Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Поэтапное развертывание позволяет выборочно тестировать группы пользователей с возможностями облачной проверки подлинности, такими как многофакторная аутентификация Microsoft Entra, условный доступ, Защита идентификации Microsoft Entra для утечки учетных данных, управление идентификацией и другими, прежде чем переключать ваши домены. В этой статье обсуждается, как выполнить такой переход.
Прежде чем начать поэтапное развертывание, вы должны рассмотреть последствия, если одно или несколько из следующих условий истинно:
- В настоящее время вы используете локальный сервер многофакторной идентификации.
- Вы используете смарт-карты для проверки подлинности.
- Текущий сервер предлагает определенные возможности, предназначенные только для федерации.
- Вы переходите со стороннего решения федерации на управляемые сервисы.
Прежде чем использовать эту возможность, мы рекомендуем ознакомиться с нашим руководством по выбору правильного метода проверки подлинности. Дополнительные сведения см. в таблице "Сравнение методов" в разделе "Выбор подходящего метода проверки подлинности для решения гибридного удостоверения Microsoft Entra".
Общие сведения о функции см. в этом видеоролике "Что такое поэтапное развертывание?":
Предварительные условия
У вас есть клиент Microsoft Entra с федеративными доменами.
Вы решили перейти на один из следующих вариантов:
- Синхронизация хэша паролей. Дополнительные сведения см. в статье Синхронизация хэша паролей.
- Сквозная аутентификация. Дополнительные сведения см. в статье Что такое сквозная проверка подлинности
- Параметры проверки подлинности на основе сертификатов (CBA) в Microsoft Entra. Дополнительные сведения см. в разделе "Обзор проверки подлинности на основе сертификата Microsoft Entra"
Для обоих вариантов мы рекомендуем включить SSO для незаметного входа в систему. Для устройств, присоединенных к домену под управлением Windows 7 или 8.1, мы рекомендуем использовать бесшовный единый вход. Для получения дополнительной информации см. статью Что такое бесшовный единый вход. Для Windows 10, Windows Server 2016 и более поздних версий рекомендуется использовать единый вход с помощью первичного маркера обновления (PRT) с устройствами, присоединенными к Microsoft Entra, гибридными устройствами Microsoft Entra или личными зарегистрированными устройствами через Добавить рабочую или учебную учетную запись.
Вы настроили все необходимые политики корпоративного брендинга и условного доступа для пользователей, которые переводятся на облачную аутентификацию.
Если вы перешли с федеративной аутентификации на облачную, убедитесь, что для параметра DirSync установлено значение
synchronizeUpnForManagedUsersEnabledtrue, в противном случае Microsoft Entra ID не позволяет синхронизацию обновлений UPN или альтернативного идентификатора входа для лицензированных учетных записей пользователей, использующих управляемую аутентификацию. Дополнительные сведения см. в разделе "Функции службы синхронизации Microsoft Entra Connect".Если вы планируете использовать многофакторную проверку подлинности Microsoft Entra, рекомендуется использовать объединенную регистрацию для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности , чтобы пользователи регистрировали свои методы проверки подлинности один раз. Примечание. При использовании SSPR для сброса пароля или изменения пароля с помощью страницы MyProfile во время поэтапного развертывания Microsoft Entra Connect необходимо синхронизировать новый хэш паролей, который может занять до 2 минут после сброса.
Чтобы использовать функцию поэтапного развертывания, необходимо быть администратором гибридных удостоверений в вашем клиенте.
Чтобы включить бесшовную SSO в конкретном лесу доменных служб Active Directory, необходимо быть администратором домена.
При развертывании гибридного Microsoft Entra ID или присоединении к Microsoft Entra необходимо выполнить обновление до Windows 10 версии 1903.
Поддерживаемые сценарии
Для поэтапного развертывания поддерживаются приведенные ниже сценарии. Эта функция работает только для:
Пользователи, которым предоставлен идентификатор Microsoft Entra с помощью Microsoft Entra Connect. Это не относится к пользователям, работающим только в облаке.
Трафик входа пользователя в браузерах и клиентах с современной проверкой подлинности. Приложения или облачные службы, использующие устаревшую проверку подлинности, возвращаются в федеративные потоки проверки подлинности. Примером устаревшей проверки подлинности может быть Exchange Online с отключенной современной проверкой подлинности или Outlook 2010, который не поддерживает современную проверку подлинности.
В настоящее время размер группы ограничен 50 000 пользователей. Если у вас есть группы, превышающие 50 000 пользователей, рекомендуется разделить эту группу по нескольким группам для поэтапного развертывания.
Гибридное присоединение Windows 10 или присоединение Microsoft Entra для получения основного токена обновления без прямой видимости до сервера федерации для Windows 10 версии 1903 и более поздних версий, когда UPN пользователя является маршрутизируемым, а суффикс домена проверен в Microsoft Entra ID.
Регистрация с использованием "Автопилота" поддерживается в поэтапном развертывании в Windows 10 версии 1909 или более поздней.
Неподдерживаемые сценарии
Следующие сценарии не поддерживаются для поэтапного развертывания.
Устаревшие протоколы проверки подлинности, такие как POP3 и SMTP, не поддерживаются.
Некоторые приложения отправляют параметр запроса "domain_hint" идентификатору Microsoft Entra во время проверки подлинности. Эти потоки продолжаются, и пользователи, у которых включено поэтапное развертывание, по-прежнему используют федерацию для аутентификации.
Администраторы могут развернуть облачную проверку подлинности с помощью групп безопасности. Чтобы избежать задержки синхронизации при использовании локальных групп безопасности Active Directory, рекомендуем использовать облачные группы безопасности. Применяются следующие условия:
- Для каждого компонента можно использовать не более 10 групп. То есть вы можете использовать по 10 групп для синхронизации хэша паролей, сквозной проверки подлинности и простого единого входа соответственно.
- Вложенные группы не поддерживаются.
- Динамические группы не поддерживаются для поэтапного развертывания.
- Контактные объекты внутри группы блокируют добавление группы.
Когда вы впервые добавляете группу безопасности для поэтапного развертывания, ограничение составляет 200 пользователей, чтобы избежать тайм-аута пользовательского интерфейса. После добавления группы вы можете при необходимости добавлять в неё больше пользователей напрямую.
Хотя для пользователей осуществляется поэтапное развертывание с синхронизацией хэшей паролей (PHS), по умолчанию срок действия пароля не применяется. Срок действия пароля устанавливается, включив "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Если включен параметр CloudPasswordPolicyForPasswordSyncedUsersEnabled, политика истечения срока действия пароля имеет значение 90 дней с момента установки пароля без возможности настройки. Программное обновление атрибута PasswordPolicies не поддерживается, пока пользователи находятся в этапной развертке. Чтобы узнать, как настроить 'CloudPasswordPolicyForPasswordSyncedUsersEnabled', смотрите политику истечения срока действия пароля.
Гибридное присоединение Windows 10 или присоединение Microsoft Entra для получения первичного токена обновления в версиях Windows 10 до 1903. Данный сценарий обращается к конечной точке WS-Trust сервера федерации, даже если вход пользователя выполнен в рамках поэтапного развертывания.
Гибридное подключение Windows 10 или присоединение Microsoft Entra для получения первичного токена обновления во всех версиях, если локальный UPN пользователя не является маршрутизируемым. Этот сценарий возвращается к конечной точке WS-Trust в режиме поэтапного развертывания, но перестает работать при завершении поэтапной миграции, а вход пользователя больше не зависит от сервера федерации.
Если у вас есть непостоянная конфигурация VDI с Windows 10 версии 1903 или более поздней, необходимо остаться в федеративном домене. Перемещение в управляемый домен невозможно в непостоянном VDI. Дополнительные сведения см. в статье Удостоверение устройства и виртуализация рабочего стола.
Если у вас есть гибридная модель доверия сертификатам в Windows Hello для бизнеса с сертификатами, выданными вашим федеративным сервером, выступающим в качестве центра регистрации, или если у вас есть пользователи смарт-карт, то такой сценарий не поддерживается при поэтапном развертывании.
Примечание.
Вам по-прежнему необходимо сделать окончательный переход от федеративной к облачной проверке подлинности с помощью Microsoft Entra Connect или PowerShell. Поэтапное развертывание не переключает домены с федеративных на управляемые. Дополнительные сведения о переключении доменов см. в статьях Переход с федеративной аутентификации на синхронизацию хэша паролей и Переход с федеративной на сквозную аутентификацию.
Начало работы с поэтапным внедрением
Чтобы проверить вход с использованием синхронизации хэша паролей с помощью поэтапного внедрения, следуйте предварительным инструкциям в следующем разделе.
Сведения о том, какие командлеты PowerShell следует использовать, см. предварительную версию Microsoft Entra ID 2.0.
Предварительная работа для синхронизации хэша паролей
Включите синхронизацию хэша паролей на странице "Необязательные функции " в Microsoft Entra Connect.
Убедитесь, что выполняется полный цикл синхронизации хэша паролей, чтобы все хэши паролей пользователей были синхронизированы с идентификатором Microsoft Entra. Чтобы проверить состояние синхронизации хэша паролей, можно использовать диагностику PowerShell в разделе Устранение неполадок синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect.
Если вы хотите протестировать сквозную аутентификацию при входе с помощью поэтапного развертывания, включите её, следуя инструкциям в следующем разделе.
Предварительная работа для сквозной проверки подлинности
Укажите сервер под управлением Windows Server 2012 R2 или более поздней версии, на котором необходимо запустить агент сквозной проверки подлинности.
Не выбирайте сервер Microsoft Entra Connect. Убедитесь, что сервер присоединен к домену, может пройти проверку подлинности выбранных пользователей с помощью Active Directory и взаимодействовать с идентификатором Microsoft Entra в исходящих портах и URL-адресах. Дополнительные сведения см. в разделе "Шаг 1. Проверка предварительных требований" руководства по быстрому началу работы: Microsoft Entra с бесперебойным единым входом.
Скачайте агент проверки подлинности Microsoft Entra Connect и установите его на сервере.
Чтобы обеспечить высокий уровень доступности, установите дополнительные агенты проверки подлинности на других серверах.
Убедитесь, что вы настроили параметры Smart Lock должным образом. Это поможет убедиться, что локальные учетные записи пользователей Active Directory не блокируются недопустимыми субъектами.
Рекомендуем включить простой единый вход независимо от метода входа (синхронизация хэша паролей или сквозная проверка подлинности), выбранного для поэтапного развертывания. Чтобы включить бесшовный единый вход, выполните предварительные инструкции в следующем разделе.
Предварительная работа для бесшовного единого входа
Активируйте бесшовный единый вход в лесах Active Directory с помощью PowerShell. Если у вас несколько лесов Active Directory, включите эту функцию для каждого леса отдельно. Бесшовный единый вход активируется только для пользователей, которые выбраны для поэтапного развертывания. Это не влияет на вашу текущую настройку федерации.
Включите бесшовное SSO, выполнив следующие задачи:
Войдите на сервер Microsoft Entra Connect.
Перейдите в папку %programfiles%\Microsoft Entra Connect .
Импортируйте модуль PowerShell бесшовного единого входа, выполнив следующую команду:
Import-Module .\AzureADSSO.psd1Запустите PowerShell с правами администратора. В PowerShell вызовите
New-AzureADSSOAuthenticationContext. Эта команда открывает панель, в которой можно ввести учетные данные администратора гибридной идентичности арендатора.Вызовите
Get-AzureADSSOStatus | ConvertFrom-Json. Эта команда выводит список лесов Active Directory (см. список "Домены"), в которых включена эта функция. По умолчанию для него задано значение false на уровне клиента.
Вызовите
$creds = Get-Credential. При запросе введите учетные данные администратора домена для нужного леса Active Directory.Вызовите
Enable-AzureADSSOForest -OnPremCredentials $creds. Эта команда создает учетную запись компьютера AZUREADSSOACC из локальной среды контроллера домена для леса Active Directory, что необходимо для беспрепятственного единого входа.Для простого единого входа требуется, чтобы URL-адреса были в зоне интрасети. Чтобы развернуть эти URL-адреса с помощью групповых политик, см. Краткое руководство: единый вход без шва в Microsoft Entra.
Для получения полного руководства можно также скачать планы развертывания для бесшовной единой аутентификации.
Включение поэтапного развертывания
Чтобы развернуть конкретный компонент (сквозная проверка подлинности, синхронизация хэша паролей или простой единый вход) для выбранного набора пользователей в группе, следуйте инструкциям в следующих разделах.
Включение поэтапного развертывания конкретной функции в системе.
Вы можете использовать такие варианты:
- Синхронизация хэшей паролей + Простой единый вход
- Сквозная аутентификация + Бесшовный единый вход
- Не поддерживается - Синхронизация хэшей паролей + Сквозная аутентификация + Простой единый вход
- Параметры аутентификации на основе сертификатов
- Многофакторная проверка подлинности Azure
Чтобы настроить поэтапное развертывание, выполните следующие действия.
Войдите в административный центр Microsoft Entra как минимум в роли гибридного администратора удостоверений.
Перейдите к разделу Идентификация>Гибридное управление>Microsoft Entra Connect>Синхронизация подключения.
На странице Microsoft Entra Connect в разделе поэтапного развертывания облачной проверки подлинности выберите ссылку Включить поэтапное развертывание для входа управляемого пользователя.
На странице функции включения поэтапного развертывания выберите параметры, которые вы хотите включить: синхронизация хэша паролей, сквозная проверка подлинности, простой единый вход или проверка подлинности на основе сертификатов. Например, если вы хотите включить синхронизацию хэшей паролей и простой единый вход, установите ползунок для обоих элементов управления в значение Вкл.
Добавьте группы в выбранные функции. Например, сквозная проверка подлинности и бесшовная технология единого входа. Чтобы избежать истечения времени ожидания, убедитесь, что группы безопасности изначально содержат не более 200 членов.
Примечание.
Участники группы автоматически включаются для поэтапного развертывания. Вложенные и динамические группы по членству не поддерживаются для поэтапного развертывания. При добавлении новой группы пользователи (до 200 человек) в этой группе будут сразу переведены на управление аутентификацией. Изменение группы (добавление или удаление пользователей). Чтобы изменения вступили в силу, может понадобиться до 24 часов. Простой единый вход можно применить только в том случае, если пользователи находятся в простой группе единого входа, а также в группе PTA или PHS.
Аудит
Мы включили события аудита для различных действий, выполняемых для поэтапного развертывания:
Событие аудита при включении поэтапного развертывания для синхронизации хэша паролей, сквозной проверки подлинности или бесшовного единого входа.
Примечание.
Событие аудита регистрируется, когда бесшовный единый вход включен с помощью поэтапного развертывания.
Аудиторское событие при добавлении группы к синхронизации хэша паролей, сквозной аутентификации или бесшовному SSO.
Примечание.
Событие аудита регистрируется при добавлении группы в синхронизацию хэша паролей для поэтапного развертывания.
Событие аудита, когда добавленный в группу пользователь активирован для поэтапного развертывания.
Проверка
Чтобы проверить вход с помощью синхронизации хэша паролей или сквозной проверки подлинности (вход с именем пользователя и паролем), выполните следующие задачи:
В частном сеансе браузера на экстрасети перейдите на страницу приложений, а затем введите UserPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного внедрения.
Пользователи, выбранные для стадийного развертывания, не перенаправляются на страницу федеративного входа. Вместо этого им предлагается войти на страницу входа с фирменной символией клиента Microsoft Entra.
Убедитесь, что вход успешно отображается в отчете о действиях входа в Microsoft Entra, отфильтровав значение UserPrincipalName.
Для проверки входа с помощью бесшовного единого входа выполните следующие действия:
В интрасети перейдите на страницу "Приложения" с помощью сеанса браузера, а затем введите userPrincipalName (UPN) учетной записи пользователя, выбранной для поэтапного развертывания.
Пользователи, участвующие в поэтапном развертывании бесшовного единого входа, видят сообщение "Попытка входа в ..." прежде чем они будут автоматически вошли в систему.
Убедитесь, что вход отображается успешно в отчете о действиях входа Microsoft Entra, используя фильтрацию по UserPrincipalName.
Для отслеживания событий входа пользователей, которые по-прежнему происходят в службе федерации Active Directory (AD FS) для выбранных пользователей с поэтапным развертыванием, следуйте инструкциям в статье Устранение неполадок в AD FS. События и ведение журнала. Проверьте документацию поставщика, чтобы узнать, как выполнить проверку сторонних поставщиков федеративных услуг.
Примечание.
Хотя сейчас выполняется поэтапное развертывание PHS для пользователей, изменение паролей может занять до 2 минут из-за времени синхронизации. Не забудьте предупредить об этом пользователей, чтобы избежать обращений в службу поддержки после смены пароля.
Наблюдение
Вы можете отслеживать добавленных или удаленных пользователей и группы из поэтапного развертывания, а также вход пользователей с помощью новых гибридных таблиц аутентификации в Центре администрирования Microsoft Entra.
Удалить пользователя из поэтапного развертывания
Удаление пользователя из группы отключает функцию поэтапного развертывания для этого пользователя. Чтобы отключить функцию поэтапного развертывания, передвиньте ползунок элемента управления в положение Выкл.
Это важно
При удалении пользователя из группы в рамках поэтапного внедрения аутентификации на основе сертификатов, если пользователь входил в устройства Windows с использованием сертификата, рекомендуется оставлять его в включённом состоянии для метода аутентификации на основе сертификатов в Entra ID. Пользователь должен оставаться включён для аутентификации на основе сертификатов после удаления из поэтапного развертывания достаточно долго, чтобы пользователь смог аутентифицироваться в Windows и обновить свой первичный маркер обновления с помощью федеративного поставщика удостоверений.
Часто задаваемые вопросы
Вопрос. Можно ли использовать эту возможность в рабочей среде?
Ответ. Да, эту функцию можно использовать в рабочем клиенте, но мы рекомендуем сначала попробовать ее в тестовом клиенте.
Вопрос. Можно ли использовать эту функцию для поддержания постоянного "сосуществования", где некоторые пользователи используют федеративную проверку подлинности и другие используют облачную проверку подлинности?
Ответ: нет, эта функция предназначена для тестирования облачной проверки подлинности. После успешного тестирования несколько групп пользователей следует перевести на облачную проверку подлинности. Мы не рекомендуем использовать постоянное смешанное состояние, так как этот подход может привести к непредвиденным потокам проверки подлинности.
Вопрос. Можно ли использовать PowerShell для выполнения поэтапного развертывания?
Ответ. Да. Сведения о том, как использовать PowerShell для выполнения поэтапного развертывания, см. в предварительной версии документации Microsoft Entra ID.