Melhores práticas para migrar aplicativos e autenticação para o Microsoft Entra ID

Você ouviu dizer que o Azure Active Directory agora é Microsoft Entra ID e está pensando que é um bom momento para migrar seu Serviço de Federação do Active Directory (AD FS) para a autenticação na nuvem (AuthN) no Microsoft Entra ID. Ao examinar suas opções, consulte nossos recursos extensivos para migrar aplicativos para o Microsoft Entra ID e as melhores práticas.

Até que você possa migrar o AD FS para o Microsoft Entra ID, proteja seus recursos locais com o Microsoft Defender para Identidade. Você pode encontrar e corrigir vulnerabilidades proativamente. Use avaliações, análise e inteligência de dados, pontuação de prioridade de investigação do usuário e resposta automática a identidades comprometidas. A migração para a nuvem significa que sua organização pode se beneficiar da autenticação moderna, como métodos sem senha para autenticação.

Aqui estão os motivos pelos quais você pode optar por não migrar o AD FS:

• Seu ambiente tem nomes de usuário simples (como ID do funcionário).
• Você precisa de mais opções para provedores de autenticação multifator personalizados.
• Você usa soluções de autenticação de dispositivo de sistemas de Gerenciamento de Dispositivo Móvel (MDM) de terceiros, como o VMware.
• Seu AD FS é alimentado duplamente com várias nuvens.
• Você precisa abrir as redes.

Migrar aplicativos

Planeje uma distribuição de migração de aplicativo em etapas e selecione os usuários para autenticar no Microsoft Entra ID para teste. Use as diretrizes em planeje a migração de aplicativos para o Microsoft Entra ID e os recursos para migrar aplicativos para o Microsoft Entra ID.

Saiba mais no vídeo a seguir, Migração sem esforço de aplicativo usando o Microsoft Entra ID.

Ferramenta de migração de aplicativo

Atualmente em versão prévia, a migração de aplicativos do AD FS para mover aplicativos do AD FS para o Microsoft Entra ID é um guia para administradores de TI migrarem aplicativos de terceira parte confiável do AD FS do AD FS para o Microsoft Entra ID. O Assistente de Migração de Aplicativos do AD FS oferece uma experiência unificada para descobrir, avaliar e configurar novos aplicativos do Microsoft Entra. Ele fornece uma configuração de um clique para URLs básicas de SAML, mapeamento de declarações e atribuições de usuário para integrar o aplicativo ao Microsoft Entra ID. Há suporte de ponta a ponta para migrar aplicativos AD FS locais com esses recursos:

• Para ajudar a identificar o uso e o impacto do aplicativo, avalie as atividades de entrada de aplicativos de terceira parte confiável do AD FS
• Para ajudar a determinar os bloqueadores de migração e as ações necessárias para migrar aplicativos para o Microsoft Entra ID, analise a viabilidade da migração do AD FS para o Microsoft Entra
• Para configurar automaticamente um novo aplicativo Microsoft Entra para um aplicativo do AD FS, configure novos aplicativos do Microsoft Entra com um processo de migração de aplicativo com um clique

Fase 1: descoberta e escopo de aplicativos

Ao descobrir aplicativos, verifique se você está incluindo aplicativos em desenvolvimento e planejados. Faça escopo deles para usar o Microsoft Entra ID para autenticar após a conclusão da migração.

Use o relatório de atividades para mover aplicativos do AD FS para o Microsoft Entra ID Esse relatório ajuda você a identificar aplicativos que podem migrar para o Microsoft Entra ID. Ele avalia os aplicativos do AD FS para compatibilidade do Microsoft Entra, verifica problemas e fornece orientação sobre como preparar aplicativos individuais para migração.

Use o AD FS para a Ferramenta de Migração de Aplicativo do Microsoft Entra para coletar aplicativos de terceira parte confiável do servidor do AD FS e analisar a configuração. A partir dessa análise, o relatório mostra quais aplicativos são elegíveis para migração para o Microsoft Entra ID. Para aplicativos inelegíveis, você pode examinar explicações sobre por que eles não podem migrar.

Instale o Microsoft Entra Connect para ambientes locais com agentes de integridade de AD FS do Microsoft Entra Connect.

Saiba mais sobre O que é o Microsoft Entra Connect?

Fase 2: classificar os aplicativos e o piloto do plano

A classificação da migração de aplicativos é um exercício importante. Planeje a migração e a transição do aplicativo em fases após decidir a ordem na qual você migrará aplicativos. Inclua os seguintes critérios para classificação de aplicativo:

• Protocolos de autenticação modernos, como aplicativos de Software como serviço (SaaS) de terceiros na galeria de aplicativos do Microsoft Entra, mas não por meio do Microsoft Entra ID.
• Protocolos de autenticação herdados para modernização, como aplicativos SaaS de terceiros (não na galeria, mas você pode adicionar à galeria).
• Aplicativos federados que estão usando o AD FS e podem migrar para o Microsoft Entra ID.
• Protocolos de autenticação herdados a NÃO serem modernizados. A modernização pode excluir protocolos por trás do Proxy de Aplicativo Web (WinSCP (WAP)) que podem usar o Proxy de Aplicativo do Microsoft Entra e a rede de entrega de aplicativos/controladores de entrega de aplicativos que podem usar o Acesso Híbrido Seguro.
• Novos aplicativos de linha de negócios (LOB).
• Os aplicativos para substituição podem ter uma funcionalidade redundante com outros sistemas e nenhum proprietário ou uso comercial.

Ao escolher os primeiros aplicativos para migração, mantenha-o simples. Os critérios podem incluir aplicativos SaaS na galeria que dão suporte a várias conexões de provedor de identidade (IdP). Há aplicativos com acesso à instância de teste, aplicativos com regras de declaração simples e aplicativos que controlam o acesso de audiência.

Fase 3: Planejar a migração e o teste

As Ferramentas de migração e teste incluem o Kit de ferramentas de migração de aplicativos do Microsoft Entra para descobrir, classificar e migrar aplicativos. Consulte a lista de tutoriais de aplicativo SaaS e o plano de implantação de Logon Único (SSO) do Microsoft Entra que mostram o processo de ponta a ponta.

Saiba mais sobre o Proxy de Aplicativo do Microsoft Entra e use o Plano completo de implantação do Proxy de Aplicativo do Microsoft Entra. Nesse artigo você aprenderá a proteger seus aplicativos de autenticação herdados locais e na nuvem conectando-os ao Microsoft Entra ID. Use o Microsoft Entra Connect para sincronizar usuários e grupos do AD FS com o Microsoft Entra ID.

Fase 4: gerenciamento e insights do plano

Depois de migrar aplicativos, siga as diretrizes de gerenciamento e insights para garantir que os usuários possam acessar e gerenciar aplicativos com segurança. Adquira e compartilhe insights sobre o uso e a integridade do aplicativo.

No Centro de administração do Microsoft Entra, audite todos os aplicativos usando esses métodos:

• Audite seu aplicativo usando Aplicativos Empresariais, Auditoria ou acesse as mesmas informações na API de relatórios do Microsoft Entra para fazer a integração com suas ferramentas favoritas.
• Exiba as permissões de aplicativos com Aplicativos Empresariais, Permissões para aplicativos que usam Open Authorization (OAuth)/OpenID Connect.
• Obtenha informações de entrada com Aplicativos Empresariais, Entradas e na API de relatórios do Microsoft Entra.
• Visualize o uso do aplicativo das Pastas de trabalho do Microsoft Entra.

Habilite o ambiente de validação

Gerencie, solucione problemas e relate produtos e serviços do Microsoft Identity com MSIdentityTools na Galeria do PowerShell. Monitore sua infraestrutura do AD FS com o Microsoft Entra Connect Health. Crie aplicativos de teste no AD FS e gere regularmente a atividade do usuário, monitorando a atividade no Centro de administração do Microsoft Entra.

À medida que você sincroniza objetos com o Microsoft Entra ID, verifique as regras de declaração de confiança de terceira parte confiável do AD FS para grupos, usuários e atributos de usuário usados em regras de declarações disponíveis na nuvem. Certifique-se de sincronização de contêiner e atributo.

Diferenças nos cenários de migração de aplicativos

Seu plano de migração de aplicativo precisa de atenção específica quando seu ambiente inclui os cenários a seguir. Siga os links para obter mais diretrizes.

• Certificados. (Certificado de assinatura global do AD FS). No Microsoft Entra ID, você pode usar um certificado por aplicativo ou um certificado para todos os aplicativos. Escalone datas de expiração e configure lembretes. Delegue o gerenciamento de certificados a funções com privilégios mínimos. Examine as perguntas e informações comuns relacionadas aos certificados que o Microsoft Entra ID cria para estabelecer o SSO federado para aplicativos SaaS.
• Regras de declaração e mapeamento de atributo básico. Para aplicativos SaaS, talvez seja necessário apenas o mapeamento de atributo a declaração básico. Saiba como personalizar declarações de token SAML.
• Extraia o nome de usuário do UPN. O Microsoft Entra ID dá suporte à transformação baseada em regex (também relacionada à personalização de declaração de token SAML).
• Declarações de Grupo. Emita declarações de grupo filtradas pelos usuários que são membros e atribuídas ao aplicativo. Você podeconfigurar declarações de grupo para aplicativos usando o Microsoft Entra ID.
• Proxy de Aplicativo Web. Publique com o Proxy de Aplicativo do Microsoft Entra para se conectar com segurança a aplicativos Web locais sem uma VPN. Forneça acesso remoto a aplicativos Web locais e suporte nativo para protocolos de autenticação herdados.

Plano de processo de migração de aplicativo

Considere incluir as etapas a seguir no processo de migração do aplicativo.

• Clone a configuração do aplicativo AD FS. Configure uma instância de teste do aplicativo ou use um aplicativo fictício em um locatário do Microsoft Entra de teste. Mapeie as configurações do AD FS para as configurações do Microsoft Entra. Planeje uma reversão. Alterne a instância de teste para o Microsoft Entra ID e valide.
• Configure declarações e identificadores. Para confirmar e solucionar problemas, imite aplicativos de produção. Aponte uma instância de teste do aplicativo para o aplicativo de teste do Microsoft Entra ID. Valide e solucione o acesso, atualizando a configuração conforme necessário.
• Prepare a instância de produção para migração. Adicione o aplicativo de produção ao Microsoft Entra ID com base nos resultados do teste. Para aplicativos que permitem vários provedores de identidade (IdPs), configure o Microsoft Entra ID como um IdP adicionado à instância de produção.
• Alterne a instância de produção para usar o Microsoft Entra ID. Para aplicativos que permitem vários IdPs simultâneos, altere o IdP padrão para o Microsoft Entra ID. Caso contrário, configure o Microsoft Entra ID como o IdP para a instância de produção. Atualize a instância de produção para usar o aplicativo de produção do Microsoft Entra como IdP primário.
• Migre o primeiro aplicativo, execute testes de migração e corrija problemas. Faça referência ao status de migração nos relatórios de atividade de aplicativo do AD FS que fornecem orientação sobre como resolver possíveis problemas de migração.
• Migre em escala. Migre aplicativos e usuários em fases. Use o Microsoft Entra ID para gerenciar aplicativos e usuários migrados enquanto testa suficientemente a autenticação.
• Remova a federação. Confirme se o farm do AD FS não é mais usado para autenticação. Use configurações relacionadas a fail-back, backup e exportação.

Migrar autenticação

Enquanto se prepara para a migração de autenticação, decida quais métodos de autenticação são necessários para sua organização.

• A PHS (sincronização de hash de senha) com o Microsoft Entra ID está disponível para failover ou como a autenticação do usuário final primário. Configure a detecção de risco como parte da Proteção do Microsoft Entra ID. Revise o tutorial identificar e corrigir riscos usando a API do Microsoft Graph e saiba como implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.
• A autenticação baseada em certificado (CBA) do Microsoft Entra é autenticada diretamente no Microsoft Entra ID sem a necessidade de um IdP federado. Os principais benefícios incluem recursos que ajudam a melhorar a segurança com a CBA resistente a phishing e atendem aos requisitos de Ordem Executiva (EO) 14028 para autenticação multifator resistente a phishing. Você reduz custos e riscos associados à infraestrutura de federação local e simplifica a experiência de gerenciamento no Microsoft Entra ID com controles granulares.
• Microsoft Entra Connect: a Autenticação de Passagem (PTA) usa um agente de software para se conectar a senhas armazenadas localmente para validação. Os usuários fazem logon em aplicativos de nuvem com o mesmo nome de usuário e senha para recursos locais, trabalhando perfeitamente com as Políticas de Acesso Condicional do Microsoft Entra. O Bloqueio Inteligente impede ataques de força bruta. Instale agentes de autenticação locais com a infraestrutura atual do Microsoft Windows Server Active Directory. Use o PTA se os requisitos regulatórios especificarem que os hashes de senha não podem ser sincronizados com o Microsoft Entra ID. Caso contrário, use PHS.
• Experiência atual de SSO sem o AD FS. O logon único (SSO) contínuo fornece uma experiência de SSO de dispositivos ingressados no domínio em sua corpnet (Kerberos). Ele funciona com PHS, PTA e CBA e não precisa de outra infraestrutura local. Você pode permitir que os usuários entrem no Microsoft Entra ID com o email como uma ID de logon alternativa usando as mesmas credenciais que seu ambiente de diretório local. Com a autenticação híbrida, os usuários precisam de um conjunto de credenciais.
• Recomendação: PHS via PTA, autenticação sem senha no Microsoft Entra ID com Windows Hello para Empresas, chaves de segurança FIDO2 ou Microsoft Authenticator. Se você planeja usar a Confiança de certificado híbrido do Windows Hello para Empresas, migre para a Confiança na nuvem primeiro para registrar todos os usuários.

Políticas de autenticação e senha

Com políticas dedicadas para o AD FS local e o Microsoft Entra ID, alinhe as políticas de expiração de senha localmente e no Microsoft Entra ID. Considere implementar uma política de senha combinada e verificar se há senhas fracas no Microsoft Entra ID. Depois de alternar para um domínio gerenciado, ambas as políticas de expiração de senha se aplicam.

Permita que os usuários redefinam senhas esquecidas com a Redefinição de Senha de Autoatendimento (SSPR) para reduzir os custos do suporte técnico. Limite os métodos de autenticação baseados em dispositivo. Modernize sua política de senha para não ter expirações periódicas com a capacidade de revogar quando estiver em risco. Bloqueie senhas fracas e verifique senhas em relação a listas de senhas proibidas. Habilite a proteção por senha para o AD FS local e a nuvem.

Migre as configurações de política do Microsoft Entra ID herdadas que controlam separadamente a autenticação multifator e a SSPR para o gerenciamento unificado com a política de Métodos de autenticação. Migre as configurações de política com um processo reversível. Você pode continuar a usar as políticas de autenticação multifator e SSPR em todo o locatário enquanto configura os métodos de autenticação precisamente para usuários e grupos.

Como a entrada do Windows e outros métodos sem senha exigem configuração detalhada, habilite a entrada com o Microsoft Authenticator e as chaves de segurança FIDO2. Use grupos para gerenciar a implantação e os usuários de escopo.

Você pode configurar a aceleração automática de credenciais com o Home Realm Discovery. Aprenda a usar o login de aceleração automática para ignorar a tela de entrada de nome de usuário e encaminhar automaticamente os usuários para pontos de extremidade de login federados. Evite a desaceleração automática de entrada usando a política do Home Realm Discovery para ter várias maneiras de controlar como e onde os usuários se autenticam.

Políticas de expiração de conta

O atributo accountExpires do gerenciamento de conta de usuário não é sincronizado com o Microsoft Entra ID. Como resultado, uma conta expirada do Active Directory em um ambiente configurado para sincronização de hash de senha ainda estará ativa no Microsoft Entra ID. Use um script agendado do PowerShell para desabilitar as contas de usuário do Microsoft Windows Server Active Directory depois que elas expirarem, como o cmdlet Set-ADUser. Por outro lado, ao remover a expiração de uma conta do Microsoft Windows Server Active Directory Server, reabilite a conta.

Com o Microsoft Entra ID, você pode evitar ataques usando o bloqueio inteligente. Bloqueie contas na nuvem antes de bloqueá-las localmente para atenuar ataques de força bruta. Tenha um intervalo menor para a nuvem, garantindo que o limite local seja pelo menos duas a três vezes maior que o limite do Microsoft Entra. Defina a duração do bloqueio do Microsoft Entra por mais tempo do que a duração local. Quando a migração for concluída, configure a proteção do Extranet Smart Lockout (ESL) do AD FS.

Planejar a Implantação do Acesso Condicional

A flexibilidade da política de acesso condicional requer um planejamento cuidadoso. Vá para Planejar uma implementação do Acesso Condicional do Microsoft Entra para ver as etapas de planejamento. Aqui estão os principais pontos a serem considerados:

• Elaborar políticas de Acesso Condicional com convenções de nomenclatura significativas
• Use uma planilha de pontos de decisão de design com os seguintes campos:
  • Fatores de atribuição: usuário, aplicativos de nuvem
  • Condições: locais, tipo de dispositivo, tipo de aplicativos cliente, risco de entrada
  • Controles: bloqueio, autenticação multifator necessária, ingressado no Microsoft Windows Server Active Directory híbrido, dispositivo compatível necessário, tipo de aplicativo cliente aprovado
• Selecionar conjuntos de usuários de teste pequenos para políticas de Acesso Condicional
• Testar as políticas de Acesso Condicional no modo Somente relatório
• Validar as políticas de Acesso Condicional com a ferramenta de política what if
• Usae modelos de Acesso Condicional, especialmente se sua organização não tiver experiência em Acesso Condicional

Políticas de acesso condicional

Ao concluir a autenticação de primeiro fator, imponha políticas de Acesso Condicional. O Acesso Condicional não é a defesa de linha de frente para cenários como ataques de Negação de Serviço (DoS). Mas o Acesso Condicional pode usar sinais desses eventos, como risco de entrada e localização de uma solicitação para determinar o acesso. O fluxo de uma política de Acesso Condicional analisa uma sessão e suas condições e, em seguida, alimenta os resultados no mecanismo de política central.

Com o Acesso Condicional, restrinja o acesso a aplicativos clientes aprovados e modernos com capacidade de autenticação com políticas de proteção de aplicativos do Intune. Para aplicativos cliente mais antigos que podem não dar suporte a políticas de proteção de aplicativo, os administradores podem restringir o acesso a aplicativos cliente aprovados.

Proteja automaticamente aplicativos com base em atributos. Para alterar os atributos de segurança do cliente, use a filtragem dinâmica de aplicativos de nuvem para adicionar e remover o escopo da política de aplicativo. Use atributos de segurança personalizados para direcionar aplicativos próprios da Microsoft que não aparecem no seletor de aplicativos de Acesso Condicional.

Use o controle de força de autenticação do Acesso Condicional para especificar qual combinação de métodos de autenticação acessa um recurso. Por exemplo, disponibilize métodos de autenticação resistentes a phishing para acessar um recurso confidencial.

Avalie os controles personalizados no Acesso Condicional. Os usuários redirecionam para um serviço compatível para atender aos requisitos de autenticação fora do Microsoft Entra ID. O Microsoft Entra ID verifica a resposta e, se o usuário foi autenticado ou validado, continua no fluxo de Acesso Condicional. Conforme mencionado nas próximas alterações nos Controles Personalizados, os recursos de autenticação fornecidos pelo parceiro funcionam perfeitamente com o administrador do Microsoft Entra e as experiências do usuário final.

Soluções personalizadas de autenticação multifator

Se você usar provedores de autenticação multifator personalizados, considere migrar do Servidor de Autenticação Multifator para o Microsoft Entra de autenticação multifator. Se necessário, use o Utilitário de Migração do Servidor de Autenticação Multifator para migrar para a autenticação multifator. Personalize a experiência do usuário final com configurações para limite de bloqueio de conta, alerta de fraude e notificação.

Saiba como migrar para a autenticação multifator e a autenticação de usuário do Microsoft Entra. Migre todos os aplicativos, o serviço de autenticação multifator e a autenticação de usuário para o Microsoft Entra ID.

Você pode habilitar a autenticação multifator do Microsoft Entra e aprender a criar políticas de acesso condicional para grupos de usuários, configurar condições de política que solicitem autenticação multifator e testar a configuração do usuário e o uso da autenticação multifator.

A extensão Servidor de Política de Rede (NPS) para autenticação multifator adiciona recursos de autenticação multifator baseados em nuvem à sua infraestrutura de autenticação usando seus servidores. Se você usar a autenticação multifator do Microsoft Entra com o NPS, determine o que pode migrar para protocolos modernos, como SAML (Security Assertion Markup Language) e OAuth2. Avalie o proxy de aplicativo do Microsoft Entra para acesso remoto e use SHA (acesso híbrido seguro) para proteger aplicativos herdados com o Microsoft Entra ID.

Monitorar entradas

Use o Connect Health para integrar entradas do AD FS para correlacionar várias IDs de Evento do AD FS, dependendo da versão do servidor, para obter informações sobre detalhes de solicitação e erro. O Relatório de entradas do Microsoft Entra inclui informações sobre quando usuários, aplicativos e recursos gerenciados entraram no Microsoft Entra ID e acessaram recursos. Essas informações correlacionam-se ao esquema de relatório de entrada do Microsoft Entra e aparecem na experiência do usuário do relatório de entrada do Microsoft Entra. Com o relatório, um fluxo do Log Analytics fornece dados do AD FS. Use e modifique o modelo de Pasta de Trabalho do Azure Monitor para análise de cenário. Os exemplos incluem bloqueios de conta do AD FS, tentativas de senha incorretas e aumentos em tentativas de entrada inesperadas.

O Microsoft Entra registra todos as entradas em um locatário do Azure, o que inclui seus aplicativos e recursos internos. Examine os erros e padrões de entrada para obter informações sobre como os usuários acessam aplicativos e serviços. Os Logs de entrada no Microsoft Entra ID são logs de atividade úteis para análise. Configure logs com retenção de dados de até 30 dias, dependendo do licenciamento, e exporte-os para o Azure Monitor, Sentinel, Splunk e outros sistemas de gerenciamento de eventos e informações de segurança (SIEM).

Dentro da declaração de rede corporativa

Independentemente de onde as solicitações se originam ou de quais recursos elas acessam, o modelo de Confiança Zero nos ensina a "Nunca confiar, sempre verificar." Proteja todos os locais como se estivessem fora da rede corporativa. Declare as redes internas como locais confiáveis para reduzir falsos positivos de proteção de identidade. Imponha a autenticação multifatorial para todos os usuários e estabeleça políticas de Acesso Condicional baseadas em dispositivos.

Execute uma consulta nos logs de entrada para descobrir usuários que se conectam de dentro da rede corporativa, mas não estão em conformidade ou entraram no Microsoft Entra híbrido. Considere os usuários em dispositivos em conformidade e o uso de navegadores sem suporte, como Firefox ou Chrome sem a extensão. Em vez disso, use o domínio do computador e o status de conformidade.

Teste e substituição de migração de autenticação em etapas

Para testar, use a Autenticação de nuvem do Microsoft Entra Connect com a Distribuição em Etapas para controlar a autenticação do usuário de teste com grupos. Teste seletivamente os grupos de usuários com recursos de autenticação na nuvem, como autenticação multifator do Microsoft Entra, Acesso condicional e Microsoft Entra ID Protection. No entanto, não use a Distribuição em Etapas para migrações incrementais.

Para concluir a migração para a autenticação na nuvem, use a Distribuição em Etapas para testar novos métodos de entrada. Converta domínios da autenticaçãofederada para a gerenciada. Comece com um domínio de teste ou com o domínio com o menor número de usuários.

Planeje a substituição de domínio durante o horário comercial, caso seja necessária uma reversão. Para planejar a reversão, use as configurações de federação atuais. Consulte o guia de design e implantação de federação.

Inclua a conversão de domínios gerenciados em domínios federados em seu processo de reversão. Use o cmdlet New-MgDomainFederationConfiguration. Se necessário, configure mais regras de declaração. Para garantir um processo concluído, deixe a distribuição em etapas de reversão por 24 a 48 horas após a substituição. Remova usuários e grupos da Distribuição em Etapas e, em seguida, desative-a.

Após a substituição, a cada 30 dias, role a chave para SSO contínuo:

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Encerrar o AD FS

Monitore a atividade do AD FS do Connect Health Usage Analytics para AD FS. Primeiro, habilite a auditoria para AD FS 2.0. Antes de desativar o farm do AD FS, verifique se não há nenhuma atividade do AD FS. Use o guia de desativação do AD FS e a referência de encerramento do AD FS. Aqui está um resumo das principais etapas de desativação.

1. Faça um backup final antes de desativar servidores do AD FS.
2. Remova as entradas do AD FS de balanceadores de carga internos e externos.
3. Exclua as entradas do Servidor de Nomes de Domínio (DNS) correspondentes para nomes de farm de servidores do AD FS.
4. No servidor AD FS primário, execute Get-ADFSProperties e procure CertificateSharingContainer.

   Observação

   Exclua o Nome de Domínio (DN) perto do final da instalação, após algumas reinicializações e quando ele não estiver mais disponível.

5. Exclua o banco de dados de configuração do AD FS se ele usar uma instância de banco de dados do SQL Server como o repositório.
6. Desinstale servidores WAP.
7. Desinstale servidores do AD FS.
8. Exclua os protocolo SSL (SSL) do AD FS do armazenamento de cada servidor.
9. Crie novas imagens de servidores do AD FS com formatação completa de disco.
10. Exclua sua conta do AD FS.
11. Use a edição ADSI (Interfaces de Serviço do Active Directory) para remover o conteúdo do DN CertificateSharingContainer.

Próximas etapas

• Migrar da federação para a autenticação de nuvem no Microsoft Entra ID explica como implantar a autenticação de usuário na nuvem com a PHS (sincronização de hash de senha) do Microsoft Entra ou a autenticação de passagem (PTA)
• Recursos para migrar aplicativos para o Microsoft Entra ID: ajuda você a migrar o acesso e a autenticação de aplicativos para o Microsoft Entra ID
• Planejar a migração de aplicativos para o Microsoft Entra ID descreve os benefícios do Microsoft Entra ID e como planejar a migração da autenticação do aplicativo
• Usar o Microsoft Entra Connect Health com a documentação de AD FS sobre como monitorar sua infraestrutura do AD FS com o Microsoft Entra Connect Health
• Gerenciar métodos de autenticação tem métodos de autenticação que dão suporte a cenários de entrada
• Planejar a implantação do Acesso Condicional explica como usar o Acesso Condicional para automatizar decisões e impor políticas de acesso organizacional aos recursos
• Microsoft Entra Connect: autenticação na nuvem por meio da Distribuição em Etapas descreve como testar seletivamente grupos de usuários com recursos de autenticação na nuvem antes de cortar seus domínios
• O guia de encerramento dos Serviços de Federação do Active Directory (AD FS) tem recomendações para o encerramento