从联合身份验证迁移到 Microsoft Entra 基于证书的身份验证 (CBA)

本文介绍如何使用 Microsoft Entra 基于证书的身份验证 (CBA) 从本地 Active Directory 联合身份验证服务 (AD FS) 等运行的联合服务器迁移到云身份验证。

分阶段推出

租户管理员可以通过在 Microsoft Entra ID 中启用 CBA 身份验证方法并将整个域切换为托管身份验证,从而将联盟域完全转换到 Microsoft Entra CBA,而无需试点测试。 但是,如果客户希望在将完整域直接切换为托管身份验证之前针对一小批用户进行 Microsoft Entra CBA 身份验证测试,则可以使用分阶段推出功能。

基于证书的身份验证 (CBA) 的分阶段推出可帮助客户从基于联合 IdP 执行 CBA 转换到基于 Microsoft Entra ID,方法是有选择地迁移一小部分用户,使其与选定的用户组一起在 Microsoft Entra ID 中使用 CBA(不再重定向到联合 IdP),然后再将 Microsoft Entra ID 中的域配置从联盟域转换为托管身份验证。 分阶段推出并不是为域长时间保持联合或大批量用户而设计。

观看这段演示如何从基于 ADFS 证书的身份验证迁移到 Microsoft Entra CBA 的简短视频

注意

为某个用户启用分阶段推出后,该用户会被视为托管用户,所有身份验证都将在 Microsoft Entra ID 中进行。 对于联合租户,如果在分阶段推出中启用了 CBA,则密码验证仅在同时启用了 PHS 的情况下有效,否则密码验证将失败。

为租户的基于证书的身份验证启用分阶段推出

提示

本文中的步骤可能因开始使用的门户而略有不同。

若要配置分阶段推出,请执行以下步骤:

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 搜索“Microsoft Entra Connect”并将其选中。
  3. 在 Microsoft Entra Connect 页面的云身份验证分阶段推出下,单击“为托管用户登录启用分阶段推出”。
  4. 在“启用分阶段推出”功能页面上,单击“基于证书的身份验证”选项的“打开”
  5. 单击“管理组”并添加要加入云身份验证的组。 若要避免超时,请确保安全组最初仅包含至多 200 个成员。

有关详细信息,请参阅分阶段推出

使用 Microsoft Entra Connect 更新 certificateUserIds 属性

AD FS 管理员可以使用“同步规则编辑器”创建规则,以将属性的值从 AD FS 同步到 Microsoft Entra 用户对象。 有关详细信息,请参阅 certificateUserIds 的同步规则

Microsoft Entra Connect 需要一个名为“混合标识管理员”的特殊角色,用于授予必要的权限。 需要此角色授权写入新云属性。

注意

如果用户正在使用用户对象中的 onPremisesUserPrincipalName 属性等同步的属性进行用户名绑定,请注意,具有管理权限访问 Microsoft Entra Connect 服务器的任何用户都可以更改同步属性映射,并更改同步的属性的值。 用户不需要是云管理员。AD FS 管理员应确保对 Microsoft Entra Connect 服务器的管理访问权限应受到限制,特权帐户应为仅限云的帐户。

有关从 AD FS 迁移到 Microsoft Entra ID 的常见问题

联合 AD FS 服务器是否可以使用特权帐户?

尽管可能,但 Microsoft 建议特权帐户是仅限云的帐户。 使用仅限云的帐户进行特权访问可以限制 Microsoft Entra ID 暴露于遭入侵的本地环境。 有关详细信息,请参阅防范 Microsoft 365 遭受本地攻击

如果组织是同时运行 AD FS 和 Azure CBA 的混合组织,它们是否仍然容易受到 AD FS 入侵威胁?

Microsoft 建议特权帐户是仅限云的帐户。 这种做法将限制 Microsoft Entra ID 暴露于遭入侵的本地环境。 保持特权帐户仅限云是实现此目标的基础。

对于同步的帐户:

  • 如果位于托管域中(非联合),则没有来自联合 IdP 的风险。
  • 如果位于联合域中,但帐户子集通过分阶段推出移至 Microsoft Entra CBA,则在联合域完全切换到云身份验证之前,它们会面临与联合 Idp 相关的风险。

组织是否应取消联合服务器(如 AD FS)以阻止从 AD FS 转至 Azure 的功能?

通过联合身份验证,攻击者可能模拟任何人(如 CIO),即使他们无法获取仅限云的角色(如全局管理员帐户)。

在 Microsoft Entra ID 中联合域时,联合 IdP 将被赋予较高的信任级别。 AD FS 是一个示例,但对于“任何”联合 IdP 而言皆同理。 许多组织专门部署联合 IdP(如 AD FS)来完成基于证书的身份验证。 在这种情况下,Microsoft Entra CBA 会完全移除 AD FS 依赖性。 借助 Microsoft Entra CBA,客户可以将应用程序资产移至 Microsoft Entra ID,以现代化其 IAM 基础结构,并通过提高安全性降低成本。

从安全角度来看,凭据(包括 X.509 证书、CAC、PIV 等等)或者所使用的 PKI 没有更改。 PKI 所有者保留对证书颁发和吊销生命周期和策略的完全控制。 吊销检查和身份验证在 Microsoft Entra ID 而不是联合 Idp 进行。 这些检查直接对 Microsoft Entra ID 针对所有用户启用无密码、防网络钓鱼身份验证。

对于 Windows,联合 AD FS 与 Microsoft Entra 云身份验证如何进行身份验证工作?

Microsoft Entra CBA 要求用户或应用程序提供登录用户的 Microsoft Entra UPN。

在浏览器示例中,用户最常键入其 Microsoft Entra UPN。 Microsoft Entra UPN 用于领域和用户发现。 因此使用的证书必须通过使用策略中配置的用户名绑定之一来匹配此用户。

在 Windows 登录中,匹配取决于设备是混合还是已加入 Microsoft Entra。 但在这两种情况下,如果提供了用户名提示,Windows 都会以 Microsoft Entra UPN 形式发送提示。 因此使用的证书必须通过使用策略中配置的用户名绑定之一来匹配此用户。

后续步骤