Najlepsze rozwiązania dotyczące migrowania aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft

Wiesz już, że usługa Azure Active Directory jest teraz identyfikatorem Entra firmy Microsoft i uważasz, że warto przeprowadzić migrację usługi federacyjnej Active Directory (AD FS) do uwierzytelniania w chmurze (AuthN) w identyfikatorze Entra firmy Microsoft. Podczas przeglądania opcji zapoznaj się z naszymi rozległymi zasobami dotyczącymi migrowania aplikacji do identyfikatora Entra firmy Microsoft i najlepszych rozwiązań.

Dopóki nie będzie można migrować usług AD FS do usługi Microsoft Entra ID, chroń zasoby lokalne za pomocą usługi Microsoft Defender for Identity. Możesz aktywnie znaleźć i poprawić luki w zabezpieczeniach. Korzystaj z ocen, analizy i analizy danych, oceniania priorytetu badania użytkowników i automatycznego reagowania na tożsamości, których bezpieczeństwo jest naruszone. Migracja do chmury oznacza, że Organizacja może korzystać z nowoczesnego uwierzytelniania, takiego jak metody bez hasła do uwierzytelniania.

Oto powody, dla których można zrezygnować z migracji usług AD FS:

• Środowisko ma płaskie nazwy użytkowników (takie jak identyfikator pracownika).
• Potrzebujesz więcej opcji dla niestandardowych dostawców uwierzytelniania wieloskładnikowego.
• Rozwiązania do uwierzytelniania urządzeń są używane z systemów mdm (MDM) innych Zarządzanie urządzeniami firm, takich jak VMware.
• Usługi AD FS są podwójnie przekazywane z wieloma chmurami.
• Musisz mieć sieci szczelinowe.

Migrowanie aplikacji

Zaplanuj wdrożenie migracji aplikacji etapowych i wybierz użytkowników, aby uwierzytelnić się w identyfikatorze Entra firmy Microsoft na potrzeby testowania. Skorzystaj ze wskazówek w temacie Planowanie migracji aplikacji do identyfikatora Entra firmy Microsoft i zasobów, aby migrować aplikacje do identyfikatora Entra firmy Microsoft.

Dowiedz się więcej w poniższym filmie wideo: Bezproblemowa migracja aplikacji przy użyciu identyfikatora Entra firmy Microsoft.

Narzędzie do migracji aplikacji

Obecnie w wersji zapoznawczej migracja aplikacji usług AD FS w celu przeniesienia aplikacji usług AD FS do firmy Microsoft Entra ID to przewodnik dla administratorów IT migracji aplikacji jednostki uzależnionej usług AD FS z usług AD FS do microsoft Entra ID. Kreator migracji aplikacji usług AD FS zapewnia ujednolicone środowisko odnajdywania, oceniania i konfigurowania nowych aplikacji firmy Microsoft Entra. Ma on konfigurację jednym kliknięciem dla podstawowych adresów URL SAML, mapowania oświadczeń i przypisań użytkowników w celu zintegrowania aplikacji z identyfikatorem Microsoft Entra ID. Istnieje kompleksowa obsługa migrowania lokalnych aplikacji usług AD FS z następującymi funkcjami:

• Aby ułatwić identyfikowanie użycia i wpływu aplikacji, oceń działania logowania aplikacji jednostki uzależnionej usług AD FS
• Aby pomóc w ustaleniu blokad migracji i wymaganych akcji migracji aplikacji do identyfikatora Entra firmy Microsoft, przeanalizuj możliwości migracji usług AD FS do firmy Microsoft Entra
• Aby automatycznie skonfigurować nową aplikację Firmy Microsoft Entra dla aplikacji usług AD FS, skonfiguruj nowe aplikacje firmy Microsoft Entra za pomocą procesu migracji aplikacji jednym kliknięciem

Faza 1. Odnajdywanie i określanie zakresu aplikacji

Podczas odnajdywania aplikacji uwzględnij aplikacje w programowaniu i planowanych aplikacjach. Określ ich zakres, aby używać identyfikatora Entra firmy Microsoft do uwierzytelniania po zakończeniu migracji.

Użyj raportu aktywności, aby przenieść aplikacje usług AD FS do identyfikatora Entra firmy Microsoft. Ten raport ułatwia identyfikowanie aplikacji, które mogą migrować do identyfikatora Entra firmy Microsoft. Ocenia ona aplikacje usług AD FS pod kątem zgodności firmy Microsoft, sprawdza problemy i zawiera wskazówki dotyczące przygotowywania poszczególnych aplikacji do migracji.

Użyj usług AD FS do microsoft Entra App Migration Tool , aby zbierać aplikacje jednostki uzależnionej z serwera usług AD FS i analizować konfigurację. Z tej analizy raport pokazuje, które aplikacje kwalifikują się do migracji do identyfikatora Entra firmy Microsoft. W przypadku aplikacji niekwalifikowanych możesz przejrzeć wyjaśnienia, dlaczego nie mogą migrować.

Zainstaluj program Microsoft Entra Connect dla środowisk lokalnych za pomocą agentów kondycji programu Microsoft Entra Connect usług AD FS.

Dowiedz się więcej na temat co to jest microsoft Entra Connect?

Faza 2. Klasyfikowanie aplikacji i planowanie pilotażowe

Klasyfikowanie migracji aplikacji jest ważnym ćwiczeniem. Planowanie migracji i przejścia aplikacji w fazach po podjęciu decyzji o kolejności migracji aplikacji. Uwzględnij następujące kryteria klasyfikacji aplikacji:

• Nowoczesne protokoły uwierzytelniania, takie jak aplikacje oprogramowania jako usługi (SaaS) innych firm w galerii aplikacji Firmy Microsoft Entra, ale nie za pośrednictwem identyfikatora Entra firmy Microsoft.
• Starsze protokoły uwierzytelniania do modernizacji, takie jak aplikacje SaaS innych firm (nie w galerii, ale można dodać do galerii).
• Aplikacje federacyjne korzystające z usług AD FS i mogą migrować do identyfikatora Entra firmy Microsoft.
• Starsze protokoły uwierzytelniania NIE do modernizacji. Modernizacja może wykluczać protokoły za serwer proxy aplikacji sieci Web (WinSCP (WAP), które mogą używać serwera proxy aplikacji firmy Microsoft i kontrolerów dostarczania aplikacji/aplikacji, które mogą używać bezpiecznego dostępu hybrydowego.
• Nowe aplikacje biznesowe (LOB).
• Aplikacje do wycofania mogą mieć funkcje nadmiarowe z innymi systemami i bez właściciela firmy ani użycia.

Podczas wybierania pierwszych aplikacji do migracji zachowaj prostotę. Kryteria mogą obejmować aplikacje SaaS w galerii, które obsługują wiele połączeń dostawcy tożsamości (IdP). Istnieją aplikacje z dostępem do wystąpienia testowego, aplikacjami z prostymi regułami oświadczeń i aplikacjami kontrolującymi dostęp odbiorców.

Faza 3. Planowanie migracji i testowania

Narzędzia do migracji i testowania obejmują zestaw narzędzi migracji aplikacji Firmy Microsoft Entra do odnajdywania, klasyfikowania i migrowania aplikacji. Zapoznaj się z listą samouczków aplikacji SaaS i planu wdrożenia logowania jednokrotnego (SSO) firmy Microsoft, który zawiera szczegółowe instrukcje dotyczące procesu kompleksowego.

Dowiedz się więcej o serwerze proxy aplikacji Entra firmy Microsoft i skorzystaj z kompletnego planu wdrożenia serwera proxy aplikacji Entra firmy Microsoft. Rozważ bezpieczny dostęp hybrydowy (SHA), aby chronić aplikacje uwierzytelniania lokalnego i w chmurze, łącząc je z identyfikatorem Entra firmy Microsoft. Użyj programu Microsoft Entra Connect , aby zsynchronizować użytkowników i grupy usług AD FS z identyfikatorem Entra firmy Microsoft.

Faza 4. Planowanie zarządzania i szczegółowych informacji

Po przeprowadzeniu migracji aplikacji postępuj zgodnie ze wskazówkami dotyczącymi zarządzania i szczegółowych informacji , aby zapewnić użytkownikom bezpieczny dostęp do aplikacji i zarządzanie nimi. Uzyskiwanie i udostępnianie szczegółowych informacji o użyciu i kondycji aplikacji.

W centrum administracyjnym firmy Microsoft Entra przeprowadź inspekcję wszystkich aplikacji przy użyciu następujących metod:

• Przeprowadź inspekcję aplikacji za pomocą aplikacji dla przedsiębiorstw, inspekcji lub uzyskaj dostęp do tych samych informacji z interfejsu API raportowania Entra firmy Microsoft, aby zintegrować je z ulubionymi narzędziami.
• Wyświetlanie uprawnień aplikacji za pomocą aplikacji dla przedsiębiorstw, uprawnienia dla aplikacji przy użyciu protokołu Open Authorization (OAuth)/OpenID Connect.
• Uzyskaj szczegółowe informacje dotyczące logowania przy użyciu aplikacji dla przedsiębiorstw, logów i interfejsu API raportowania firmy Microsoft Entra.
• Wizualizowanie użycia aplikacji ze skoroszytów firmy Microsoft Entra.

Przygotowywanie środowiska weryfikacji

Zarządzanie produktami i usługami microsoft Identity oraz zarządzanie nimi oraz zarządzanie nimi za pomocą narzędzia MSIdentityTools w Galeria programu PowerShell. Monitorowanie infrastruktury usług AD FS za pomocą programu Microsoft Entra Connect Health. Tworzenie aplikacji testowych w usługach AD FS i regularne generowanie aktywności użytkownika, monitorowanie działania w centrum administracyjnym firmy Microsoft Entra.

Podczas synchronizowania obiektów z identyfikatorem Entra firmy Microsoft sprawdź reguły oświadczeń zaufania jednostki uzależnionej usług AD FS dla grup, użytkowników i atrybutów użytkownika używanych w regułach oświadczeń dostępnych w chmurze. Upewnij się, że synchronizacja kontenerów i atrybutów.

Różnice w scenariuszach migracji aplikacji

Plan migracji aplikacji wymaga szczególnej uwagi, gdy środowisko obejmuje następujące scenariusze. Skorzystaj z linków, aby uzyskać więcej wskazówek.

• Certyfikaty. (Globalny certyfikat podpisywania usług AD FS). W usłudze Microsoft Entra ID można użyć jednego certyfikatu dla każdej aplikacji lub jednego certyfikatu dla wszystkich aplikacji. Zasuń daty wygaśnięcia i skonfiguruj przypomnienia. Delegowanie zarządzania certyfikatami do ról z najniższymi uprawnieniami. Zapoznaj się z typowymi pytaniami i informacjami dotyczącymi certyfikatów tworzonych przez microsoft Entra ID w celu ustanowienia federacyjnego logowania jednokrotnego do aplikacji SaaS.
• Reguły oświadczeń i podstawowe mapowanie atrybutów. W przypadku aplikacji SaaS może być konieczne tylko podstawowe mapowanie atrybut-to-claim. Dowiedz się, jak dostosować oświadczenia tokenu SAML.
• Wyodrębnij nazwę użytkownika z nazwy UPN. Identyfikator entra firmy Microsoft obsługuje przekształcanie oparte na wyrażeniach regularnych (również związane z dostosowywaniem oświadczeń tokenu SAML).
• Oświadczenia grupy. Emituj oświadczenia grupy filtrowane przez użytkowników, którzy są członkami i przypisani do aplikacji. Oświadczenia grup dla aplikacji można skonfigurować przy użyciu identyfikatora Entra firmy Microsoft.
• Serwer proxy aplikacji sieci Web. Publikowanie za pomocą serwera proxy aplikacji Microsoft Entra w celu bezpiecznego łączenia się z lokalnymi aplikacjami internetowymi bez sieci VPN. Zapewnianie dostępu zdalnego do lokalnych aplikacji internetowych i natywnej obsługi starszych protokołów uwierzytelniania.

Plan procesu migracji aplikacji

Rozważ uwzględnienie poniższych kroków w procesie migracji aplikacji.

• Sklonuj konfigurację aplikacji usług AD FS. Skonfiguruj testowe wystąpienie aplikacji lub użyj pozornej aplikacji w testowej dzierżawie firmy Microsoft Entra. Mapowanie ustawień usług AD FS na konfiguracje firmy Microsoft Entra. Zaplanuj wycofanie. Przełącz wystąpienie testowe na identyfikator Entra firmy Microsoft i zweryfikuj je.
• Konfigurowanie oświadczeń i identyfikatorów. Aby potwierdzić i rozwiązać problemy, naśladuj aplikacje produkcyjne. Wskaż wystąpienie testowe aplikacji do aplikacji testowej Microsoft Entra ID. Zweryfikuj i rozwiąż problemy z dostępem, aktualizując konfigurację zgodnie z potrzebami.
• Przygotuj wystąpienie produkcyjne do migracji. Dodaj aplikację produkcyjną do identyfikatora Entra firmy Microsoft na podstawie wyników testu. W przypadku aplikacji, które zezwalają na wielu dostawców tożsamości (IDP), skonfiguruj identyfikator Entra firmy Microsoft jako dodany dostawcę tożsamości do wystąpienia produkcyjnego.
• Przełącz wystąpienie produkcyjne, aby używać identyfikatora Entra firmy Microsoft. W przypadku aplikacji, które zezwalają na wiele jednoczesnych dostawców tożsamości, zmień domyślny identyfikator idP na Microsoft Entra ID. W przeciwnym razie skonfiguruj identyfikator Entra firmy Microsoft jako dostawcę tożsamości w wystąpieniu produkcyjnym. Zaktualizuj wystąpienie produkcyjne, aby używało aplikacji produkcyjnej Firmy Microsoft Entra jako podstawowego dostawcy tożsamości.
• Migrowanie pierwszej aplikacji, uruchamianie testów migracji i rozwiązywanie problemów. Odwołuje się do stanu migracji w raportach aktywności aplikacji usług AD FS, które zawierają wskazówki dotyczące rozwiązywania potencjalnych problemów z migracją.
• Migrowanie na dużą skalę. Migrowanie aplikacji i użytkowników w fazach. Użyj identyfikatora Entra firmy Microsoft, aby zarządzać migrowanymi aplikacjami i użytkownikami podczas wystarczającego testowania uwierzytelniania.
• Usuń federację. Upewnij się, że farma usług AD FS nie jest już używana do uwierzytelniania. Użyj konfiguracji powrotu po awarii, tworzenia kopii zapasowej i eksportowania powiązanych konfiguracji.

Migrowanie uwierzytelniania

Podczas przygotowywania się do migracji uwierzytelniania zdecyduj, które metody uwierzytelniania są potrzebne w organizacji.

• Synchronizacja skrótów haseł (PHS) z identyfikatorem Entra firmy Microsoft jest dostępna do pracy w trybie failover lub jako uwierzytelnianie użytkownika podstawowego końcowego. Skonfiguruj wykrywanie ryzyka w ramach Ochrona tożsamości Microsoft Entra. Zapoznaj się z samouczkiem dotyczącym identyfikowania i korygowania ryzyka przy użyciu interfejsu API programu Microsoft Graph i dowiedz się, jak zaimplementować synchronizację skrótów haseł z usługą Microsoft Entra Connect Sync.
• Uwierzytelnianie oparte na certyfikatach firmy Microsoft (CBA) jest uwierzytelniane bezpośrednio względem identyfikatora Entra firmy Microsoft bez konieczności federacyjnego dostawcy tożsamości. Najważniejsze korzyści obejmują funkcje, które pomagają poprawić bezpieczeństwo dzięki odpornej na phish CBA i spełniają wymagania zarządu wykonawczego (EO) 14028 dla uwierzytelniania wieloskładnikowego odpornego na phish. Obniżasz koszty i ryzyko związane z lokalną infrastrukturą federacyjną i upraszczasz środowisko zarządzania w usłudze Microsoft Entra ID z szczegółowymi mechanizmami kontroli.
• Microsoft Entra Connect: uwierzytelnianie przekazywane (PTA) używa agenta oprogramowania do nawiązywania połączenia z hasłami przechowywanymi lokalnie w celu weryfikacji. Użytkownicy logować się do aplikacji w chmurze przy użyciu tej samej nazwy użytkownika i hasła dla zasobów lokalnych, bezproblemowo współpracując z zasadami dostępu warunkowego firmy Microsoft Entra. Blokada inteligentna zapobiega atakom siłowymi. Zainstaluj agentów uwierzytelniania lokalnie przy użyciu bieżącej infrastruktury usługi Microsoft Windows Server Active Directory. Użyj ptA, jeśli wymagania prawne określają, że skróty haseł nie mogą być synchronizowane z identyfikatorem Entra firmy Microsoft; w przeciwnym razie należy użyć phS.
• Bieżące środowisko logowania jednokrotnego bez usług AD FS. Bezproblemowe logowanie jednokrotne (SSO) zapewnia środowisko logowania jednokrotnego z urządzeń przyłączonych do domeny w sieci corpnet (Kerberos). Współpracuje z PHS, PTA i CBA i nie potrzebuje innej infrastruktury lokalnej. Możesz zezwolić użytkownikom na logowanie się do identyfikatora Entra firmy Microsoft przy użyciu adresu e-mail jako alternatywnego identyfikatora logowania przy użyciu tych samych poświadczeń co lokalne środowisko katalogowe. W przypadku uwierzytelniania hybrydowego użytkownicy potrzebują jednego zestawu poświadczeń.
• Zalecenie: PHS over PTA, uwierzytelnianie bez hasła w usłudze Microsoft Entra ID z Windows Hello dla firm, kluczami zabezpieczeń FIDO2 lub Microsoft Authenticator. Jeśli planujesz użyć Windows Hello dla firm zaufania certyfikatu hybrydowego, najpierw przeprowadź migrację do relacji zaufania chmury, aby ponownie wyrejestrować wszystkich użytkowników.

Zasady haseł i uwierzytelniania

Dzięki dedykowanym zasadom dla lokalnych usług AD FS i Microsoft Entra ID dostosuj zasady wygasania haseł lokalnie i w identyfikatorze Entra firmy Microsoft. Rozważ zaimplementowanie połączonych zasad haseł i sprawdzenie słabych haseł w identyfikatorze Entra firmy Microsoft. Po przełączeniu się do domeny zarządzanej mają zastosowanie oba zasady wygasania haseł.

Zezwól użytkownikom na resetowanie zapomnianych haseł za pomocą samoobsługowego resetowania haseł (SSPR), aby zmniejszyć koszty pomocy technicznej. Ogranicz metody uwierzytelniania oparte na urządzeniach. Modernizuj zasady haseł, aby nie mieć okresowych wygasań z możliwością odwołania w przypadku zagrożenia. Blokuj słabe hasła i sprawdzaj hasła względem zakazanych list haseł. Włącz ochronę haseł zarówno dla lokalnych usług AD FS, jak i w chmurze.

Migruj starsze ustawienia zasad identyfikatora Entra firmy Microsoft, które oddzielnie kontrolują uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła w celu ujednoliconego zarządzania przy użyciu zasad metod uwierzytelniania. Migrowanie ustawień zasad za pomocą procesu odwracalnego. Można nadal używać uwierzytelniania wieloskładnikowego dla całej dzierżawy i zasad samoobsługowego resetowania hasła, podczas gdy konfigurujesz metody uwierzytelniania dokładnie dla użytkowników i grup.

Ponieważ logowanie do systemu Windows i inne metody bez hasła wymagają szczegółowej konfiguracji, włącz logowanie przy użyciu kluczy zabezpieczeń Microsoft Authenticator i FIDO2. Użyj grup do zarządzania użytkownikami wdrożenia i zakresu.

Automatycznej tolerancji logowania można skonfigurować przy użyciu odnajdywania obszaru głównego. Dowiedz się, jak używać logowania automatycznego do pomijania ekranu wprowadzania nazwy użytkownika i automatycznego przekazywania użytkowników do federacyjnych punktów końcowych logowania. Zapobiegaj automatycznej tolerancji logowania przy użyciu zasad odnajdywania obszaru głównego, aby mieć wiele sposobów kontrolowania sposobu i miejsca uwierzytelniania użytkowników.

Zasady wygasania konta

Atrybut accountExpires zarządzania kontami użytkowników nie jest synchronizowany z identyfikatorem Entra firmy Microsoft. W związku z tym wygasłe konto usługi Active Directory w środowisku skonfigurowanym do synchronizacji skrótów haseł jest aktywne w identyfikatorze Entra firmy Microsoft. Użyj zaplanowanego skryptu programu PowerShell, aby wyłączyć konta usługi Microsoft Windows Server Active Directory po wygaśnięciu, takie jak polecenie cmdlet Set-ADUser. Z drugiej strony podczas usuwania wygaśnięcia z konta usługi Microsoft Windows Server Active Directory można ponownie przywrócić konto.

Dzięki identyfikatorowi Entra firmy Microsoft można zapobiegać atakom przy użyciu inteligentnej blokady. Zablokuj konta w chmurze przed zablokowaniem ich w środowisku lokalnym w celu wyeliminowania ataków siłowych. Mieć krótszy interwał dla chmury, zapewniając, że próg lokalny jest co najmniej dwa do trzech razy większy niż próg firmy Microsoft Entra. Ustaw czas trwania blokady entra firmy Microsoft dłuższy niż czas trwania lokalnego. Po zakończeniu migracji skonfiguruj ochronę przed inteligentną blokadą ekstranetu ekstranetu (ESL).

Planowanie wdrożenia dostępu warunkowego

Elastyczność zasad dostępu warunkowego wymaga starannego planowania. Przejdź do sekcji Planowanie wdrożenia dostępu warunkowego firmy Microsoft w celu wykonania kroków planowania. Oto kluczowe kwestie, które należy wziąć pod uwagę:

• Wersje robocze zasad dostępu warunkowego z zrozumiałymi konwencjami nazewnictwa
• Użyj arkusza kalkulacyjnego punktów decyzyjnych projektu z następującymi polami:
  • Czynniki przypisania: użytkownik, aplikacje w chmurze
  • Warunki: lokalizacje, typ urządzenia, typ aplikacji klienckich, ryzyko logowania
  • Kontrolki: blokuj, wymagane uwierzytelnianie wieloskładnikowe, dołączone hybrydowa usługa Microsoft Windows Server Active Directory, wymagane zgodne urządzenie, zatwierdzony typ aplikacji klienckiej
• Wybieranie małych zestawów użytkowników testowych dla zasad dostępu warunkowego
• Testowanie zasad dostępu warunkowego w trybie tylko do raportowania
• Weryfikowanie zasad dostępu warunkowego za pomocą narzędzia zasad analizy warunkowej
• Korzystanie z szablonów dostępu warunkowego, zwłaszcza jeśli twoja organizacja jest nowa w dostępie warunkowym

Zasady dostępu warunkowego

Po zakończeniu uwierzytelniania pierwszego składnika wymuszaj zasady dostępu warunkowego. Dostęp warunkowy nie jest obroną linii frontu w scenariuszach, takich jak ataki typu "odmowa usługi" (DoS). Jednak dostęp warunkowy może używać sygnałów z tych zdarzeń, takich jak ryzyko logowania i lokalizacja żądania w celu określenia dostępu. Przepływ zasad dostępu warunkowego analizuje sesję i jej warunki, a następnie udostępnia wyniki do centralnego aparatu zasad.

W przypadku dostępu warunkowego ogranicz dostęp do zatwierdzonych, nowoczesnych aplikacji klienckich obsługujących uwierzytelnianie przy użyciu zasad ochrony aplikacji usługi Intune. W przypadku starszych aplikacji klienckich, które mogą nie obsługiwać zasad ochrony aplikacji, ogranicz dostęp do zatwierdzonych aplikacji klienckich.

Automatycznie chroń aplikacje na podstawie atrybutów. Aby zmienić atrybuty zabezpieczeń klienta, użyj dynamicznego filtrowania aplikacji w chmurze, aby dodać i usunąć zakres zasad aplikacji. Użyj niestandardowych atrybutów zabezpieczeń, aby kierować do aplikacji firmy Microsoft, które nie są wyświetlane w selektorze aplikacji dostępu warunkowego.

Użyj kontroli siły uwierzytelniania dostępu warunkowego, aby określić, która kombinacja metod uwierzytelniania uzyskuje dostęp do zasobu. Na przykład udostępnij metody uwierzytelniania odporne na wyłudzanie informacji, aby uzyskać dostęp do poufnego zasobu.

Ocena kontrolek niestandardowych w dostępie warunkowym. Użytkownicy przekierowują się do zgodnej usługi, aby spełnić wymagania dotyczące uwierzytelniania poza identyfikatorem Entra firmy Microsoft. Microsoft Entra ID weryfikuje odpowiedź i, jeśli użytkownik został uwierzytelniony lub zweryfikowany, następnie kontynuuje przepływ dostępu warunkowego. Jak wspomniano w temacie Nadchodzące zmiany w kontrolkach niestandardowych, funkcje uwierzytelniania udostępniane przez partnerów bezproblemowo współpracują z administratorem firmy Microsoft i środowiskami użytkownika końcowego.

Niestandardowe rozwiązania do uwierzytelniania wieloskładnikowego

Jeśli używasz niestandardowych dostawców uwierzytelniania wieloskładnikowego, rozważ migrację z serwera Multi-Factor Authentication do uwierzytelniania wieloskładnikowego firmy Microsoft. W razie potrzeby użyj narzędzia migracji serwera Multi-Factor Authentication, aby przeprowadzić migrację do uwierzytelniania wieloskładnikowego. Dostosuj środowisko użytkownika końcowego przy użyciu ustawień progu blokady konta, alertu oszustwa i powiadomienia.

Dowiedz się, jak przeprowadzić migrację do uwierzytelniania wieloskładnikowego i uwierzytelniania użytkowników firmy Microsoft Entra. Przenieś wszystkie aplikacje, usługę uwierzytelniania wieloskładnikowego i uwierzytelnianie użytkowników do identyfikatora Entra firmy Microsoft.

Możesz włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft i dowiedzieć się, jak tworzyć zasady dostępu warunkowego dla grup użytkowników, konfigurować warunki zasad monitujące o uwierzytelnianie wieloskładnikowe oraz testować konfigurację użytkownika i korzystać z uwierzytelniania wieloskładnikowego.

Rozszerzenie serwera zasad sieciowych (NPS) na potrzeby uwierzytelniania wieloskładnikowego dodaje możliwości uwierzytelniania wieloskładnikowego opartego na chmurze do infrastruktury uwierzytelniania przy użyciu serwerów. Jeśli używasz uwierzytelniania wieloskładnikowego firmy Microsoft z serwerem NPS, określ, co może migrować do nowoczesnych protokołów, takich jak Security Assertion Markup Language (SAML) i OAuth2. Oceń serwer proxy aplikacji Entra firmy Microsoft pod kątem dostępu zdalnego i użyj bezpiecznego dostępu hybrydowego (SHA), aby chronić starsze aplikacje przy użyciu identyfikatora Entra firmy Microsoft.

Monitorowanie logów

Użyj programu Connect Health, aby zintegrować logowania usług AD FS w celu skorelowania wielu identyfikatorów zdarzeń z usług AD FS, w zależności od wersji serwera, aby uzyskać informacje o żądaniu i szczegółach błędu. Raport logowania firmy Microsoft Entra zawiera informacje o tym, kiedy użytkownicy, aplikacje i zarządzane zasoby logować się do identyfikatora Entra firmy Microsoft i uzyskiwać dostęp do zasobów. Te informacje są skorelowane ze schematem raportu logowania firmy Microsoft i są wyświetlane w środowisku użytkownika raportu logowania firmy Microsoft Entra. W raporcie strumień usługi Log Analytics zapewnia dane usług AD FS. Użyj i zmodyfikuj szablon skoroszytu usługi Azure Monitor na potrzeby analizy scenariusza. Przykłady obejmują blokady kont usług AD FS, nieprawidłowe próby hasła i wzrost nieoczekiwanych prób logowania.

Firma Microsoft Entra rejestruje wszystkie logowania do dzierżawy platformy Azure, która obejmuje wewnętrzne aplikacje i zasoby. Przejrzyj błędy i wzorce logowania, aby uzyskać wgląd w sposób, w jaki użytkownicy uzyskują dostęp do aplikacji i usług. Dzienniki logowania w identyfikatorze Entra firmy Microsoft są przydatnymi dziennikami aktywności do analizy. Skonfiguruj dzienniki z maksymalnie 30-dniowym przechowywaniem danych, w zależności od licencjonowania i wyeksportuj je do systemów azure Monitor, Sentinel, Splunk i innych systemów zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Oświadczenia wewnątrz sieci firmowej

Niezależnie od tego, gdzie żądania pochodzą lub jakie zasoby uzyskują dostęp, model Zero Trust uczy nas "Nigdy nie ufaj, zawsze weryfikuj". Zabezpiecz wszystkie lokalizacje tak, jakby były poza siecią firmową. Zadeklaruj wewnątrz sieci jako zaufane lokalizacje, aby zmniejszyć liczbę wyników fałszywie dodatnich ochrony tożsamości. Wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i ustanawianie zasad dostępu warunkowego opartego na urządzeniach.

Uruchom zapytanie w dziennikach logowania, aby odnaleźć użytkowników łączących się z sieci firmowej, ale nie są przyłączone hybrydowo do firmy Microsoft Entra ani zgodne. Rozważ użytkowników na zgodnych urządzeniach i korzystanie z nieobsługiwanych przeglądarek, takich jak Firefox lub Chrome bez rozszerzenia. Zamiast tego należy użyć domeny komputera i stanu zgodności.

Testowanie migracji uwierzytelniania etapowego i migracja jednorazowa

Na potrzeby testowania użyj uwierzytelniania w chmurze Microsoft Entra Connect z wdrożeniem etapowym, aby kontrolować uwierzytelnianie użytkowników testowych za pomocą grup. Selektywne testowanie grup użytkowników przy użyciu funkcji uwierzytelniania w chmurze, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft, dostęp warunkowy i Ochrona tożsamości Microsoft Entra. Nie należy jednak używać wprowadzania etapowego na potrzeby migracji przyrostowych.

Aby ukończyć migrację do uwierzytelniania w chmurze, użyj rozwiązania Staged Rollout, aby przetestować nowe metody logowania. Konwertowanie domen z federacyjnego na uwierzytelnianie zarządzane . Zacznij od domeny testowej lub domeny z najmniejszą liczbą użytkowników.

Planowanie odcięcia domeny w godzinach pracy poza godzinami pracy, w razie potrzeby wycofania. Aby zaplanować wycofanie, użyj bieżących ustawień federacji. Zapoznaj się z przewodnikiem projektowania i wdrażania federacji.

Uwzględnij konwersję domen zarządzanych na domeny federacyjne w procesie wycofywania. Użyj polecenia cmdlet New-MgDomainFederationConfiguration. W razie potrzeby skonfiguruj dodatkowe reguły oświadczeń. Aby upewnić się, że ukończony proces, pozostaw wycofane wdrożenie etapowe przez 24 do 48 godzin po zakończeniu migracji jednorazowej. Usuń użytkowników i grupy z etapowego wprowadzania, a następnie wyłącz je.

Po zakończeniu migracji jednorazowej co 30 dni przerzuć klucz na bezproblemowe logowanie jednokrotne:

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Likwiduj usługi AD FS

Monitorowanie działań usług AD FS z programu Connect Health Usage Analytics dla usług AD FS. Najpierw włącz inspekcję dla usług AD FS. Przed zlikwidowanie farmy usług AD FS upewnij się, że nie ma żadnych działań usług AD FS. Skorzystaj z przewodnika likwidu usług AD FS i odwołania do likwidacji usług AD FS. Oto podsumowanie kluczowych kroków likwidowania.

1. Utwórz ostateczną kopię zapasową przed zlikwidowaniem serwerów usług AD FS.
2. Usuń wpisy usług AD FS z wewnętrznych i zewnętrznych modułów równoważenia obciążenia.
3. Usuń odpowiednie wpisy serwera nazw domen (DNS) dla nazw farm serwerów usług AD FS.
4. Na podstawowym serwerze usług AD FS uruchom polecenie Get-ADFSProperties i wyszukaj pozycję CertificateSharingContainer.

   Uwaga

   Usuń nazwę domeny (DN) pod koniec instalacji, po kilku ponownych rozruchach i gdy nie jest już dostępna.

5. Usuń bazę danych konfiguracji usług AD FS, jeśli używa wystąpienia bazy danych programu SQL Server jako magazynu.
6. Odinstaluj serwery WAP.
7. Odinstaluj serwery usług AD FS.
8. Usuń certyfikaty protokołu SSL (Secure Sockets Layer) usług AD FS z każdego magazynu serwera.
9. Z obrazu serwerów usług AD FS z pełnym formatowaniem dysku.
10. Usuń konto usług AD FS.
11. Użyj edycji interfejsów usługi Active Directory (ADSI), aby usunąć zawartość nazwy DN certyfikatówUsharingContainer.

Następne kroki

• Migrowanie z federacji do uwierzytelniania w chmurze w usłudze Microsoft Entra ID wyjaśnia, jak wdrożyć uwierzytelnianie użytkowników w chmurze za pomocą synchronizacji skrótów haseł firmy Microsoft (PHS) lub uwierzytelniania przekazywanego (PTA)
• Zasoby do migrowania aplikacji do identyfikatora Entra firmy Microsoft ułatwiają migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft
• Planowanie migracji aplikacji do identyfikatora Entra firmy Microsoft opisuje zalety identyfikatora Entra firmy Microsoft i sposób planowania migracji uwierzytelniania aplikacji
• Używanie programu Microsoft Entra Connect Health z dokumentacją usług AD FS na temat monitorowania infrastruktury usług AD FS za pomocą programu Microsoft Entra Connect Health
• Metody uwierzytelniania zarządzają metodami uwierzytelniania, które obsługują scenariusze logowania
• Planowanie wdrożenia dostępu warunkowego wyjaśnia, jak używać dostępu warunkowego do automatyzowania decyzji i wymuszania zasad dostępu organizacyjnego dla zasobów
• Microsoft Entra Connect: Uwierzytelnianie w chmurze za pośrednictwem wdrożenia etapowego opisuje sposób selektywnego testowania grup użytkowników z funkcjami uwierzytelniania w chmurze przed przecięciem domen
• Przewodnik likwidowania usług Active Directory Federation Services (AD FS) zawiera zalecenia dotyczące likwidowania