Migrar para a autenticação na nuvem usando a distribuição em etapas

A Distribuição em Estágios permite que você teste seletivamente grupos de usuários com recursos de autenticação na nuvem, como autenticação multifator Microsoft Entra, Acesso Condicional, Proteção de ID do Microsoft Entra para credenciais vazadas, Governança de Identidade e outros, antes de cortar seus domínios. Este artigo descreve como fazer a mudança.

Antes de começar a distribuição em etapas, você deve considerar as implicações se uma ou mais das seguintes condições forem verdadeiras:

• No momento, você está usando um Servidor de Autenticação Multifator local.
• Você está usando cartões inteligentes para autenticação.
• O seu servidor atual oferece determinados recursos exclusivos de federação.
• Você está mudando de uma solução de federação de terceiros para serviços gerenciados.

Antes de experimentar esse recurso, sugerimos que você revise nosso guia sobre como escolher o método de autenticação correto. Para obter mais informações, consulte a tabela "Comparando métodos" em Escolha o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra.

Para obter uma visão geral do recurso, veja este vídeo "O que é distribuição em etapas?"

Pré-requisitos

• Você tem um locatário do Microsoft Entra com domínios federados.

• Você decidiu mover uma das seguintes opções:

  • Sincronização de hash de palavra-passe. Para obter mais informações, veja O que é a sincronização do hash de palavras-passe?
  • Autenticação por passagem. Para obter mais informações, consulte O que é a autenticação de passagem
  • Configurações de autenticação baseada em certificado (CBA) do Microsoft Entra. Para obter mais informações, consulte Visão geral da autenticação baseada em certificado do Microsoft Entra

  Para ambas as opções, recomendamos habilitar o logon único (SSO) para obter uma experiência de entrada silenciosa. Para dispositivos associados ao domínio do Windows 7 ou 8.1, recomendamos o uso do SSO contínuo. Para obter mais informações, consulte O que é SSO contínuo. Para Windows 10, Windows Server 2016 e versões posteriores, recomenda-se usar o SSO via PRT (Primary Refresh Token) com dispositivos associados ao Microsoft Entra, dispositivos híbridos ingressados no Microsoft Entra ou dispositivos pessoais registrados por meio de Adicionar Conta Corporativa ou Escolar.

• Você configurou todas as políticas apropriadas de marca de locatário e Acesso Condicional necessárias para os usuários que estão sendo migrados para a autenticação na nuvem.

• Se você tiver mudado da autenticação federada para a autenticação na nuvem, deverá verificar se a configuração do DirSync synchronizeUpnForManagedUsersEnabled está definida como true, caso contrário, a ID do Microsoft Entra não permitirá atualizações de sincronização para o UPN ou ID de login alternativo para contas de usuário licenciadas que usam autenticação gerenciada. Para obter mais informações, consulte Recursos do serviço Microsoft Entra Connect Sync.

• Se planeias usar a autenticação multifator do Microsoft Entra, recomendamos que utilizes o registo combinado para a redefinição de senha de autoatendimento (SSPR) e autenticação multifator para que os teus utilizadores registem os seus métodos de autenticação uma única vez. Nota- ao usar SSPR para redefinir a senha ou alterar a senha usando a página MyProfile enquanto estiver no Staged Rollout, o Microsoft Entra Connect precisa sincronizar o novo hash de senha que pode levar até 2 minutos após a redefinição.

• Para usar o recurso de distribuição em estágios, você precisa ser um administrador de identidade híbrida em seu locatário.

• Para habilitar o SSO contínuo em uma floresta específica do Ative Directory, você precisa ser um administrador de domínio.

• Se você estiver implantando a ID híbrida do Microsoft Entra ou a associação do Microsoft Entra, deverá atualizar para a atualização do Windows 10 1903.

Cenários suportados

Os seguintes cenários são suportados para o lançamento faseado. O recurso funciona apenas para:

• Usuários que são provisionados para o Microsoft Entra ID usando o Microsoft Entra Connect. Não se aplica a utilizadores apenas na nuvem.

• Tráfego de login do usuário em navegadores e clientes de autenticação modernos. Os aplicativos ou serviços de nuvem que usam autenticação herdada retornam aos fluxos de autenticação federada. Um exemplo de autenticação herdada pode ser o Exchange online com a autenticação moderna desativada ou o Outlook 2010, que não oferece suporte à autenticação moderna.

• O tamanho do grupo está atualmente limitado a 50.000 usuários. Se você tiver grupos maiores que 50.000 usuários, é recomendável dividir esse grupo em vários grupos para distribuição em estágios.

• No Windows 10 Hybrid Join ou no Microsoft Entra, a aquisição de um token de atualização primária pode ocorrer sem necessidade de linha de visão para o servidor de federação no Windows 10 versão 1903 e mais recente, quando o UPN do utilizador é roteável e o sufixo de domínio é verificado no Microsoft Entra ID.

• O Autopilot é suportado na implementação faseada com o Windows 10 versão 1909 ou posterior.

Cenários não suportados

Os seguintes cenários não são aceites para a Implementação em Estágios:

• Não há suporte para autenticação herdada, como POP3 e SMTP.

• Alguns aplicativos enviam o parâmetro de consulta "domain_hint" para o Microsoft Entra ID durante a autenticação. Esses fluxos continuam, e os usuários habilitados para Distribuição em Estágios continuam a usar a federação para autenticação.

• Os administradores podem implementar a autenticação na nuvem usando grupos de segurança. Para evitar a latência de sincronização quando estiver a utilizar grupos de segurança do Ative Directory no local, recomendamos que utilize grupos de segurança na nuvem. Aplicam-se as seguintes condições:

  • Você pode usar um máximo de 10 grupos por recurso. Ou seja, pode utilizar 10 grupos cada para a sincronização do hash de palavras-passe, a autenticação pass-through e o SSO totalmente integrado.
  • Não há suporte para grupos aninhados.
  • Não há suporte para grupos dinâmicos para distribuição em estágios.
  • Os objetos de contato dentro do grupo impedem que o grupo seja adicionado.

• Quando se adiciona pela primeira vez um grupo de segurança para implementação em fases, fica limitado a 200 utilizadores para evitar um tempo limite de UX. Depois de adicionar o grupo, pode adicionar mais utilizadores diretamente no grupo, conforme necessário.

• Enquanto os usuários estiverem na distribuição em estágios com sincronização de hash de senha (PHS), por padrão, nenhuma expiração de senha é aplicada. A expiração da senha sincronizada pode ser aplicada ativando "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Quando "CloudPasswordPolicyForPasswordSyncedUsersEnabled" está habilitado, a política de expiração de senha é definida para 90 dias a partir do momento em que a senha foi definida localmente, sem opção para personalizá-la. Não há suporte para a atualização programática do atributo PasswordPolicies enquanto os usuários estão na distribuição em estágios. Para saber como definir 'CloudPasswordPolicyForPasswordSyncedUsersEnabled', veja Política de Expiração de Senha.

• Aquisição de token de atualização primária do Windows 10 Hybrid Join ou Microsoft Entra para a versão do Windows 10 anterior a 1903. Esse cenário retorna ao ponto de extremidade WS-Trust do servidor de federação, mesmo que o usuário que entra esteja no escopo da Distribuição em Estágios.

• Aquisição de token de atualização primária do Windows 10 Hybrid Join ou Microsoft Entra para todas as versões, quando o UPN local do usuário não é roteável. Esse cenário volta para o ponto de extremidade WS-Trust enquanto estiver no modo de implementação faseada, mas deixa de funcionar quando a migração faseada é concluída e a autenticação do utilizador já não depende do servidor de federação.

• Se você tiver uma configuração de VDI não persistente com o Windows 10, versão 1903 ou posterior, deverá permanecer em um domínio federado. A mudança para um domínio gerenciado não é suportada em VDI não persistente. Para obter mais informações, consulte Identidade do dispositivo e virtualização da área de trabalho.

• Se tiver uma relação de confiança de certificado híbrido do Windows Hello for Business com certificados emitidos através do servidor de federação atuando como Autoridade de Registro ou para utilizadores de cartões inteligentes, o cenário não é suportado numa Implementação em Etapas.

  Nota

  Você ainda precisa fazer a transição final da autenticação federada para a nuvem usando o Microsoft Entra Connect ou o PowerShell. A Distribuição em Estágios não alterna domínios de federados para gerenciados. Para obter mais informações sobre a migração de domínio, veja Migrar da federação para a sincronização do hash de palavras-passe e Migrar da federação para a autenticação direta.

Comece com a distribuição em etapas

Para testar a sincronização de hash de palavra-passe no início de sessão utilizando a Distribuição em Estágios, siga as instruções de preparação na secção seguinte.

Para obter informações sobre quais cmdlets do PowerShell usar, consulte a pré-visualização do Microsoft Entra ID 2.0.

Preparação para sincronização de hash de senha

1. Ative a sincronização de hash de senha na página Recursos opcionais no Microsoft Entra Connect. 

   

2. Certifique-se de que um ciclo completo de sincronização de hash de senha tenha sido executado para que todos os hashes de senha dos utilizadores tenham sido sincronizados com o Microsoft Entra ID. Para verificar o estado da sincronização de hash de senha, pode usar o diagnóstico do PowerShell em Resolução de problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync.

   

Se quiser testar a autenticação de passagem utilizando a implementação em fases, habilite-o seguindo as instruções preliminares na próxima seção.

Trabalho preparatório para autenticação de passagem

1. Identifique um servidor que esteja executando o Windows Server 2012 R2 ou posterior onde você deseja que o agente de autenticação de passagem seja executado.

   Não escolha o servidor Microsoft Entra Connect. Verifique se o servidor está conectado ao domínio, pode autenticar utilizadores selecionados com o Active Directory e pode comunicar com o Microsoft Entra ID em portas e URLs de saída. Para obter mais informações, consulte a seção "Etapa 1: Verificar os pré-requisitos" do Guia de Início Rápido: logon único contínuo do Microsoft Entra.

2. Baixe o agente de autenticação do Microsoft Entra Connect e instale-o no servidor. 

3. Para habilitar a alta disponibilidade, instale agentes de autenticação adicionais em outros servidores.

4. Certifique-se de que configurou as definições do Smart Lockout de forma adequada. Isso ajuda a garantir que as contas locais do Ative Directory dos usuários não sejam bloqueadas por agentes mal-intencionados.

Recomendamos ativar SSO contínuo independentemente do método de início de sessão (sincronização de hash de senha ou autenticação de passagem) selecionado para Implementação Faseada. Para habilitar o SSO integrado, siga as instruções de preparação prévia na próxima seção.

Preparação para SSO ininterrupto

Habilitar o SSO contínuo nas florestas do Active Directory utilizando o PowerShell. Se você tiver mais de uma floresta do Ative Directory, habilite-a para cada floresta individualmente.  SSO sem interrupção é acionado apenas para usuários selecionados para implementação em fases. Isso não afeta a sua configuração de federação existente.

Habilite o SSO contínuo executando as seguintes tarefas:

1. Inicie sessão no Servidor Microsoft Entra Connect.

2. Vá para a pasta %programfiles%\Microsoft Entra Connect .

3. Importe o módulo PowerShell do SSO contínuo executando o seguinte comando:

   Import-Module .\AzureADSSO.psd1

4. Execute o PowerShell como um administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Este comando abre um painel onde pode introduzir as credenciais de Administrador de Identidade Híbrida do seu inquilino.

5. Ligue para Get-AzureADSSOStatus | ConvertFrom-Json. Este comando exibe uma lista de florestas do Ative Directory (consulte a lista "Domínios") nas quais esse recurso foi habilitado. Por padrão, está configurado como falso ao nível do inquilino.

   

6. Chame $creds = Get-Credential. No prompt, insira as credenciais de administrador de domínio para a floresta do Ative Directory pretendida.

7. Chame Enable-AzureADSSOForest -OnPremCredentials $creds. Este comando cria a conta de computador AZUREADSSOACC a partir do controlador de domínio local para a floresta do Active Directory, que é necessária para o SSO contínuo.

8. O SSO contínuo requer que as URLs estejam na zona da intranet. Para implantar essas URLs usando políticas de grupo, consulte Guia de início rápido: logon único contínuo do Microsoft Entra.

9. Para obter um passo a passo completo, poderá também baixar os nossos planos de implantação para SSO sem interrupções.

Habilitar distribuição em etapas

Para implementar uma funcionalidade específica (autenticação pass-through, sincronização do hash de palavras-passe ou SSO totalmente integrado) num conjunto selecionado de utilizadores num grupo, siga as instruções nas secções seguintes.

Habilitar uma distribuição em etapas de um recurso específico em seu locatário

Você pode implementar estas opções:

• Sincronização de hash de senha + SSO sem interrupções
• Autenticação de passagem + SSO contínuo e sem atritos
• Não suportado - Sincronização de hash de palavra-passe + Autenticação de passagem + Início de Sessão Único contínuo
• Configurações de autenticação baseada em certificado
• Autenticação multifator do Azure

Para configurar a distribuição em estágios, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização do Connect.

3. Na página Microsoft Entra Connect, em Implementação em estágios da autenticação na nuvem, selecione o link Habilitar implementação em estágios para autenticação de usuário gerenciado.

4. Na página do recurso Habilitar distribuição em fases, selecione as opções que deseja ativar: Sincronização de Hash de Senha, Autenticação via Passagem, Início de Sessão Único contínuo ou Autenticação Baseada em Certificado. Por exemplo, se pretenderes ativar Sincronização de Hash de Senha e Início de sessão único contínuo, desliza ambos os controlos para Ativado.

5. Adicione grupos aos recursos selecionados. Por exemplo, autenticação de passagem e SSO contínuo. Para evitar um tempo limite, certifique-se de que os grupos de segurança não contenham mais de 200 membros inicialmente.

   Nota

   Os membros de um grupo são automaticamente habilitados para o Lançamento em Fases. Não há suporte para os grupos de membros aninhados e dinâmicos na implementação em etapas. Ao adicionar um novo grupo, os usuários no grupo (até 200 usuários para um novo grupo) serão atualizados para usar a autenticação gerenciada imediatamente. Editando um grupo (adicionando ou removendo usuários), pode levar até 24 horas para que as alterações entrem em vigor. O Single Sign-On (SSO) sem interrupções será aplicado apenas se os utilizadores estiverem no grupo de SSO sem interrupções e também em um grupo de PTA ou PHS.

Auditoria

Habilitamos eventos de auditoria para as várias ações que executamos para a distribuição em estágios:

• Evento de auditoria quando você habilita uma distribuição em estágios para sincronização de hash de senha, autenticação de passagem ou SSO contínuo.

  Nota

  Um evento de auditoria é registado quando o SSO sem interrupções é ativado usando a Distribuição em Estágios.

  

  

• Evento de auditoria quando um grupo é adicionado à sincronização do hash de palavras-passe, à autenticação via passagem ou ao SSO contínuo.

  Nota

  Um evento de auditoria é registado quando um grupo é adicionado à sincronização de hash de senha para implementação faseada.

  

  

• Evento de auditoria quando um utilizador que foi adicionado ao grupo é ativado para Implementação Faseada.

  

  

Validação

Para testar o início de sessão com sincronização de hash da palavra-passe ou autenticação por passagem direta (início de sessão com nome de utilizador e palavra-passe), execute as seguintes tarefas:

1. Na extranet, vá para a página de aplicações em uma sessão privada do navegador e insira o UserPrincipalName (UPN) da conta de usuário selecionada para Implementação Faseada.

   Os usuários que foram direcionados para a distribuição em etapas não são redirecionados para sua página de login federada. Em vez disso, pede-se que façam login na página de início de sessão com a marca do inquilino do Microsoft Entra.

2. Certifique-se de que o início de sessão é exibido com sucesso no relatório de atividades de início de sessão da Microsoft Entra filtrando com o UserPrincipalName.

Para testar o início de sessão com Início de Sessão Único (SSO) sem interrupções:

1. Na intranet, vá para a página de Aplicações usando uma sessão de navegador e insira o UPN (UserPrincipalName) da conta de utilizador selecionada para Desdobramento em Etapas.

   Os utilizadores que foram direcionados para a implementação faseada do SSO contínuo e transparente veem uma mensagem "A tentar iniciar sessão..." antes de serem autenticados silenciosamente.

2. Certifique-se de que o início de sessão é exibido com sucesso no relatório de atividade de início de sessão do Microsoft Entra, filtrando com o Nome Principal do Utilizador.

   Para controlar os inícios de sessão de utilizadores que ainda ocorrem nos Serviços de Federação do Ative Directory (AD FS) para utilizadores selecionados da Distribuição em Estágios, siga as instruções em Resolução de problemas do AD FS: Eventos e registo. Verifique a documentação do fornecedor sobre como verificar isso em provedores de federação de terceiros.

   Nota

   Enquanto os usuários estão no Staged Rollout com PHS, a alteração de senhas pode levar até 2 minutos para entrar em vigor devido ao tempo de sincronização. Certifique-se de definir expectativas com seus usuários para evitar chamadas de helpdesk depois que eles alteraram a senha.

Monitorização

Você pode monitorizar os utilizadores e grupos adicionados ou removidos da Distribuição em Estágios e as tentativas de início de sessão dos utilizadores enquanto estiverem na Distribuição em Estágios, usando as novas pastas de trabalho de Autenticação Híbrida no centro de administração do Microsoft Entra.

Remover um utilizador da implementação faseada

A remoção de um usuário do grupo desabilita a distribuição em estágios para esse usuário. Para desativar o recurso Distribuição em etapas, deslize o controle de volta para Desativado.

Importante

Ao remover um utilizador de um grupo na implementação faseada para autenticação baseada em certificado, onde o utilizador iniciou sessão em dispositivos Windows com um certificado, é recomendável manter o utilizador ativado para o método de autenticação baseada em certificado no Entra ID. O usuário deve permanecer habilitado para autenticação baseada em certificado após a remoção da distribuição em estágios por tempo suficiente para que o usuário possa entrar no Windows e atualizar seu token de atualização primário usando o provedor de identidade federada.

Perguntas mais frequentes

P: Posso usar esse recurso na produção?

R: Sim, você pode usar esse recurso em seu locatário de produção, mas recomendamos que você primeiro experimente-o em seu locatário de teste.

P: Esse recurso pode ser usado para manter uma "coexistência" permanente, onde alguns usuários usam autenticação federada e outros usam autenticação em nuvem?

R: Não, esta funcionalidade foi concebida para testar a autenticação na nuvem. Após o teste bem-sucedido, alguns grupos de usuários devem ser transferidos para a autenticação na nuvem. Não recomendamos o uso de um estado misto permanente, porque essa abordagem pode levar a fluxos de autenticação inesperados.

P: Posso usar o PowerShell para executar a distribuição em estágios?

R: Sim. Para saber como usar o PowerShell para executar a implementação em estágios, consulte Microsoft Entra ID Preview.

Próximos passos

• Pré-visualização do Microsoft Entra ID 2.0
• Alterar o método de início de sessão para a sincronização do hash de palavras-passe
• Alterar o método de início de sessão para autenticação direta