Partilhar via

Práticas recomendadas para migrar aplicativos e autenticação para o Microsoft Entra ID

  • Artigo

Você já ouviu falar que o Azure Ative Directory agora é Microsoft Entra ID e está pensando que é um bom momento para migrar seu Serviço de Federação do Ative Directory (AD FS) para autenticação na nuvem (AuthN) no Microsoft Entra ID. À medida que analisa as suas opções, consulte os nossos extensos recursos para migrar aplicações para o Microsoft Entra ID e as práticas recomendadas.

Até conseguir migrar o AD FS para o Microsoft Entra ID, proteja os seus recursos no local com o Microsoft Defender for Identity. Você pode encontrar e corrigir vulnerabilidades proativamente. Use avaliações, análises e inteligência de dados, pontuação de prioridades de investigação do usuário e resposta automática a identidades comprometidas. A migração para a nuvem significa que sua organização pode se beneficiar da autenticação moderna, como métodos sem senha para autenticação.

Eis algumas razões pelas quais poderá optar por não migrar o AD FS:

  • Seu ambiente tem nomes de usuário simples (como ID de funcionário).
  • Você precisa de mais opções para provedores de autenticação multifator personalizados.
  • Você usa soluções de autenticação de dispositivo de sistemas de gerenciamento de dispositivos móveis (MDM) de terceiros, como o VMware.
  • O AD FS é alimentado duplamente com várias nuvens.
  • Você precisa arejar as redes.

Migre aplicações

Planeje uma distribuição de migração de aplicativos em estágios e selecione os usuários para autenticar no Microsoft Entra ID para teste. Use orientações em, planeje a migração de aplicativos para o Microsoft Entra ID e recursos para migrar aplicativos para o Microsoft Entra ID.

Saiba mais no vídeo a seguir, Effortless Application Migration Using Microsoft Entra ID.

Ferramenta de migração de aplicativos

Atualmente em visualização, a migração de aplicativos do AD FS para mover aplicativos do AD FS para a ID do Microsoft Entra é um guia para os administradores de TI migrarem aplicativos de terceira parte confiável do AD FS do AD FS para o Microsoft Entra ID. O Assistente de Migração de aplicativos do AD FS oferece uma experiência unificada para descobrir, avaliar e configurar novos aplicativos do Microsoft Entra. Ele tem configuração de um clique para URLs SAML básicas, mapeamento de declarações e atribuições de usuário para integrar um aplicativo com o Microsoft Entra ID. Há suporte completo para migrar aplicativos AD FS locais, com estes recursos:

  • Para ajudar a identificar o uso e o impacto do aplicativo, avalie as atividades de entrada do aplicativo de terceira parte confiável do AD FS
  • Para ajudar a determinar os bloqueadores de migração e as ações necessárias para migrar aplicativos para o Microsoft Entra ID, analise a viabilidade da migração do AD FS para o Microsoft Entra
  • Para configurar automaticamente um novo aplicativo Microsoft Entra para um aplicativo AD FS, configure novos aplicativos Microsoft Entra com um processo de migração de aplicativo com um clique

Fase 1: Descobrir e definir o escopo de aplicativos

Ao descobrir aplicativos, inclua aplicativos em desenvolvimento e planejados. Defina o escopo deles para usar o Microsoft Entra ID para autenticar após a conclusão da migração.

Use o relatório de atividades para mover aplicativos do AD FS para a ID do Microsoft Entra. Este relatório ajuda a identificar aplicativos que podem migrar para o Microsoft Entra ID. Ele avalia os aplicativos AD FS quanto à compatibilidade com o Microsoft Entra, verifica se há problemas e fornece orientação sobre como preparar aplicativos individuais para migração.

Use a Ferramenta de Migração de Aplicativos AD FS para Microsoft Entra para coletar aplicativos de terceira parte confiável do seu servidor AD FS e analisar a configuração. A partir dessa análise, o relatório mostra quais aplicativos são elegíveis para migração para o Microsoft Entra ID. Para aplicativos não qualificados, você pode revisar as explicações sobre por que eles não podem migrar.

Instale o Microsoft Entra Connect para ambientes locais com os agentes de integridade do AD FS do Microsoft Entra Connect.

Saiba mais em, O que é o Microsoft Entra Connect?

Fase 2: Classificar aplicativos e planejar o piloto

Classificar a migração de aplicativos é um exercício importante. Planeje a migração e a transição de aplicativos em fases depois de decidir a ordem em que migra aplicativos. Inclua os seguintes critérios para a classificação do aplicativo:

  • Protocolos de autenticação modernos, como aplicativos SaaS (Software as a Service) de terceiros na galeria de aplicativos do Microsoft Entra, mas não por meio do Microsoft Entra ID.
  • Protocolos de autenticação herdados para modernizar, como aplicativos SaaS de terceiros (não na galeria, mas você pode adicionar à galeria).
  • Aplicativos federados que usam o AD FS e podem migrar para o Microsoft Entra ID.
  • Protocolos de autenticação herdados NÃO para modernizar. A modernização pode excluir protocolos por trás do Proxy de Aplicativo Web (WinSCP (WAP)) que podem usar o proxy de aplicativo Microsoft Entra e controladores de rede/entrega de aplicativos de entrega de aplicativos que podem usar o Acesso Híbrido Seguro.
  • Novos aplicativos de linha de negócios (LOB).
  • Os aplicativos para descontinuação podem ter funcionalidades redundantes com outros sistemas e sem proprietário ou uso de empresas.

Ao escolher os primeiros aplicativos para migração, mantenha a simplicidade. Os critérios podem incluir aplicativos SaaS na galeria que oferecem suporte a conexões de provedor de identidade múltipla (IdP). Há aplicativos com acesso à instância de teste, aplicativos com regras de declaração simples e aplicativos que controlam o acesso do público.

Fase 3: Planejar sua migração e teste

As ferramentas de migração e teste incluem o kit de ferramentas de migração de aplicativos Microsoft Entra para descobrir, classificar e migrar aplicativos. Consulte a lista de tutoriais do aplicativo SaaS e o plano de implantação do Microsoft Entra Single Sign-on (SSO) que percorrem o processo de ponta a ponta.

Saiba mais sobre o proxy de aplicativo Microsoft Entra e use o plano completo de implantação de proxy de aplicativo Microsoft Entra. Considere o acesso híbrido seguro (SHA) para proteger seus aplicativos de autenticação herdados locais e na nuvem conectando-os à ID do Microsoft Entra. Use o Microsoft Entra Connect para sincronizar usuários e grupos do AD FS com o Microsoft Entra ID.

Fase 4: Planejar o gerenciamento e os insights

Depois de migrar aplicativos, siga as orientações de gerenciamento e insights para garantir que os usuários possam acessar e gerenciar aplicativos com segurança. Adquira e partilhe informações sobre a utilização e o estado de funcionamento da aplicação.

No centro de administração do Microsoft Entra, audite todos os aplicativos usando estes métodos:

  • Audite aplicativos com aplicativos corporativos, audite ou acesse as mesmas informações da API de relatórios do Microsoft Entra para integrar às suas ferramentas favoritas.
  • Veja permissões de aplicativos com Aplicativos Corporativos, Permissões para aplicativos usando Open Authorization (OAuth)/OpenID Connect.
  • Obtenha informações de início de sessão com Aplicações Empresariais, Inícios de Sessão e a partir da API de relatórios do Microsoft Entra.
  • Visualize o uso do aplicativo a partir das pastas de trabalho do Microsoft Entra.

Preparar o ambiente de validação

Gerencie, solucione problemas e crie relatórios sobre produtos e serviços do Microsoft Identity com MSIdentityTools na Galeria do PowerShell. Monitore sua infraestrutura do AD FS com o Microsoft Entra Connect Health. Crie aplicativos de teste no AD FS e gere regularmente a atividade do usuário, monitorando a atividade no centro de administração do Microsoft Entra.

Ao sincronizar objetos com a ID do Microsoft Entra, verifique as regras de declaração de confiança da terceira parte confiável do AD FS para grupos, usuários e atributos de usuário usados nas regras de declarações disponíveis na nuvem. Garanta a sincronização de contêineres e atributos.

Diferenças nos cenários de migração de aplicativos

Seu plano de migração de aplicativo precisa de atenção específica quando seu ambiente inclui os seguintes cenários. Siga os links para obter mais orientações.

  • Certificados. (Certificado de assinatura global do AD FS). No Microsoft Entra ID, você pode usar um certificado por aplicativo ou um certificado para todos os aplicativos. Escalone as datas de expiração e configure lembretes. Delegue o gerenciamento de certificados a funções menos privilegiadas. Analise perguntas comuns e informações relacionadas a certificados que o Microsoft Entra ID cria para estabelecer SSO federado para aplicativos SaaS.
  • Regras de declaração e mapeamento de atributos básicos. Para aplicativos SaaS, talvez você precise apenas de mapeamento básico de atributo para declaração. Saiba como personalizar declarações de token SAML.
  • Extraia o nome de usuário do UPN. O Microsoft Entra ID oferece suporte à transformação baseada em regex (também relacionada à personalização de declaração de token SAML).
  • Reivindicações de grupo. Emita declarações de grupo filtradas pelos usuários que são membros e atribuídos ao aplicativo. Você pode configurar declarações de grupo para aplicativos usando a ID do Microsoft Entra.
  • Proxy de aplicativo Web. Publique com o proxy de aplicativo Microsoft Entra para se conectar com segurança a aplicativos Web locais sem uma VPN. Forneça acesso remoto a aplicativos Web locais e suporte nativo para protocolos de autenticação herdados.

Plano do processo de migração de aplicativos

Considere incluir as etapas a seguir no processo de migração do aplicativo.

  • Clone a configuração do aplicativo AD FS. Configure uma instância de teste do aplicativo ou use um aplicativo simulado em um locatário de teste do Microsoft Entra. Mapeie as configurações do AD FS para as configurações do Microsoft Entra. Planeje uma reversão. Alterne a instância de teste para Microsoft Entra ID e valide.
  • Configure declarações e identificadores. Para confirmar e solucionar problemas, imite aplicativos de produção. Aponte uma instância de teste do aplicativo para o aplicativo de teste Microsoft Entra ID. Valide e solucione problemas de acesso, atualizando a configuração conforme necessário.
  • Prepare a instância de produção para migração. Adicione o aplicativo de produção ao Microsoft Entra ID com base nos resultados do teste. Para aplicativos que permitem vários provedores de identidade (IdPs), configure o Microsoft Entra ID como um IdP adicionado à instância de produção.
  • Alterne a instância de produção para usar o Microsoft Entra ID. Para aplicativos que permitem vários IdPs simultâneos, altere o IdP padrão para Microsoft Entra ID. Caso contrário, configure o ID do Microsoft Entra como o IdP para a instância de produção. Atualize a instância de produção para usar o aplicativo de produção Microsoft Entra como IdP primário.
  • Migre o primeiro aplicativo, execute testes de migração e corrija problemas. Consulte o status da migração nos relatórios de atividade do aplicativo AD FS que fornecem orientação sobre como resolver possíveis problemas de migração.
  • Migre em escala. Migre aplicativos e usuários em fases. Use o Microsoft Entra ID para gerenciar aplicativos e usuários migrados enquanto testa suficientemente a autenticação.
  • Remova a federação. Confirme se o farm do AD FS não é mais usado para autenticação. Use failback, backup e configurações relacionadas à exportação.

Migrar autenticação

Ao se preparar para a migração de autenticação, decida quais métodos de autenticação são necessários para sua organização.

  • A sincronização de hash de senha (PHS) com o Microsoft Entra ID está disponível para failover ou como a autenticação principal do usuário final. Configure a deteção de risco como parte da Proteção de ID do Microsoft Entra. Analise o tutorial de identificação e correção de risco usando a API do Microsoft Graph e saiba como implementar a sincronização de hash de senha com o Microsoft Entra Connect Sync.
  • A autenticação baseada em certificado (CBA) do Microsoft Entra é autenticada diretamente no Microsoft Entra ID sem a necessidade de um IdP federado. Os principais benefícios incluem recursos que ajudam a melhorar a segurança com CBA resistente a phish e atendem aos requisitos da Ordem Executiva (EO) 14028 para autenticação multifator resistente a phish. Você reduz custos e riscos associados à infraestrutura de federação local e simplifica a experiência de gerenciamento no Microsoft Entra ID com controles granulares.
  • Microsoft Entra Connect: Autenticação de Passagem (PTA) usa um agente de software para se conectar a senhas armazenadas no local para validação. Os utilizadores iniciam sessão em aplicações na nuvem com o mesmo nome de utilizador e palavra-passe para recursos locais, trabalhando de forma integrada com as políticas de Acesso Condicional do Microsoft Entra. O Smart Lockout previne ataques de força bruta. Instale agentes de autenticação no local com a infraestrutura atual do Ative Directory do Microsoft Windows Server. Use PTA se os requisitos regulamentares especificarem que os hashes de senha não podem ser sincronizados com o Microsoft Entra ID; caso contrário, use PHS.
  • Experiência atual de SSO sem AD FS. O logon único (SSO) contínuo fornece uma experiência de SSO a partir de dispositivos ingressados no domínio em sua corpnet (Kerberos). Ele funciona com PHS, PTA e CBA e não precisa de outra infraestrutura local. Você pode permitir que os usuários entrem na ID do Microsoft Entra com email como uma ID de logon alternativa usando as mesmas credenciais do ambiente de diretório local. Com a autenticação híbrida, os usuários precisam de um conjunto de credenciais.
  • Recomendação: PHS sobre PTA, autenticação sem senha no Microsoft Entra ID com Windows Hello for Business, chaves de segurança FIDO2 ou Microsoft Authenticator. Se você planeja usar a confiança de certificado híbrido do Windows Hello for Business, migre primeiro para a confiança na nuvem para registrar novamente todos os usuários.

Políticas de senha e autenticação

Com políticas dedicadas para AD FS local e ID do Microsoft Entra, alinhe as políticas de expiração de senha no local e no Microsoft Entra ID. Considere a implementação de uma política de senha combinada e verifique se há senhas fracas no Microsoft Entra ID. Depois de mudar para um domínio gerido, aplicam-se ambas as políticas de expiração de palavra-passe.

Permita que os usuários reponham senhas esquecidas com a Redefinição de Senha de Autoatendimento (SSPR) para reduzir os custos de suporte técnico. Limite os métodos de autenticação baseados em dispositivos. Modernize sua política de senha para não ter expirações periódicas com a capacidade de revogar quando estiver em risco. Bloqueie palavras-passe fracas e verifique as palavras-passe em relação a listas de palavras-passe proibidas. Habilite a proteção por senha para o AD FS local e para a nuvem.

Migre as configurações de diretiva herdada do Microsoft Entra ID que controlam separadamente a autenticação multifator e o SSPR para o gerenciamento unificado com a política de métodos de autenticação. Migre as configurações de política com um processo reversível. Você pode continuar a usar a autenticação multifator em todo o locatário e as políticas SSPR enquanto configura métodos de autenticação precisamente para usuários e grupos.

Como a entrada do Windows e outros métodos sem senha exigem configuração detalhada, habilite o login com as chaves de segurança Microsoft Authenticator e FIDO2. Use grupos para gerenciar usuários de implantação e escopo.

Você pode configurar a aceleração automática de entrada usando o Home Realm Discovery. Aprenda a usar o login de aceleração automática para ignorar a tela de entrada de nome de usuário e encaminhar automaticamente os usuários para pontos de extremidade de entrada federados. Impeça a aceleração automática de entrada usando a política Home Realm Discovery para ter várias maneiras de controlar como e onde os usuários se autenticam.

Políticas de expiração de conta

O atributo accountExpires do gerenciamento de conta de usuário não é sincronizado com o Microsoft Entra ID. Como resultado, uma conta expirada do Ative Directory em um ambiente configurado para sincronização de hash de senha está ativa no Microsoft Entra ID. Use um script agendado do PowerShell para desabilitar as contas do Ative Directory do Microsoft Windows Server do usuário depois que elas expirarem, como o cmdlet Set-ADUser. Por outro lado, ao remover a expiração de uma conta do Ative Directory do Microsoft Windows Server, reative a conta.

Com o Microsoft Entra ID, você pode evitar ataques usando o bloqueio inteligente. Bloqueie contas na nuvem antes de bloqueá-las no local para mitigar ataques de força bruta. Tenha um intervalo menor para a nuvem, garantindo que o limite local seja pelo menos duas a três vezes maior do que o limite do Microsoft Entra. Defina a duração do bloqueio do Microsoft Entra mais do que a duração local. Quando a migração estiver concluída, configure a proteção ESL (Extranet Smart Lockout) do AD FS.

Planejar a implantação do Acesso Condicional

A flexibilidade da política de Acesso Condicional requer um planeamento cuidadoso. Vá para Planejar uma implantação do Acesso Condicional do Microsoft Entra para obter as etapas de planejamento. Aqui estão os pontos-chave a ter em mente:

  • Rascunho de políticas de Acesso Condicional com convenções de nomenclatura significativas
  • Use uma planilha de pontos de decisão de design com os seguintes campos:
    • Fatores de atribuição: utilizador, aplicações na nuvem
    • Condições: localizações, tipo de dispositivo, tipo de aplicações cliente, risco de início de sessão
    • Controles: bloco, autenticação multifator necessária, híbrido Microsoft Windows Server Ative Directory ingressado, dispositivo compatível necessário, tipo de aplicativo cliente aprovado
  • Selecionar pequenos conjuntos de usuários de teste para políticas de Acesso Condicional
  • Testar políticas de Acesso Condicional no modo Somente Relatório
  • Validar políticas de Acesso Condicional com a ferramenta de política "e se"
  • Use modelos de Acesso Condicional, especialmente se sua organização for nova no Acesso Condicional

Políticas de Acesso Condicional

Ao concluir a autenticação de primeiro fator, imponha políticas de Acesso Condicional. O Acesso Condicional não é a defesa de primeira linha para cenários como ataques de negação de serviço (DoS). Mas o Acesso Condicional pode usar sinais desses eventos, como risco de entrada e localização de uma solicitação para determinar o acesso. O fluxo de uma política de Acesso Condicional examina uma sessão e suas condições e, em seguida, alimenta os resultados no mecanismo de política central.

Com o Acesso Condicional, restrinja o acesso a aplicações cliente aprovadas e modernas com capacidade de autenticação com políticas de proteção de aplicações do Intune. Para aplicativos cliente mais antigos que podem não oferecer suporte a políticas de proteção de aplicativos, restrinja o acesso a aplicativos cliente aprovados.

Proteja automaticamente as aplicações com base em atributos. Para alterar os atributos de segurança do cliente, use a filtragem dinâmica de aplicativos em nuvem para adicionar e remover o escopo da política de aplicativos. Use atributos de segurança personalizados para direcionar aplicativos primários da Microsoft que não aparecem no seletor de aplicativos de Acesso Condicional.

Use o controle de força de autenticação de Acesso Condicional para especificar qual combinação de métodos de autenticação acessa um recurso. Por exemplo, disponibilize métodos de autenticação resistentes a phishing para acessar um recurso confidencial.

Avalie os controles personalizados no Acesso Condicional. Os usuários redirecionam para um serviço compatível para satisfazer os requisitos de autenticação fora do Microsoft Entra ID. O ID do Microsoft Entra verifica a resposta e, se o usuário for autenticado ou validado, ele continuará no fluxo de Acesso Condicional. Conforme mencionado em Próximas alterações aos Controles Personalizados, os recursos de autenticação fornecidos pelo parceiro funcionam perfeitamente com as experiências do administrador e do usuário final do Microsoft Entra.

Soluções personalizadas de autenticação multifator

Se você usar provedores de autenticação multifator personalizados, considere migrar do Servidor de Autenticação Multifator para a autenticação multifator do Microsoft Entra. Se necessário, use o Multi-Factor Authentication Server Migration Utility para migrar para a autenticação multifator. Personalize a experiência do usuário final com configurações para limite de bloqueio de conta, alerta de fraude e notificação.

Saiba como migrar para a autenticação multifator e a autenticação de usuário do Microsoft Entra. Mova todos os aplicativos, o serviço de autenticação multifator e a autenticação do usuário para o Microsoft Entra ID.

Você pode habilitar a autenticação multifator do Microsoft Entra e aprender a criar políticas de Acesso Condicional para grupos de usuários, configurar condições de política que solicitam autenticação multifator e testar a configuração do usuário e o uso da autenticação multifator.

A extensão NPS (Servidor de Políticas de Rede) para autenticação multifator adiciona recursos de autenticação multifator baseados em nuvem à sua infraestrutura de autenticação usando seus servidores. Se você usar a autenticação multifator do Microsoft Entra com NPS, determine o que pode migrar para protocolos modernos, como SAML (Security Assertion Markup Language) e OAuth2. Avalie o proxy de aplicativo Microsoft Entra para acesso remoto e use o acesso híbrido seguro (SHA) para proteger aplicativos herdados com o Microsoft Entra ID.

Monitorar entradas

Use Conectar Integridade para integrar entradas do AD FS para correlacionar várias IDs de Evento do AD FS, dependendo da versão do servidor, para obter informações sobre detalhes de solicitação e erro. O relatório de entradas do Microsoft Entra inclui informações sobre quando usuários, aplicativos e recursos gerenciados entram na ID do Microsoft Entra e acessam recursos. Essas informações estão correlacionadas ao esquema de relatório de entrada do Microsoft Entra e aparecem na experiência do usuário do relatório de entrada do Microsoft Entra. Com o relatório, um fluxo do Log Analytics fornece dados do AD FS. Use e modifique o modelo de Pasta de Trabalho do Azure Monitor para análise de cenário. Os exemplos incluem bloqueios de contas do AD FS, tentativas de senha incorreta e aumentos nas tentativas de entrada inesperadas.

O Microsoft Entra registra todas as entradas em um locatário do Azure que inclui aplicativos e recursos internos. Reveja os erros e padrões de início de sessão para obter informações sobre a forma como os utilizadores acedem a aplicações e serviços. Os logs de entrada no Microsoft Entra ID são logs de atividades úteis para análise. Configure logs com retenção de dados de até 30 dias, dependendo do licenciamento, e exporte-os para o Azure Monitor, Sentinel, Splunk e outros sistemas de gerenciamento de eventos e informações de segurança (SIEM).

Reclamações dentro da rede corporativa

Independentemente da origem das solicitações ou dos recursos que elas acessam, o modelo Zero Trust nos ensina a "Nunca confiar, sempre verificar". Proteja todos os locais como se estivessem fora da rede corporativa. Declare dentro das redes como locais confiáveis para reduzir os falsos positivos de proteção de identidade. Imponha a autenticação multifator para todos os usuários e estabeleça políticas de Acesso Condicional baseadas em dispositivo.

Execute uma consulta nos logs de entrada para descobrir usuários que se conectam de dentro da rede corporativa, mas não são compatíveis com o Microsoft Entra. Considere os usuários em dispositivos compatíveis e o uso de navegadores não suportados, como Firefox ou Chrome, sem a extensão. Em vez disso, use o domínio do computador e o status de conformidade.

Teste e substituição de migração de autenticação em estágios

Para testes, use a autenticação na nuvem do Microsoft Entra Connect com o Staged Rollout para controlar a autenticação do usuário de teste com grupos. Teste seletivamente grupos de usuários com recursos de autenticação na nuvem, como autenticação multifator Microsoft Entra, Acesso Condicional e Proteção de ID do Microsoft Entra. No entanto, não use a distribuição em etapas para migrações incrementais.

Para concluir a migração para a autenticação na nuvem, use a Distribuição em estágios para testar novos métodos de entrada. Converta domínios de autenticação federada para autenticação gerenciada . Comece com um domínio de teste ou com o domínio com o menor número de usuários.

Planeje a transferência de domínio fora do horário comercial, caso seja necessária uma reversão. Para planejar a reversão, use as configurações de federação atuais. Consulte o guia de design e implantação da federação.

Inclua a conversão de domínios gerenciados em domínios federados em seu processo de reversão. Use o cmdlet New-MgDomainFederationConfiguration . Se necessário, configure regras de declarações extras. Para garantir um processo concluído, deixe a Rollback Staged Rollout por 24 a 48 horas após a transferência. Remova usuários e grupos da distribuição em etapas e desative-a.

Após o corte, a cada 30 dias, role a chave para SSO contínuo:

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Descomissionar AD FS

Monitorize a atividade do AD FS a partir da Análise de Utilização do Estado de Funcionamento do Connect para AD FS. Primeiro, habilite a auditoria para o AD FS. Antes de encerrar o farm do AD FS, verifique se não há nenhuma atividade do AD FS. Use o guia de descomissionamento do AD FS e a referência de descomissionamento do AD FS. Aqui está um resumo das principais etapas de descomissionamento.

  1. Faça um backup final antes de desativar os servidores AD FS.
  2. Remova entradas do AD FS de balanceadores de carga internos e externos.
  3. Exclua as entradas DNS (Servidor de Nomes de Domínio) correspondentes para nomes de farm de servidores do AD FS.
  4. No servidor AD FS primário, execute Get-ADFSProperties e procure CertificateSharingContainer.

    Nota

    Exclua o nome de domínio (DN) perto do final da instalação, após algumas reinicializações e quando ele não estiver mais disponível.

  5. Exclua o banco de dados de configuração do AD FS, se ele usar uma instância de banco de dados do SQL Server como armazenamento.
  6. Desinstale os servidores WAP.
  7. Desinstale os servidores AD FS.
  8. Exclua certificados SSL (Secure Sockets Layer) do AD FS de cada armazenamento do servidor.
  9. Recrie a imagem dos servidores AD FS com formatação de disco completo.
  10. Exclua sua conta do AD FS.
  11. Use o Ative Directory Service Interfaces (ADSI) Edit para remover o conteúdo do DN CertificateSharingContainer.

Próximos passos