Telefon komórkowy głosowy 2 Biuro głosowe 3 Alternatywny głos dla urządzeń przenośnych 5 SMS 6 Powiadomienie wypychane microsoft Authenticator 7 Token sprzętowy lub programowy OTP Jeśli przeprowadzono migrację urządzeń użytkowników, istnieje oddzielny wpis dziennika.
Korzystanie z usługi Log Analytics
Szczegółowe informacje na temat migracji użytkowników usługi MFA do usługi Azure MFA można również wykonywać przy użyciu usługi Log Analytics.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
Ten zrzut ekranu przedstawia zmiany migracji użytkowników:
Ten zrzut ekranu przedstawia zmiany migracji urządzeń:
Usługi Log Analytics można również użyć do podsumowania aktywności migracji użytkowników.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Zweryfikuj i przetestuj
Po pomyślnym przeprowadzeniu migracji danych użytkownika możesz zweryfikować środowisko użytkownika końcowego przy użyciu wdrożenia etapowego przed wprowadzeniem globalnej zmiany dzierżawy. Poniższy proces umożliwi określenie określonych grup firmy Microsoft w celu wdrożenia etapowego dla uwierzytelniania wieloskładnikowego. Wdrożenie etapowe informuje firmę Microsoft Entra ID o wykonaniu uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft dla użytkowników w grupach docelowych, a nie wysyłania ich do środowiska lokalnego w celu wykonania uwierzytelniania wieloskładnikowego. Możesz zweryfikować i przetestować — zalecamy korzystanie z centrum administracyjnego firmy Microsoft Entra, ale jeśli wolisz, możesz również użyć programu Microsoft Graph.
Włączanie wdrażania etapowego
Przejdź do następującego adresu URL: Włączanie funkcji wdrażania etapowego — Microsoft Azure.
Zmień uwierzytelnianie wieloskładnikowe platformy Azure na Włączone, a następnie kliknij pozycję Zarządzaj grupami.
Kliknij pozycję Dodaj grupy i dodaj grupy zawierające użytkowników, dla których chcesz włączyć usługę Azure MFA. Wybrane grupy są wyświetlane na wyświetlonej liście.
Uwaga
Wszystkie grupy docelowe przy użyciu poniższej metody programu Microsoft Graph również będą wyświetlane na tej liście.
Włączanie wprowadzania etapowego przy użyciu programu Microsoft Graph
Tworzenie funkcjiRolloutPolicy
Przejdź do aka.ms/ge i zaloguj się do Eksploratora programu Graph przy użyciu konta usługi Identity hybrydowej Administracja istrator w dzierżawie, którą chcesz skonfigurować na potrzeby wdrażania etapowego.
Upewnij się, że pozycja POST jest wybrana jako docelowa dla następującego punktu końcowego:
https://graph.microsoft.com/v1.0/policies/featureRolloutPoliciesTreść żądania powinna zawierać następujące elementy (zmień zasady wdrażania uwierzytelniania wieloskładnikowego na nazwę i opis organizacji):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Wykonaj polecenie GET z tym samym punktem końcowym i zanotuj wartość identyfikatora (wykreśloną na poniższej ilustracji):
Dotyczy grup firmy Microsoft, które zawierają użytkowników, których chcesz przetestować
Utwórz żądanie POST z następującym punktem końcowym (zastąp element {ID zasad} wartością identyfikatora skopiowaną z kroku 1d):
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$refTreść żądania powinna zawierać następujące elementy (zastąp element {ID grupy} identyfikatorem obiektu grupy, dla której chcesz kierować wdrożenie etapowe):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }Powtórz kroki a i b dla innych grup, dla których chcesz kierować wdrożenie etapowe.
Bieżące zasady można wyświetlić, wykonując polecenie GET względem następującego adresu URL:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesToW poprzednim procesie jest używany zasób featureRolloutPolicy. Publiczna dokumentacja nie została jeszcze zaktualizowana o nową funkcję multifactorAuthentication, ale zawiera szczegółowe informacje na temat interakcji z interfejsem API.
Upewnij się, że środowisko uwierzytelniania wieloskładnikowego użytkownika końcowego. Oto kilka rzeczy do sprawdzenia:
- Czy użytkownicy widzą swoje metody w aka.ms/mfasetup?
- Czy użytkownicy otrzymują połączenia telefoniczne/wiadomości SMS?
- Czy są one w stanie pomyślnie uwierzytelnić się przy użyciu powyższych metod?
- Czy użytkownicy pomyślnie otrzymują powiadomienia Authenticator? Czy są one w stanie zatwierdzić te powiadomienia? Czy uwierzytelnianie zakończyło się pomyślnie?
- Czy użytkownicy mogą pomyślnie uwierzytelniać się przy użyciu sprzętowych tokenów OATH?
Edukuj użytkowników
Upewnij się, że użytkownicy wiedzą, czego można oczekiwać po przeniesieniu ich do usługi Azure MFA, w tym do nowych przepływów uwierzytelniania. Możesz również poinstruować użytkowników, aby używali portalu rejestracji połączonej identyfikatora firmy Microsoft (aka.ms/mfasetup) do zarządzania metodami uwierzytelniania, a nie portalu użytkowników po zakończeniu migracji. Wszelkie zmiany wprowadzone w metodach uwierzytelniania w identyfikatorze Entra firmy Microsoft nie będą propagowane z powrotem do środowiska lokalnego. W sytuacji, w której konieczne było wycofanie się do serwera MFA, wszelkie zmiany wprowadzone przez użytkowników w identyfikatorze Entra firmy Microsoft nie będą dostępne w portalu użytkowników serwera usługi MFA.
Jeśli używasz rozwiązań innych firm, które zależą od serwera usługi Azure MFA do uwierzytelniania (zobacz Usługi uwierzytelniania), chcesz, aby użytkownicy nadal wprowadzali zmiany w metodach uwierzytelniania wieloskładnikowego w portalu użytkowników. Te zmiany zostaną automatycznie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Po przeprowadzeniu migracji tych rozwiązań innych firm możesz przenieść użytkowników na stronę rejestracji połączonej identyfikatora Entra firmy Microsoft.
Ukończ migrację użytkowników
Powtórz kroki migracji znalezione w sekcjach Migrowanie danych użytkownika i Weryfikowanie i testowanie , dopóki wszystkie dane użytkownika nie będą migrowane.
Migrowanie zależności serwera MFA
Korzystając z punktów danych zebranych w usługach uwierzytelniania, rozpocznij przeprowadzanie różnych niezbędnych migracji. Po zakończeniu należy rozważyć, aby użytkownicy zarządzali metodami uwierzytelniania w połączonym portalu rejestracji, a nie w portalu użytkowników na serwerze usługi MFA.
Aktualizowanie ustawień federacji domeny
Po zakończeniu migracji użytkowników i przeniesieniu wszystkich usług uwierzytelniania poza serwer usługi MFA nadszedł czas, aby zaktualizować ustawienia federacji domeny. Po aktualizacji firma Microsoft Entra nie wysyła już żądania uwierzytelniania wieloskładnikowego do lokalnego serwera federacyjnego.
Aby skonfigurować identyfikator entra firmy Microsoft w celu ignorowania żądań uwierzytelniania wieloskładnikowego do lokalnego serwera federacyjnego, zainstaluj zestaw SDK programu Microsoft Graph PowerShell i ustaw wartość federatedIdpMfaBehavior na rejectMfaByFederatedIdp, jak pokazano w poniższym przykładzie.
Zażądaj
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Response
Uwaga: obiekt odpowiedzi pokazany tutaj może zostać skrócony pod kątem czytelności.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Użytkownicy nie będą już przekierowywani do lokalnego serwera federacyjnego na potrzeby uwierzytelniania wieloskładnikowego niezależnie od tego, czy są one objęte narzędziem do wdrażania etapowego, czy nie. Należy pamiętać, że może to potrwać do 24 godzin.
Uwaga
Aktualizacja ustawienia federacji domeny może potrwać do 24 godzin.
Opcjonalnie: Wyłączanie portalu użytkowników serwera MFA
Po zakończeniu migracji wszystkich danych użytkownika użytkownicy końcowi mogą rozpocząć korzystanie ze połączonych stron rejestracji identyfikatora Entra firmy Microsoft w celu zarządzania metodami uwierzytelniania wieloskładnikowego. Istnieje kilka sposobów, aby uniemożliwić użytkownikom korzystanie z portalu użytkowników na serwerze MFA:
- Przekieruj adres URL portalu użytkowników serwera MFA do aka.ms/mfasetup
- Wyczyść pole wyboru Zezwalaj użytkownikom na logowanie się na karcie Ustawienia w sekcji Portal użytkowników serwera MFA, aby uniemożliwić użytkownikom całkowite logowanie się do portalu.
Likwiduj serwer usługi MFA
Jeśli serwer usługi Azure MFA nie jest już potrzebny, postępuj zgodnie z normalnymi rozwiązaniami dotyczącymi wycofywania serwera. W identyfikatorze Entra firmy Microsoft nie jest wymagana żadna specjalna akcja wskazująca wycofanie serwera MFA.
Plan wycofywania
Jeśli uaktualnienie miało problemy, wykonaj następujące kroki, aby wycofać następujące czynności:
Odinstaluj serwer MFA 8.1.
Zastąp wartość Telefon Factor.pfdata kopią zapasową wykonaną przed uaktualnieniem.
Uwaga
Wszelkie zmiany od czasu utworzenia kopii zapasowej zostaną utracone, ale powinny być minimalne, jeśli kopia zapasowa została utworzona bezpośrednio przed uaktualnieniem i uaktualnieniem nie powiodło się.
Uruchom instalatora dla poprzedniej wersji (na przykład 8.0.x.x).
Skonfiguruj identyfikator entra firmy Microsoft, aby akceptował żądania uwierzytelniania wieloskładnikowego na lokalnym serwerze federacyjnym. Użyj programu Graph PowerShell, aby ustawić wartość federatedIdpMfaBehavior na
enforceMfaByFederatedIdpwartość , jak pokazano w poniższym przykładzie.Zażądaj
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }Następujący obiekt odpowiedzi został skrócony w celu zapewnienia czytelności.
Response
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Ustaw opcję Wdrażanie etapowe dla usługi Azure MFA na wyłączone. Użytkownicy będą po raz kolejny przekierowywani do lokalnego serwera federacyjnego na potrzeby uwierzytelniania wieloskładnikowego.