Переход на облачную аутентификацию с использованием поэтапного развертывания

Поэтапное развертывание позволяет постепенно тестировать функции облачной проверки подлинности с выбранными группами пользователей. Эти функции включают многофакторную проверку подлинности Microsoft Entra, условный доступ, защиту идентификации для утечки учетных данных, управление удостоверениями и многое другое. Этот подход позволяет проверять функциональные возможности и взаимодействие с пользователем перед полным переходом доменов.

Прежде чем начать поэтапное развертывание, вы должны рассмотреть последствия, если одно или несколько из следующих условий истинно:

• В настоящее время вы используете локальный сервер многофакторной идентификации.
• Вы используете смарт-карты для проверки подлинности.
• Текущий сервер предлагает определенные возможности, предназначенные только для федерации.
• Вы переходите со стороннего решения федерации на управляемые сервисы.

Прежде чем использовать эту возможность, мы рекомендуем ознакомиться с нашим руководством по выбору правильного метода проверки подлинности. Дополнительные сведения см. в таблице "Сравнение методов" в разделе "Выбор подходящего метода проверки подлинности для решения гибридного удостоверения Microsoft Entra".

Общие сведения о функции см. в этом видеоролике "Что такое поэтапное развертывание?":

Предварительные условия

• У вас есть клиент Microsoft Entra с федеративными доменами.

• Вы решили перейти на один из следующих вариантов:

  • Синхронизация хэша паролей (синхронизация). Дополнительные сведения см. в разделе "Что такое синхронизация хэша паролей"
  • Сквозная проверка подлинности. Дополнительные сведения см. в разделе "Что такое сквозная проверка подлинности"
  • Параметры проверки подлинности на основе сертификатов (CBA) в Microsoft Entra. Дополнительные сведения см. в разделе "Обзор проверки подлинности на основе сертификата Microsoft Entra"

  Для обоих вариантов мы рекомендуем включить SSO для незаметного входа в систему. Для устройств, присоединенных к домену под управлением Windows 7 или 8.1, мы рекомендуем использовать бесшовный единый вход. Дополнительные сведения см. в разделе "Что такое бесшовный единый вход". Для Windows 10, Windows Server 2016 и более поздних версий используйте метод единого входа с помощью первичного маркера обновления (PRT). Для устройств, присоединенных к Microsoft Entra, гибридные устройства Microsoft Entra или личные зарегистрированные устройства используют добавление рабочей или учебной учетной записи.

• Необходимо настроить все соответствующие политики брендинга арендатора и условного доступа, которые необходимы для пользователей, мигрирующих на облачную аутентификацию.

• Если вы перешли с федеративной на облачную аутентификацию, необходимо убедиться, что параметр synchronizeUpnForManagedUsersEnabled DirSync установлен на true. В противном случае Microsoft Entra ID не разрешит обновления синхронизации для уникального имени участника (УНП) или альтернативного идентификатора входа для лицензированных учетных записей пользователей, использующих управляемую проверку подлинности. Дополнительные сведения см. в разделе "Функции службы синхронизации Microsoft Entra Connect".

• Если вы планируете использовать многофакторную проверку подлинности Microsoft Entra, рекомендуется включить объединенную регистрацию. Это позволяет пользователям регистрировать методы проверки подлинности один раз для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности. Примечание. При использовании SSPR для сброса пароля или изменения пароля с помощью страницы MyProfile во время поэтапного развертывания Microsoft Entra Connect необходимо синхронизировать новый хэш паролей, который может занять до 2 минут после сброса.

• Чтобы использовать функцию поэтапного развертывания, необходимо быть администратором гибридных удостоверений в вашем клиенте.

• Чтобы включить прозрачный единый вход в конкретном лесу Active Directory, необходимо быть администратором домена.

• При развертывании гибридного Microsoft Entra ID или присоединении к Microsoft Entra необходимо выполнить обновление до Windows 10 версии 1903.

Поддерживаемые сценарии

Для поэтапного развертывания поддерживаются приведенные ниже сценарии. Эта функция работает только для:

• Пользователи, которым предоставлен идентификатор Microsoft Entra с помощью Microsoft Entra Connect. Это не относится к пользователям, работающим только в облаке.

• Трафик входа пользователей в браузеры и современные клиенты проверки подлинности . Приложения или облачные службы, использующие устаревшую проверку подлинности, возвращаются в федеративные потоки проверки подлинности. Примером устаревшей проверки подлинности может быть Exchange Online с отключенной современной проверкой подлинности или Outlook 2010, который не поддерживает современную проверку подлинности.

• Поэтапное развертывание поддерживает группы любого размера, если они соответствуют ограничениям и ограничениям службы каталогов Microsoft Entra

• Гибридное присоединение Windows 10 или присоединение Microsoft Entra для получения основного токена обновления без прямой видимости до сервера федерации для Windows 10 версии 1903 и более поздних версий, когда UPN пользователя является маршрутизируемым, а суффикс домена проверен в Microsoft Entra ID.

• Регистрация с использованием "Автопилота" поддерживается в поэтапном развертывании в Windows 10 версии 1909 или более поздней.

Неподдерживаемые сценарии

Следующие сценарии не поддерживаются для поэтапного развертывания.

• Устаревшие протоколы проверки подлинности, такие как POP3 и SMTP, не поддерживаются.

• Некоторые приложения отправляют параметр запроса "domain_hint" идентификатору Microsoft Entra во время проверки подлинности. Эти потоки продолжаются, и пользователи, у которых включено поэтапное развертывание, по-прежнему используют федерацию для аутентификации.

• Администраторы могут развернуть облачную проверку подлинности с помощью групп безопасности. Чтобы избежать задержки синхронизации при использовании локальных групп безопасности Active Directory, рекомендуем использовать облачные группы безопасности. Применяются следующие условия:

  • Для каждого компонента можно использовать не более 10 групп. То есть можно использовать 10 групп для синхронизации хэша паролей, сквозной проверки подлинности и простого единого входа.
  • Вложенные группы не поддерживаются.
  • Динамические группы не поддерживаются для поэтапного развертывания.
  • Контактные объекты внутри группы блокируют добавление группы.

• Когда вы впервые добавляете группу безопасности для поэтапного развертывания, ограничение составляет 200 пользователей, чтобы избежать тайм-аута пользовательского интерфейса. После добавления группы вы можете при необходимости добавлять в неё больше пользователей напрямую.

• Хотя для пользователей осуществляется поэтапное развертывание с синхронизацией хэшей паролей (PHS), по умолчанию срок действия пароля не применяется. Срок действия пароля устанавливается, включив "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Если включен параметр CloudPasswordPolicyForPasswordSyncedUsersEnabled, политика истечения срока действия пароля имеет значение 90 дней с момента установки пароля без возможности настройки. Программное обновление атрибута PasswordPolicies не поддерживается, пока пользователи находятся в этапной развертке. Чтобы узнать, как настроить параметр 'CloudPasswordPolicyForPasswordSyncedUsersEnabled', см. Политика истечения срока действия пароля.

• Гибридное присоединение Windows 10 или присоединение Microsoft Entra для получения первичного токена обновления в версиях Windows 10 до 1903. Данный сценарий обращается к конечной точке WS-Trust сервера федерации, даже если вход пользователя выполнен в рамках поэтапного развертывания.

• Гибридное подключение Windows 10 или присоединение Microsoft Entra для получения первичного токена обновления во всех версиях, если локальный UPN пользователя не является маршрутизируемым. Этот сценарий возвращается к конечной точке WS-Trust в режиме поэтапного развертывания, но перестает работать при завершении поэтапной миграции, а вход пользователя больше не зависит от сервера федерации.

• Если у вас есть непостоянная конфигурация VDI с Windows 10 версии 1903 или более поздней, необходимо остаться в федеративном домене. Перемещение в управляемый домен невозможно в непостоянном VDI. Дополнительные сведения см. в разделе "Идентификация устройств" и виртуализация рабочих столов.

• Если у вас есть гибридная модель доверия сертификатам в Windows Hello для бизнеса с сертификатами, выданными вашим федеративным сервером, выступающим в качестве центра регистрации, или если у вас есть пользователи смарт-карт, то такой сценарий не поддерживается при поэтапном развертывании.

  Примечание.

  Вам по-прежнему необходимо сделать окончательный переход от федеративной к облачной проверке подлинности с помощью Microsoft Entra Connect или PowerShell. Поэтапное развертывание не переключает домены с федеративных на управляемые. Дополнительные сведения о переключении домена см. в разделах «Миграция из федерации в синхронизацию хэша паролей» и «Миграция из федерации в сквозную проверку подлинности».

Начало работы с поэтапным внедрением

Чтобы проверить вход с использованием синхронизации хэша паролей с помощью поэтапного внедрения, следуйте предварительным инструкциям в следующем разделе.

Сведения о том, какие командлеты PowerShell следует использовать, см. в предварительной версии Microsoft Entra ID 2.0.

Предварительная работа для синхронизации хэша паролей

1. Включите синхронизацию хэша паролей на странице "Необязательные функции " в Microsoft Entra Connect. 

   

2. Убедитесь, что выполняется полный цикл синхронизации хэша паролей , чтобы все хэши паролей пользователей были синхронизированы с идентификатором Microsoft Entra. Чтобы проверить состояние синхронизации хэша паролей, можно использовать диагностику PowerShell в разделе "Устранение неполадок синхронизации хэша паролей с помощью службы синхронизации Microsoft Entra Connect".

   

Если вы хотите протестировать вход в систему с помощью сквозной аутентификации через этапное развертывание, включите эту функцию, следуя инструкциям по предварительной работе в следующем разделе.

Предварительная работа для сквозной проверки подлинности

1. Определите сервер под управлением Windows Server 2012 R2 или более поздней версии, где требуется запустить агент сквозной проверки подлинности .

   Не выбирайте сервер Microsoft Entra Connect. Убедитесь, что сервер присоединен к домену, может пройти проверку подлинности выбранных пользователей с помощью Active Directory и взаимодействовать с идентификатором Microsoft Entra в исходящих портах и URL-адресах. Дополнительные сведения см. в разделе "Шаг 1. Проверка предварительных требований" краткого руководства: Microsoft Entra с простым единым входом.

2. Скачайте агент проверки подлинности Microsoft Entra Connect и установите его на сервере. 

3. Чтобы обеспечить высокий уровень доступности, установите дополнительные агенты проверки подлинности на других серверах.

4. Убедитесь, что параметры Smart Lockout настроены соответствующим образом. Это поможет убедиться, что локальные учетные записи пользователей Active Directory не блокируются недопустимыми субъектами.

Рекомендуется включить простой единый вход независимо от метода входа (синхронизации хэша паролей или сквозной проверки подлинности), выбранного для поэтапного развертывания. Чтобы включить бесшовный единый вход, следуйте инструкциям по предварительной подготовке в следующем разделе.

Предварительная работа для бесшовного единого входа

Включите бесшовный единый вход в системах Active Directory с помощью PowerShell. Если у вас несколько лесов Active Directory, включите эту функцию для каждого леса отдельно.  Простой единый вход активируется только для пользователей, которые выбраны для поэтапного развертывания. Это не влияет на вашу текущую настройку федерации.

Включите бесшовный единый вход, выполнив следующие задачи:

1. Войдите на сервер Microsoft Entra Connect.

2. Перейдите в папку %programfiles%\Microsoft Entra Connect .

3. Импортируйте модуль PowerShell бесшовного единого входа, выполнив следующую команду:

   Import-Module .\AzureADSSO.psd1

4. Запустите PowerShell с правами администратора. В PowerShell вызовите New-AzureADSSOAuthenticationContext. Эта команда открывает панель, в которой можно ввести учетные данные администратора гибридной идентичности арендатора.

5. Вызовите Get-AzureADSSOStatus | ConvertFrom-Json. Эта команда выводит список лесов Active Directory (см. список "Домены"), в которых включена эта функция. По умолчанию для него задано значение false на уровне клиента.

   

6. Вызовите $creds = Get-Credential. При запросе введите учетные данные администратора домена для нужного леса Active Directory.

7. Вызовите Enable-AzureADSSOForest -OnPremCredentials $creds. Эта команда создает учетную запись компьютера AZUREADSOACC из локального контроллера домена для леса Active Directory, необходимого для простого единого входа.

8. Бесшовная единая аутентификация требует, чтобы URL-адреса находились в зоне интранета. Информацию о развертывании этих URL-адресов с помощью групповых политик см. в руководстве "Быстрый старт": Microsoft Entra — бесшовный единый вход.

9. Для полного пошагового руководства вы можете также скачать наши планы развертывания для бесшовного единого входа.

Включение поэтапного развертывания

Чтобы развернуть определенную функцию (сквозную проверку подлинности, синхронизацию хэша паролей или простой единый вход) для выбранного набора пользователей в группе, следуйте инструкциям в следующих разделах.

Включение поэтапного развертывания конкретной функции в системе.

Вы можете использовать такие варианты:

• Синхронизация хэша паролей + Бесшовный единый вход
• Сквозная проверка подлинности + Бесшовный единый вход
• Не поддерживается - Синхронизация хэша паролей + Сквозная проверка подлинности + Бесшовный единый вход
• Параметры проверки подлинности на основе сертификатов
• Многофакторная проверка подлинности Azure

Чтобы настроить поэтапное развертывание, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в роли администратора гибридных удостоверений или выше.

2. Перейдите к Entra ID>Entra Connect>синхронизация Connect.

3. На странице Microsoft Entra Connect в разделе поэтапного развертывания облачной аутентификации выберите ссылку "Включить поэтапное развертывание входа для управляемого пользователя".

4. На странице функции включения поэтапного развертывания выберите параметры, которые вы хотите включить: синхронизация хэша паролей, сквозная проверка подлинности, простой единый вход или проверка подлинности на основе сертификатов. Например, если вы хотите включить синхронизацию хэша паролей и простой единый вход, переместите оба элемента управления в On.

5. Добавьте группы в выбранные функции. Например, сквозная проверка подлинности и бесшовная единая аутентификация. Чтобы избежать истечения времени ожидания, убедитесь, что группы безопасности изначально содержат не более 200 членов.

   Примечание.

   Участники группы автоматически включаются для поэтапного развертывания. Вложенные и динамические группы по членству не поддерживаются для поэтапного развертывания. При добавлении новой группы пользователи (до 200 человек) в этой группе будут сразу переведены на управление аутентификацией. Изменение группы (добавление или удаление пользователей). Чтобы изменения вступили в силу, может понадобиться до 24 часов. Простой единый вход можно применить только в том случае, если пользователи находятся в простой группе единого входа, а также в группе PTA или PHS.

Поведение аутентификации пользователей во время этапных переходов развертывания

Когда пользователь добавляется в группу поэтапного развертывания (SR) или когда группа, к которой они относятся, добавляется в SR, их метод проверки подлинности переходит от федеративного к управляемому. Это изменение вступает в силу после того, как пользователь завершит еще один интерактивный вход с помощью существующего федеративного имени входа. После этого входа Microsoft Entra применяет управляемый опыт аутентификации для последующих входов.

Аналогично, когда пользователь удаляется из группы SR или когда группа удаляется из SR, он будет продолжать пользоваться управляемой аутентификацией, пока не завершит еще один интерактивный вход. После этого федерация будет повторно применена, а будущие входы будут перенаправлены к федеративному поставщику удостоверений.

Это поведение обеспечивает простой переход между методами проверки подлинности при сохранении непрерывности доступа пользователей и безопасности.

Аудит

Мы включили события аудита для различных действий, выполняемых для поэтапного развертывания:

• Событие аудита при включении поэтапного развертывания для синхронизации хэша паролей, сквозной проверки подлинности или простого единого входа.

  Примечание.

  Событие аудита регистрируется при включении бесшовного единого входа при использовании поэтапного развертывания.

  

  

• Событие аудита при добавлении группы в синхронизацию хэша паролей, сквозную проверку подлинности или простой единый вход.

  Примечание.

  Событие аудита регистрируется при добавлении группы в синхронизацию хэша паролей для поэтапного развертывания.

  

  

• Событие аудита, когда добавленный в группу пользователь активирован для поэтапного развертывания.

  

  

Проверка

Чтобы проверить вход с помощью синхронизации хэша паролей или сквозной проверки подлинности (вход с именем пользователя и паролем), выполните следующие задачи:

1. В экстранете перейдите на страницу "Приложения" в сеансе частного браузера, а затем введите UserPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного развертывания.

   Пользователи, выбранные для стадийного развертывания, не перенаправляются на страницу федеративного входа. Вместо этого им предлагается войти на страницу входа с фирменной символией клиента Microsoft Entra.

2. Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra , отфильтровав значение UserPrincipalName.

Чтобы проверить вход с бесшовным SSO:

1. В интрасети перейдите на страницу "Приложения " с помощью сеанса браузера, а затем введите userPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного развертывания.

   Пользователи, предназначенные для поэтапного развертывания бесшовного SSO, получают сообщение "Выполняется попытка входа в систему...", прежде чем они автоматически вошли в систему.

2. Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra , отфильтровав значение UserPrincipalName.

   Чтобы отслеживать входы пользователей, которые по-прежнему выполняются в службах федерации Active Directory (AD FS) для выбранных пользователей поэтапного развертывания, следуйте инструкциям по устранению неполадок AD FS: события и ведение журнала. Проверьте документацию поставщика, чтобы узнать, как выполнить проверку сторонних поставщиков федеративных услуг.

   Примечание.

   Хотя сейчас выполняется поэтапное развертывание PHS для пользователей, изменение паролей может занять до 2 минут из-за времени синхронизации. Не забудьте предупредить об этом пользователей, чтобы избежать обращений в службу поддержки после смены пароля.

Наблюдение

Вы можете отслеживать пользователей и группы, добавленных или удаленных из поэтапного развертывания, а также вход пользователей с помощью новых отчетов гибридной аутентификации в Центре администрирования Microsoft Entra во время поэтапного развертывания.

Удалить пользователя из поэтапного развертывания

Удаление пользователя из группы отключает функцию поэтапного развертывания для этого пользователя. Чтобы отключить функцию поэтапного развертывания, переместите элемент управления обратно в off.

Часто задаваемые вопросы

Вопрос. Можно ли использовать эту возможность в рабочей среде?

Ответ. Да, эту функцию можно использовать в рабочем клиенте, но мы рекомендуем сначала попробовать ее в тестовом клиенте.

Вопрос. Можно ли использовать эту функцию для поддержания постоянного "сосуществования", где некоторые пользователи используют федеративную проверку подлинности и другие используют облачную проверку подлинности?

Ответ: нет, эта функция предназначена для тестирования облачной проверки подлинности. После успешного тестирования несколько групп пользователей следует перевести на облачную проверку подлинности. Мы не рекомендуем использовать постоянное смешанное состояние, так как этот подход может привести к непредвиденным потокам проверки подлинности.

Вопрос. Можно ли использовать PowerShell для выполнения поэтапного развертывания?

Ответ. Да. Сведения о том, как использовать PowerShell для выполнения поэтапного развертывания, см. в предварительной версии идентификатора Microsoft Entra ID.

Следующие шаги

• Предварительная версия Microsoft Entra ID 2.0
• Изменение метода входа на синхронизацию хэша паролей
• Изменение метода входа на сквозную проверку подлинности