Руководство по выводу из эксплуатации служб федерации Active Directory (AD FS)

Идентификатор Microsoft Entra предоставляет простой облачный интерфейс входа для всех ресурсов и приложений с строгой проверкой подлинности и в режиме реального времени, политиками адаптивного доступа на основе рисков для предоставления доступа к ресурсам, уменьшающим операционные затраты на управление средой AD FS и повышение эффективности ИТ-отдела.

Для получения дополнительных сведений о причинах, по которым следует переходить с AD FS на Microsoft Entra ID, посетите страницу Переход с AD FS на Microsoft Entra ID. Ознакомьтесь с тем, как выполнить переход от федерации к облачной проверке подлинности, чтобы понять, как осуществить обновление с AD FS.

В этом документе приведены рекомендуемые шаги по удалению серверов AD FS.

Предварительные требования для вывода серверов AD FS

Прежде чем начать вывод серверов AD FS, убедитесь, что следующие элементы завершены. Для получения дополнительной информации см. миграция из федерации в облачную проверку подлинности.

  1. Установите Microsoft Entra Connect Health, чтобы обеспечить надежный мониторинг локальной инфраструктуры идентификации.

  2. Выполните предварительную работу для единого входа (SSO).

  3. Миграция аутентификации пользователя на идентификатор Microsoft Entra ID. С включенной облачной проверкой подлинности идентификатор Microsoft Entra может безопасно обрабатывать процесс входа пользователей. Идентификатор Microsoft Entra предоставляет три варианта безопасной облачной проверки подлинности пользователей:

    • синхронизации хэша паролей (PHS) Microsoft Entra— позволяет пользователям входить как в локальные, так и облачные приложения с использованием одинаковых паролей. Microsoft Entra Connect синхронизирует хэш хэша пароля пользователя из локального экземпляра Active Directory с облачным экземпляром Microsoft Entra. Два уровня хэширования гарантируют, что пароли никогда не предоставляются или передаются в облачные системы.
    • Microsoft Entra проверки подлинности на основе сертификатов (CBA) — позволяет вам внедрить устойчивый к фишингу метод проверки подлинности и аутентифицировать пользователей с помощью сертификата X.509 в вашей инфраструктуре открытых ключей (PKI).
    • сквозной проверки подлинности (PTA) Microsoft Entra. Позволяет пользователям входить как в локальные, так и облачные приложения с использованием одинаковых паролей. Он устанавливает агент в локальной среде Active Directory и проверяет пароли пользователей непосредственно в локальной среде Active Directory.

    Вы можете попробовать облачную проверку подлинности для пользователей с помощью поэтапного развертывания. Он позволяет выборочно тестировать группы пользователей с помощью возможностей облачной проверки подлинности, упомянутых выше.

    Note

    • PHS & CBA — это предпочтительный вариант для облачной управляемой проверки подлинности. PTA следует использовать только в тех случаях, когда существуют нормативные требования, чтобы не синхронизировать данные паролей с облаком.
    • Проверку подлинности пользователей и миграцию приложений можно выполнить в любом порядке, однако рекомендуется сначала завершить миграцию проверки подлинности пользователей.
    • Обязательно оцените сценарии, поддерживаемые и, а также не поддерживаемые и, для поэтапного развертывания.
  4. Перенос всех приложений, которые в настоящее время используют AD FS для проверки подлинности в идентификатор Microsoft Entra ID, так как он предоставляет единый уровень управления для управления удостоверениями и доступом к идентификатору Microsoft Entra ID. Убедитесь, что вы также переносите приложения Office 365 и присоединенные устройства к идентификатору Microsoft Entra.

    • Помощник по миграции можно использовать для переноса приложений из AD FS в идентификатор Microsoft Entra.
    • Если вы не найдете подходящее приложение SaaS в коллекции приложений, их можно запросить из https://aka.ms/AzureADAppRequest.
  5. Убедитесь, что Microsoft Entra Connect Health работает не менее одной недели, чтобы наблюдать за использованием приложений в Microsoft Entra ID. Вы также можете просматривать журналы входа пользователей в идентификатор Microsoft Entra.

Действия по выводу из эксплуатации серверов AD FS

В этом разделе представлен поэтапный процесс снятия с эксплуатации серверов AD FS.

Прежде чем дойти до этой точки, убедитесь, что на серверах AD FS нет доверяющей стороны (доверия к доверяющим сторонам) с трафиком, который всё ещё присутствует.

Прежде чем начать, проверьте журналы событий AD FS и/или Microsoft Entra Connect Health на предмет сбоев входа или успешных попыток, так как это может означать, что эти серверы по-прежнему используются для чего-то. Если вы видите успешные или неудачные попытки входа, проверьте, как перенести ваши приложения из AD FS или переместить вашу проверку подлинности в Microsoft Entra ID.

После проверки выше можно выполнить следующие действия (если серверы AD FS не используются для других компонентов):

Note

После переноса проверки подлинности на Microsoft Entra ID тестируйте свою среду как минимум в течение одной недели, чтобы убедиться, что облачная аутентификация работает без перебоев.

  1. Рассмотрите возможность выполнения необязательного окончательного резервного копирования перед выводом из эксплуатации серверов AD FS.
  2. Удалите все записи AD FS из любой из подсистем балансировки нагрузки (внутренних, а также внешних), которые вы могли настроить в вашей среде.
  3. Удалите все записи в DNS имен соответствующих ферм для серверов AD FS в вашей среде.
  4. На основном сервере AD FS запустите Get-ADFSProperties и найдите CertificateSharingContainer. Помните об этом DN, так как вам потребуется удалить его ближе к концу установки (после нескольких перезагрузок и когда он больше недоступен)
  5. Если база данных конфигурации AD FS использует экземпляр базы данных SQL Server в качестве хранилища, удалите базу данных перед удалением серверов AD FS.
  6. Удалите серверы WAP (Прокси- серверы).
    • Войдите на каждый сервер WAP, откройте консоль управления удаленным доступом и найдите опубликованные веб-приложения.
    • Удалите все, что связано с серверами AD FS, которые больше не используются.
    • После удаления всех опубликованных веб-приложений удалите WAP со следующей командой Uninstall-WindowsFeature Web-Application-Proxy, CMAK, RSAT-RemoteAccess.
  7. Удалите серверы AD FS.
  8. Удаление сертификатов SSL уровня безопасности AD FS из каждого хранилища сервера.
  9. Восстановите образ серверов AD FS с полным форматированием диска.
  10. Теперь вы можете безопасно удалить учетную запись AD FS.
  11. Удалите содержимое CertificateSharingContainer DN с помощью ADSI Edit после удаления программы.

Дальнейшие шаги