Поделиться через

Миграция от федерации к аутентификации на основе сертификата Microsoft Entra (CBA)

  • Статья

В этой статье объясняется, как выполнить миграцию с федеративных серверов, таких как службы федерации Active Directory (AD FS), на облачную аутентификацию с использованием проверки подлинности на основе сертификата Microsoft Entra (CBA).

Поэтапное развертывание

Администратор тенанта может без пилотного тестирования полностью переключить федеративный домен на Microsoft Entra CBA. Это делается путем включения метода проверки подлинности CBA в идентификаторе Microsoft Entra и преобразования всего домена в управляемую проверку подлинности. Однако если клиент хочет протестировать небольшой пакет пользователей, прошедших проверку подлинности в Microsoft Entra CBA до полного перехода домена на управляемый, он может использовать функцию поэтапного развертывания.

Поэтапное развертывание для сертификатной аутентификации (CBA) помогает клиентам переходить от выполнения CBA в федеративном поставщике удостоверений к Microsoft Entra ID. Это достигается путем выборочного перемещения небольшой группы пользователей для использования CBA внутри Microsoft Entra ID, с избежанием перенаправления на федеративного поставщика удостоверений. Затем, после работы с выбранными группами пользователей, конфигурация домена в Microsoft Entra ID преобразуется из федеративной в управляемую. Поэтапное развертывание не предназначено для того, чтобы домен оставался федеративным на длительное время или для большого количества пользователей.

Просмотрите это краткое видео, демонстрирующее миграцию с проверки подлинности на основе сертификатов ADFS в Microsoft Entra CBA

Примечание.

При включении поэтапного развертывания для пользователя пользователь считается управляемым пользователем, и все проверки подлинности выполняются по идентификатору Microsoft Entra. Для федеративного клиента, если CBA включен в этапе развертывания, аутентификация паролем работает только в том случае, если PHS также включен. В противном случае проверка подлинности паролей завершается ошибкой.

Включите поэтапное развертывание для аутентификации на основе сертификатов в вашей организации.

Чтобы настроить поэтапное развертывание, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум с ролью Администратор пользователей.
  2. Найдите и выберите Microsoft Entra Connect.
  3. На странице Microsoft Entra Connect в разделе поэтапного развертывания облачной проверки подлинности выберите Включить поэтапное развертывание для управляемого входа пользователя.
  4. На странице компонента Enable Staged Rollout выберите On для параметра аутентификации на основе сертификатов
  5. Выберите Управление группами и добавьте группы, которые вы хотите включить в облачную проверку подлинности. Чтобы избежать истечения времени ожидания, убедитесь, что группы безопасности изначально содержат не более 200 членов.

Примечание.

Корпорация Майкрософт рекомендует использовать отдельные группы для управления поэтапным развертыванием аутентификации на основе сертификатов Entra и политики метода аутентификации на основе сертификатов.

Дополнительные сведения см. в разделе "Поэтапное развертывание".

Использование Microsoft Entra Connect для обновления атрибута certificateUserIds

Администратор AD FS может использовать редактор правил синхронизации для создания правил синхронизации для синхронизации значений атрибутов из AD FS с пользовательскими объектами Microsoft Entra. Дополнительные сведения см. в разделе "Правила синхронизации для certificateUserIds".

Для Microsoft Entra Connect требуется специальная роль с именем "Администратор гибридных удостоверений", которая предоставляет необходимые разрешения. Эта роль необходима для разрешения на запись в новый атрибут облака.

Примечание.

Если пользователь использует синхронизированные атрибуты, например атрибут onPremisesUserPrincipalName в объекте пользователя для привязки имени пользователя, то любой пользователь, имеющий административный доступ к серверу Microsoft Entra Connect, может изменить сопоставление синхронизированных атрибутов и изменить значение синхронизированного атрибута. Пользователю не нужно быть администратором облака. Администратор AD FS должен убедиться, что административный доступ к серверу Microsoft Entra Connect должен быть ограничен, а привилегированные учетные записи должны быть облачными учетными записями.

Часто задаваемые вопросы о миграции с AD FS на идентификатор Microsoft Entra

Можно ли иметь привилегированные учетные записи с федеративным сервером AD FS?

Хотя это возможно, корпорация Майкрософт рекомендует использовать привилегированные учетные записи как облачные. Использование исключительно облачных учетных записей ограничивает воздействие на Microsoft Entra ID от скомпрометированной локальной среды. Дополнительные сведения см. в разделе Защита Microsoft 365 от локальных атак.

Является ли организация, которая использует как AD FS, так и Azure CBA, всё ещё уязвимой для компрометации AD FS?

Корпорация Майкрософт рекомендует использовать привилегированные учетные записи как облачные. Эта практика ограничивает подверженность Microsoft Entra ID из скомпрометированной локальной среды. Обслуживание привилегированных учетных записей, доступных только для облака, является основой для этой цели.

Для синхронизированных учетных записей:

  • Если они находятся в управляемом домене (не федеративном), нет риска от федеративного провайдера удостоверений.
  • Если они находятся в федеративном домене, но подмножество учетных записей перемещается в Microsoft Entra CBA с помощью поэтапного развертывания, они подвергаются рискам, связанным с федеративным поставщиком удостоверений, пока федеративный домен полностью не переключится на облачную аутентификацию.

Должны ли организации отказаться от использования федеративных серверов, например AD FS, чтобы предотвратить возможность перехода от AD FS к Azure?

При использовании федерации злоумышленник может выдавать себя за любого, например, за ИТ-директора, даже если он не может получить доступ к облачной роли, такой как учетная запись администратора с высоким уровнем привилегий.

Если домен является федеративным в Microsoft Entra ID, высокая степень доверия возлагается на федеративного поставщика удостоверений. AD FS является одним из примеров, но это справедливо для любого федеративного поставщика удостоверений. Многие организации развертывают федеративный поставщик удостоверений личности, такой как AD FS, исключительно для проверки подлинности на основе сертификатов. Microsoft Entra CBA полностью удаляет зависимость AD FS в этом случае. С помощью Microsoft Entra CBA клиенты могут переместить свое пространство приложений в идентификатор Microsoft Entra, чтобы модернизировать инфраструктуру IAM и сократить затраты на повышение безопасности.

С точки зрения безопасности учетные данные не изменяются, включая сертификат X.509, ЦС, ПИН-коды и т. д. или используемые PKI. Владельцы PKI сохраняют полный контроль над жизненным циклом выдачи и отзыва сертификата и политикой. Проверка отзыва и аутентификация происходят в Microsoft Entra ID вместо федеративного Idp. Эти проверки позволяют выполнять аутентификацию без пароля и устойчивую к фишингу аутентификацию непосредственно в Microsoft Entra ID для всех пользователей.

Как проверка подлинности работает с федеративной службой AD FS и облачной проверкой подлинности Microsoft Entra с Windows?

Microsoft Entra CBA требует от пользователя или приложения указать UPN пользователя Microsoft Entra, выполняющего вход.

В примере браузера пользователь чаще всего вводит свой Microsoft Entra UPN. Имя пользователя (UPN) Microsoft Entra используется для обнаружения доменов и пользователей. Затем сертификат должен соответствовать этому пользователю с помощью одной из настроенных привязок имени пользователя в политике.

При входе в Windows соответствие зависит от того, является ли устройство гибридным или присоединенным к Microsoft Entra. Но в обоих случаях, если указана подсказка имени пользователя, Windows отправляет её в формате UPN Microsoft Entra. Затем сертификат должен соответствовать этому пользователю с помощью одной из настроенных привязок имени пользователя в политике.

Следующие шаги