Active Directory 联合身份验证服务 (AD FS) 停用指南
Microsoft Entra ID 使用强身份验证和基于风险的实时自适应访问策略授予资源访问权限,为所有资源和应用提供简单的基于云的登录体验,可以降低 AD FS 环境的管理和运维成本,并提高 IT 效率。
有关为何应从 AD FS 升级到 Microsoft Entra ID 的详细信息,请访问从 AD FS 迁移到 Microsoft Entra ID。 请参阅从联合身份验证迁移到云身份验证了解如何从 AD FS 升级。
本文档提供停用 AD FS 服务器的建议步骤。
停用 AD FS 服务器的先决条件
在开始停用 AD FS 服务器之前,请确保做好以下准备。 有关详细信息,请参阅从联合身份验证迁移到云身份验证。
Microsoft Entra Connect Health 为本地标识基础结构提供可靠的监视功能。
将用户身份验证迁移到 Microsoft Entra ID。 启用云身份验证后,Microsoft Entra ID 可以安全处理用户的登录过程。 Microsoft Entra ID 提供三个选项让用户安全地完成云身份验证:
- Microsoft Entra 密码哈希同步 (PHS) – 允许用户使用相同的密码登录到本地应用程序和基于云的应用程序。 Microsoft Entra Connect 将用户密码的哈希从本地 Active Directory 实例同步到基于云的 Microsoft Entra 实例。 两层哈希可确保密码永远不会公开或传输到云系统。
- Microsoft Entra基于证书的身份验证 (CBA) – 让你能够采用一种防网络钓鱼的身份验证方法,并根据公钥基础结构 (PKI) 使用 X.509 证书对用户进行身份验证。
- Microsoft Entra 直通身份验证 (PTA) – 让用户可以使用同一密码登录到本地应用程序和基于云的应用程序。 它会在本地 Active Directory 上安装一个代理,并直接针对本地 Active Directory 验证用户的密码。
可以使用分阶段推出为用户尝试云身份验证。 你可以选择地使用上述云身份验证功能测试用户组。
将当前使用 AD FS 进行身份验证的所有应用程序迁移到 Microsoft Entra ID,因为它提供单个控制平面用于在 Microsoft Entra ID 中进行标识和访问管理。 另外,确保将 Office 365 应用程序和加入的设备迁移到 Microsoft Entra ID。
- 迁移助手可用于将应用程序从 AD FS 迁移到 Microsoft Entra ID。
- 如果在应用库中找不到适当的 SaaS 应用程序,可以从 https://aka.ms/AzureADAppRequest 请求。
确保至少运行 Microsoft Entra Connect Health 一周,以观察 Microsoft Entra ID 中应用的使用情况。 你还应该可以在 Microsoft Entra ID 中查看用户登录日志。
停用 AD FS 服务器的步骤
本部分提供停用 AD FS 服务器的分步过程。
在开始停用之前,必须确认 AD FS 服务器中不再存在任何产生流量的信赖方(信赖方信任)。
在开始之前,请在 AD FS 事件日志和/或 Microsoft Entra Connect Health 中检查是否存在任何登录失败或成功事件,因为这意味着这些服务器仍在用于某种目的。 如果你看到登录成功或失败事件,请查看如何从 AD FS 将应用迁移到 Microsoft Entra ID 或将身份验证迁移到 Microsoft Entra ID。
验证上述事项后,可以执行以下步骤(假设 AD FS 服务器现在不再用于任何其他目的):
注意
将身份验证迁移到 Microsoft Entra ID 后,请至少测试环境一周,以验证云身份验证是否顺利运行,而不会出现任何问题。
- 在停用 AD FS 服务器之前,请考虑创建最终备份(可选)。
- 从可能在环境中配置的任何负载均衡器(内部和外部)中删除任何 AD FS 条目。
- 删除环境中 AD FS 服务器的相关场名称的任何相应 DNS 条目。
- 在主 AD FS 服务器上,运行
Get-ADFSProperties
并查看 CertificateSharingContainer。 请记下此 DN,因为在安装即将结束时需要将其删除(重启几次后,当它不再可用时将其删除) - 如果 AD FS 配置数据库使用某个 SQL Server 数据库实例作为存储,请确保在卸载 AD FS 服务器之前删除该数据库。
- 卸载 WAP(代理)服务器。
- 登录到每个 WAP 服务器,打开远程访问管理控制台并查看已发布的 Web 应用程序。
- 删除任何与不再使用的 AD FS 服务器相关的应用程序。
- 删除所有已发布的 Web 应用程序后,使用以下命令卸载 WAP:Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess。
- 卸载 AD FS 服务器。
- 从辅助节点开始,使用 Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database 命令卸载 AD FS。 然后,运行 del C:\Windows\WID\data\adfs* 命令后删除所有数据库文件
- 从每个服务器存储中删除 AD FS 安全套接字层 (SSL) 证书。
- 使用全磁盘格式重建 AD FS 服务器的映像。
- 现在可以安全删除你的 AD FS 帐户。
- 卸载后,使用 ADSI 编辑删除 CertificateSharingContainer DN 的内容。