Переход с федерации на облачную проверку подлинности
В этой статье вы узнаете, как развернуть проверку подлинности пользователей в облаке с помощью либо синхронизации хэша паролей (PHS) Microsoft Entra, либо сквозной проверки подлинности (PTA). Мы рассматриваем сценарий перехода со служб федерации Active Directory (AD FS) на облачные методы проверки подлинности, однако эти рекомендации в основном применимы и к другим локальным системам.
Прежде чем продолжать, рекомендуем ознакомиться с нашим руководством по выбору правильного метода проверки подлинности и, сравнив методы, определить оптимальные для вашей организации.
Для проверки подлинности в облаке мы рекомендуем использовать PHS.
Поэтапное развертывание
Поэтапное развертывание — отличный способ выборочного тестирования групп пользователей с возможностями облачной проверки подлинности, такими как многофакторная проверка подлинности Microsoft Entra, условный доступ, защита идентификаций Microsoft Entra от утечки учетных данных, управление удостоверениями и другие возможности перед полной миграцией ваших доменов.
Ознакомьтесь с планом реализации поэтапного развертывания, чтобы понять поддерживаемые и неподдерживаемые сценарии. Поэтапное развертывание рекомендуется использовать для тестирования перед переключением доменов.
Схема процесса миграции
Предварительные условия
Прежде чем начинать миграцию, убедитесь, что соблюдены все необходимые условия.
Обязательные роли
Для поэтапного развертывания необходимо быть администратором гибридной идентификации в вашем арендаторе.
Настройка сервера Microsoft Entra Connect
Установите Microsoft Entra Connect (Microsoft Entra Connect) или обновите до последней версии. При переходе на сервер Microsoft Entra Connect сокращается время миграции из AD FS в методы облачной проверки подлинности с потенциально часов до минут.
Задокументируйте текущие параметры федерации
Чтобы отобразить текущие значения параметров федерации, запустите Get-MgDomainFederationConfiguration.
Get-MgDomainFederationConfiguration -DomainID yourdomain.com
Проверьте все настройки, которые могли быть изменены в вашей документации по проектированию и развертыванию федерации. В частности, найдите настройки в PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (если federatedIdpMfaBehavior не задан) и PromptLoginBehavior.
Резервное копирование параметров федерации
Хотя это развертывание не вносит изменений в существующую конфигурацию для других доверяющих сторон на ферме AD FS, вы можете создать резервную копию своих параметров:
С помощью инструмента быстрого восстановления AD FS Rapid Restore вы можете восстановить существующую ферму или создать новую.
Экспортируйте доверительные отношения с проверяющей стороной платформы удостоверений Microsoft 365 и все связанные пользовательские правила утверждений с помощью следующего примера PowerShell:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
Планирование проекта
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их возможностей, результатов и обязанностей. Чтобы избежать этих ловушек, убедитесь, что вы привлекаете соответствующих заинтересованных лиц и их роли в проекте очевидны.
Планирование информирования
После миграции на аутентификацию в облаке изменяется процесс входа для пользователей при доступе к Microsoft 365 и другим ресурсам, аутентифицированным через Microsoft Entra ID. Пользователи, которые находятся за пределами сети, видят только страницу входа Microsoft Entra.
Упреждающее взаимодействие с пользователями о том, как изменяется их опыт, когда он изменяется, и как получить поддержку при возникновении проблем.
Планирование периода обслуживания
Современные клиенты проверки подлинности (Office 2016 и Office 2013, приложения IOS и Android) применяют действительный маркер обновления для получения новых маркеров доступа, что обеспечит непрерывный доступ к ресурсам без перехода к службам AD FS. Этим клиентам не будут отправляться запросы на ввод пароля после преобразования доменов. Клиенты продолжают функционировать без дополнительной конфигурации.
Примечание.
При переходе с федеративной проверки подлинности на облачную преобразование домена из федеративного в управляемый может занять до 60 минут. Во время этого процесса пользователи могут не запрашиваться учетные данные для любых новых входов в Центр администрирования Microsoft Entra или других приложений на основе браузера, защищенных с использованием идентификатора Microsoft Entra. Рекомендуется учитывать эту задержку в периоде обслуживания.
План отката
Совет
Вы можете запланировать переключение доменов на нерабочее время на случай, если потребуется выполнить откат.
Чтобы спланировать откат, обратитесь к документации по текущим настройкам федерации и проверьте документацию по проектированию и развертыванию федерации.
В процессе отката необходимо выполнить преобразование управляемых доменов в федеративные домены с помощью командлета New-MgDomainFederationConfiguration. При необходимости настройте дополнительные правила утверждений.
Вопросы миграции
Вот несколько основных моментов и соображений, касающихся миграции.
Планирование настроек
Файл onload.js нельзя дублировать в идентификаторе Microsoft Entra. Если ваш экземпляр AD FS сильно изменён и опирается на конкретные параметры кастомизации в файле onload.js, убедитесь, что Microsoft Entra ID может удовлетворить вашим текущим требованиям по настройке и планируйте соответствующим образом. Сообщите о предстоящих изменениях пользователям.
Процедура входа
Вы не можете настроить интерфейс входа в Microsoft Entra. Независимо от того, как пользователи вошли ранее, вам потребуется полное доменное имя, например имя участника-пользователя (UPN) или электронная почта для входа в идентификатор Microsoft Entra.
Фирменная символика организации
Вы можете настроить страницу входа Microsoft Entra. После перехода следует ожидать определенных визуальных отличий от интерфейса AD FS на страницах входа.
Примечание.
Фирменный стиль организации недоступен в бесплатных лицензиях Microsoft Entra ID, если у вас нет лицензии Microsoft 365.
Планирование политик условного доступа
Оцените, используется ли в настоящее время условный доступ для проверки подлинности или используется ли политика управления доступом в AD FS.
Рекомендуется заменить политики управления доступом AD FS эквивалентными политиками условного доступа Microsoft Entra и правилами клиентского доступа Exchange Online. Для условного доступа можно использовать идентификатор Microsoft Entra или локальные группы.
Отключите устаревшую проверку подлинности: из-за увеличения рисков, связанных с устаревшими протоколами проверки подлинности, следует создать политику условного доступа для блокирования устаревшего метода проверки подлинности.
Планирование поддержки MFA
Для федеративных доменов многофакторная аутентификация (MFA) может применяться при помощи условного доступа Microsoft Entra или локального поставщика служб федерации. Вы можете включить защиту для предотвращения обхода многофакторной проверки подлинности Microsoft Entra, настроив параметр безопасности federatedIdpMfaBehavior. Включите защиту федеративного домена в клиенте Microsoft Entra. Убедитесь, что многофакторная проверка подлинности Microsoft Entra всегда выполняется, когда федеративный пользователь обращается к приложению, управляемому политикой условного доступа, требующей многофакторной проверки подлинности. Это включает в себя проведение многофакторной проверки подлинности Microsoft Entra, даже если федеративный поставщик удостоверений выпустил утверждения токена, подтверждающие, что локальная MFA уже была выполнена. Принудительное применение многофакторной проверки подлинности Microsoft Entra каждый раз гарантирует, что злоумышленник не может обойти многофакторную проверку подлинности Microsoft Entra, имитируя, что этот поставщик удостоверений уже выполнил MFA, и настоятельно рекомендуется, за исключением случаев, когда вы выполняете MFA для федеративных пользователей с помощью стороннего поставщика MFA.
В следующей таблице описано поведение каждого параметра. Дополнительные сведения приведены в разделе federatedIdpMfaBehavior.
| значение | Описание |
|---|---|
| подтвердитьЕслиMfaВыполненоФедеративнымIdp | Microsoft Entra ID принимает MFA, выполняемый федеративным поставщиком удостоверений. Если федеративный поставщик удостоверений не выполнил многофакторную аутентификацию (MFA), Microsoft Entra ID выполняет многофакторную аутентификацию. |
| enforceMfaByFederatedIdp | Microsoft Entra ID принимает MFA, выполняемый федеративным поставщиком удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, запрос о выполнении MFA перенаправляется обратно к нему. |
| rejectMfaByFederatedIdp | Идентификатор Microsoft Entra ID всегда выполняет многофакторную аутентификацию (MFA) и отклоняет MFA, которую выполняет федеративный поставщик удостоверений. |
Параметр federatedIdpMfaBehavior представляет собой усовершенствованную версию свойства SupportsMfa командлета PowerShell Set-MsolDomainFederationSettings MSOnline v1.
Для доменов, которые уже установили свойство SupportsMfa, эти правила определяют, как federatedIdpMfaBehavior и SupportsMfa будут работать вместе:
- Переключение между federatedIdpMfaBehavior и SupportsMfa не поддерживается.
- После установки свойства federatedIdpMfaBehavior идентификатор Microsoft Entra игнорирует параметр SupportsMfa.
- Если свойство federatedIdpMfaBehavior никогда не задано, идентификатор Microsoft Entra продолжает учитывать параметр SupportsMfa.
- Если не установлены ни federatedIdpMfaBehavior, ни SupportsMfa, идентификатор Microsoft Entra по умолчанию переключается на поведение
acceptIfMfaDoneByFederatedIdp.
Чтобы проверить состояние защиты, выполните команду Get-MgDomainFederationConfiguration:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
Планирование реализации
В этом разделе описана предварительная работа перед переключением метода входа и преобразованием доменов.
Создание необходимых групп для поэтапного развертывания
Если вы не используете поэтапное развертывание, пропустите этот шаг.
Создайте группы для поэтапного развертывания, а также для политик условного доступа, если вы решите добавить их.
Рекомендуется использовать группу, управляемую в Microsoft Entra ID, также известную как исключительно облачная группа. Группы безопасности Microsoft Entra и группы Microsoft 365 можно использовать как для настройки пользователей на MFA, так и для политик условного доступа. Дополнительные сведения см. в статье о создании группы безопасности Microsoft Entra и этом обзоре Группы Microsoft 365 для администраторов.
Участники группы автоматически включаются для промежуточного развертывания. Вложенные и динамические группы пользователей не поддерживаются для поэтапного развертывания.
Подготовительные работы для единой системы входа
Версия единого входа (SSO), которую вы используете, зависит от ОС устройства и состояния подключения.
Для Windows 10, Windows Server 2016 и более поздних версий мы рекомендуем использовать SSO через первичный маркер обновления (PRT) с устройствами, присоединенными к Microsoft Entra, гибридными устройствами Microsoft Entra и зарегистрированными устройствами Microsoft Entra.
Для устройств macOS и iOS мы рекомендуем использовать единый вход через подключаемый модуль Microsoft Enterprise SSO для устройств Apple. Для этой функции необходимо, чтобы ваши устройства Apple находились под управлением системы MDM. Если вы используете Intune в качестве MDM, следуйте руководству по развертыванию плагина единого входа Microsoft Enterprise для Apple Intune. Если вы используете другой MDM, следуйте руководству по развертыванию Jamf Pro или generic MDM.
Для устройств Windows 7 и 8.1 мы рекомендуем использовать простой единый вход с компьютером, включённым в домен, для регистрации в Microsoft Entra ID. Вам не потребуется синхронизировать эти учетные записи, как в случае с устройствами Windows 10. Однако необходимо выполнить эту предварительную работу для беспрепятственного единого входа в систему с помощью PowerShell.
Предварительная работа для PHS и PTA
В зависимости от выбора метода входа выполните предварительную работу для PHS или PTA.
Внедрение решения
Последним шагом будет смена метода входа на PHS или PTA в соответствии с планом и преобразование доменов из федеративных в домены для облачной проверки подлинности.
Используя поэтапное развертывание
Если вы используете поэтапное развертывание, выполните действия, указанные по ссылкам ниже.
Включите поэтапное развертывание определенной функции в вашем арендаторе.
После завершения тестирования преобразуйте домены из федеративных в управляемые.
Без поэтапного развертывания
Вы можете включить это изменение двумя способами:
Вариант A. Переключение с помощью Microsoft Entra Connect.
Доступно, если вы изначально настроили среду AD FS/ping-федеративную с помощью Microsoft Entra Connect.
Вариант B. Переключение с помощью Microsoft Entra Connect и PowerShell
Доступно, если вы изначально не настроили федеративные домены с помощью Microsoft Entra Connect или используете сторонние службы федерации.
Чтобы выбрать один из этих вариантов, вы должны знать, как настроены текущие параметры.
Проверка текущих параметров Microsoft Entra Connect
Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора гибридных удостоверений .
Перейдите к Identity>гибридное управление>Microsoft Entra Connect>синхронизация с облаком.
- Проверьте параметры user SIGN_IN, как показано на этой схеме:
Чтобы проверить, как была настроена федерация:
На сервере Microsoft Entra Connect откройте Microsoft Entra Connect и выберите "Настроить".
В разделе Дополнительные задачи > Управление федерацией выберите Просмотр конфигурации федерации.
Если конфигурация AD FS отображается в этом разделе, вы можете безопасно предположить, что AD FS изначально настроена с помощью Microsoft Entra Connect. Пример см. на изображении ниже.
Если AD FS не указаны в текущих параметрах, необходимо вручную перевести домены с федеративных удостоверений на управляемые учетные записи при помощи PowerShell.
Вариант А
Переход с федерации на новый метод входа с помощью Microsoft Entra Connect
На сервере Microsoft Entra Connect откройте Microsoft Entra Connect и выберите "Настроить".
На странице Дополнительные задачи выберите Смена имени пользователя для входа и нажмите кнопку Далее.
На странице "Подключение к идентификатору Microsoft Entra" введите учетные данные учетной записи глобального администратора.
На странице входа пользователя:
Если выбран переключатель Сквозная проверка подлинности, и для устройств Windows 7 и 8.1 требуется единый вход, установите флажок Включить единый вход и нажмите Далее.
Если вы выбрали параметр Синхронизация хэша паролей, установите флажок Не преобразовывать учетные записи пользователей. Этот параметр является устаревшим. Если для устройств Windows 7 и 8.1 требуется единый вход, установите флажок "Включить единый вход" и нажмите кнопку "Далее".
Узнать больше: Включите простой единый вход с помощью PowerShell.
На странице Включить единый вход введите учетные данные администратора домена и щелкните Далее.
Для включения бесшовного единого входа нужны учетные данные администратора домена. Эта процедура включает описанные ниже действия, которые требуют повышенных привилегий.
- Учетная запись компьютера с именем AZUREADSSO (которая представляет Microsoft Entra ID) создается в вашем локальном экземпляре службы Active Directory.
- Ключ расшифровки Kerberos учетной записи компьютера безопасно разделяется с Microsoft Entra ID.
- Два имени службы Kerberos (Service Principal Name, SPN) создаются для представления двух URL-адресов, используемых во время входа в Microsoft Entra.
Учетные данные администратора домена не хранятся в Microsoft Entra Connect или Идентификаторе Microsoft Entra и удаляются после успешного завершения процесса. Они используются для включения этой функции.
Дополнительные сведения: углубленный технический анализ бесшовного единого входа.
Убедитесь, что на странице Готово к настройке установлен флажок Start the synchronization process when configuration completes (Начать синхронизацию после завершения настройки). Затем выберите Настроить.
Внимание
На этом этапе все федеративные домены изменяются на управляемую проверку подлинности. Выбранный способ входа в систему является новым методом проверки подлинности.
В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra, а затем выберите Microsoft Entra Connect.
Проверьте настройку следующих параметров:
- Для параметра Федерация должно быть установлено значение Отключено.
- Для параметра Эффективный единый вход должно быть установлено значение Включено.
- Для параметра Синхронизация хэша паролей установите значение Включено.
В случае переключения на PTA выполните указанные ниже действия.
Развертывание дополнительных агентов проверки подлинности для PTA
Примечание.
PTA требует развертывания упрощенных агентов на сервере Microsoft Entra Connect и на локальном компьютере под управлением Windows Server. Чтобы уменьшить задержку, установите эти агенты как можно ближе к контроллерам домена Active Directory.
Для большинства клиентов достаточно двух или трех агентов проверки подлинности, чтобы поддерживать высокий уровень доступности и производительности. У арендатора может быть зарегистрировано не более 12 агентов. Первый агент всегда устанавливается на самом сервере Microsoft Entra Connect. Дополнительные сведения об ограничениях агента и параметрах развертывания агента см. в разделе "Сквозная проверка подлинности Microsoft Entra: текущие ограничения".
Выберите Сквозная проверка подлинности.
На странице Сквозная проверка подлинности нажмите кнопку Скачать.
На странице "Скачать агент" выберите "Принять условия и скачать".
Начнется скачивание дополнительных агентов проверки подлинности. Установите дополнительный агент проверки подлинности на сервере, присоединенном к домену.
Запустите установку агентов проверки подлинности. Во время установки вам потребуется предоставить учетные данные глобального администратора.
После установки агента проверки подлинности можно вернуться на страницу работоспособности PTA, чтобы проверить состояние всех агентов.
Вариант Б
Переход с федерации на новый метод входа с помощью Microsoft Entra Connect и PowerShell
Доступно, если вы изначально не настроили федеративные домены с помощью Microsoft Entra Connect или используете сторонние службы федерации.
На сервере Microsoft Entra Connect выполните действия 1–5 в варианте A. Обратите внимание, что на странице входа пользователя параметр "Не настроить " предварительно выбран.
В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra, а затем выберите Microsoft Entra Connect.
Проверьте настройку следующих параметров:
Для параметра Федерация должно быть установлено значение Включено.
Параметр Бесшовный единый вход установлен в значение Отключено.
Для параметра Синхронизация хэша паролей установите значение Включено.
Если вы используете PTA, выполните указанные действия, чтобы установить дополнительные серверы агента PTA.
В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra, а затем выберите Microsoft Entra Connect.
Выберите Сквозная проверка подлинности. Убедитесь, что для параметра "Состояние" задано значение Активно.
Если агент проверки подлинности неактивен, выполните действия по устранению неполадок, прежде чем переходить к преобразованию доменов на следующем шаге. Вы рискуете вызвать сбой аутентификации, если преобразуете свои домены до того, как убедитесь, что агенты PTA успешно установлены и их статус Активно в Центре администрирования Microsoft Entra.
Преобразование федеративных доменов в управляемые
На этом этапе федеративная проверка подлинности остается активной и действующей для ваших доменов. Чтобы продолжить развертывание, необходимо преобразовать удостоверение каждого домена из федеративного в управляемое.
Внимание
Не обязательно преобразовывать все домены одновременно. Вы можете начать с тестового домена на рабочем клиенте или с домена с наименьшим числом пользователей.
Завершите преобразование с помощью пакета SDK Для Microsoft Graph PowerShell:
В PowerShell войдите в Microsoft Entra ID, используя учетную запись глобального администратора.
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"Для преобразования первого домена выполните приведенную ниже команду.
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"В Центре администрирования Microsoft Entra выберите >.
Убедитесь, что домен был преобразован в управляемый, выполнив приведенную ниже команду. Тип проверки подлинности должен быть установлен на управляемый.
Get-MgDomain -DomainId yourdomain.com
Чтобы убедиться, что Microsoft Entra Connect распознает сквозную проверку подлинности как включенную после преобразования домена в управляемую проверку подлинности, обновите параметры метода входа в Microsoft Entra Connect, чтобы отразить изменения. Дополнительные сведения см. в документации Microsoft Entra по сквозной проверке подлинности.
Завершение миграции
Выполните указанные ниже задачи, чтобы проверить способ регистрации и завершить процесс преобразования.
Проверка нового метода входа
Когда клиент использовал федеративное удостоверение, пользователи были перенаправлены с страницы входа Microsoft Entra в среду AD FS. Теперь, когда арендатор использует новый метод входа вместо федеративной проверки подлинности, пользователи не перенаправляются в AD FS.
Вместо этого пользователи входят прямо на страницу входа Microsoft Entra.
Воспользуйтесь указаниями по этой ссылке - Проверка входа с помощью PHS/PTA и простого единого входа (при необходимости)
Удалить пользователя из этапа развертывания
Если вы использовали поэтапное развертывание, не забудьте отключить его функции после завершения перехода.
Чтобы отключить функцию поэтапного развертывания, передвиньте ползунок управления обратно в положение "Выкл".
Синхронизация обновлений атрибута userPrincipalName
Обновления атрибута userPrincipalName, использующего службу синхронизации из локальной среды, блокируются, за исключением тех случаев, когда выполняются два следующих условия:
- Пользователь находится в управляемом (нефедерированном) домене идентификации.
- пользователю не назначена лицензия.
Инструкции о том, как проверить и (или) включить эту функцию, см. в разделе Синхронизация обновлений userPrincipalName.
Управление реализацией
Обновление ключа расшифровки Kerberos для бесшовной системы единого входа
Мы рекомендуем менять ключ расшифровки Kerberos не реже чем раз в 30 дней в соответствии с периодом изменения паролей для членов домена Active Directory. К объекту учетной записи компьютера AZUREADSSO не подключено связанное устройство, поэтому смену необходимо выполнять вручную.
См. часто задаваемый вопрос Как можно сменить ключ расшифровки Kerberos учетной записи компьютера AZUREADSSO.
Мониторинг и ведение журналов
Отслеживайте работу серверов, на которых выполняются агенты проверки подлинности, чтобы поддерживать доступность решения. Помимо общих счетчиков производительности сервера, агенты проверки подлинности предоставляют объекты производительности, которые помогают изучать статистику и ошибки проверки подлинности.
Агенты проверки подлинности записывают события в журналы событий Windows в разделе журналов приложений и служб. Кроме того, вы можете включить ведение журнала для устранения неполадок.
Чтобы проверить выполнение различных действий при поэтапном развертывании, можно провести аудит событий для PHS, PTA или простого единого входа.
Устранение неполадок
Ваша группа поддержки должна знать, как устранить любые неполадки аутентификации, возникающие во время или после перехода с федеративных доменов на управляемые. Предоставьте приведенную документацию по устранению неполадок своей группе поддержки, чтобы она ознакомилась с общими инструкциями по устранению неполадок и соответствующими действиями, которые могут помочь выявить и устранить проблему.
Вывод из эксплуатации инфраструктуры AD FS
Перенос проверки подлинности приложения из AD FS в идентификатор Microsoft Entra
Миграция требует оценки настройки приложения в локальной среде, а затем сопоставления конфигурации с идентификатором Microsoft Entra.
Если вы планируете и дальше использовать AD FS с локальными приложениями SaaS &, работающими по протоколам SAML WS-FED или OAuth, после преобразования доменов для проверки подлинности пользователей вы будете использовать как AD FS, так и Microsoft Entra ID. В этом случае вы можете защитить локальные приложения и ресурсы с помощью безопасного гибридного доступа (SHA) через прокси приложения Microsoft Entra или одной из интеграций партнеров Microsoft Entra ID. С помощью Application Proxy или решения от одного из наших партнеров можно реализовать безопасный удаленный доступ к локальным веб-приложениям. Пользователи получают возможность легко подключаться к своим приложениям с любого устройства после единого входа. Дополнительные сведения см. в статье о включении единого входа для корпоративного приложения с использованием службы маркеров безопасности проверяющей стороны.
Вы можете переместить приложения SaaS, которые в настоящее время интегрированы с ADFS, в Microsoft Entra ID. Перенастройте для проверки подлинности с помощью Microsoft Entra ID либо через встроенный соединитель из коллекции приложений Azure, либо путем регистрации приложения в Microsoft Entra ID.
Дополнительные сведения см. в статье «Перенос проверки подлинности приложения из службы федерации Active Directory (AD FS) в Microsoft Entra ID».
Удаление отношения доверия проверяющей стороны
Если у вас есть Microsoft Entra Connect Health, вы можете отслеживать использование из Центра администрирования Microsoft Entra. В случае отсутствия новых запросов на аутентификацию и если вы проверяете, что все пользователи и клиенты успешно проходят аутентификацию через Microsoft Entra ID, безопасно удалить доверительное отношение с Microsoft 365.
Если вы не используете AD FS для других целей (например, для других отношений доверия проверяющей стороны), вы можете отключить его на этом этапе.
Удалите AD FS
Для получения всех шагов по полному удалению AD FS из среды, следуйте руководству по выведению из эксплуатации службы федерации Active Directory (AD FS).