Migrowanie z serwera MFA do uwierzytelniania wieloskładnikowego firmy Microsoft
Uwierzytelnianie wieloskładnikowe jest ważne w celu zabezpieczenia infrastruktury i zasobów ze strony złych podmiotów. Serwer usługi Azure Multi-Factor Authentication (serwer MFA) nie jest dostępny dla nowych wdrożeń i jest przestarzały. Klienci korzystający z serwera MFA powinni przejść do korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze.
W tym artykule przyjęto założenie, że masz środowisko hybrydowe, w którym:
- Używasz serwera MFA na potrzeby uwierzytelniania wieloskładnikowego.
- Używasz federacji w usłudze Microsoft Entra ID z usługami Active Directory Federation Services (AD FS) lub innym produktem federacyjnym dostawcy tożsamości.
- Chociaż ten artykuł jest zakresem usług AD FS, podobne kroki mają zastosowanie do innych dostawców tożsamości.
- Serwer MFA jest zintegrowany z usługami AD FS.
- Aplikacje mogą używać usług AD FS do uwierzytelniania.
Istnieje wiele możliwych stanów końcowych migracji, w zależności od celu.
Cel: Likwiduj tylko serwer usługi MFA | Cel: Likwidowanie serwera MFA i przejście do uwierzytelniania usługi Microsoft Entra | Cel: zlikwidowanie serwera MFA i usług AD FS | |
---|---|---|---|
Dostawca uwierzytelniania wieloskładnikowego | Zmień dostawcę uwierzytelniania wieloskładnikowego z serwera MFA na uwierzytelnianie wieloskładnikowe firmy Microsoft. | Zmień dostawcę uwierzytelniania wieloskładnikowego z serwera MFA na uwierzytelnianie wieloskładnikowe firmy Microsoft. | Zmień dostawcę uwierzytelniania wieloskładnikowego z serwera MFA na uwierzytelnianie wieloskładnikowe firmy Microsoft. |
Uwierzytelnianie użytkownika | Kontynuuj używanie federacji na potrzeby uwierzytelniania entra firmy Microsoft. | Przejdź do usługi Microsoft Entra ID przy użyciu synchronizacji skrótów haseł (preferowane) lub uwierzytelniania przekazywanego i bezproblemowego logowania jednokrotnego (SSO). | Przejdź do usługi Microsoft Entra ID z synchronizacją skrótów haseł (preferowaną) lub uwierzytelnianiem przekazującym i logowaniem jednokrotnym. |
Uwierzytelnianie aplikacji | Kontynuuj korzystanie z uwierzytelniania usług AD FS dla aplikacji. | Kontynuuj korzystanie z uwierzytelniania usług AD FS dla aplikacji. | Przenieś aplikacje do identyfikatora Entra firmy Microsoft przed migracją do uwierzytelniania wieloskładnikowego firmy Microsoft. |
Jeśli możesz, przenieś zarówno uwierzytelnianie wieloskładnikowe, jak i uwierzytelnianie użytkownika na platformę Azure. Aby uzyskać szczegółowe wskazówki, zobacz Przechodzenie do uwierzytelniania wieloskładnikowego firmy Microsoft i uwierzytelniania użytkowników firmy Microsoft Entra.
Jeśli nie możesz przenieść uwierzytelniania użytkownika, zapoznaj się ze wskazówkami krok po kroku dotyczącymi przechodzenia do uwierzytelniania wieloskładnikowego firmy Microsoft z federacją.
Wymagania wstępne
- Środowisko usług AD FS (wymagane, jeśli nie migrujesz wszystkich aplikacji do firmy Microsoft Entra przed migracją serwera MFA)
- Uaktualnij do usług AD FS dla systemu Windows Server 2019, poziom zachowania farmy (FBL) 4. To uaktualnienie umożliwia wybranie dostawcy uwierzytelniania na podstawie członkostwa w grupie w celu bardziej bezproblemowego przejścia użytkownika. Chociaż można przeprowadzić migrację w usługach AD FS dla systemu Windows Server 2016 FBL 3, nie jest tak bezproblemowa dla użytkowników. Podczas migracji użytkownicy są monitowani o wybranie dostawcy uwierzytelniania (serwer MFA lub uwierzytelnianie wieloskładnikowe firmy Microsoft) do momentu ukończenia migracji.
- Uprawnienia
- Rola administratora przedsiębiorstwa w usłudze Active Directory w celu skonfigurowania farmy usług AD FS na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft
- Do zarządzania tą funkcją jest wymagany administrator globalny.
Zagadnienia dotyczące wszystkich ścieżek migracji
Migracja z serwera MFA do uwierzytelniania wieloskładnikowego firmy Microsoft obejmuje więcej niż tylko przeniesienie zarejestrowanych numerów telefonów uwierzytelniania wieloskładnikowego. Serwer MFA firmy Microsoft można zintegrować z wieloma systemami i ocenić, w jaki sposób te systemy korzystają z serwera MFA, aby zrozumieć najlepsze sposoby integracji z uwierzytelnianiem wieloskładnikowym firmy Microsoft.
Migrowanie informacji o użytkowniku usługi MFA
Typowe sposoby myślenia o przeniesieniu użytkowników w partiach obejmują przenoszenie ich według regionów, działów lub ról, takich jak administratorzy. Należy iterować konta użytkowników, zaczynając od grup testowych i pilotażowych, i upewnić się, że masz plan wycofywania.
Narzędzie MFA Server Migration Utility służy do synchronizowania danych uwierzytelniania wieloskładnikowego przechowywanych w lokalnym serwerze usługi Azure MFA do uwierzytelniania wieloskładnikowego firmy Microsoft i używania wprowadzania etapowego w celu przekierowania użytkowników do uwierzytelniania wieloskładnikowego firmy Microsoft. Wdrożenie etapowe ułatwia testowanie bez wprowadzania jakichkolwiek zmian w ustawieniach federacji domeny.
Aby ułatwić użytkownikom odróżnienie nowo dodanego konta od starego konta połączonego z serwerem MFA, upewnij się, że nazwa konta aplikacji mobilnej na serwerze usługi MFA jest nazwana w celu odróżnienia dwóch kont. Na przykład nazwa konta wyświetlana w obszarze Aplikacja mobilna na serwerze usługi MFA została zmieniona na Lokalny serwer MFA. Nazwa konta w aplikacji Microsoft Authenticator zmieni się przy użyciu następnego powiadomienia wypychającego użytkownika.
Migrowanie numerów telefonów może również prowadzić do migrowania nieaktualnych numerów i sprawić, że użytkownicy będą bardziej skłonni pozostać na podstawie uwierzytelniania wieloskładnikowego opartego na telefonie zamiast konfigurowania bezpieczniejszych metod, takich jak Microsoft Authenticator w trybie bez hasła. Dlatego zalecamy, aby niezależnie od wybranej ścieżki migracji wszyscy użytkownicy zarejestrowali się w celu uzyskania połączonych informacji zabezpieczających.
Migrowanie sprzętowych kluczy zabezpieczeń
Identyfikator Entra firmy Microsoft zapewnia obsługę sprzętowych tokenów OATH. Za pomocą narzędzia MFA Server Migration Utility można zsynchronizować ustawienia uwierzytelniania wieloskładnikowego między serwerem MFA i uwierzytelnianiem wieloskładnikowym firmy Microsoft i użyć wdrożenia etapowego do testowania migracji użytkowników bez zmiany ustawień federacji domeny.
Jeśli chcesz tylko przeprowadzić migrację sprzętowych tokenów OATH, musisz przekazać tokeny do identyfikatora Entra firmy Microsoft przy użyciu pliku CSV, nazywanego często "plikiem inicjującym". Plik inicjowania zawiera klucze tajne, numery seryjne tokenu i inne niezbędne informacje potrzebne do przekazania tokenów do identyfikatora Entra firmy Microsoft.
Jeśli nie masz już pliku inicjowania z kluczami tajnymi, nie można wyeksportować kluczy tajnych z serwera MFA. Jeśli nie masz już dostępu do kluczy tajnych, skontaktuj się z dostawcą sprzętu w celu uzyskania pomocy technicznej.
Zestaw SDK usługi sieci Web serwera MFA może służyć do eksportowania numeru seryjnego dla dowolnych tokenów OATH przypisanych do danego użytkownika. Te informacje można używać wraz z plikiem inicjowania w celu zaimportowania tokenów do identyfikatora Entra firmy Microsoft i przypisania tokenu OATH do określonego użytkownika na podstawie numeru seryjnego. Użytkownik musi również skontaktować się w momencie importu, aby dostarczyć informacje OTP z urządzenia w celu ukończenia rejestracji. Zapoznaj się z tematem pliku pomocy GetUserInfo>userSettings>OathTokenSerialNumber na serwerze MFA.
Więcej migracji
Decyzja o migracji z serwera MFA do uwierzytelniania wieloskładnikowego firmy Microsoft otwiera drzwi dla innych migracji. Ukończenie większej liczby migracji zależy od wielu czynników, w tym w szczególności:
- Gotowość do korzystania z uwierzytelniania entra firmy Microsoft dla użytkowników
- Gotowość do przeniesienia aplikacji do identyfikatora Entra firmy Microsoft
Ponieważ serwer MFA jest integralną częścią uwierzytelniania aplikacji i użytkownika, rozważ przeniesienie obu tych funkcji na platformę Azure w ramach migracji usługi MFA i ostatecznie zlikwidowanie usług AD FS.
Nasze zalecenia:
- Użyj identyfikatora Entra firmy Microsoft do uwierzytelniania, ponieważ zapewnia bardziej niezawodne zabezpieczenia i nadzór
- Przenoszenie aplikacji do identyfikatora Entra firmy Microsoft, jeśli to możliwe
Aby wybrać najlepszą metodę uwierzytelniania użytkowników dla organizacji, zobacz Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra. Zalecamy użycie synchronizacji skrótów haseł (PHS).
Uwierzytelnianie bez hasła
W ramach rejestrowania użytkowników w celu korzystania z aplikacji Microsoft Authenticator jako drugiego czynnika zalecamy włączenie logowania bez hasła do telefonu w ramach rejestracji. Aby uzyskać więcej informacji, w tym inne metody bez hasła, takie jak klucze zabezpieczeń FIDO2 i Windows Hello dla firm, odwiedź stronę Planowanie wdrożenia uwierzytelniania bez hasła przy użyciu identyfikatora Entra firmy Microsoft.
Samoobsługowe resetowanie haseł w programie Microsoft Identity Manager
Samoobsługowe resetowanie hasła programu Microsoft Identity Manager (MIM) może używać serwera MFA do wywoływania jednorazowych kodów dostępu programu SMS w ramach przepływu resetowania hasła. Nie można skonfigurować programu MIM do korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft. Zalecamy przeprowadzenie oceny przeniesienia usługi samoobsługowego resetowania hasła do usługi Microsoft Entra SSPR. Możesz użyć możliwości zarejestrowania się użytkowników na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft w celu zarejestrowania się w usłudze Microsoft Entra SSPR.
Jeśli nie możesz przenieść usługi samoobsługowego resetowania hasła lub używasz serwera MFA do wywoływania żądań uwierzytelniania wieloskładnikowego dla scenariuszy usługi Privileged Access Management (PAM), zalecamy aktualizację do alternatywnej opcji uwierzytelniania wieloskładnikowego innej firmy.
Klienci usługi RADIUS i uwierzytelnianie wieloskładnikowe firmy Microsoft
Serwer MFA obsługuje usługę RADIUS w celu wywoływania uwierzytelniania wieloskładnikowego dla aplikacji i urządzeń sieciowych obsługujących protokół. Jeśli używasz usługi RADIUS z serwerem MFA, zalecamy przeniesienie aplikacji klienckich do nowoczesnych protokołów, takich jak SAML, OpenID Connect lub OAuth w usłudze Microsoft Entra ID. Jeśli nie można zaktualizować aplikacji, możesz wdrożyć serwer zasad sieciowych (NPS) przy użyciu rozszerzenia uwierzytelniania wieloskładnikowego firmy Microsoft. Rozszerzenie serwera zasad sieciowych (NPS) działa jako karta między aplikacjami opartymi na usłudze RADIUS i uwierzytelnianiem wieloskładnikowym firmy Microsoft w celu zapewnienia drugiego czynnika uwierzytelniania. Ta karta umożliwia przeniesienie klientów USŁUGI RADIUS do uwierzytelniania wieloskładnikowego firmy Microsoft i zlikwidowanie serwera MFA.
Ważne uwagi
Istnieją ograniczenia dotyczące używania serwera NPS dla klientów usługi RADIUS i zalecamy ocenę wszystkich klientów usługi RADIUS w celu ustalenia, czy można uaktualnić je do nowoczesnych protokołów uwierzytelniania. Zapoznaj się z dostawcą usług, aby uzyskać obsługiwane wersje produktów i ich możliwości.
- Rozszerzenie NPS nie używa zasad dostępu warunkowego firmy Microsoft Entra. Jeśli pozostaniesz z usługą RADIUS i używasz rozszerzenia serwera NPS, wszystkie żądania uwierzytelniania przechodzące do serwera NPS będą wymagać od użytkownika wykonania uwierzytelniania wieloskładnikowego.
- Użytkownicy muszą zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft przed użyciem rozszerzenia SERWERA NPS. W przeciwnym razie rozszerzenie nie może uwierzytelnić użytkownika, co może generować połączenia pomocy technicznej.
- Gdy rozszerzenie serwera NPS wywołuje uwierzytelnianie wieloskładnikowe, żądanie uwierzytelniania wieloskładnikowego jest wysyłane do domyślnej metody uwierzytelniania wieloskładnikowego użytkownika.
- Ponieważ logowanie odbywa się w aplikacjach innych niż Microsoft, użytkownik często nie widzi powiadomienia wizualnego, że wymagane jest uwierzytelnianie wieloskładnikowe i że żądanie zostało wysłane do urządzenia.
- Podczas wymagania dotyczącego uwierzytelniania wieloskładnikowego użytkownik musi mieć dostęp do domyślnej metody uwierzytelniania, aby spełnić wymagania. Nie mogą wybrać alternatywnej metody. Ich domyślna metoda uwierzytelniania będzie używana nawet wtedy, gdy jest wyłączona w metodach uwierzytelniania dzierżawy i zasadach uwierzytelniania wieloskładnikowego.
- Użytkownicy mogą zmienić domyślną metodę uwierzytelniania wieloskładnikowego na stronie Informacje zabezpieczające (aka.ms/mysecurityinfo).
- Dostępne metody uwierzytelniania wieloskładnikowego dla klientów usługi RADIUS są kontrolowane przez systemy klienckie wysyłające żądania dostępu usługi RADIUS.
- Metody uwierzytelniania wieloskładnikowego, które wymagają danych wejściowych użytkownika po wprowadzeniu hasła, mogą być używane tylko z systemami obsługującymi odpowiedzi na żądanie dostępu za pomocą usługi RADIUS. Metody wejściowe mogą obejmować OTP, sprzętowe tokeny OATH lub Microsoft Authenticator.
- Niektóre systemy mogą ograniczać dostępne metody uwierzytelniania wieloskładnikowego do powiadomień wypychanych i połączeń telefonicznych firmy Microsoft Authenticator.
Uwaga
Algorytm szyfrowania haseł używany między klientem RADIUS a systemem NPS i metodami wejściowymi, których klient może użyć, ma wpływ na dostępne metody uwierzytelniania. Aby uzyskać więcej informacji, zobacz Określanie metod uwierzytelniania, których użytkownicy mogą używać.
Typowe integracje klientów usługi RADIUS obejmują aplikacje, takie jak bramy usług pulpitu zdalnego i serwery sieci VPN. Inne mogą obejmować:
- Citrix Gateway
- Usługa Citrix Gateway obsługuje integrację rozszerzeń RADIUS i NPS oraz integrację protokołu SAML.
- Cisco VPN
- Aplikacja Cisco VPN obsługuje zarówno uwierzytelnianie RADIUS, jak i SAML na potrzeby logowania jednokrotnego.
- Przechodząc z uwierzytelniania usługi RADIUS do protokołu SAML, możesz zintegrować sieć VPN cisco bez wdrażania rozszerzenia serwera NPS.
- Wszystkie sieci VPN
- Jeśli to możliwe, zalecamy sfederowanie sieci VPN jako aplikacji SAML. Ta federacja umożliwia korzystanie z dostępu warunkowego. Aby uzyskać więcej informacji, zobacz listę dostawców sieci VPN, którzy są zintegrowani z galerią aplikacji Microsoft Entra ID .
Zasoby na potrzeby wdrażania serwera NPS
- Dodawanie nowej infrastruktury serwera NPS
- Najlepsze rozwiązania dotyczące wdrażania serwera NPS
- Skrypt sprawdzania kondycji rozszerzenia NPS uwierzytelniania wieloskładnikowego firmy Microsoft
- Integrowanie istniejącej infrastruktury serwera NPS z uwierzytelnianiem wieloskładnikowymi firmy Microsoft