將應用程式和驗證移轉至 Microsoft Entra ID 的最佳做法

您聽說 Azure Active Directory 現已更名為 Microsoft Entra ID，因此您認為現在是將 Active Directory 同盟服務 (AD FS) 移轉至 Microsoft Entra ID 中的雲端驗證 (AuthN) (部分機器翻譯) 的適當時機。 在檢閱您可用的選項時，請參閱大量可用來將應用程式移轉至 Microsoft Entra ID 的資源 (部分機器翻譯) 以及最佳做法。

在能夠將 AD FS 移轉至 Microsoft Entra ID 之前，請先使用適用於身分識別的 Microsoft Defender (部分機器翻譯) 來保護您的內部部署資源。 您可以先主動尋找並修正弱點。 使用評量、分析和資料情報、使用者調查優先順序評分，以及身分識別遭到入侵的自動回應。 移轉至雲端表示組織可以受益於新式驗證，例如無密碼驗證方法。

以下是您可能會選擇不移轉 AD FS 的原因：

• 您的環境中有一般使用者名稱 (例如員工編號)。
• 您需要更多的自訂多重要素驗證提供者選項。
• 您使用第三方行動裝置管理 (MDM) 系統 (例如 VMware) 所提供的裝置驗證解決方案。
• 您的 AD FS 與多個雲端形成雙重同盟。
• 您需要將網路進行實體隔離。

移轉應用程式

請規劃分段推出應用程式移轉，並選取要向 Microsoft Entra ID 進行驗證的使用者以進行測試。 使用規劃將應用程式移轉至 Microsoft Entra ID (部分機器翻譯) 以及可用來將應用程式移轉至 Microsoft Entra ID 的資源 (部分機器翻譯) 中的指導。

若要深入了解，請參閱下列影片：使用 Microsoft Entra ID 輕鬆地移轉應用程式。

應用程式移轉工具

目前處於預覽狀態的可將 AD FS 應用程式移至 Microsoft Entra ID 的 AD FS 應用程式移轉 (部分機器翻譯) 是可讓 IT 管理員將 AD FS 信賴憑證者應用程式從 AD FS 移轉至 Microsoft Entra ID 的指南。 AD FS 應用程式移轉精靈可提供統一的體驗讓您探索、評估及設定新的 Microsoft Entra 應用程式。 其可讓您一鍵設定基本的 SAML URL、宣告對應和使用者指派，以將應用程式與 Microsoft Entra ID 進行整合。 我們有提供移轉內部部署 AD FS 應用程式的端對端支援，其具有以下功能：

• 可協助識別應用程式使用方式和所受影響，以評估 AD FS 信賴憑證者應用程式的登入活動
• 可協助判斷阻礙移轉的因素以及要將應用程式移轉至 Microsoft Entra ID 所需進行的動作，以分析將 AD FS 移轉至 Microsoft Entra 的可行性
• 可自動為 AD FS 應用程式設定新的 Microsoft Entra 應用程式，以使用應用程式移轉一鍵進行程序設定新的 Microsoft Entra 應用程式

第 1 階段：探索應用程式並界定範圍

在探索應用程式 (部分機器翻譯) 時，請將開發中和已規劃的應用程式包含在內。 將應用程式的範圍定義為，在移轉完成後使用 Microsoft Entra ID 來進行驗證。

使用活動報告將 AD FS 應用程式移至 Microsoft Entra ID (部分機器翻譯)。 此報告可協助您識別可移轉至 Microsoft Entra ID 的應用程式。 其會評估 AD FS 應用程式是否與 Microsoft Entra 相容、檢查是否有問題，並指導您準備個別應用程式以進行移轉。

使用 AD FS 至 Microsoft Entra 應用程式的移轉工具 (英文)，以從 AD FS 伺服器收集信賴憑證者應用程式並分析設定。 透過此分析，報告會顯示哪些應用程式有資格移轉至 Microsoft Entra ID。 針對不符合資格的應用程式，您可以檢閱其無法進行移轉的原因說明。

使用 Microsoft Entra Connect AD FS 健康情況代理程式，為內部部署環境安裝 Microsoft Entra Connect (英文)。

若要深入了解，請參閱什麼是 Microsoft Entra Connect？ (部分機器翻譯)

第 2 階段：將應用程式分類和規劃試驗

將應用程式的移轉分類 (部分機器翻譯) 是很重要的練習。 在決定應用程式的移轉順序後，請規劃應用程式的移轉並分階段進行轉換。 請為應用程式分類納入下列準則：

• 新式驗證通訊協定，例如 Microsoft Entra 應用程式庫 (部分機器翻譯) 中的第三方軟體即服務 (SaaS) 應用程式，而非透過 Microsoft Entra ID。
• 要現代化的傳統驗證通訊協定，例如第三方 SaaS 應用程式 (不在應用程式庫中，但您可以新增至應用程式庫)。
• 會使用 AD FS 且可以移轉至 Microsoft Entra ID 的同盟應用程式。
• 沒有要現代化的舊版驗證通訊協定。 您可以在現代化中排除可使用 Microsoft Entra 應用程式 Proxy (部分機器翻譯) 的 Web 應用程式 Proxy (WinSCP (WAP)) 背後的通訊協定，以及可使用安全的混合式存取 (部分機器翻譯) 的應用程式傳遞網路/應用程式傳遞控制器。
• 新的企業營運 (LOB) 應用程式。
• 要淘汰的應用程式可能會有與其他系統重複的功能，而且沒有業務負責人或沒有任何人使用。

在選擇要第一個移轉的應用程式時，請力求簡單。 準則可以在應用程式庫中納入支援多個識別提供者 (IdP) 連線的 SaaS 應用程式。 有的應用程式具有測試執行個體存取、有的應用程式具有簡單的宣告規則，有的應用程式則會控制對象存取權。

第 3 階段：規劃您的移轉和測試

移轉和測試工具 (部分機器翻譯) 包括用來探索、分類及移轉應用程式的 Microsoft Entra 應用程式移轉工具組 (部分機器翻譯)。 請參考 SaaS 應用程式教學課程 (部分機器翻譯) 的清單，以及會逐步解說端對端程序的 Microsoft Entra 單一登入 (SSO) 部署計劃 (部分機器翻譯)。

請了解 Microsoft Entra 應用程式 Proxy (部分機器翻譯)，並使用完整的 Microsoft Entra 應用程式 Proxy 部署計劃 (部分機器翻譯)。 請考慮使用安全的混合式存取 (SHA) (部分機器翻譯)，藉由將內部部署和雲端的舊版驗證應用程式連線到 Microsoft Entra ID 來為其提供保護。 使用 Microsoft Entra Connect (部分機器翻譯) 來同步處理 AD FS 使用者和群組與 Microsoft Entra ID。

第 4 階段：規劃管理和深入解析

在移轉應用程式後，請遵循管理和深入解析指導 (部分機器翻譯)，確保使用者可以安全地存取和管理應用程式。 取得並分享使用方式和應用程式健康情況的深入解析。

從 Microsoft Entra 系統管理中心，使用下列方法來稽核所有應用程式：

• 使用 [企業應用程式]、[稽核] 來稽核應用程式，或從 Microsoft Entra 報告 API (部分機器翻譯) 存取相同的資訊，以整合到您最愛的工具。
• 針對使用 Open Authorization (OAuth)/OpenID Connect 的應用程式，使用 [企業應用程式]、[權限] 來檢視應用程式權限。
• 使用 [企業應用程式]、[登入] 和從 Microsoft Entra 報告 API (部分機器翻譯) 取得登入的深入解析。
• 從 Microsoft Entra 活頁簿 (部分機器翻譯) 將應用程式使用方式視覺化。

準備驗證環境

使用 PowerShell 資源庫中的 MSIdentityTools (英文) 管理、疑難排解及報告 Microsoft 身分識別產品和服務。 使用 Microsoft Entra Connect Health (部分機器翻譯) 來監視 AD FS 基礎結構。 在 AD FS 中建立測試應用程式，並定期產生使用者活動，以在 Microsoft Entra 系統管理中心內監視使用者活動。

當您將物件同步至 Microsoft Entra ID (部分機器翻譯) 時，請針對雲端中可用的宣告規則上所使用的群組、使用者和使用者屬性，檢查其 AD FS 信賴憑證者信任宣告規則。 請確保容器和屬性保持同步。

應用程式移轉案例的差異

當您的環境包含下列案例時，便需要特別注意您的應用程式移轉計劃。 請遵循連結以取得進一步的指導。

• 憑證。 (AD FS 全域簽署憑證)。 在 Microsoft Entra ID 中，您可以讓每個應用程式都使用一個憑證，也可以讓所有應用程式共同使用一個憑證。 請將到期日錯開，並設定提醒。 將憑證的管理委派給最低特殊權限角色。 檢閱與為了建立對象為 SaaS 應用程式的同盟 SSO，Microsoft Entra ID 所建立的憑證相關的 (部分機器翻譯) 常見問題和資訊。
• 宣告規則和基本的屬性對應。 若為 SaaS 應用程式，您可能只需要基本的屬性與宣告對應。 了解如何自訂 SAML 權杖宣告 (部分機器翻譯)。
• 從 UPN 擷取使用者名稱。 Microsoft Entra ID 支援 regex 型轉換 (也與 SAML 權杖宣告自訂 (部分機器翻譯) 相關)。
• 群組宣告。 發出依屬於成員並指派給應用程式之使用者所篩選的群組宣告。 您可以使用 Microsoft Entra ID 來設定應用程式的群組宣告 (部分機器翻譯)。
• Web 應用程式 Proxy。 使用 Microsoft Entra 應用程式 Proxy (部分機器翻譯) 來發佈，以在未使用 VPN 的情況下安全地連線到內部部署 Web 應用程式。 提供內部部署 Web 應用程式的遠端存取，以及舊版驗證通訊協定的原生支援。

應用程式移轉程序計劃

請考慮在應用程式移轉程序中納入下列步驟。

• 複製 AD FS 應用程式設定。 設定應用程式的測試執行個體，或在測試 Microsoft Entra 租用戶上使用模擬應用程式。 將 AD FS 設定對應至 Microsoft Entra 設定。 規劃復原。 將測試執行個體切換至 Microsoft Entra ID 並進行驗證。
• 設定宣告和識別碼。 若要確認並進行疑難排解，請模擬生產應用程式。 將應用程式的測試執行個體指向 Microsoft Entra ID 測試應用程式。 視需要驗證和疑難排解存取權，並更新設定。
• 準備生產執行個體以進行移轉。 根據測試結果，將生產應用程式新增至 Microsoft Entra ID。 針對允許多個識別提供者 (IdP) 的應用程式，請將 Microsoft Entra ID 設定為新增的生產執行個體 IdP。
• 切換生產執行個體以使用 Microsoft Entra ID。 針對允許多個同時 IdP 的應用程式，請將預設 IdP 變更為 Microsoft Entra ID。 否則，請將 Microsoft Entra ID 設定為生產執行個體的 IdP。 更新生產執行個體，以使用 Microsoft Entra 生產應用程式作為主要 IdP。
• 移轉第一個應用程式、執行移轉測試，並修正問題。 請參考 AD FS 應用程式活動報告 (部分機器翻譯) 中的移轉狀態，該報告會提供如何解決潛在移轉問題的指導。
• 大規模移轉。 請分階段移轉應用程式和使用者。 使用 Microsoft Entra ID 來管理所移轉的應用程式和使用者，同時充分地測試驗證。
• 移除同盟。 確認您的 AD FS 伺服器陣列不再用於驗證。 使用容錯回復、進行備份並匯出相關設定。

移轉驗證

當您準備進行驗證移轉時，請決定組織所需要的驗證方法 (部分機器翻譯)。

• 使用 Microsoft Entra ID 的密碼雜湊同步 (PHS) (部分機器翻譯) 可用於容錯移轉，或作為主要的終端使用者驗證。 請將風險偵測 (部分機器翻譯) 設定為 Microsoft Entra ID Protection 的一部分。 檢閱使用 Microsoft Graph API 來識別和補救風險事件 (英文) 教學課程，並了解如何使用 Microsoft Entra Connect 同步來實作密碼雜湊同步 (部分機器翻譯)。
• Microsoft Entra 憑證型驗證 (CBA) (部分機器翻譯) 會直接針對 Microsoft Entra ID 進行驗證，而不需要同盟的 IdP。 主要優點包括可協助改善防網路釣魚 CBA 安全性的功能，以及符合防網路釣魚多重要素驗證的行政命令 (EO) 14028 需求。 您可以降低與內部部署同盟基礎結構相關聯的成本和風險，並使用細微控制來簡化 Microsoft Entra ID 中的管理體驗。
• Microsoft Entra Connect：傳遞驗證 (PTA) (部分機器翻譯) 會使用軟體代理程式來連線到儲存在內部部署環境的密碼以進行驗證。 使用者以與內部部署資源相同的使用者名稱和密碼登入雲端應用程式，並與 Microsoft Entra 條件式存取 (部分機器翻譯) 原則順暢地搭配運作。 智慧鎖定可防止暴力密碼破解攻擊。 使用目前的 Microsoft Windows Server Active Directory 基礎結構，在內部部署環境安裝驗證代理程式。 如果法規需求指定密碼雜湊不可同步至 Microsoft Entra ID，請使用 PTA；否則，請使用 PHS。
• 沒有 AD FS 的目前 SSO 體驗。 無縫單一登入 (SSO) (部分機器翻譯) 會提供從公司網路 (Kerberos) 中已加入網域的裝置來進行 SSO 的體驗。 其可與 PHS、PTA 和 CBA 搭配運作，不需要其他內部部署基礎結構。 您可以讓使用者使用與內部部署目錄環境相同的認證，以電子郵件作為替代登入識別碼來登入 Microsoft Entra ID (部分機器翻譯)。 使用混合式驗證時，使用者需要一組認證。
• 建議：透過 PTA 的 PHS、Microsoft Entra ID 中的無密碼驗證 (部分機器翻譯) 搭配 Windows Hello 企業版、FIDO2 安全性金鑰 (部分機器翻譯) 或 Microsoft Authenticator (部分機器翻譯)。 如果您打算使用 Windows Hello 企業版混合式憑證信任，請先移轉至雲端信任，以重新註冊所有使用者。

密碼和驗證原則

在使用內部部署 AD FS 和 Microsoft Entra ID 的專用原則時，請配合內部部署和 Microsoft Entra ID 中的密碼到期原則。 考慮實作合併的密碼原則並檢查 Microsoft Entra ID 中的弱式密碼 (部分機器翻譯)。 在切換至受控網域後，系統會同時套用這兩個密碼到期原則。

允許使用者使用自助式密碼重設 (SSPR) (部分機器翻譯) 重設忘記的密碼，以降低技術支援中心的營運成本。 限制裝置型驗證方法 (部分機器翻譯)。 將您的密碼原則現代化為不會定期到期，並可在有風險時加以撤銷。 封鎖弱式密碼，並根據禁用密碼清單來檢查密碼。 為內部部署 AD FS 和雲端啟用密碼保護 (部分機器翻譯)。

將分別控制多重要素驗證和 SSPR 的 Microsoft Entra ID 舊版原則設定 (部分機器翻譯)，移轉至使用驗證方法原則 (部分機器翻譯) 的整合式管理。 使用可逆的程序移轉原則設定 (部分機器翻譯)。 您可以在為使用者和群組精確地設定驗證方法時，繼續使用全租用戶的多重要素驗證和 SSPR 原則。

因為 Windows 登入和其他無密碼方法需要進行詳細的設定，因此請使用 Microsoft Authenticator (部分機器翻譯) 和 FIDO2 安全性金鑰 (部分機器翻譯) 來啟用登入。 使用群組來管理部署和定義使用者範圍。

您可以使用主領域探索來設定登入自動加速 (部分機器翻譯)。 了解如何使用自動加速登入來略過使用者名稱輸入畫面，並自動將使用者轉送至同盟的登入端點。 使用主領域探索原則來防止登入自動加速 (部分機器翻譯)，以便能用多種方式來控制使用者的驗證方式和位置。

帳戶到期原則

使用者帳戶管理的「accountExpires」屬性不會同步至 Microsoft Entra ID。 因此，在針對密碼雜湊同步所設定的環境中，已到期的 Active Directory 帳戶 (部分機器翻譯) 會在 Microsoft Entra ID 中起作用。 請使用已排程的 PowerShell 指令碼，在使用者的 Microsoft Windows Server Active Directory 帳戶到期後將該帳戶停用，例如 Set-ADUser Cmdlet (英文)。 相反地，在從 Microsoft Windows Server Active Directory 帳戶中移除到期時，請重新啟用該帳戶。

Microsoft Entra ID 可讓您使用智慧鎖定來防止攻擊 (部分機器翻譯)。 請先鎖定雲端中的帳戶，再鎖定內部部署環境中的帳戶，以減輕暴力密碼破解攻擊。 縮短雲端的間隔，確保內部部署環境的閾值至少比 Microsoft Entra 閾值大兩到三倍。 將 Microsoft Entra 的鎖定持續時間設定為比內部部署環境的持續時間還久。 當您的移轉完成時，請設定 AD FS 外部網路智慧鎖定 (ESL) 保護。

規劃條件式存取部署

條件式存取原則的彈性需要仔細規劃。 移至規劃 Microsoft Entra 條件式存取部署 (部分機器翻譯) 以取得規劃步驟。 以下是要牢記的要點：

• 使用有意義的命名慣例來草擬條件式存取原則 (部分機器翻譯)
• 使用具有下列欄位的設計決策點試算表：
  • 指派要素 (部分機器翻譯)：使用者、雲端應用程式
  • 條件 (部分機器翻譯)：位置、裝置類型、用戶端應用程式類型、登入風險
  • 控制 (部分機器翻譯)：封鎖、需要多重要素驗證、已加入混合式 Microsoft Windows Server Active Directory、需要符合規範的裝置、核准的用戶端應用程式類型
• 為條件式存取原則選取少數幾組測試使用者
• 在僅限報告模式 (部分機器翻譯) 中測試條件式存取原則
• 使用 What If 原則工具 (部分機器翻譯) 來驗證條件式存取原則
• 使用條件式存取範本 (部分機器翻譯)，特別是當您的組織不熟悉條件式存取時

條件式存取原則

當您完成第一重要素驗證時，請強制執行條件式存取原則 (部分機器翻譯)。 條件式存取不是拒絕服務 (DoS) 攻擊等案例的防禦前線。 但是條件式存取可以使用來自這些事件的訊號 (例如，登入風險和要求的位置) 來判斷存取。 條件式存取原則的流程會查看工作階段及其條件，然後將結果饋送至中央原則引擎。

透過條件式存取，限制只能存取具有 Intune 應用程式防護原則的已核准 (具備新式驗證功能) 用戶端應用程式。 對於可能不支援應用程式防護原則的舊版用戶端應用程式，則限制只能存取已核准的用戶端應用程式。

根據屬性自動保護應用程式。 若要變更客戶的安全性屬性，請使用雲端應用程式的動態篩選 (部分機器翻譯) 來新增和移除應用程式原則範圍。 使用自訂安全性屬性，以未出現在條件式存取應用程式選擇器中的 Microsoft 第一方應用程式為目標。

使用條件式存取驗證強度 (部分機器翻譯) 控制來指定哪種組合的驗證方法可存取某個資源。 例如，讓防網路釣魚的驗證方法可以存取敏感性資源。

評估條件式存取中的自訂控制 (部分機器翻譯)。 使用者會重新導向至相容的服務，以滿足 Microsoft Entra ID 以外的驗證需求。 Microsoft Entra ID 會驗證回應，而且如果使用者通過驗證，便能繼續進行條件式存取流程。 如自訂控制即將變更 (英文) 所述，合作夥伴提供的驗證功能可順暢地與 Microsoft Entra 管理員和終端使用者的體驗搭配運作。

自訂多重要素驗證解決方案

如果您使用自訂的多重要素驗證提供者，請考慮從 Multi-Factor Authentication Server 移轉至 Microsoft Entra 多重要素驗證 (部分機器翻譯)。 如有需要，請使用 Multi-Factor Authentication Server 移轉公用程式來移轉至多重要素驗證 (部分機器翻譯)。 使用帳戶鎖定閾值、詐騙警示和通知的設定來自訂終端使用者體驗。

了解如何移轉至多重要素驗證和 Microsoft Entra 使用者驗證 (部分機器翻譯)。 將所有應用程式、多重要素驗證服務和使用者驗證移至 Microsoft Entra ID。

您可以啟用 Microsoft Entra 多重要素驗證 (部分機器翻譯)，並了解如何為使用者群組建立條件式存取原則、設定會提示進行多重要素驗證的原則條件，以及測試使用者設定和多重要素驗證的使用。

適用於多重要素驗證的網路原則伺服器 (NPS) 延伸模組會將雲端式多重要素驗證功能新增至使用您伺服器的驗證基礎結構中。 如果您使用 Microsoft Entra 多重要素驗證搭配 NPS (部分機器翻譯)，請判斷哪些項目可以移轉至新式通訊協定，例如安全性聲明標記語言 (SAML) 和 OAuth2。 評估用於遠端存取的 Microsoft Entra 應用程式 Proxy，並使用安全的混合式存取 (SHA) 來透過 Microsoft Entra ID 保護舊版應用程式 (部分機器翻譯)。

監視登入

使用 Connect Health 整合 AD FS 登入 (部分機器翻譯)，以根據伺服器版本，將 AD FS 中的多個事件識別碼相互關聯，以取得要求和錯誤詳細資料的相關資訊。 Microsoft Entra 登入報告 (部分機器翻譯) 包含使用者、應用程式和受控資源何時登入 Microsoft Entra ID 並存取資源的相關資訊。 此資訊會與 Microsoft Entra 登入報告結構描述相互關聯，並出現在 Microsoft Entra 登入報告使用者體驗中。 透過該報告，Log Analytics 串流會提供 AD FS 資料。 請使用和修改 Azure 監視器活頁簿範本來分析案例。 範例包括 AD FS 帳戶鎖定、密碼嘗試錯誤，以及非預期的登入嘗試增加。

Microsoft Entra 會將所有登入記錄到包含內部應用程式和資源的 Azure 租用戶中。 請檢閱登入錯誤和模式，以深入了解使用者如何存取應用程式和服務。 Microsoft Entra ID 中的登入記錄 (部分機器翻譯) 是可用於進行分析的實用活動記錄 (部分機器翻譯)。 根據授權，為記錄設定最多 30 天的資料保留 (部分機器翻譯)，並將記錄匯出至 Azure 監視器 (部分機器翻譯)、Sentinel、Splunk 和其他安全性資訊與事件管理 (SIEM) 系統。

公司網路內部宣告

無論要求源自何處或要求存取的資源為何，零信任模型 (部分機器翻譯) 都教導我們要「永不信任，一律驗證」。保護所有位置，將其視為是在公司網路之外。 將網路內部宣告為信任的位置 (部分機器翻譯)，以減少身分識別保護誤判情形。 為所有使用者強制執行多重要素驗證，並建立裝置型條件式存取原則。

對登入記錄執行查詢，以探索從公司網路內部連線但未混合式加入 Microsoft Entra 或符合規範 (部分機器翻譯) 的使用者。 請考慮在符合規範的裝置上使用不受支援的瀏覽器 (例如沒有延伸模組的 Firefox 或 Chrome) 的使用者。 相反地，請使用電腦網域和合規性狀態。

分段驗證移轉測試和完全移轉

若要進行測試，請使用 Microsoft Entra Connect 雲端驗證搭配分段推出 (部分機器翻譯) 來以群組控制測試使用者的驗證。 選擇性地測試具有雲端驗證功能的使用者群組，例如 Microsoft Entra 多重要素驗證 (部分機器翻譯)、條件式存取 (部分機器翻譯) 和 Microsoft Entra ID Protection (部分機器翻譯)。 不過，請勿使用分段推出來進行增量移轉。

若要完成雲端驗證的移轉，請使用分段推出來測試新的登入方法。 將網域從同盟轉換為受控 (部分機器翻譯) 驗證。 從測試網域或具有最低使用者數目的網域來開始。

規劃在非上班時間進行網域完全移轉，以防過程中需要復原。 若要規劃復原 (部分機器翻譯)，請使用目前的同盟設定。 請參閱同盟設計和部署指南。

在復原程序中納入受控網域至同盟網域的轉換。 使用 New-MgDomainFederationConfiguration (英文) Cmdlet。 如有必要，請設定額外的宣告規則。 若要確保整個程序能夠完成，請在完全移轉後留下 24 到 48 小時的時間來進行復原分段推出。 從分段推出中移除使用者和群組，然後將其關閉。

在完全移轉後，每隔 30 天便為無縫 SSO (部分機器翻譯) 變換金鑰：

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

解除委任 AD FS

從適用於 AD FS 的 Connect Health 使用情況分析 (部分機器翻譯) 監視 AD FS 活動。 首先，啟用 AD FS 的稽核 (部分機器翻譯)。 在解除委任 AD FS 伺服器陣列之前，先確定已經沒有 AD FS 活動。 使用 AD FS 解除委任指南和 AD FS 解除委任參考。 以下是金鑰解除委任步驟的摘要。

1. 在解除委任 AD FS 伺服器之前，先進行最終備份。
2. 從內部和外部負載平衡器中移除 AD FS 項目。
3. 刪除 AD FS 伺服器陣列名稱的對應網域名稱服務 (DNS) 項目。
4. 在主要的 AD FS 伺服器上，執行 Get-ADFSProperties (英文) 並尋找「CertificateSharingContainer」。

   注意

   在幾次重新開機後，當網域名稱 (DN) 不再可用時，於安裝即將結束前刪除網域名稱 (DN)。

5. 如果 AD FS 設定資料庫使用 SQL Server 資料庫執行個體作為存放區，請將 AD FS 設定資料庫刪除。
6. 解除安裝 WAP 伺服器。
7. 解除安裝 AD FS 伺服器。
8. 從每個伺服器儲存體刪除 AD FS 安全通訊端層 (SSL) 憑證。
9. 透過完整磁碟格式化來重新安裝 AD FS 伺服器的映像。
10. 刪除您的 AD FS 帳戶。
11. 使用 Active Directory 服務介面 (ADSI) 編輯來移除「CertificateSharingContainer」DN 的內容。

下一步

• 從同盟驗證移轉至 Microsoft Entra ID 中的雲端驗證 (部分機器翻譯) 說明如何使用 Microsoft Entra 密碼雜湊同步 (PHS) 或傳遞驗證 (PTA) 來部署雲端使用者驗證
• 可用來將應用程式移轉至 Microsoft Entra ID 的資源 (部分機器翻譯) 可協助您將應用程式存取權和驗證移轉至 Microsoft Entra ID
• 規劃將應用程式移轉至 Microsoft Entra ID (部分機器翻譯) 說明 Microsoft Entra ID 的優點，以及如何進行規劃以移轉應用程式驗證
• 使用 Microsoft Entra Connect Health 搭配 AD FS (部分機器翻譯) 文件，內容是關於如何使用 Microsoft Entra Connect Health 來監視 AD FS 基礎結構
• 管理驗證方法 (部分機器翻譯) 具有支援登入案例的驗證方法
• 規劃條件式存取部署 (部分機器翻譯) 說明如何使用條件式存取將決策自動化，並為資源強制執行組織的存取原則
• Microsoft Entra Connect：透過分段推出進行雲端驗證 (部分機器翻譯) 說明如何先選擇性地測試具有雲端驗證功能的使用者群組，然後再完全移轉您的網域
• Active Directory 同盟服務 (AD FS) 解除委任指南 有解除委任建議