Переход на облачную аутентификацию с использованием поэтапного развертывания

Поэтапное развертывание позволяет выборочно тестировать группы пользователей с возможностями облачной проверки подлинности, такими как многофакторная проверка подлинности Microsoft Entra, условный доступ, Защита идентификации Microsoft Entra для утечки учетных данных, управления удостоверениями и других пользователей, прежде чем сократить количество доменов. В этой статье обсуждается, как выполнить такой переход.

Прежде чем начать поэтапное развертывание, следует рассмотреть последствия, если одно или несколько следующих условий имеет значение true:

• В настоящее время вы используете локальный сервер многофакторной идентификации.
• Вы используете смарт-карты для проверки подлинности.
• Текущий сервер предлагает определенные возможности, предназначенные только для федерации.
• Вы переходите из стороннего решения федерации в управляемые службы.

Прежде чем использовать эту возможность, мы рекомендуем ознакомиться с нашим руководством по выбору правильного метода проверки подлинности. Дополнительные сведения см. в таблице "Сравнение методов" в разделе "Выбор подходящего метода проверки подлинности для решения гибридного удостоверения Microsoft Entra".

Общие сведения о функции см. в этом видеоролике "Что такое поэтапное развертывание?":

Необходимые компоненты

• У вас есть клиент Microsoft Entra с федеративными доменами.

• Вы решили перейти на один из следующих вариантов:

  • Синхронизация хэша паролей. Дополнительные сведения см. в статье Синхронизация хэша паролей.
  • Сквозная аутентификация. Дополнительные сведения см. в статье Что такое сквозная проверка подлинности
  • Параметры проверки подлинности на основе сертификатов (CBA) в Microsoft Entra. Дополнительные сведения см. в разделе "Обзор проверки подлинности на основе сертификата Microsoft Entra"

  Для обоих вариантов мы рекомендуем включить единый вход для автоматического входа в систему. Для устройств, присоединенных к домену, под управлением Windows 7 или 8.1, лучше использовать простой единый вход. Дополнительные сведения см. в статье о простом едином входе. Для Windows 10, Windows Server 2016 и более поздних версий рекомендуется использовать единый вход с помощью первичного маркера обновления (PRT) с устройствами, присоединенными к Microsoft Entra, гибридными устройствами Microsoft Entra или личными зарегистрированными устройствами с помощью добавления рабочей или учебной учетной записи.

• Вы настроили все соответствующие политики фирменной символики клиента и условного доступа, необходимые для пользователей, которые переносятся в облачную проверку подлинности.

• Если вы перешли из федеративной в облачную проверку подлинности, убедитесь, что параметр SynchronizeUpnForManagedUsers DirSync включен, в противном случае идентификатор Microsoft Entra ID не разрешает синхронизацию обновлений имени участника-пользователя или альтернативного идентификатора входа для лицензированных учетных записей пользователей, использующих управляемую проверку подлинности. Дополнительные сведения см. в разделе "Функции службы синхронизации Microsoft Entra Connect".

• Если вы планируете использовать многофакторную проверку подлинности Microsoft Entra, рекомендуется использовать объединенную регистрацию для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности , чтобы пользователи регистрировали свои методы проверки подлинности один раз. Примечание. При использовании SSPR для сброса пароля или изменения пароля с помощью страницы MyProfile во время поэтапного развертывания Microsoft Entra Connect необходимо синхронизировать новый хэш паролей, который может занять до 2 минут после сброса.

• Чтобы использовать функцию поэтапного развертывания, необходимо быть администратором гибридных удостоверений в клиенте.

• Чтобы включить простой единый вход в определенном лесу доменных служб Active Directory, необходимо быть администратором домена.

• При развертывании гибридного идентификатора Microsoft Entra id или присоединения к Microsoft Entra необходимо обновить до обновления Windows 10 1903.

Поддерживаемые сценарии

Для поэтапного развертывания поддерживаются приведенные ниже сценарии. Эта функция работает только для:

• Пользователи, которые подготовлены к идентификатору Microsoft Entra Id с помощью Microsoft Entra Connect. Это не относится к пользователям только в облаке.

• Трафик входа пользователя в браузерах и клиентах с современной проверкой подлинности. Приложения или облачные службы, использующие устаревшую проверку подлинности, возвращаются в федеративные потоки проверки подлинности. Примером устаревшей проверки подлинности может быть Exchange Online с современной проверкой подлинности или Outlook 2010, которая не поддерживает современную проверку подлинности.

• В настоящее время размер группы ограничен 50 000 пользователей. Если у вас есть группы, превышающие 50 000 пользователей, рекомендуется разделить эту группу по нескольким группам для поэтапного развертывания.

• Гибридное присоединение Windows 10 или Microsoft Entra присоединяется к основному приобретению маркера обновления без прямой видимости на сервер федерации для Windows 10 версии 1903 и более поздних версий, когда имя участника-пользователя является маршрутизируемым, и суффикс домена проверяется в идентификаторе Microsoft Entra ID.

• Регистрация по модели "Автопилот" поддерживается при поэтапном развертывании в Windows 10 версии 1909 или более поздней.

Неподдерживаемые сценарии

Следующие сценарии не поддерживаются для поэтапного развертывания.

• Устаревшие протоколы проверки подлинности, такие как POP3 и SMTP, не поддерживаются.

• Некоторые приложения отправляют параметр запроса "domain_hint" идентификатору Microsoft Entra во время проверки подлинности. Эти потоки продолжаются, и пользователи, которые включены для поэтапного развертывания, продолжают использовать федерацию для проверки подлинности.

• Администраторы могут развернуть облачную проверку подлинности с помощью групп безопасности. Чтобы избежать задержки синхронизации при использовании локальных групп безопасности Active Directory, рекомендуем использовать облачные группы безопасности. Применяются следующие условия:

  • Для каждого компонента можно использовать не более 10 групп. То есть вы можете использовать по 10 групп для синхронизации хэша паролей, сквозной проверки подлинности и простого единого входа соответственно.
  • Вложенные группы не поддерживаются.
  • Динамические группы не поддерживаются для поэтапного развертывания.
  • Контактные объекты внутри группы блокируют добавление группы.

• При первом добавлении группы безопасности для поэтапного развертывания можно добавить не более 200 пользователей, чтобы избежать истечения времени ожидания в пользовательском интерфейсе. После добавления группы вы можете добавить дополнительных пользователей, если это необходимо.

• Хотя для пользователей осуществляется поэтапное развертывание с синхронизацией хэшей паролей (PHS), по умолчанию срок действия пароля не применяется. Срок действия пароля можно применить, включив "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Если включен параметр CloudPasswordPolicyForPasswordSyncedUsersEnabled, политика истечения срока действия пароля имеет значение 90 дней с момента установки пароля без возможности настройки. Программное обновление атрибута PasswordPolicies не поддерживается, пока пользователи находятся в промежуточном выпуске. Сведения о настройке CloudPasswordPolicyForPasswordSyncedUsersEnabled см . в политике истечения срока действия пароля.

• Гибридное присоединение Windows 10 или Microsoft Entra присоединяются к основному приобретению маркера обновления для Windows 10 более ранней версии 1903. Этот сценарий возвращается к конечной точке WS-Trust сервера федерации, даже если вход пользователя находится в области поэтапного развертывания.

• Гибридное присоединение Windows 10 или Microsoft Entra присоединяются к основному приобретению маркера обновления для всех версий, если локальная сеть участника-пользователя не может быть routable. Этот сценарий возвращается к конечной точке WS-Trust в режиме поэтапного развертывания, но перестает работать при завершении поэтапной миграции, а вход пользователя больше не зависит от сервера федерации.

• Если у вас есть непреднамеренная настройка VDI с Windows 10 версии 1903 или более поздней, необходимо остаться в федеративном домене. Перемещение в управляемый домен не поддерживается в непредусмотрительном VDI. Дополнительные сведения см. в статье Удостоверение устройства и виртуализация рабочего стола.

• Если вы используете гибридное доверие сертификатам в Windows Hello для бизнеса с сертификатами, которые выданы федеративным сервером в роли центра регистрации, или у вас есть пользователи смарт-карт, то для поэтапного развертывания такой сценарий не поддерживается.

  Примечание.

  Вам по-прежнему необходимо сделать окончательный переход от федеративной к облачной проверке подлинности с помощью Microsoft Entra Connect или PowerShell. Поэтапное развертывание не переключает домены с федеративных на управляемые. Дополнительные сведения о переключении доменов см. в статьях Переход с федеративной аутентификации на синхронизацию хэша паролей и Переход с федеративной на сквозную аутентификацию.

Начало работы с поэтапным развертыванием

Чтобы проверить вход синхронизации хэша паролей с помощью staged Rollout, следуйте предварительным инструкциям в следующем разделе.

Сведения о том, какие командлеты PowerShell следует использовать, см. в предварительной версии Microsoft Entra ID 2.0.

Предварительная работа для синхронизации хэша паролей

1. Включите синхронизацию хэша паролей на странице "Необязательные функции " в Microsoft Entra Connect. 

   

2. Убедитесь, что выполняется полный цикл синхронизации хэша паролей, чтобы все хэши паролей пользователей были синхронизированы с идентификатором Microsoft Entra. Чтобы проверить состояние синхронизации хэша паролей, можно использовать диагностика PowerShell в разделе "Устранение неполадок синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".

   

Если вы хотите проверить вход сквозной проверки подлинности с помощью поэтапного развертывания, включите его, выполнив инструкции по предварительной работе в следующем разделе.

Предварительная работа для сквозной проверки подлинности

1. Укажите сервер под управлением Windows Server 2012 R2 или более поздней версии, на котором необходимо запустить агент сквозной проверки подлинности.

   Не выбирайте сервер Microsoft Entra Connect. Убедитесь, что сервер присоединен к домену, может пройти проверку подлинности выбранных пользователей с помощью Active Directory и взаимодействовать с идентификатором Microsoft Entra в исходящих портах и URL-адресах. Дополнительные сведения см. в разделе "Шаг 1. Проверка предварительных требований" краткого руководства: Microsoft Entra с простым единым входом.

2. Скачайте агент проверки подлинности Microsoft Entra Connect и установите его на сервере. 

3. Чтобы обеспечить высокий уровень доступности, установите дополнительные агенты проверки подлинности на других серверах.

4. Убедитесь, что вы настроили параметры Smart Lock должным образом. Это поможет убедиться, что локальные учетные записи пользователей Active Directory не блокируются недопустимыми субъектами.

Рекомендуем включить простой единый вход независимо от метода входа (синхронизация хэша паролей или сквозная проверка подлинности), выбранного для поэтапного развертывания. Чтобы включить простой единый вход, следуйте предварительным инструкциям в следующем разделе.

Предварительная работа для простого единого входа

Включите простой единый вход в лесах Active Directory с помощью PowerShell. Если у вас больше, чем один лес Active Directory, включите его отдельно для каждого леса. Простой единый вход активируется только для пользователей, которые выбраны для поэтапного развертывания. Это не влияет на текущую настройку федерации.

Включите простой единый вход , выполнив следующие задачи:

1. Войдите на сервер Microsoft Entra Connect.

2. Перейдите в папку %programfiles%\Microsoft Entra Connect .

3. Импортируйте простой модуль PowerShell единого входа , выполнив следующую команду:

   Import-Module .\AzureADSSO.psd1

4. Запустите PowerShell с правами администратора. В PowerShell вызовите New-AzureADSSOAuthenticationContext. Эта команда открывает область, в которой можно ввести учетные данные администратора гибридного удостоверения клиента.

5. Вызовите процедуру Get-AzureADSSOStatus | ConvertFrom-Json. Эта команда выводит список лесов Active Directory (см. список "Домены"), в которых включена эта функция. По умолчанию для него задано значение false на уровне клиента.

   

6. Вызовите процедуру $creds = Get-Credential. При запросе введите учетные данные администратора домена для нужного леса Active Directory.

7. Вызовите процедуру Enable-AzureADSSOForest -OnPremCredentials $creds. Эта команда создает учетную запись компьютера AZUREADSSOACC с локального контроллера домена для леса Active Directory, необходимого для простого единого входа.

8. Для простого единого входа требуется, чтобы URL-адреса были в зоне интрасети. Сведения о развертывании этих URL-адресов с помощью групповых политик см . в кратком руководстве. Microsoft Entra — простой единый вход.

9. Для получения полного пошагового руководства можно также скачать планы развертывания для простого единого входа.

Включение поэтапного развертывания

Чтобы развернуть конкретный компонент (сквозная проверка подлинности, синхронизация хэша паролей или простой единый вход) для выбранного набора пользователей в группе, следуйте инструкциям в следующих разделах.

Включение поэтапного развертывания для определенной функции в арендаторе

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете использовать такие варианты:

• Синхронизация хэшей паролей + Простой единый вход
• Сквозная аутентификация + Простой единый вход
• Не поддерживается - Синхронизация хэшей паролей + Сквозная аутентификация + Простой единый вход
• Параметры аутентификации на основе сертификатов
• Многофакторная проверка подлинности Azure

Чтобы настроить поэтапное развертывание, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

2. Перейдите к синхронизации Microsoft Entra Connect Для>гибридного управления удостоверениями>>.

3. На странице Microsoft Entra Connect в разделе поэтапного развертывания облачной проверки подлинности выберите ссылку "Включить поэтапное развертывание" для управляемого пользователя.

4. На странице функции включения поэтапного развертывания выберите параметры, которые вы хотите включить: синхронизация хэша паролей, сквозная проверка подлинности, простой единый вход или проверка подлинности на основе сертификатов. Например, если вы хотите включить синхронизацию хэшей паролей и простой единый вход, установите ползунок для обоих элементов управления в значение Вкл.

5. Добавьте группы в выбранные функции. Например, сквозная проверка подлинности и эффективный единый вход. Чтобы избежать истечения времени ожидания, убедитесь, что группы безопасности изначально содержат не более 200 членов.

   Примечание.

   Члены в группе автоматически включаются для поэтапного развертывания. Вложенные и динамические группы членства не поддерживаются для поэтапного развертывания. При добавлении новой группы пользователи в группе (до 200 пользователей для новой группы) будут обновлены с целью немедленной проверки подлинности. Изменение группы (добавление или удаление пользователей). Чтобы изменения вступили в силу, может понадобиться до 24 часов. Простой единый вход можно применить только в том случае, если пользователи находятся в простой группе единого входа, а также в группе PTA или PHS.

Аудит

Мы включили события аудита для различных действий, выполняемых для поэтапного развертывания:

• Событие аудита при включенном поэтапном развертывании для синхронизации хэша паролей, сквозной проверки подлинности или простого единого входа.

  Примечание.

  Событие аудита регистрируется, если простой единый вход включен с помощью поэтапного развертывания.

  

  

• Событие аудита при добавлении группы к синхронизации хэша паролей, сквозной проверке подлинности или простому единому входу.

  Примечание.

  Событие аудита регистрируется при добавлении группы к синхронизации хэша паролей для поэтапного развертывания.

  

  

• Событие аудита, если пользователь, который был добавлен в группу, включен для поэтапного развертывания.

  

  

Проверка

Чтобы проверить вход с помощью синхронизации хэша паролей или сквозной проверки подлинности (вход с именем пользователя и паролем), выполните следующие задачи:

1. В экстрасети перейдите на страницу приложений в частном сеансе браузера, а затем введите UserPrincipalName (имя субъекта-пользователя) учетной записи пользователя, выбранной для поэтапного развертывания.

   Пользователи, предназначенные для поэтапного развертывания, не перенаправляются на страницу федеративного входа. Вместо этого им предлагается войти на страницу входа с фирменной символией клиента Microsoft Entra.

2. Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra, отфильтровав значение UserPrincipalName.

Для проверки входа с помощью простого единого входа выполните следующие действия:

1. В интрасети перейдите на страницу "Приложения" с помощью сеанса браузера, а затем введите userPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного развертывания.

   Пользователи, предназначенные для поэтапного развертывания простого единого входа , представлены с помощью инструкции "Попытка входа в ..." сообщение, прежде чем они автоматически вошли в систему.

2. Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra, отфильтровав значение UserPrincipalName.

   Для отслеживания событий входа пользователей, которые по-прежнему происходят в службе федерации Active Directory (AD FS) для выбранных пользователей с поэтапным развертыванием, следуйте инструкциям в статье Устранение неполадок в AD FS. События и ведение журнала. Сведения об определении сторонних поставщиков федерации содержатся в документации поставщика.

   Примечание.

   Хотя сейчас выполняется поэтапное развертывание PHS для пользователей, изменение паролей может занять до 2 минут из-за времени синхронизации. Не забудьте предупредить об этом пользователей, чтобы избежать обращений в службу поддержки после смены пароля.

Наблюдение

Вы можете отслеживать пользователей и группы, добавленные или удаленные из поэтапного развертывания, а также вход пользователей во время поэтапного развертывания с помощью новых книг гибридной проверки подлинности в Центре администрирования Microsoft Entra.

Удаление пользователя из поэтапного развертывания

Удаление пользователя из группы отключает функцию поэтапного развертывания для этого пользователя. Чтобы отключить функцию поэтапного развертывания, передвиньте ползунок элемента управления в положение Выкл.

Часто задаваемые вопросы

Вопрос. Можно ли использовать эту возможность в рабочей среде?

Ответ. Да, эту функцию можно использовать в рабочем клиенте, но мы рекомендуем сначала попробовать ее в тестовом клиенте.

Вопрос. Можно ли использовать эту функцию для поддержания постоянного "сосуществования", где некоторые пользователи используют федеративную проверку подлинности и другие используют облачную проверку подлинности?

Ответ: нет, эта функция предназначена для тестирования облачной проверки подлинности. После успешного тестирования несколько групп пользователей следует сократить до облачной проверки подлинности. Мы не рекомендуем использовать постоянное смешанное состояние, так как этот подход может привести к непредвиденным потокам проверки подлинности.

Вопрос. Можно ли использовать PowerShell для выполнения поэтапного развертывания?

Ответ. Да. Сведения о том, как использовать PowerShell для выполнения поэтапного развертывания, см. в предварительной версии идентификатора Microsoft Entra ID.

Следующие шаги

• Предварительная версия Microsoft Entra ID 2.0
• Изменение метода входа на синхронизацию хэшей паролей
• Изменение метода входа на сквозную проверку подлинности