Áttelepítés felhőalapú hitelesítésre szakaszos kibocsátással

A szakaszos bevezetés lehetővé teszi olyan felhőalapú hitelesítési képességekkel rendelkező felhasználói csoportok szelektív tesztelését, mint a Azure AD Multi-Factor Authentication (MFA), a feltételes hozzáférés, a kiszivárgott hitelesítő adatok identitásvédelme, az identitásszabályozás és mások, mielőtt átvágja a tartományokat. Ez a cikk a kapcsoló létrehozásának módját ismerteti. A szakaszos bevezetés megkezdése előtt azonban érdemes megfontolni a következményeket, ha az alábbi feltételek közül egy vagy több teljesül:

• Jelenleg helyszíni Multi-Factor Authentication-kiszolgálót használ.
• Intelligens kártyákat használ a hitelesítéshez.
• A jelenlegi kiszolgáló csak összevonási funkciókat kínál.

Mielőtt kipróbálná ezt a funkciót, javasoljuk, hogy tekintse át a megfelelő hitelesítési módszer kiválasztására vonatkozó útmutatónkat. További információkért lásd a "Módszerek összehasonlítása" táblázatot a Azure Active Directory hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása című témakörben.

A funkció áttekintéséhez tekintse meg ezt a "Azure Active Directory: Mi a szakaszos bevezetés?" videót:

Előfeltételek

• Összevont tartományokkal rendelkező Azure Active Directory (Azure AD) bérlővel rendelkezik.

• Úgy döntött, hogy az alábbi lehetőségek egyikét helyezi át:

  • Jelszókivonat-szinkronizálás (szinkronizálás). További információ: Mi az a jelszókivonat-szinkronizálás?
  • Átmenő hitelesítés. További információ: Mi az átmenő hitelesítés?
  • Azure AD tanúsítványalapú hitelesítés (CBA) beállításait. További információ: Mi az átmenő hitelesítés?

  Mindkét lehetőség esetében javasoljuk, hogy engedélyezze az egyszeri bejelentkezést (SSO) a csendes bejelentkezési élmény eléréséhez. A Windows 7 vagy 8.1 tartományhoz csatlakoztatott eszközök esetében a közvetlen egyszeri bejelentkezés használatát javasoljuk. További információ: Mi a zökkenőmentes egyszeri bejelentkezés? Windows 10, Windows Server 2016 és újabb verziók esetében ajánlott az egyszeri bejelentkezés használata elsődleges frissítési jogkivonaton (PRT) keresztül Azure AD csatlakoztatott eszközökkel, hibrid Azure AD csatlakoztatott eszközökkel vagy személyes regisztrált eszközökkel munkahelyi vagy iskolai fiók hozzáadása révén.

• Konfigurálta az összes megfelelő bérlői arculati és feltételes hozzáférési szabályzatot a felhőhitelesítésre migrált felhasználók számára.

• Ha Azure AD Multi-Factor Authentication használatát tervezi, javasoljuk, hogy az önkiszolgáló jelszóátállításhoz (SSPR) és a Multi-Factor Authenticationhez kombinált regisztrációt használjon, hogy a felhasználók egyszer regisztrálhassák hitelesítési módszereiket. Megjegyzés: ha SSPR-t használ a jelszó alaphelyzetbe állításához vagy a MyProfile oldal használatával történő jelszómódosításhoz a szakaszos bevezetés során, Azure AD Csatlakozás szinkronizálnia kell az új jelszókivonatot, amely az alaphelyzetbe állítás után akár 2 percet is igénybe vehet.

• A szakaszos bevezetési funkció használatához globális rendszergazdának kell lennie a bérlőn.

• A közvetlen egyszeri bejelentkezés engedélyezéséhez egy adott Active Directory-erdőben tartományi rendszergazdának kell lennie.

• Ha hibrid Azure AD vagy Azure AD illesztést helyez üzembe, frissítenie kell Windows 10 1903-ra.

Támogatott esetek

Az alábbi forgatókönyvek támogatottak a szakaszos bevezetéshez. A funkció csak a következő célokra használható:

• Azok a felhasználók, akik Azure AD Csatlakozás használatával építenek ki Azure AD. Ez nem vonatkozik a csak felhőalapú felhasználókra.

• A felhasználók bejelentkezési forgalma böngészőkben és modern hitelesítési ügyfeleken. Az örökölt hitelesítést használó alkalmazások vagy felhőszolgáltatások összevont hitelesítési folyamatokba kerülnek vissza. Ilyen lehet például az online Exchange, ha a modern hitelesítés ki van kapcsolva, vagy Outlook 2010, amely nem támogatja a modern hitelesítést.

• A csoport mérete jelenleg 50 000 felhasználóra korlátozódik. Ha több, mint 50 000 felhasználót tartalmazó csoportokkal rendelkezik, javasoljuk, hogy több csoportra bontsa ezt a csoportot a szakaszos bevezetéshez.

• Windows 10 Hibrid csatlakozás vagy Azure AD Csatlakozás az elsődleges frissítési jogkivonat beszerzéséhez anélkül, hogy az 1903-as és újabb Windows 10 összevonási kiszolgálóra irányítható, és a tartományi utótag ellenőrizve lesz Azure AD.

• Az Autopilot-regisztráció a szakaszos bevezetésben támogatott Windows 10 1909-es vagy újabb verzióval.

Nem támogatott forgatókönyvek

A szakaszos bevezetéshez a következő forgatókönyvek nem támogatottak:

• Az olyan örökölt hitelesítések, mint a POP3 és az SMTP, nem támogatottak.

• Egyes alkalmazások a hitelesítés során elküldik a "domain_hint" lekérdezési paramétert Azure AD. Ezek a folyamatok folytatódnak, és a szakaszos bevezetésre engedélyezett felhasználók továbbra is az összevonást fogják használni a hitelesítéshez.

• A rendszergazdák biztonsági csoportok használatával hozhatják létre a felhőbeli hitelesítést. A helyi Active Directory biztonsági csoportok használatakor a szinkronizálás késésének elkerülése érdekében javasoljuk, hogy felhőalapú biztonsági csoportokat használjon. A következő feltételek érvényesek:

  • Funkciónként legfeljebb 10 csoportot használhat. Ez azt jelent, hogy 10 csoportot használhat a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez és a zökkenőmentes egyszeri bejelentkezéshez.
  • A beágyazott csoportok nem támogatottak.
  • A dinamikus csoportok szakaszos bevezetés esetén nem támogatottak .
  • A csoporton belüli partnerobjektumok letiltják a csoport hozzáadását.

• Amikor először ad hozzá biztonsági csoportot a szakaszos bevezetéshez, 200 felhasználóra van korlátozva, hogy elkerülje a felhasználói felület időtúllépését. Miután hozzáadta a csoportot, szükség szerint további felhasználókat is felvehet közvetlenül a csoportba.

• Amíg a felhasználók szakaszos bevezetésben vannak jelszókivonat-szinkronizálással (PHS), alapértelmezés szerint nincs jelszó lejárata. A jelszó lejárata a "EnforceCloudPasswordPolicyForPasswordSyncedUsers" engedélyezésével alkalmazható. Ha a "EnforceCloudPasswordPolicyForPasswordSyncedUsers" engedélyezve van, a jelszó lejárati szabályzata a helyszíni jelszó beállításától számított 90 napra van állítva, és nincs lehetőség a jelszó testreszabására. A "EnforceCloudPasswordPolicyForPasswordSyncedUsers" beállításának módjáról a Jelszó lejárati szabályzatában olvashat.

• Windows 10 Hibrid csatlakozás vagy Azure AD Csatlakozás elsődleges frissítési jogkivonatának beszerzése Windows 10 1903-nál régebbi verzióhoz. Ez a forgatókönyv vissza fog esni az összevonási kiszolgáló WS-Trust végpontjára, még akkor is, ha a bejelentkező felhasználó szakaszos bevezetési hatókörben van.

• Windows 10 Hibrid csatlakozás vagy Azure AD Csatlakozás elsődleges frissítési jogkivonat beszerzéséhez minden verzióhoz, ha a felhasználó helyszíni UPN-je nem irányítható. Ez a forgatókönyv szakaszos bevezetési módban visszaáll a WS-Trust végpontra, de a szakaszos migrálás befejeztével leáll, és a felhasználói bejelentkezés már nem támaszkodik az összevonási kiszolgálóra.

• Ha nem állandó VDI-beállítása van Windows 10 1903-es vagy újabb verziójával, összevont tartományon kell maradnia. A nem állandó VDI nem támogatja a felügyelt tartományba való áthelyezést. További információ: Eszközidentitás és asztali virtualizálás.

• Ha Vállalati Windows Hello hibrid tanúsítványmegbízhatósága van a regisztrációs szolgáltatóként vagy intelligenskártya-felhasználókként működő összevonási kiszolgálón keresztül kiadott tanúsítványokkal, a forgatókönyv szakaszos bevezetéskor nem támogatott.

  Megjegyzés

  Továbbra is a végső átállást kell elvégeznie az összevont hitelesítésről a felhőbeli hitelesítésre Azure AD Csatlakozás vagy a PowerShell használatával. A szakaszos bevezetés nem váltja át a tartományokat összevontról felügyeltre. További információ a tartományátvételről: Áttelepítés összevonásról jelszókivonat-szinkronizálásra , migrálás összevonásról átmenő hitelesítésre.

Első lépések szakaszos bevezetéssel

Ha szakaszos bevezetéssel szeretné tesztelni a jelszókivonat-szinkronizálási bejelentkezést, kövesse a következő szakasz munka előtti utasításait.

A használni kívánt PowerShell-parancsmagokról a Azure AD 2.0 előzetes verzióban talál további információt.

A jelszókivonat szinkronizálásának előmunkája

1. A jelszókivonat szinkronizálásának engedélyezése az Azure AD Csatlakozás Választható funkciók lapján. 

   

2. Győződjön meg arról, hogy a jelszókivonatok teljes szinkronizálási ciklusa lefutott, hogy a felhasználók összes jelszókivonata szinkronizálva legyen Azure AD. A jelszókivonat-szinkronizálás állapotának ellenőrzéséhez használja a PowerShell-diagnosztikát a jelszókivonat-szinkronizálás hibaelhárítása Azure AD Csatlakozás szinkronizálással.

   

Ha szakaszos bevezetéssel szeretné tesztelni az átmenő hitelesítési bejelentkezést, engedélyezze azt a következő szakasz munka előtti utasításait követve.

Előmunkák az átmenő hitelesítéshez

1. Azonosítsa az R2 vagy újabb Windows Server 2012 futtató kiszolgálót, ahol az átmenő hitelesítési ügynököt futtatni szeretné.

   Ne válassza ki a Azure AD Csatlakozás kiszolgálót. Győződjön meg arról, hogy a kiszolgáló tartományhoz csatlakozik, hitelesíteni tudja a kiválasztott felhasználókat az Active Directoryval, és kommunikálhat Azure AD kimenő portokon és URL-címeken. További információt a gyorsútmutató "1. lépés: Az előfeltételek ellenőrzése" című szakaszában talál: Azure AD zökkenőmentes egyszeri bejelentkezés.

2. Töltse le a Azure AD Csatlakozás hitelesítési ügynököt, és telepítse a kiszolgálóra. 

3. A magas rendelkezésre állás engedélyezéséhez telepítsen további hitelesítési ügynököket más kiszolgálókra.

4. Győződjön meg arról, hogy megfelelően konfigurálta az intelligens zárolási beállításokat . Ezzel biztosíthatja, hogy a felhasználók helyi Active Directory fiókjait ne zárják ki a rossz szereplők.

Javasoljuk, hogy a zökkenőmentes egyszeri bejelentkezést a szakaszos bevezetéshez választott bejelentkezési módszertől (jelszókivonat-szinkronizálás vagy átmenő hitelesítés) függetlenül engedélyezze. A közvetlen egyszeri bejelentkezés engedélyezéséhez kövesse a következő szakasz munka előtti utasításait.

Munka előtti munka a zökkenőmentes egyszeri bejelentkezéshez

Engedélyezze a közvetlen egyszeri bejelentkezést az Active Directory-erdőkben a PowerShell használatával. Ha egynél több Active Directory-erdője van, mindegyik erdőhöz külön-külön engedélyezze. A közvetlen egyszeri bejelentkezés csak a szakaszos bevezetésre kijelölt felhasználók esetében aktiválódik. Ez nincs hatással a meglévő összevonási beállításra.

Engedélyezze a zökkenőmentes egyszeri bejelentkezést az alábbi lépésekkel:

1. Jelentkezzen be Azure AD Csatlakozás Kiszolgálóra.

2. Lépjen a %programfiles%\Microsoft Azure Active Directory Csatlakozás mappába.

3. Importálja a közvetlen SSO PowerShell-modult a következő parancs futtatásával:

   Import-Module .\AzureADSSO.psd1

4. Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt: New-AzureADSSOAuthenticationContext. Ez a parancs megnyit egy panelt, ahol megadhatja a bérlő globális rendszergazdai hitelesítő adatait.

5. Hívja meg a következőt: Get-AzureADSSOStatus | ConvertFrom-Json. Ez a parancs megjeleníti azon Active Directory-erdők listáját (lásd a "Tartományok" listát), amelyeken engedélyezve van ez a funkció. Alapértelmezés szerint a bérlői szinten false (hamis) értékre van állítva.

   

6. Hívja meg a következőt: $creds = Get-Credential. A parancssorba írja be a kívánt Active Directory-erdő tartományi rendszergazdai hitelesítő adatait.

7. Hívja meg a következőt: Enable-AzureADSSOForest -OnPremCredentials $creds. Ez a parancs létrehozza az AZUREADSSOACC számítógépfiókot a közvetlen egyszeri bejelentkezéshez szükséges Active Directory-erdő helyszíni tartományvezérlőjén.

8. A közvetlen egyszeri bejelentkezéshez az URL-címeknek az intranetes zónában kell lenniük. Az URL-címek csoportházirendek használatával történő üzembe helyezéséhez tekintse meg a rövid útmutatót: Azure AD zökkenőmentes egyszeri bejelentkezés.

9. A teljes útmutatóért letöltheti az üzembehelyezési terveket a zökkenőmentes egyszeri bejelentkezéshez.

Szakaszos bevezetés engedélyezése

Ha egy adott szolgáltatást (átmenő hitelesítést, jelszókivonat-szinkronizálást vagy közvetlen egyszeri bejelentkezést) szeretne létrehozni egy csoport egyes felhasználóinak egy adott csoportjában, kövesse a következő szakaszok utasításait.

Egy adott funkció szakaszos bevezetésének engedélyezése a bérlőn

Az alábbi lehetőségeket adhatja meg:

• Jelszókivonat szinkronizálása + Közvetlen egyszeri bejelentkezés
• Átmenő hitelesítés + Közvetlen egyszeri bejelentkezés
• Nem támogatott - Jelszókivonat szinkronizálása + Átmenő hitelesítés + Közvetlen egyszeri bejelentkezés
• Tanúsítványalapú hitelesítési beállítások

Tegye a következőket:

1. A felhasználói felület eléréséhez jelentkezzen be a Azure AD portálra.

2. Válassza a szakaszos bevezetés engedélyezése a felügyelt felhasználók bejelentkezési hivatkozásához .

   Ha például engedélyezni szeretné a jelszókivonat-szinkronizálást és a közvetlen egyszeri bejelentkezést, húzza mindkét vezérlőt a Be gombra.

3. Adja hozzá a csoportokat a szolgáltatáshoz az átmenő hitelesítés és a zökkenőmentes egyszeri bejelentkezés engedélyezéséhez. A felhasználói felület időtúllépésének elkerülése érdekében győződjön meg arról, hogy a biztonsági csoportok kezdetben legfeljebb 200 tagot tartalmaznak.

   Megjegyzés

   A csoport tagjai automatikusan engedélyezve vannak a szakaszos bevezetéshez. A beágyazott és dinamikus csoportok szakaszos bevezetés esetén nem támogatottak. Új csoport hozzáadásakor a csoport felhasználói (új csoport esetén legfeljebb 200 felhasználó) frissülnek a felügyelt hitelesítés azonnali használatára. A csoportok szerkesztése (felhasználók hozzáadása vagy eltávolítása) akár 24 órát is igénybe vehet a módosítások érvénybe lépéséhez. A közvetlen egyszeri bejelentkezés csak akkor érvényes, ha a felhasználók a Közvetlen egyszeri bejelentkezés csoportban, illetve PTA- vagy PHS-csoportban is szerepelnek.

Naplózás

Engedélyeztük a naplózási eseményeket a szakaszos bevezetéshez végrehajtott különböző műveletekhez:

• Naplózási esemény, ha engedélyezi a jelszókivonatok szinkronizálásának, az átmenő hitelesítésnek vagy a zökkenőmentes egyszeri bejelentkezésnek a szakaszos bevezetést.

  Megjegyzés

  Naplózási eseményt naplóz a rendszer, ha a közvetlen egyszeri bejelentkezés szakaszos bevezetéssel van bekapcsolva.

  

  

• Naplózási esemény, amikor egy csoportot hozzáadnak a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez vagy a zökkenőmentes egyszeri bejelentkezéshez.

  Megjegyzés

  Naplóz egy naplózási eseményt, amikor egy csoport hozzá van adva a jelszókivonat-szinkronizáláshoz a szakaszos bevezetéshez.

  

  

• Naplózási esemény, ha a csoporthoz hozzáadott felhasználó engedélyezve van a szakaszos bevezetéshez.

  

  

Érvényesítés

Ha jelszókivonat-szinkronizálással vagy átmenő hitelesítéssel (felhasználónév és jelszó bejelentkezés) szeretné tesztelni a bejelentkezést, tegye a következőket:

1. Az extraneten nyissa meg az Alkalmazások lapot egy privát böngésző-munkamenetben, majd adja meg a szakaszos bevezetéshez kiválasztott felhasználói fiók UserPrincipalName (UPN) elemét.

   A szakaszos bevezetésre célzott felhasználók nem lesznek átirányítva az összevont bejelentkezési oldalra. Ehelyett a rendszer arra kéri őket, hogy jelentkezzenek be a Azure AD bérlői márkájú bejelentkezési oldalon.

2. Győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik a Azure AD bejelentkezési tevékenység jelentésében a UserPrincipalName szűrővel.

A közvetlen egyszeri bejelentkezéssel való bejelentkezés tesztelése:

1. Az intraneten nyissa meg az Alkalmazások lapot egy privát böngésző-munkamenetben, majd adja meg a szakaszos bevezetéshez kiválasztott felhasználói fiók UserPrincipalName (UPN) értékét.

   Azok a felhasználók, akik a zökkenőmentes egyszeri bejelentkezés szakaszos bevezetésére lettek megcélzva, a következőhöz hasonló üzenet jelenik meg: "Megpróbálunk bejelentkezni..." üzenet, mielőtt csendesen bejelentkeznének.

2. Győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik a Azure AD bejelentkezési tevékenység jelentésében a UserPrincipalName szűrővel.

   A Active Directory összevonási szolgáltatások (AD FS) (AD FS) a kiválasztott szakaszos bevezetési felhasználók esetében továbbra is előforduló felhasználói bejelentkezések nyomon követéséhez kövesse az AD FS hibaelhárítási útmutatóját: Események és naplózás. Tekintse meg a szállító dokumentációját arról, hogyan ellenőrizheti ezt a külső összevonási szolgáltatókon.

   Megjegyzés

   Amíg a felhasználók szakaszos bevezetés alatt állnak a PHS szolgáltatással, a jelszavak módosítása a szinkronizálási idő miatt akár 2 percet is igénybe vehet. Győződjön meg arról, hogy elvárásokat állít be a felhasználókkal, hogy elkerüljék a segélyszolgálati hívásokat, miután módosították a jelszavukat.

Figyelés

A szakaszos bevezetéshez hozzáadott vagy eltávolított felhasználókat és csoportokat, valamint a felhasználók bejelentkezéseit a szakaszos bevezetés során figyelheti a Azure Portal új hibrid hitelesítési munkafüzeteinek használatával.

Felhasználó eltávolítása a szakaszos bevezetésből

Ha eltávolít egy felhasználót a csoportból, azzal letiltja az adott felhasználó szakaszos bevezetését. A szakaszos bevezetési funkció letiltásához húzza vissza a vezérlőt kikapcsolva.

Gyakori kérdések

K: Használhatom ezt a képességet éles környezetben?

Válasz: Igen, használhatja ezt a funkciót az éles bérlőben, de azt javasoljuk, hogy először próbálja ki a tesztbérlében.

K: Használható ez a funkció egy állandó "együttlét" fenntartására, ahol egyes felhasználók összevont hitelesítést használnak, míg mások felhőalapú hitelesítést használnak?

Válasz: Nem, ez a funkció a felhőalapú hitelesítés tesztelésére szolgál. Miután sikeresen tesztelt néhány felhasználócsoportot, át kell lépnie a felhőalapú hitelesítésre. Nem javasoljuk, hogy állandó vegyes állapotot használjon, mert ez a megközelítés váratlan hitelesítési folyamatokhoz vezethet.

K: Használhatom a PowerShellt szakaszos bevezetés végrehajtására?

V: Igen. Ha szeretné megtudni, hogyan használhatja a PowerShellt a szakaszos bevezetés végrehajtására, tekintse meg Azure AD előzetes verziót.

Következő lépések

• Azure AD 2.0 előzetes verziója
• A bejelentkezési módszer módosítása jelszókivonat-szinkronizálásra
• Bejelentkezési módszer módosítása átmenő hitelesítésre
• Szakaszos bevezetés interaktív útmutatója