Migrowanie do uwierzytelniania w chmurze przy użyciu wdrożenia etapowego

Wdrożenie etapowe umożliwia selektywne testowanie grup użytkowników z funkcjami uwierzytelniania w chmurze, takimi jak uwierzytelnianie wieloskładnikowe Microsoft Entra, dostęp warunkowy, Ochrona tożsamości Microsoft Entra dla ujawnionych poświadczeń, zarządzanie tożsamością i inne, zanim przełączysz swoje domeny. W tym artykule omówiono sposób przełączania.

Przed rozpoczęciem wdrażania etapowego należy wziąć pod uwagę implikacje, jeśli spełniony jest co najmniej jeden z następujących warunków:

• Obecnie używasz lokalnego serwera usługi Multi-Factor Authentication.
• Używasz kart inteligentnych do uwierzytelniania.
• Bieżący serwer oferuje funkcje dostępne wyłącznie w federacji.
• Przechodzisz z rozwiązania federacyjnego innej firmy do usług zarządzanych.

Przed wypróbowanie tej funkcji zalecamy zapoznanie się z naszym przewodnikiem dotyczącym wybierania odpowiedniej metody uwierzytelniania. Aby uzyskać więcej informacji, zobacz tabelę "Porównanie metod" w temacie Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.

Aby zapoznać się z omówieniem funkcji, zobacz film "Co to jest wdrażanie etapowe?":

Wymagania wstępne

• Masz dzierżawę firmy Microsoft Entra z domenami federacyjnymi.

• Podjęto decyzję o przeniesieniu jednej z następujących opcji:

  • Synchronizacja skrótów haseł (sync). Aby uzyskać więcej informacji, zobacz Co to jest synchronizacja skrótów haseł
  • Uwierzytelnianie przechodnie. Aby uzyskać więcej informacji, zobacz Co to jest uwierzytelnianie przekazywane
  • Ustawienia uwierzytelniania opartego na certyfikatach (CBA) firmy Microsoft. Aby uzyskać więcej informacji, zobacz Omówienie uwierzytelniania opartego na certyfikatach firmy Microsoft

  W przypadku obu opcji zalecamy włączenie pojedynczego logowania (SSO), aby uzyskać bezproblemowe logowanie. W przypadku urządzeń z systemem Windows 7 lub 8.1 przyłączonych do domeny zalecamy używanie bezproblemowego logowania jednokrotnego. Aby uzyskać więcej informacji, zobacz Co to jest bezproblemowe logowanie jednokrotne. W przypadku systemu Windows 10, Windows Server 2016 i nowszych wersji zaleca się używanie logowania jednokrotnego za pośrednictwem podstawowego tokenu odświeżania (PRT) z urządzeniami dołączonymi do Microsoft Entra, hybrydowymi urządzeniami dołączonymi do Microsoft Entra lub urządzeniami osobistymi zarejestrowanymi za pomocą opcji Dodaj konto służbowe lub szkolne.

• Skonfigurowano wszystkie odpowiednie zasady znakowania dzierżawy i dostępu warunkowego, których potrzebujesz dla użytkowników migrowanych do uwierzytelniania w chmurze.

• Jeśli przeniesiono się z uwierzytelniania federacyjnego do uwierzytelniania w chmurze, musisz upewnić się, że ustawienie DirSync synchronizeUpnForManagedUsersEnabled jest ustawione na true, inaczej Microsoft Entra ID nie zezwoli na aktualizacje synchronizacji dla UPN lub alternatywnego identyfikatora logowania dla licencjonowanych kont użytkowników korzystających z uwierzytelniania zarządzanego. Aby uzyskać więcej informacji, zobacz Funkcje usługi Microsoft Entra Connect Sync.

• Jeśli planujesz użyć uwierzytelniania wieloskładnikowego firmy Microsoft, zalecamy użycie rejestracji połączonej na potrzeby samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego, aby użytkownicy rejestrowali swoje metody uwierzytelniania raz. Uwaga— podczas korzystania z SSPR do resetowania hasła lub zmiany hasła za pomocą strony MyProfile w trakcie wdrożenia etapowego, program Microsoft Entra Connect musi zsynchronizować nowy skrót hasła, co może potrwać do 2 minut od zresetowania.

• Aby korzystać z funkcji wdrażania etapowego, musisz być administratorem ds. tożsamości hybrydowej w swojej dzierżawie.

• Aby umożliwić bezproblemowe logowanie jednokrotne w określonym lesie usługi Active Directory, musisz być administratorem domeny.

• W przypadku wdrażania hybrydowego identyfikatora Microsoft Entra ID lub dołączenia do firmy Microsoft Entra należy przeprowadzić uaktualnienie do aktualizacji systemu Windows 10 1903.

Obsługiwane scenariusze

Następujące scenariusze są obsługiwane w przypadku wdrażania etapowego. Ta funkcja działa tylko dla:

• Użytkownicy, którzy są aprowizowani w usłudze Microsoft Entra ID przy użyciu programu Microsoft Entra Connect. Nie ma zastosowania do użytkowników korzystających tylko z chmury.

• Ruch logowania użytkownika w przeglądarkach i nowoczesnych klientach uwierzytelniania . Aplikacje lub usługi w chmurze korzystające ze starszego uwierzytelniania wracają do przepływów uwierzytelniania federacyjnego. Przykładem starszego uwierzytelniania może być usługa Exchange Online z wyłączonym nowoczesnym uwierzytelnianiem lub program Outlook 2010, który nie obsługuje nowoczesnego uwierzytelniania.

• Rozmiar grupy jest obecnie ograniczony do 50 000 użytkowników. Jeśli masz grupy większe niż 50 000 użytkowników, zaleca się podzielenie tej grupy na wiele grup w celu wdrożenia etapowego.

• Dołączanie hybrydowe do systemu Windows 10 lub dołączanie do Microsoft Entra i pozyskiwanie podstawowego tokenu odświeżania bez bezpośredniego dostępu do serwera federacyjnego dla systemu Windows 10 w wersji 1903 i nowszych, gdy nazwa UPN użytkownika jest możliwa do routowania, a sufiks domeny jest zweryfikowany w usłudze Microsoft Entra ID.

• Rejestracja rozwiązania Autopilot jest obsługiwana w ramach wprowadzania etapowego w systemie Windows 10 w wersji 1909 lub nowszej.

Nieobsługiwane scenariusze

Następujące scenariusze nie są obsługiwane w przypadku wdrażania etapowego:

• Starsze uwierzytelnianie, takie jak POP3 i SMTP, nie są obsługiwane.

• Niektóre aplikacje wysyłają parametr zapytania "domain_hint" do identyfikatora Entra firmy Microsoft podczas uwierzytelniania. Te przepływy są kontynuowane, a użytkownicy, którzy są włączeni na potrzeby wprowadzania etapowego, nadal używają federacji do uwierzytelniania.

• Administratorzy mogą wdrażać uwierzytelnianie w chmurze przy użyciu grup zabezpieczeń. Aby uniknąć opóźnień synchronizacji przy korzystaniu z lokalnych grup zabezpieczeń Active Directory, zalecamy używanie grup zabezpieczeń w chmurze. Należy uwzględnić następujące warunki:

  • Możesz użyć maksymalnie 10 grup na funkcję. Oznacza to, że można użyć 10 grup dla synchronizacji skrótów haseł, uwierzytelniania typu pass-through, oraz bezproblemowego SSO.
  • Zagnieżdżone grupy nie są obsługiwane.
  • Grupy dynamiczne nie są obsługiwane w przypadku wdrażania etapowego.
  • Obiekty kontaktu wewnątrz grupy blokują dodawanie grupy.

• Po pierwszym dodaniu grupy zabezpieczeń do wdrożenia etapowego, liczba użytkowników jest ograniczona do 200, aby uniknąć przekroczenia czasu odpowiedzi interfejsu użytkownika. Po dodaniu grupy możesz dodawać do niej bezpośrednio więcej użytkowników, zgodnie z potrzebami.

• Podczas gdy użytkownicy są w etapie wdrażania z synchronizacją skrótów haseł (PHS), domyślnie nie jest stosowane wygaśnięcie hasła. Można zastosować wygaśnięcie hasła, włączając "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Po włączeniu opcji "CloudPasswordPolicyForPasswordSyncedUsersEnabled" polityka wygasania haseł jest ustalona na 90 dni od momentu ustawienia hasła lokalnie, bez możliwości dostosowywania. Automatyczne aktualizowanie atrybutu PasswordPolicies nie jest obsługiwane, gdy użytkownicy są w procesie wdrażania etapowego. Aby dowiedzieć się, jak ustawić 'CloudPasswordPolicyForPasswordSyncedUsersEnabled', zobacz Zasady wygasania haseł.

• Hybrydowe dołączanie do systemu Windows 10 lub dołączenie do Microsoft Entra w celu pozyskania podstawowego tokenu odświeżania dla systemu Windows 10 w wersji starszej niż 1903. Ten scenariusz powraca do punktu końcowego WS-Trust serwera federacyjnego, nawet jeśli logowanie użytkownika jest w zakresie wdrożenia etapowego.

• Dołączanie hybrydowe do systemu Windows 10 lub dołączanie Microsoft Entra w celu uzyskania podstawowego tokenu odświeżania dla wszystkich wersji, gdy lokalna nazwa UPN użytkownika nie jest routowalna. Ten scenariusz powraca do punktu końcowego WS-Trust w trybie wdrażania etapowego, ale przestaje działać po zakończeniu migracji etapowej, a logowanie użytkownika nie polega już na serwerze federacyjnym.

• Jeśli w systemie Windows 10 w wersji 1903 lub nowszej masz niepersistentną konfigurację VDI, musisz pozostać w domenie federacyjnej. Przenoszenie do domeny zarządzanej nie jest obsługiwane w przypadku nietrwałego VDI. Aby uzyskać więcej informacji, zobacz Tożsamość urządzenia i wirtualizacja pulpitu.

• Jeśli masz Windows Hello dla firm hybrydowe zaufanie oparte na certyfikatach z certyfikatami wystawionymi za pośrednictwem serwera federacyjnego pełniącego funkcję urzędu rejestracji lub użytkowników kart inteligentnych, scenariusz nie jest obsługiwany w ramach etapowego wdrożenia.

  Uwaga

  Nadal musisz dokonać ostatecznego przejścia jednorazowego z uwierzytelniania federacyjnego do chmury przy użyciu programu Microsoft Entra Connect lub programu PowerShell. Wdrożenie etapowe nie przełącza domen z federacyjnych na zarządzane. Aby uzyskać więcej informacji na temat przełączenia domeny, zobacz Przejście z federacji na synchronizację skrótów haseł i Przejście z federacji na uwierzytelnianie przekazywane.

Rozpocznij wdrożenie etapowe

Aby przetestować logowanie do synchronizacji skrótów haseł przy użyciu Staged Rollout, postępuj zgodnie z instrukcjami wstępnymi w następnej sekcji.

Aby uzyskać informacje na temat poleceń cmdlet programu PowerShell, których można użyć, zobacz Microsoft Entra ID 2.0 (wersja zapoznawcza).

Wstępne prace nad synchronizacją skrótów haseł

1. Włącz synchronizację skrótów haseł na stronie Funkcje opcjonalne w programie Microsoft Entra Connect. 

   

2. Upewnij się, że został uruchomiony pełny cykl synchronizacji skrótów haseł, aby wszystkie skróty haseł użytkowników zostały zsynchronizowane z identyfikatorem Entra firmy Microsoft. Aby sprawdzić stan synchronizacji skrótów haseł, możesz użyć diagnostyki programu PowerShell w temacie Rozwiązywanie problemów z synchronizacją skrótów haseł z usługą Microsoft Entra Connect Sync.

   

Jeśli chcesz przetestować logowanie z przekazywaniem uwierzytelniania przy użyciu wdrożenia etapowego, włącz je, postępując zgodnie z instrukcjami wstępnymi w następnej sekcji.

Przygotowanie do uwierzytelniania przekazywanego

1. Zidentyfikuj serwer z systemem Windows Server 2012 R2 lub nowszym, na którym ma działać agent uwierzytelniania typu pass-through.

   Nie wybieraj serwera Microsoft Entra Connect. Upewnij się, że serwer jest przyłączony do domeny, może uwierzytelniać wybranych użytkowników za pomocą usługi Active Directory i może komunikować się z identyfikatorem Entra firmy Microsoft na portach i adresach URL ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz sekcję "Krok 1: Sprawdzanie wymagań wstępnych" w przewodniku Szybki start: bezproblemowe logowanie jednokrotne firmy Microsoft Entra.

2. Pobierz agenta uwierzytelniania Microsoft Entra Connect i zainstaluj go na serwerze. 

3. Aby włączyć wysoką dostępność, zainstaluj dodatkowych agentów uwierzytelniania na innych serwerach.

4. Upewnij się, że ustawienia blokady inteligentnej zostały odpowiednio skonfigurowane. Dzięki temu konta użytkowników przy lokalnej usłudze Active Directory nie zostaną zablokowane przez osoby o złych zamiarach.

Zalecamy włączenie bezproblemowego logowania jednokrotnego niezależnie od metody logowania (synchronizacja skrótów hasła lub uwierzytelnianie przesyłane) wybranej dla wdrożenia etapowego. Aby włączyć bezproblemowe jednokrotne logowanie, postępuj zgodnie ze wskazówkami wstępnymi w następnej sekcji.

Przygotowania do płynnego logowania jednokrotnego

Włącz bezproblemowe logowanie jednokrotne w lasach usługi Active Directory przy użyciu programu PowerShell. Jeśli masz więcej niż jeden las katalogowy usługi Active Directory, aktywuj go oddzielnie dla każdego z nich.  Bezproblemowe logowanie jednokrotne jest wyzwalane tylko dla użytkowników wybranych do wdrożenia etapowego. Nie ma to wpływu na istniejącą konfigurację federacji.

Włącz bezproblemowe logowanie jednokrotne , wykonując następujące zadania:

1. Zaloguj się do programu Microsoft Entra Connect Server.

2. Przejdź do folderu %programfiles%\Microsoft Entra Connect .

3. Zaimportuj bezproblemowy moduł programu PowerShell z logowaniem jednokrotnym, uruchamiając następujące polecenie:

   Import-Module .\AzureADSSO.psd1

4. Uruchom program Powershell jako Administrator. W programie PowerShell wywołaj New-AzureADSSOAuthenticationContext. To polecenie otwiera okienko, w którym można wprowadzić poświadczenia administratora tożsamości hybrydowej w ramach dzierżawy.

5. Wywołaj Get-AzureADSSOStatus | ConvertFrom-Json. To polecenie wyświetla listę lasów usługi Active Directory (zobacz listę "Domeny", na której włączono tę funkcję). Domyślnie na poziomie najemcy ustawiono wartość fałsz.

   

6. Zadzwoń do $creds = Get-Credential. Po wyświetleniu monitu wprowadź poświadczenia administratora domeny dla zamierzonego lasu usługi Active Directory.

7. Zadzwoń Enable-AzureADSSOForest -OnPremCredentials $creds. To polecenie tworzy konto komputera AZUREADSSOACC na lokalnym kontrolerze domeny dla lasu Active Directory, który jest wymagany do bezproblemowego logowania jednokrotnego.

8. Bezproblemowe logowanie jednokrotne wymaga, aby adresy URL znajdowały się w strefie intranetu. Aby wdrożyć te adresy URL przy użyciu zasad grup, zobacz Szybki start: bezproblemowe jednokrotne logowanie w usłudze Microsoft Entra firmy Microsoft.

9. Aby zapoznać się z kompletnym przewodnikiem, możesz również pobrać nasze plany wdrożeniowe dla bezproblemowego SSO.

Włącz wdrażanie etapowe

Aby wdrożyć określoną funkcję (uwierzytelnianie przekazywane, synchronizację skrótów haseł lub bezproblemowe logowanie jednokrotne) do wybranego zestawu użytkowników w grupie, postępuj zgodnie z instrukcjami w następnych sekcjach.

Włącz etapowe wprowadzanie określonej funkcji w swoim środowisku klienta

Możesz wdrożyć następujące opcje:

• Synchronizacja skrótów haseł + Bezproblemowe SSO
• Uwierzytelnianie delegowane + Bezproblemowe jednokrotne logowanie
• Nieobsługiwane - Synchronizacja skrótów haseł + Uwierzytelnianie przekazujące + Bezproblemowe SSO
• Ustawienia uwierzytelniania opartego na certyfikatach
• Uwierzytelnianie wieloskładnikowe platformy Azure

Aby skonfigurować wdrożenie etapowe, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

2. Przejdź do Tożsamość>Zarządzanie hybrydowe>Microsoft Entra Connect>Synchronizacja połączeń.

3. Na stronie Microsoft Entra Connect w obszarze Etapowe wdrażanie uwierzytelniania w chmurze wybierz link Włącz wdrożenie etapowe dla zarządzanego logowania użytkownika.

4. Na stronie Włącz funkcję wdrażania etapowego wybierz opcje, które chcesz włączyć: synchronizacja skrótów haseł (Password Hash Sync), uwierzytelnianie przekazywujące (Pass-through authentication), bezproblemowe logowanie jednokrotne (Seamless single sign-on) lub uwierzytelnianie oparte na certyfikatach (Certificate-based Authentication). Jeśli na przykład chcesz włączyć synchronizację skrótów haseł i bezproblemowe logowanie jednokrotne, przesuń obie kontrolki do opcji Włączone.

5. Dodaj grupy do wybranych funkcji. Na przykład uwierzytelnianie przekazywane i bezproblemowe logowanie jednokrotne. Aby uniknąć przekroczenia limitu czasu, upewnij się, że początkowo grupy zabezpieczeń nie liczą więcej niż 200 członków.

   Uwaga

   Członkowie w grupie są automatycznie włączani do procesu Etapowego Wdrażania. Zagnieżdżone i dynamiczne grupy członków nie są obsługiwane podczas stopniowego wdrażania. Podczas dodawania nowej grupy użytkownicy w grupie (do 200 użytkowników dla nowej grupy) zostaną natychmiast zaktualizowani w celu natychmiastowego korzystania z zarządzanego uwierzytelniania. Edytowanie grupy (dodawanie lub usuwanie użytkowników) może potrwać do 24 godzin, aby zmiany zaczęły obowiązywać. Bezproblemowe logowanie jednokrotne będzie stosowane tylko wtedy, gdy użytkownicy znajdują się w grupie Bezproblemowe logowanie jednokrotne, a także w grupie PTA lub PHS.

Inspekcja

Włączyliśmy zdarzenia inspekcji dla różnych akcji, które wykonujemy dla wdrożenia etapowego:

• Zdarzenie inspekcji przy włączeniu etapowego wdrażania dla synchronizacji skrótów haseł, uwierzytelniania przekazywanego lub bezproblemowego logowania jednokrotnego.

  Uwaga

  Zdarzenie inspekcji jest rejestrowane, gdy bezproblemowe logowanie jednokrotne jest włączone przy użyciu wdrożenia etapowego.

  

  

• Zdarzenie audytu, gdy grupa jest dodawana do synchronizacji skrótu hasła, uwierzytelniania pośredniczącego, lub bezproblemowego jednokrotnego logowania.

  Uwaga

  Zdarzenie audytu jest rejestrowane w momencie dodania grupy do synchronizacji skrótów haseł dla wdrożenia etapowego.

  

  

• Zdarzenie audytu, gdy użytkownik, który został dodany do grupy, jest włączony do wdrożenia etapowego.

  

  

Walidacja

Aby przetestować logowanie przy użyciu synchronizacji skrótu hasła lub uwierzytelniania przekazywanego (logowanie przy użyciu nazwy użytkownika i hasła), wykonaj następujące zadania:

1. W ekstranecie przejdź do strony Apps w prywatnej sesji przeglądarki, a następnie wprowadź UserPrincipalName (UPN) konta użytkownika wybranego do Staged Rollout.

   Użytkownicy, którzy zostali objęci stopniowym wdrażaniem, nie są przekierowywani na federacyjną stronę logowania. Zamiast tego użytkownik jest proszony o zalogowanie się na stronie logowania firmy Microsoft z marką entra.

2. Upewnij się, że logowanie zostanie pomyślnie wyświetlone w raporcie aktywności logowania w Microsoft Entra poprzez filtrowanie według UserPrincipalName.

Aby przetestować logowanie przy użyciu bezproblemowego logowania jednokrotnego:

1. W intranecie, używając sesji przeglądarki, przejdź do strony Aplikacji, a następnie wprowadź identyfikator UserPrincipalName (UPN) dla konta użytkownika, które zostało wybrane do wdrożenia etapowego.

   Użytkownicy, którzy zostali objęci wdrożeniem etapowym bezproblemowego logowania jednokrotnego , otrzymują komunikat "Próba zalogowania się..." przed zalogowaniem się w trybie dyskretnym.

2. Upewnij się, że logowanie pojawi się pomyślnie w raporcie aktywności logowania Microsoft Entra, filtrując przy użyciu UserPrincipalName.

   Aby śledzić logowania użytkowników, które nadal występują w usługach Active Directory Federation Services (AD FS) dla wybranych użytkowników wprowadzania etapowego, postępuj zgodnie z instrukcjami w temacie Rozwiązywanie problemów z usługami AD FS: Zdarzenia i rejestrowanie. Zapoznaj się z dokumentacją dostawcy, aby dowiedzieć się, jak to sprawdzić u zewnętrznych dostawców federacyjnych.

   Uwaga

   Podczas gdy użytkownicy są w procesie etapowego wdrażania z PHS, zmiana haseł może potrwać do 2 minut, zanim zaczną obowiązywać ze względu na czas synchronizacji. Pamiętaj, aby określić oczekiwania użytkowników, aby uniknąć połączeń pomocy technicznej po zmianie hasła.

Monitorowanie

Możesz monitorować użytkowników i grupy dodane lub usunięte ze Staged Rollout oraz logowania się użytkowników podczas wdrażania etapowego, korzystając z nowych skoroszytów uwierzytelniania hybrydowego w centrum administracyjnym Microsoft Entra.

Usuwanie użytkownika z wdrożenia etapowego

Usunięcie użytkownika z grupy powoduje wyłączenie wdrożenia etapowego dla tego użytkownika. Aby wyłączyć funkcję wdrażania etapowego, przesuń kontrolkę z powrotem do pozycji Wyłączone.

Ważne

W przypadku usuwania użytkownika z grupy w ramach etapowego wdrażania uwierzytelniania opartego na certyfikatach, gdzie użytkownik zalogował się do urządzeń z systemem Windows za pomocą certyfikatu, zaleca się pozostawienie użytkownika włączonego dla metody uwierzytelniania opartego na certyfikatach w Entra ID. Użytkownik powinien pozostać włączony na potrzeby uwierzytelniania opartego na certyfikatach po usunięciu z etapowego wdrożenia na tyle długo, że użytkownik może zalogować się do systemu Windows i odświeżyć podstawowy token odświeżania przy użyciu dostawcy tożsamości federacyjnej.

Często zadawane pytania

.: Czy mogę użyć tej funkcji w środowisku produkcyjnym?

1: Tak, możesz użyć tej funkcji w dzierżawie produkcyjnej, ale zalecamy, aby najpierw wypróbować ją w dzierżawie testowej.

.: Czy ta funkcja może służyć do utrzymania trwałego "współistnienia", w którym niektórzy użytkownicy używają uwierzytelniania federacyjnego, a inni używają uwierzytelniania w chmurze?

1: Nie, ta funkcja została zaprojektowana do testowania uwierzytelniania w chmurze. Po pomyślnym zakończeniu testów kilka grup użytkowników powinno przejść na uwierzytelnianie w chmurze. Nie zalecamy używania trwałego stanu mieszanego, ponieważ takie podejście może prowadzić do nieoczekiwanych przepływów uwierzytelniania.

.: Czy mogę użyć programu PowerShell do wykonania wdrożenia etapowego?

Odpowiedź: Tak. Aby dowiedzieć się, jak używać programu PowerShell do przeprowadzania wdrażania etapowego, zobacz Microsoft Entra ID Preview.

Następne kroki

• Microsoft Entra ID 2.0 (wersja zapoznawcza)
• Zmiana metody logowania na synchronizację skrótów haseł
• Zmiana metody logowania na uwierzytelnianie typu pass-through