Udostępnij za pośrednictwem

Migracja serwera MFA

  • Artykuł

W tym temacie opisano sposób migrowania ustawień uwierzytelniania wieloskładnikowego dla użytkowników usługi Microsoft Entra z lokalnego serwera uwierzytelniania wieloskładnikowego firmy Microsoft do uwierzytelniania wieloskładnikowego firmy Microsoft.

Omówienie rozwiązania

Narzędzie MFA Server Migration Utility ułatwia synchronizowanie danych uwierzytelniania wieloskładnikowego przechowywanych w lokalnym serwerze uwierzytelniania wieloskładnikowego firmy Microsoft entra bezpośrednio do uwierzytelniania wieloskładnikowego firmy Microsoft. Po przeprowadzeniu migracji danych uwierzytelniania do identyfikatora Entra firmy Microsoft użytkownicy mogą bezproblemowo wykonywać uwierzytelnianie wieloskładnikowe oparte na chmurze bez konieczności ponownego rejestrowania lub potwierdzania metod uwierzytelniania. Administratorzy mogą używać narzędzia do migracji serwera MFA, aby wybierać pojedynczych użytkowników lub grupy użytkowników w celu przetestowania i kontrolowanego wdrażania, bez konieczności wprowadzania żadnych zmian w całej dzierżawie.

Wideo: Jak używać narzędzia do migracji serwera MFA

Zapoznaj się z naszym filmem wideo, aby zapoznać się z omówieniem narzędzia do migracji serwera MFA i jego działaniem.

Ograniczenia i wymagania

  • Narzędzie do migracji serwera MFA wymaga nowej kompilacji rozwiązania serwera MFA, które ma zostać zainstalowane na podstawowym serwerze usługi MFA. Kompilacja tworzy aktualizacje pliku danych serwera MFA i zawiera nowe narzędzie do migracji serwera MFA. Nie musisz aktualizować zestawu WebSDK ani portalu użytkowników. Zainstalowanie aktualizacji nie automatyczne uruchamianie migracji.

    Notatka

    Narzędzie do migracji serwera MFA można wykonać na pomocniczym serwerze MFA. Aby uzyskać więcej informacji, zobacz Uruchamianie pomocniczego serwera MFA (opcjonalnie).

  • Narzędzie MFA Server Migration Utility kopiuje dane z pliku bazy danych do obiektów użytkownika w usłudze Microsoft Entra ID. Podczas migracji użytkownicy mogą być objęci uwierzytelnianiem wieloskładnikowym Microsoft Entra na potrzeby testowania przy użyciu etapowego wdrażania . Migracja etapowa umożliwia testowanie bez wprowadzania żadnych zmian w ustawieniach federacji domeny. Po zakończeniu migracji należy sfinalizować migrację, wprowadzając zmiany w ustawieniach federacji domeny.

  • Usługi AD FS działające na Windows Server 2016 lub nowszym są wymagane do zapewnienia uwierzytelniania wieloskładnikowego dla wszystkich jednostek zależnych AD FS, z wyjątkiem Microsoft Entra ID i Office 365.

  • Przejrzyj zasady kontroli dostępu AD FS i upewnij się, że żadne z nich nie wymaga wykonywania uwierzytelniania wieloskładnikowego lokalnie na miejscu jako części procesu uwierzytelniania.

  • Wdrożenie etapowe może obejmować maksymalnie 500 000 użytkowników (10 grup zawierających maksymalnie 50 000 użytkowników).

Przewodnik migracji

Faza Kroki
Przygotowania Zidentyfikuj zależności serwera usługi uwierzytelniania wieloskładnikowego Microsoft Entra
Kopia zapasowa pliku danych Microsoft Entra multifactor authentication Server
Zainstalować aktualizację serwera MFA
Konfigurowanie narzędzia do migracji serwera MFA
Migracji Migrowanie danych użytkownika
weryfikowanie i testowanie
wdrażania etapowego
Edukacja użytkowników
Ukończ migrację użytkowników
Zakończ Migrowanie zależności serwera MFA
Aktualizowanie ustawień federacji domeny
Wyłącz portal użytkownika serwera MFA
likwiduj serwera MFA

Migracja serwera MFA zwykle obejmuje kroki opisane w następującym procesie:

Diagram faz migracji serwera MFA.

Kilka ważnych kwestii:

Faza 1 powinna być powtarzana, gdy dodajesz użytkowników testowych.

  • Narzędzie do migracji używa grup Firmy Microsoft Entra do określania użytkowników, dla których dane uwierzytelniania powinny być synchronizowane między serwerem MFA i uwierzytelnianiem wieloskładnikowym firmy Microsoft Entra. Po zsynchronizowaniu danych użytkownika ten użytkownik jest gotowy do korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft.
  • Wdrożenie etapowe umożliwia przekierowanie użytkowników do uwierzytelniania wieloskładnikowego firmy Microsoft, również przy użyciu grup firmy Microsoft Entra. Chociaż z pewnością można użyć tych samych grup dla obu narzędzi, odradzamy to, ponieważ użytkownicy mogą potencjalnie zostać przekierowani do uwierzytelniania wieloskładnikowego firmy Microsoft Entra przed zsynchronizowaniem ich danych przez narzędzie. Zalecamy skonfigurowanie grup Microsoft Entra do synchronizowania danych uwierzytelniania za pomocą narzędzia MFA Server Migration Utility, oraz innego zestawu grup dla wdrażania etapowego, aby kierować wybranych użytkowników do wieloskładnikowego uwierzytelniania Microsoft Entra, a nie do środowiska lokalnego.

faza 2 należy powtórzyć podczas migracji bazy użytkowników. Po zakończeniu fazy 2 cała baza użytkowników powinna używać uwierzytelniania wieloskładnikowego Microsoft Entra dla wszystkich obciążeń, które są zfederowane z Microsoft Entra ID.

W poprzednich fazach możesz usuwać użytkowników z folderów Staged Rollout, aby wykluczyć ich z objęcia uwierzytelnianiem wieloskładnikowym Microsoft Entra i kierować ich z powrotem do lokalnego serwera uwierzytelniania wieloskładnikowego Microsoft dla wszystkich żądań uwierzytelniania MFA pochodzących z Microsoft Entra ID.

faza 3 wymaga przeniesienia wszystkich klientów uwierzytelniających się na lokalnym serwerze MFA (SIECI VPN, menedżerach haseł itd.) do federacji Firmy Microsoft za pośrednictwem protokołu SAML/OAUTH. Jeśli współczesne standardy uwierzytelniania nie są obsługiwane, musisz skonfigurować serwery NPS z zainstalowanym rozszerzeniem uwierzytelniania wieloskładnikowego Microsoft Entra. Po przeprowadzeniu migracji zależności użytkownicy nie powinni już używać portalu użytkowników na serwerze usługi MFA, ale raczej powinni zarządzać metodami uwierzytelniania w usłudze Microsoft Entra ID (aka.ms/mfasetup). Gdy użytkownicy zaczną zarządzać danymi uwierzytelniania w usłudze Microsoft Entra ID, te metody nie są synchronizowane z powrotem do serwera MFA. Jeśli wrócisz do lokalnego serwera usługi MFA po wprowadzeniu zmian w ich metodach uwierzytelniania w identyfikatorze Entra firmy Microsoft, te zmiany zostaną utracone. Po zakończeniu migracji użytkowników zmień ustawienie federacji domeny federatedIdpMfaBehavior. Zmiana informuje microsoft Entra ID, aby nie wykonywał już usługi MFA lokalnie i wykonywać wszystkich żądań uwierzytelniania wieloskładnikowego za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft, niezależnie od członkostwa w grupie.

W poniższych sekcjach opisano bardziej szczegółowo kroki migracji.

Identyfikowanie zależności serwera uwierzytelniania wieloskładnikowego firmy Microsoft

Ciężko pracowaliśmy, aby upewnić się, że przejście na nasze oparte na chmurze rozwiązanie Microsoft Entra multifactor authentication utrzymuje i poprawia stan zabezpieczeń. Istnieją trzy szerokie kategorie, które powinny być używane do grupowania zależności:

Aby ułatwić migrację, dopasowaliśmy powszechnie używane funkcje serwera MFA z funkcjonalnym odpowiednikiem w usłudze Microsoft Entra multifactor authentication dla każdej kategorii.

Metody uwierzytelniania wieloskładnikowego

Otwórz serwer MFA, wybierz pozycję Ustawienia firmy:

zrzut ekranu przedstawiający ustawienia firmy.

Serwer MFA Microsoft Entra uwierzytelnianie wieloskładnikowe
Zakładka Ogólne
sekcja Ustawienia domyślne użytkownika
Rozmowa telefoniczna (Standardowa) Nie jest wymagana żadna akcja
Wiadomość SMS (OTP)* Nie jest wymagana żadna akcja
Aplikacja mobilna (Standardowa) Nie jest wymagana żadna akcja
Połączenie Telefoniczne (PIN)* Włącz OTP głosowe
Wiadomość tekstowa (OTP + PIN)** Nie jest wymagana żadna akcja
Kod PIN aplikacji mobilnej* Włącz dopasowywanie liczb
Połączenie telefoniczne/wiadomość SMS/aplikacja mobilna/język tokenu OATH Ustawienia języka są automatycznie stosowane do użytkownika na podstawie ustawień regionalnych w przeglądarce
sekcja Domyślne reguły PIN Nie dotyczy; zobacz zaktualizowane metody na poprzednim zrzucie ekranu
karta rozpoznawania nazw użytkowników Nie dotyczy; Rozpoznawanie nazwy użytkownika nie jest wymagane w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft
zakładka Wiadomość tekstowa Nie dotyczy; Uwierzytelnianie wieloskładnikowe firmy Microsoft używa domyślnego komunikatu dla wiadomości SMS
Karta OATH Tokenów Nie dotyczy; Uwierzytelnianie wieloskładnikowe Microsoft Entra używa domyślnego komunikatu dla tokenów OATH
Raporty raporty działań metod uwierzytelniania entra firmy Microsoft

*Gdy numer PIN jest używany do zapewnienia funkcjonalności sprawdzania obecności, odpowiednik funkcjonalny jest podany powyżej. Numery PIN, które nie są kryptograficznie powiązane z urządzeniem, nie są wystarczająco chronione przed scenariuszami, w których urządzenie zostało naruszone. Aby chronić się przed tymi scenariuszami, w tym atakami zamiany sim, przenieś użytkowników do bezpieczniejszych metod zgodnie z metodami uwierzytelniania firmy Microsoft najlepszych rozwiązań.

**Domyślna metoda uwierzytelniania wieloskładnikowego przy użyciu tekstu w usłudze Microsoft Entra polega na wysyłaniu użytkownikom kodu, który muszą wprowadzić w oknie logowania w ramach uwierzytelniania. Wymóg przesyłu zwrotnego kodu zapewnia funkcjonalność potwierdzenia obecności.

Portal użytkowników

Otwórz serwer MFA, wybierz pozycję Portal użytkowników:

Zrzut ekranu przedstawiający portal użytkowników.

Serwer MFA Uwierzytelnianie wieloskładnikowe Microsoft Entra
karta Ustawienia
Adres URL portalu użytkowników aka.ms/mfasetup
Zezwalaj na rejestrację użytkownika Zobacz połączona rejestracja informacji zabezpieczających
- Przypomnienie o utworzeniu kopii zapasowej telefonu Zobacz ustawienia usługi MFA
Pytaj o token OATH od innej firmy Zobacz ustawienia usługi MFA
Zezwól użytkownikom na inicjowanie obejścia One-Time Zobacz funkcjonalność TAP Microsoft Entra ID
Zezwalaj użytkownikom na wybieranie metody Zobacz ustawienia usługi MFA
-Rozmowa telefoniczna Zapoznaj się dokumentacją połączeń telefonicznych
- Wiadomość tekstowa Zobacz ustawienia usługi MFA
- Aplikacja mobilna Zobacz ustawienia usługi MFA
- Token OATH Zobacz dokumentację tokenu OATH
Zezwalaj użytkownikom na wybieranie języka Ustawienia języka są automatycznie stosowane do użytkownika na podstawie ustawień regionalnych w przeglądarce
Zezwalanie użytkownikom na aktywowanie aplikacji mobilnej Zobacz ustawienia usługi MFA
— Limit urządzeń Microsoft Entra ID ogranicza użytkowników do pięciu skumulowanych urządzeń (instancje aplikacji mobilnych, sprzętowy token OATH, token OATH oprogramowania) na użytkownika.
Użyj pytań zabezpieczających jako zapasowej opcji Microsoft Entra ID umożliwia użytkownikom wybranie metody rezerwowej w czasie uwierzytelniania, jeśli wybrana metoda uwierzytelniania zakończy się niepowodzeniem
- Pytania, na które należy odpowiedzieć Pytania zabezpieczające w identyfikatorze Entra firmy Microsoft mogą być używane tylko w przypadku samoobsługowego resetowania hasła. Zobacz więcej szczegółów dotyczących Microsoft Entra Custom Security Questions
Zezwalaj użytkownikom na kojarzenie tokenu OATH innej firmy Zobacz dokumentację tokenu OATH
Użyj tokenu OATH jako zapasowego rozwiązania Zobacz dokumentację tokenu OATH
Wygasła sesja
karta Pytania dotyczące zabezpieczeń Pytania zabezpieczające na serwerze MFA były używane do uzyskiwania dostępu do portalu użytkowników. Uwierzytelnianie wieloskładnikowe firmy Microsoft obsługuje tylko pytania zabezpieczające dotyczące samoobsługowego resetowania hasła. Zobacz dokumentację pytań zabezpieczających .
karta z zakończonymi sesjami Wszystkie przepływy rejestracji metod uwierzytelniania są zarządzane przez identyfikator Entra firmy Microsoft i nie wymagają konfiguracji
zaufanych adresów IP Zaufane adresy IP Microsoft Entra ID

Wszystkie metody uwierzytelniania wieloskładnikowego dostępne na serwerze MFA muszą być włączone w usłudze Microsoft Entra multifactor authentication przy użyciu ustawień usługi MFA. Użytkownicy nie mogą wypróbować nowo zmigrowanych metod uwierzytelniania wieloskładnikowego, chyba że są włączone.

Usługi uwierzytelniania

Serwer uwierzytelniania wieloskładnikowego firmy Microsoft może udostępniać funkcje uwierzytelniania wieloskładnikowego dla rozwiązań innych firm korzystających z protokołu RADIUS lub LDAP, działając jako serwer proxy uwierzytelniania. Aby odnaleźć zależności RADIUS lub LDAP, wybierz Uwierzytelnianie RADIUS i Uwierzytelnianie LDAP w serwerze MFA. Dla każdej z tych zależności określ, czy te strony trzecie obsługują nowoczesne uwierzytelnianie. Jeśli tak, rozważ federację bezpośrednio z identyfikatorem Entra firmy Microsoft.

W przypadku wdrożeń usługi RADIUS, których nie można uaktualnić, należy wdrożyć serwer NPS i zainstalować rozszerzenie NPS do uwierzytelniania wieloskładnikowego Microsoft Entra.

W przypadku wdrożeń LDAP, których nie można uaktualnić ani przenieść do RADIUS, określ, czy można używać Microsoft Entra Domain Services. W większości przypadków protokół LDAP został wdrożony w celu obsługi zmian haseł w wierszu dla użytkowników końcowych. Po przeprowadzeniu migracji użytkownicy końcowi mogą zarządzać swoimi hasłami za pomocą samoobsługowego resetowania hasła w usłudze Microsoft Entra ID.

Jeśli włączono dostawcę uwierzytelniania serwera usługi MFA w usługach AD FS 2.0 na dowolnych relacjach zaufania, z wyjątkiem zaufania usługi Office 365, należy uaktualnić do usług AD FS 3.0 albo sfederować te relacje bezpośrednio z Microsoft Entra ID, jeśli obsługują nowoczesne metody uwierzytelniania. Określ najlepszy plan działania dla każdego z zależności.

Kopia zapasowa pliku danych serwera Microsoft Entra uwierzytelniania wieloskładnikowego

Utwórz kopię zapasową pliku danych serwera MFA znajdującego się w lokalizacji %programfiles%\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (domyślna lokalizacja) na podstawowym serwerze usługi MFA. Upewnij się, że masz kopię instalatora dla aktualnie zainstalowanej wersji na wypadek konieczności wycofania. Jeśli nie masz już kopii, skontaktuj się z pomocą techniczną.

W zależności od aktywności użytkownika plik danych może szybko stać się nieaktualny. Wszelkie zmiany wprowadzone na serwerze usługi MFA lub wszelkie zmiany wprowadzone przez użytkownika końcowego za pośrednictwem portalu po utworzeniu kopii zapasowej nie zostaną przechwycone. Jeśli wycofasz się, wszelkie zmiany wprowadzone po tym punkcie nie zostaną przywrócone.

Instalowanie aktualizacji serwera MFA

Uruchom nowy instalator na podstawowym serwerze usługi MFA. Przed uaktualnieniem serwera usuń go z równoważenia obciążenia lub udostępniania ruchu innym serwerom usługi MFA. Nie musisz odinstalować bieżącego serwera MFA przed uruchomieniem instalatora. Instalator przeprowadza uaktualnienie w miejscu przy użyciu bieżącej ścieżki instalacji (na przykład C:\Program Files\Multi-Factor Authentication Server). Jeśli zostanie wyświetlony monit o zainstalowanie pakietu aktualizacji pakietu redystrybucyjnego programu Microsoft Visual C++ 2015, zaakceptuj monit. Instalowane są wersje pakietu x86 i x64. Nie jest wymagane zainstalowanie aktualizacji portalu użytkowników, zestawu WEB SDK ani adaptera AD FS.

Notatka

Gdy uruchomisz instalator na serwerze głównym, serwery dodatkowe mogą zacząć rejestrować wpisy nieobsługiwane SB. Jest to spowodowane zmianami schematu wprowadzonych na serwerze podstawowym, które nie są rozpoznawane przez serwery pomocnicze. Te błędy są oczekiwane. W środowiskach z co najmniej 10 000 użytkowników liczba wpisów dziennika może znacznie wzrosnąć. Aby rozwiązać ten problem, możesz zwiększyć rozmiar pliku dzienników serwera MFA lub uaktualnić serwery pomocnicze.

Konfigurowanie narzędzia do migracji serwera MFA

Po zainstalowaniu aktualizacji serwera MFA otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień: umieść kursor na ikonie programu PowerShell, wybierz prawym przyciskiem myszy i wybierz pozycję Uruchom jako administrator. Uruchom skrypt .\Configure-MultiFactorAuthMigrationUtility.ps1 znaleziony w katalogu instalacyjnym serwera MFA (C:\Program Files\Multi-Factor Authentication Server domyślnie).

Ten skrypt wymaga podania poświadczeń dla Administratora Aplikacji w dzierżawie Microsoft Entra. Tworzy nową aplikację MFA Server Migration Utility w ramach Microsoft Entra ID, która służy do zapisywania metod uwierzytelniania użytkowników w każdym obiekcie użytkownika Microsoft Entra.

W przypadku klientów korzystających z chmury dla instytucji rządowych, którzy chcą przeprowadzić migrację, zastąp wpisy ".com" w skrypcie ciągiem ".us". Ten skrypt zapisuje wpisy rejestru HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl i GraphUrl oraz nakazuje narzędziu migracji użycie odpowiednich punktów końcowych programu GRAPH.

Będziesz również potrzebować dostępu do następujących adresów URL:

  • https://graph.microsoft.com/* (lub https://graph.microsoft.us/* dla klientów chmury dla instytucji rządowych)
  • https://login.microsoftonline.com/* (lub https://login.microsoftonline.us/* dla klientów chmury dla instytucji rządowych)

Skrypt instruuje, aby udzielić zgody administratora na nowo utworzoną aplikację. Przejdź do podanego adresu URL lub w centrum administracyjnym firmy Microsoft Entra wybierz pozycję Rejestracje aplikacji, znajdź i wybierz aplikację narzędzie do migracji serwera MFA, wybierz pozycję Uprawnienia interfejsu API, a następnie przyznaj odpowiednie uprawnienia.

Zrzut ekranu przedstawiający uprawnienia.

Po zakończeniu przejdź do folderu Multi-Factor Authentication Server i otwórz aplikację MultiFactorAuthMigrationUtilityUI. Powinien zostać wyświetlony następujący ekran:

zrzut ekranu narzędzia do migracji serwera MFA.

Narzędzie do migracji zostało pomyślnie zainstalowane.

Notatka

Aby zapewnić brak zmian zachowania podczas migracji, jeśli serwer MFA jest skojarzony z dostawcą MFA bez odniesienia do dzierżawcy, musisz zaktualizować domyślne ustawienia MFA (takie jak niestandardowe powitania) u dzierżawcy, do którego migrujesz, aby dopasować ustawienia do tych w dostawcy MFA. Zalecamy wykonanie tej czynności przed migracją wszystkich użytkowników.

Uruchamianie pomocniczego serwera MFA (opcjonalnie)

Jeśli implementacja serwera MFA ma dużą liczbę użytkowników lub zajęty podstawowy serwer MFA, warto rozważyć wdrożenie dedykowanego pomocniczego serwera MFA na potrzeby uruchamiania usług MFA Server Migration Utility and Migration Sync. Po uaktualnieniu podstawowego serwera MFA uaktualnij istniejący serwer pomocniczy lub wdróż nowy serwer pomocniczy. Wybrany serwer pomocniczy nie powinien obsługiwać ruchu MFA.

Skrypt Configure-MultiFactorAuthMigrationUtility.ps1 należy uruchomić na serwerze pomocniczym, aby zarejestrować certyfikat przy użyciu rejestracji aplikacji MFA Server Migration Utility. Certyfikat jest używany do uwierzytelniania w programie Microsoft Graph. Uruchomienie usług narzędzia migracji i synchronizacji na pomocniczym serwerze MFA powinno poprawić wydajność migracji użytkowników ręcznych i automatycznych.

Migrowanie danych użytkownika

Migrowanie danych użytkownika nie powoduje usunięcia ani zmiany żadnych danych w bazie danych serwera Multi-Factor Authentication. Podobnie ten proces nie zmieni miejsca, w którym użytkownik wykonuje uwierzytelnianie wieloskładnikowe. Ten proces jest jednokierunkową kopią danych z serwera lokalnego do odpowiedniego obiektu użytkownika w usłudze Microsoft Entra ID.

Narzędzie do migracji serwera MFA jest przeznaczone dla jednej grupy firmy Microsoft Entra dla wszystkich działań migracji. Możesz dodawać użytkowników bezpośrednio do tej grupy lub dodawać inne grupy. Można je również dodawać na etapach podczas migracji.

Aby rozpocząć proces migracji, wprowadź nazwę lub GUID grupy Microsoft Entra, którą chcesz zmigrować. Po zakończeniu naciśnij Tab lub wybierz poza oknem, aby rozpocząć wyszukiwanie odpowiedniej grupy. Wszyscy użytkownicy w grupie są wypełniani. Ukończenie dużej grupy może potrwać kilka minut.

Aby wyświetlić dane atrybutów użytkownika, wyróżnij użytkownika i wybierz pozycję Wyświetl:

Zrzut ekranu przedstawiający sposób wyświetlania ustawień użycia.

W tym oknie zostaną wyświetlone atrybuty wybranego użytkownika zarówno w identyfikatorze Firmy Microsoft Entra, jak i lokalnym serwerze usługi MFA. Za pomocą tego okna można wyświetlić sposób zapisywania danych do użytkownika po migracji.

Opcja Ustawienia umożliwia zmianę ustawień procesu migracji.

Zrzut ekranu przedstawiający ustawienia.

  • Migrowanie — istnieją trzy opcje migracji domyślnej metody uwierzytelniania użytkownika:

    • Zawsze migruj
    • Migruj tylko wtedy, gdy nie zostało to jeszcze ustawione w Microsoft Entra ID
    • Ustaw na najbezpieczniejszą metodę dostępną, jeśli nie jest jeszcze ustawiona w identyfikatorze Entra firmy Microsoft

    Te opcje zapewniają elastyczność podczas migracji metody domyślnej. Ponadto zasady metod uwierzytelniania są sprawdzane podczas migracji. Jeśli migrowana metoda domyślna nie jest dozwolona przez zasady, jest ustawiona na najbezpieczniejszą dostępną metodę.

  • Dopasowanie użytkownika — pozwala na określenie innego lokalnego atrybutu usługi Active Directory dla dopasowania UPN w Microsoft Entra, zamiast domyślnego dopasowania do userPrincipalName.

    • Narzędzie do migracji próbuje bezpośrednio dopasować UPN przed użyciem atrybutu lokalnego Active Directory.
    • Jeśli nie zostanie znalezione dopasowanie, wywołuje interfejs API systemu Windows, aby znaleźć UPN Microsoft Entra i pobrać identyfikator SID, którego używa do przeszukiwania listy użytkowników serwera MFA.
    • Jeśli interfejs API systemu Windows nie znajdzie użytkownika lub identyfikator SID nie zostanie znaleziony na serwerze usługi MFA, użyje skonfigurowanego atrybutu usługi Active Directory, aby znaleźć użytkownika w lokalnej usłudze Active Directory, a następnie użyj identyfikatora SID, aby wyszukać listę użytkowników serwera MFA.

  • Automatyczna synchronizacja — uruchamia usługę w tle, która stale monitoruje wszelkie zmiany metod uwierzytelniania użytkowników na lokalnym serwerze MFA i zapisuje je w identyfikatorze Entra firmy Microsoft w określonym przedziale czasu zdefiniowanym.

  • Serwer synchronizacji — umożliwia uruchomienie usługi synchronizacji migracji serwera MFA na pomocniczym serwerze MFA, a nie tylko na serwerze podstawowym. Aby skonfigurować usługę Migration Sync do uruchamiania na serwerze pomocniczym, należy uruchomić skrypt Configure-MultiFactorAuthMigrationUtility.ps1 na serwerze w celu zarejestrowania certyfikatu przy użyciu rejestracji aplikacji MFA Server Migration Utility. Certyfikat jest używany do uwierzytelniania w programie Microsoft Graph.

Proces migracji może być automatyczny lub ręczny.

Kroki procesu ręcznego to:

  1. Aby rozpocząć proces migracji dla użytkownika lub wyboru wielu użytkowników, naciśnij i przytrzymaj Ctrl podczas wybierania każdego użytkownika, który chcesz migrować.

  2. Po wybraniu użytkowników, których chcesz, wybierz pozycję Migruj użytkowników>wybrani użytkownicy>OK.

  3. Aby przeprowadzić migrację wszystkich użytkowników w grupie, wybierz pozycję Migruj użytkowników>Wszyscy użytkownicy w grupie Microsoft Entra>OK.

  4. Możesz migrować użytkowników, nawet jeśli nie zostali zmienieni. Domyślnie narzędzie jest ustawione na Migrowanie tylko użytkowników, którzy zmienili. Wybierz pozycję Migruj wszystkich użytkowników, aby ponownie przeprowadzić migrację wcześniej zmigrowanych użytkowników, którzy nie zmienią się. Migracja niezmienionych użytkowników może być przydatna podczas testowania, jeśli administrator musi zresetować ustawienia uwierzytelniania wieloskładnikowego Microsoft Entra i chce ponownie je migrować.

    zrzut ekranu przedstawiający okno dialogowe Migrowanie użytkowników.

W przypadku procesu automatycznego wybierz pozycję Automatyczna synchronizacja w Ustawienia, a następnie wybierz, czy chcesz synchronizować wszystkich użytkowników, czy tylko członków danej grupy Microsoft Entra.

W poniższej tabeli wymieniono logikę synchronizacji dla różnych metod.

Metoda Logika
Telefon Jeśli nie ma rozszerzenia, zaktualizuj telefon MFA.
Jeśli istnieje rozszerzenie, zaktualizuj telefon służbowy.
Wyjątek: Jeśli domyślną metodą jest wiadomość SMS, upuść rozszerzenie i zaktualizuj telefon MFA.
telefon zapasowy Jeśli nie ma rozszerzenia, zaktualizuj alternatywny telefon.
Jeśli istnieje rozszerzenie, zaktualizuj telefon w Office.
Wyjątek: jeśli zarówno telefon, jak i telefon kopii zapasowej mają rozszerzenie, pomiń opcję Kopia zapasowa telefonu.
aplikacja mobilna Maksymalnie pięć urządzeń jest migrowanych lub tylko cztery, jeśli użytkownik ma również sprzętowy token OATH.
Jeśli istnieje wiele urządzeń o tej samej nazwie, zmigruj tylko najnowsze.
Urządzenia są uporządkowane od najnowszych do najstarszych.
Jeśli urządzenia już istnieją w identyfikatorze Entra firmy Microsoft, należy dopasować go do klucza tajnego tokenu OATH i zaktualizować.
— Jeśli klucz tajny tokenu OATH nie jest zgodny, dopasuj je do tokenu urządzenia
-- Jeśli zostanie znaleziony, utwórz token OATH oprogramowania dla urządzenia serwera MFA, aby umożliwić działanie metody tokenu OATH. Powiadomienia nadal działają przy użyciu istniejącego urządzenia uwierzytelniania wieloskładnikowego firmy Microsoft.
-- Jeśli nie znaleziono, utwórz nowe urządzenie.
Jeśli dodanie nowego urządzenia przekroczy limit pięciu urządzeń, urządzenie zostanie pominięte.
tokenu OATH Jeśli urządzenia już istnieją w identyfikatorze Entra firmy Microsoft, należy dopasować go do klucza tajnego tokenu OATH i zaktualizować.
— Jeśli nie zostanie znalezione, dodaj nowe urządzenie sprzętowe token OATH.
Jeśli dodanie nowego urządzenia przekroczy limit pięciu urządzeń, token OATH zostanie pominięty.

Metody uwierzytelniania wieloskładnikowego są aktualizowane na podstawie tego, co zostało zmigrowane, i ustalana jest domyślna metoda. Serwer MFA śledzi znacznik czasu ostatniej migracji i ponownie przeprowadza migrację użytkownika tylko wtedy, gdy zmienią się jego ustawienia MFA lub gdy administrator zmodyfikuje elementy do migracji w oknie dialogowym ustawienia.

Podczas testowania zalecamy najpierw przeprowadzenie migracji ręcznej i przetestowanie, aby zapewnić, że dana liczba użytkowników zachowuje się zgodnie z oczekiwaniami. Po pomyślnym zakończeniu testów włącz automatyczną synchronizację dla grupy Microsoft Entra, którą chcesz zmigrować. Podczas dodawania użytkowników do tej grupy ich informacje są automatycznie synchronizowane z identyfikatorem Entra firmy Microsoft. Narzędzie MFA Server Migration Utility jest przeznaczone dla jednej grupy firmy Microsoft Entra, jednak ta grupa może obejmować zarówno użytkowników, jak i zagnieżdżone grupy użytkowników.

Po zakończeniu zostanie wyświetlone potwierdzenie informujące o ukończonych zadaniach:

Zrzut ekranu przedstawiający potwierdzenie.

Jak wspomniano w komunikacie potwierdzającym, może upłynąć kilka minut, aż zmigrowane dane będą wyświetlane na obiektach użytkownika w ramach identyfikatora Entra firmy Microsoft. Użytkownicy mogą wyświetlać zmigrowane metody, przechodząc do aka.ms/mfasetup.

Napiwek

Aby skrócić czas potrzebny na wyświetlenie grup, możesz pominąć przeglądanie metod uwierzytelniania wieloskładnikowego Microsoft Entra, jeśli nie jest to konieczne. Wybierz View>Azure AD MFA Methods, aby przełączać wyświetlanie kolumn dla domyślnej usługi AAD, telefonu usługi AAD, alternatywnej usługi AAD, biura usługi AAD, urządzeń usługi AADi tokenu OATH usługi AAD. Gdy kolumny są ukryte, niektóre wywołania interfejsu API programu Microsoft Graph są pomijane, co znacznie poprawia czas ładowania użytkownika.

Wyświetlanie szczegółów migracji

Za pomocą dzienników inspekcji lub usługi Log Analytics można wyświetlić szczegółowe informacje o migracjach użytkowników z serwera MFA do wieloskładnikowego uwierzytelniania Microsoft Entra.

Korzystanie z dzienników inspekcji

Aby uzyskać dostęp do dzienników inspekcji w centrum administracyjnym firmy Microsoft Entra, aby wyświetlić szczegóły serwera MFA do migracji użytkowników uwierzytelniania wieloskładnikowego firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Administratora Uwierzytelniania.

  2. Przejdź do Tożsamość>Monitorowanie & stan>Dzienniki audytowe. Aby filtrować dzienniki, wybierz pozycję Dodaj filtry.

    Zrzut ekranu przedstawiający sposób dodawania filtrów.

  3. Wybierz Zainicjowany przez (aktor) i wybierz Zastosuj.

    zrzut ekranu przedstawiający opcję Zainicjowane przez aktora.

  4. Wpisz Microsoft Entra multifactor authentication Management i wybierz Zastosuj.

    zrzut ekranu przedstawiający opcję zarządzania usługą MFA.

  5. Ten filtr wyświetla tylko dzienniki narzędzia MFA Server Migration Utility. Aby wyświetlić szczegóły migracji użytkownika, wybierz wiersz, a następnie wybierz kartę Zmodyfikowane właściwości. Ta karta zawiera zmiany zarejestrowanych metod uwierzytelniania wieloskładnikowego i numerów telefonów.

    Zrzut ekranu przedstawiający szczegóły migracji użytkowników.

    W poniższej tabeli wymieniono metodę uwierzytelniania dla każdego kodu.

    Kod Metoda
    0 Telefon komórkowy z funkcją głosową
    2 Biuro obsługi głosowej
    3 Alternatywa głosowa dla urządzeń mobilnych
    5 SMS
    6 Powiadomienie push Microsoft Authenticator
    7 Token sprzętowy lub programowy OTP

  6. Jeśli zmigrowano jakiekolwiek urządzenia użytkowników, istnieje oddzielny wpis dziennika.

    Zrzut ekranu przedstawiający zmigrowane urządzenie.

Korzystanie z usługi Log Analytics

Szczegóły dotyczące migracji użytkowników serwera MFA do usługi Microsoft Entra uwierzytelnianie wieloskładnikowe można również sprawdzić za pomocą Log Analytics.

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc

Ten zrzut ekranu przedstawia zmiany migracji użytkowników:

Zrzut ekranu przedstawiający usługę Log Analytics dla zmigrowanego użytkownika.

Ten zrzut ekranu przedstawia zmiany migracji urządzeń:

Zrzut ekranu przedstawiający usługę Log Analytics dla zmigrowanego urządzenia.

Usługi Log Analytics można również użyć do podsumowania aktywności migracji użytkowników.

AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)

zrzut ekranu przedstawiający podsumowanie usługi Log Analytics.

Weryfikowanie i testowanie

Po pomyślnym przeprowadzeniu migracji danych użytkownika możesz zweryfikować doświadczenie użytkownika końcowego używając wdrożenia etapowego przed wprowadzeniem globalnej zmiany dzierżawcy. Poniższy proces umożliwia skierowanie do konkretnych grup Microsoft Entra dla etapowego wprowadzania uwierzytelniania wieloskładnikowego. Wdrożenie etapowe instruuje Microsoft Entra ID, aby wykonał uwierzytelnianie wieloskładnikowe za pomocą systemu uwierzytelniania Microsoft Entra dla użytkowników w grupach docelowych, zamiast wysyłać ich do środowiska lokalnego na uwierzytelnianie wieloskładnikowe. Możesz zweryfikować i przetestować — zalecamy korzystanie z centrum administracyjnego firmy Microsoft Entra, ale jeśli wolisz, możesz również użyć programu Microsoft Graph.

Włącz wdrażanie etapowe

  1. Przejdź do następującego adresu URL: Włącz funkcje wdrażania etapowego — Microsoft Azure.

  2. Zmień uwierzytelniania wieloskładnikowego platformy Azure na w, a następnie wybierz pozycję Zarządzaj grupami.

    zrzut ekranu przedstawiający wdrożenie etapowe.

  3. Wybierz pozycję Dodaj grupy i dodaj grupę lub grupy zawierające użytkowników, które chcesz włączyć dla wieloskładnikowego uwierzytelniania Microsoft Entra. Wybrane grupy są wyświetlane na wyświetlonej liście.

    Notatka

    Wszystkie grupy, na które kierujesz, korzystając z następującej metody Microsoft Graph, również zostają wyświetlone na tej liście.

    zrzut ekranu przedstawiający menu Zarządzanie grupami.

Włączanie wprowadzania etapowego przy użyciu programu Microsoft Graph

  1. Tworzenie funkcjiRolloutPolicy

    1. Przejdź do aka.ms/ge i zaloguj się do Eksploratora programu Graph przy użyciu konta administratora tożsamości hybrydowej w dzierżawie, którą chcesz skonfigurować na potrzeby wdrożenia etapowego.

    2. Upewnij się, że wybrano opcję POST dla następującego punktu końcowego: https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies

    3. Treść żądania powinna zawierać następujące elementy (zmień politykę wdrażania MFA na nazwę i opis odpowiednie dla Waszej organizacji):

      {
     "displayName": "MFA rollout policy",
     "description": "MFA rollout policy",
     "feature": "multiFactorAuthentication",
     "isEnabled": true,
     "isAppliedToOrganization": false
}

      zrzut ekranu przedstawiający żądanie.

    4. Wykonaj polecenie GET z tym samym punktem końcowym i zanotuj wartość identyfikatora (przekreśloną na poniższym obrazku):

      zrzut ekranu przedstawiający polecenie GET.

  2. Dotyczy grup firmy Microsoft, które zawierają użytkowników, których chcesz przetestować

    1. Utwórz żądanie POST z następującym punktem końcowym (zastąp element {ID polityki} wartością identyfikatora ID skopiowaną z kroku 1d):

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$ref

    2. Treść żądania powinna zawierać następujące elementy (zastąp element {ID grupy} identyfikatorem obiektu grupy, dla której chcesz kierować wdrożenie etapowe):

      {
"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}"
}

    3. Powtórz kroki a i b dla innych grup, którym chcesz zaplanować wdrożenie etapowe.

    4. Bieżące zasady można wyświetlić, wykonując polecenie GET względem następującego adresu URL:

      https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesTo

      W poprzednim procesie używany jest zasób featureRolloutPolicy. Publiczna dokumentacja nie została jeszcze zaktualizowana o nową funkcję multifactorAuthentication, ale zawiera szczegółowe informacje na temat interakcji z interfejsem API.

  3. Upewnij się, że środowisko uwierzytelniania wieloskładnikowego użytkownika końcowego. Oto kilka rzeczy do sprawdzenia:

    1. Czy użytkownicy widzą swoje metody w aka.ms/mfasetup?
    2. Czy użytkownicy otrzymują połączenia telefoniczne/wiadomości SMS?
    3. Czy są one w stanie pomyślnie uwierzytelnić się przy użyciu powyższych metod?
    4. Czy użytkownicy pomyślnie otrzymują powiadomienia Authenticator? Czy są one w stanie zatwierdzić te powiadomienia? Czy uwierzytelnianie zakończyło się pomyślnie?
    5. Czy użytkownicy mogą pomyślnie uwierzytelniać się przy użyciu sprzętowych tokenów OATH?

Edukuj użytkowników

Upewnij się, że użytkownicy wiedzą, czego można oczekiwać po przeniesieniu do uwierzytelniania wieloskładnikowego firmy Microsoft, w tym do nowych przepływów uwierzytelniania. Możesz również poinstruować użytkowników, aby korzystali z portalu rejestracji połączonej Microsoft Entra ID (aka.ms/mfasetup) do zarządzania metodami uwierzytelniania zamiast portalu użytkowników, gdy migracje zostaną zakończone. Wszelkie zmiany wprowadzone w metodach uwierzytelniania w Microsoft Entra ID nie będą propagowane do lokalnego środowiska. W sytuacji, w której konieczne było wycofanie się do serwera MFA, wszelkie zmiany wprowadzone przez użytkowników w identyfikatorze Entra firmy Microsoft nie będą dostępne w portalu użytkowników serwera usługi MFA.

Jeśli używasz rozwiązań innych firm, które zależą od serwera uwierzytelniania wieloskładnikowego firmy Microsoft do uwierzytelniania (zobacz usługi uwierzytelniania), chcesz, aby użytkownicy nadal wprowadzali zmiany w metodach uwierzytelniania wieloskładnikowego w portalu użytkowników. Te zmiany są automatycznie synchronizowane z identyfikatorem Entra firmy Microsoft. Po przeprowadzeniu migracji tych rozwiązań innych firm możesz przenieść użytkowników na stronę rejestracji połączonej identyfikatora Entra firmy Microsoft.

Ukończ migrację użytkowników

Powtórz kroki migracji znalezione w Migrowanie danych użytkownika i weryfikowanie i testowanie sekcji do momentu zmigrowania wszystkich danych użytkownika.

Migrowanie zależności serwera MFA

Korzystając z punktów danych zebranych w usługach uwierzytelniania , rozpocznij przeprowadzanie różnych niezbędnych migracji. Po zakończeniu należy rozważyć, aby użytkownicy zarządzali metodami uwierzytelniania w połączonym portalu rejestracji, a nie w portalu użytkowników na serwerze usługi MFA.

Aktualizowanie ustawień federacji domeny

Po zakończeniu migracji użytkowników i przeniesieniu wszystkich usług uwierzytelniania poza serwer usługi MFA nadszedł czas, aby zaktualizować ustawienia federacji domeny. Po aktualizacji Microsoft Entra nie wysyła już żądania uwierzytelniania wieloskładnikowego do lokalnego serwera federacyjnego.

Aby skonfigurować Microsoft Entra ID w celu ignorowania żądań weryfikacji wieloskładnikowej na lokalnym serwerze federacyjnym, zainstaluj zestaw SDK programu Microsoft Graph PowerShell i ustaw federatedIdpMfaBehavior na rejectMfaByFederatedIdp, jak pokazano w poniższym przykładzie.

Prośba

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

Odpowiedź

Notatka

Obiekt odpowiedzi pokazany tutaj może zostać skrócony w celu zapewnienia czytelności.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

Użytkownicy nie są już przekierowywani do lokalnego serwera federacyjnego w celu uwierzytelniania wieloskładnikowego, niezależnie od tego, czy są objęci narzędziem Staged Rollout, czy nie. Należy pamiętać, że może to potrwać do 24 godzin.

Notatka

Aktualizacja ustawienia federacji domeny może potrwać do 24 godzin.

Opcjonalnie: Wyłączanie portalu użytkowników serwera MFA

Po zakończeniu migracji wszystkich danych użytkownika użytkownicy końcowi mogą rozpocząć korzystanie ze połączonych stron rejestracji identyfikatora Entra firmy Microsoft w celu zarządzania metodami uwierzytelniania wieloskładnikowego. Istnieje kilka sposobów, aby uniemożliwić użytkownikom korzystanie z portalu użytkowników na serwerze MFA:

  • Przekieruj adres URL portalu użytkownika serwera usługi MFA do aka.ms/mfasetup
  • Wyczyść pole wyboru Zezwalaj użytkownikom na logowanie się w zakładce Ustawienia w sekcji portalu użytkowników serwera MFA, aby całkowicie uniemożliwić logowanie się użytkownikom do portalu.

Likwiduj serwer usługi MFA

Gdy nie będziesz już potrzebować serwera uwierzytelniania wieloskładnikowego Microsoft Entra, postępuj zgodnie z normalnymi praktykami dotyczącymi wycofywania serwera. W identyfikatorze Entra firmy Microsoft nie jest wymagana żadna specjalna akcja wskazująca wycofanie serwera MFA.

Plan wycofania

Jeśli uaktualnienie miało problemy, wykonaj następujące kroki, aby wycofać zmiany:

  1. Odinstaluj serwer MFA 8.1.

  2. Zastąp PhoneFactor.pfdata kopią zapasową wykonaną przed uaktualnieniem.

    Notatka

    Wszelkie zmiany od czasu wprowadzania kopii zapasowej zostaną utracone, ale powinny być minimalne, jeśli kopia zapasowa została utworzona bezpośrednio przed uaktualnieniem i uaktualnieniem nie powiodło się.

  3. Uruchom instalatora dla poprzedniej wersji (na przykład 8.0.x.x).

  4. Skonfiguruj Microsoft Entra ID, aby akceptował żądania uwierzytelniania wieloskładnikowego na lokalnym serwerze federacyjnym. Użyj programu Graph PowerShell, aby ustawić zachowanie federacyjne IdpMfa na enforceMfaByFederatedIdp, jak pokazano w poniższym przykładzie.

    żądanie

    PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

    Następujący obiekt odpowiedzi został skrócony w celu zapewnienia czytelności.

    odpowiedź

    HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Ustaw wdrożenie etapowe dla uwierzytelniania wieloskładnikowego firmy MicrosoftWyłączone. Użytkownicy są ponownie przekierowywani do lokalnego serwera federacyjnego dla usługi MFA.

Następne kroki