Áttelepítés felhőalapú hitelesítésre szakaszos kibocsátással

Az szakaszos bevezetés lehetővé teszi a felhőalapú hitelesítési képességekkel (például Az Azure AD Multi-Factor Authentication (MFA), a feltételes hozzáférés, a kiszivárgott hitelesítő adatok identity protectionje, az Identity Governance stb. felhasználói csoportok szelektív tesztelését a tartományok átvágása előtt. Ez a cikk a váltást ismerteti. A szakaszos bevezetés megkezdése előtt azonban figyelembe kell vennie a következményeket, ha az alábbi feltételek közül egy vagy több teljesül:

  • Jelenleg egy helyszíni Multi-Factor Authentication-kiszolgálót használ.
  • Intelligens kártyákat használ a hitelesítéshez.
  • A jelenlegi kiszolgáló csak összevonási funkciókat kínál.

Mielőtt kipróbálja ezt a funkciót, javasoljuk, hogy tekintse át a megfelelő hitelesítési módszer kiválasztásáról útmutatónkat. További információért tekintse meg a Choose the right authentication method for your Azure Active Directory hybrid identity solution (A hibrid identitásmegoldáshoz megfelelő hitelesítési módszer kiválasztása) Azure Active Directory "Comparing methods" (Módszerek összehasonlítása) táblázatát.

A funkció áttekintéséhez tekintse meg ezt a "Azure Active Directory: Mi a szakaszos bevezetés?" Videóinak:

Előfeltételek

  • Összevont tartományokkal Azure Active Directory (Azure AD)-bérlővel rendelkezik.

  • Úgy döntött, hogy a következő két lehetőség valamelyikét választhatja:

    Mindkét lehetőséghez javasoljuk az egyszeri bejelentkezés (SSO) engedélyezését a csendes bejelentkezési élmény elérése érdekében. A Windows 7-es vagy 8.1-es tartományhoz csatlakozott eszközök esetében a zökkenőmentes egyszeri bejelentkezés használatát javasoljuk. További információ: Mi a közvetlen egyszeri bejelentkezés?. A Windows 10, Windows Server 2016 és újabb verziók esetében javasolt az SSO használata az elsődleges frissítési jogkivonattal (PRT) az Azure AD-hez csatlakozott eszközökkel, a hibrid Azure AD-hez csatlakozott eszközökkel vagy a személyes regisztrált eszközökkel a Munkahelyi vagy iskolai fiók hozzáadása révén.

  • Konfigurálta az összes szükséges bérlői védjegyezést és feltételes hozzáférési szabályzatot a felhőalapú hitelesítésre migrált felhasználók számára.

  • Ha az Azure AD Multi-Factor Authentication használatát tervezi, javasoljuk, hogy az önkiszolgáló jelszóát állításához (SSPR) és a Többtényezős hitelesítéshez kombinált regisztrációt használjon, hogy a felhasználók egyszer regisztrálják hitelesítési módszereiket. Megjegyzés– Ha az SSPR használatával állítja alaphelyzetbe a jelszót vagy módosítja a jelszót a MyProfile oldalon az szakaszos bevezetés során, az Azure AD Csatlakozás-nek szinkronizálni kell az új jelszó kivonatát, amely az alaphelyzetbe állítás után akár 2 percig is eltarthat.

  • Az szakaszos bevezetési funkció használatához globális rendszergazdának kell lennie a bérlőn.

  • Ahhoz, hogy egy adott Active Directory engedélyezze a közvetlen egyszeri bejelentkezést, tartományi rendszergazdának kell lennie.

  • Hibrid Azure AD- vagy Azure AD-csatlakozás üzembe helyezése esetén frissítenie kell az 1903 Windows 10 frissítésre.

Támogatott esetek

Az alábbi forgatókönyvek szakaszos bevezetés esetén támogatottak. A funkció csak a következőre használható:

  • Azok a felhasználók, akik az Azure AD-fiókkal vannak kiépítve az Azure AD Csatlakozás. Nem vonatkozik a csak felhőalapú felhasználókra.

  • Felhasználói bejelentkezési forgalom böngészőkben és modern hitelesítési ügyfeleken. Az örökölt hitelesítést felhasználó alkalmazások vagy felhőszolgáltatások az összevont hitelesítési folyamatokra fognak visszaesni. Ilyen lehet például az Exchange, ha a modern hitelesítés ki van kapcsolva, vagy a 2010 Outlook, amely nem támogatja a modern hitelesítést.

  • A csoport mérete jelenleg 50 000 felhasználóra van korlátozva. Ha 50 000 felhasználónál nagyobb csoportok vannak, ajánlott ezt a csoportot több csoportra osztani az szakaszos bevezetéshez.

  • Windows 10 Hybrid Join vagy Az Azure AD Join elsődleges frissítési jogkivonatának beszerzése nem látható az összevonási kiszolgáló számára az 1903-as és újabb verziók esetében, ha Windows 10 felhasználó UPN-je irányítható, és a tartomány utótagja ellenőrizve van az Azure AD-ben.

  • Az Autopilot-regisztráció az 1909-es vagy újabb verzióval Windows 10 szakaszos bevezetésben támogatott.

Nem támogatott forgatókönyvek

Az alábbi forgatókönyvek nem támogatottak az szakaszos bevezetéshez:

  • Az örökölt hitelesítés, például a POP3 és az SMTP nem támogatott.

  • Egyes alkalmazások a hitelesítés során domain_hint "lekérdezési" paramétert küldenek az Azure AD-nek. Ezek a folyamatok folytatódnak, és a szakaszos bevezetésre engedélyezett felhasználók továbbra is összevonást fognak használni a hitelesítéshez.

  • A rendszergazdák biztonsági csoportok használatával is kivetheti a felhőalapú hitelesítést. Ha biztonsági csoportokat használ, helyi Active Directory szinkronizálási késés elkerülése érdekében javasoljuk, hogy használjon felhőbeli biztonsági csoportokat. A következő feltételek érvényesek:

    • Funkciónként legfeljebb 10 csoportot használhat. Ez azt jelenti, hogy 10 csoportot használhat a jelszó kivonatszinkronizálásához, az átmenő hitelesítéshez és a zökkenőmentes egyszeri bejelentkezéshez.
    • A beágyazott csoportok nem támogatottak.
    • A dinamikus csoportok szakaszos bevezetés esetén nem támogatottak.
    • A csoporton belüli kapcsolatobjektumok letiltják a csoport hozzáadását.
  • Amikor először ad hozzá biztonsági csoportot az szakaszos bevezetéshez, a felhasználói felület időtúllépésének elkerülése érdekében legfeljebb 200 felhasználó lehet. A csoport hozzáadása után szükség szerint további felhasználókat adhat hozzá közvetlenül.

  • Amíg a felhasználók szakaszos bevezetés alatt állnak, a jelszó lejárati szabályzata 90 napra van beállítva, és nem lehet testre szabni.

  • Windows 10 Hybrid Join vagy az Azure AD Join elsődleges frissítési jogkivonat beszerzése az 1903-Windows 10 verziónál régebbi verzióhoz. Ez a forgatókönyv vissza fog WS-Trust összevonási kiszolgáló végpontjára, még akkor is, ha a bejelentkező felhasználó szakaszos bevezetési hatókörbe tartozik.

  • Windows 10 a Hybrid Join vagy az Azure AD Join elsődleges frissítési jogkivonat beszerzése minden verzióhoz, ha a felhasználó helyszíni UPN-je nem átirányítható. Ez a forgatókönyv vissza fog állni a WS-Trust-végpontra szakaszos bevezetési módban, de nem fog tovább dolgozni, ha az szakaszos migrálás befejeződött, és a felhasználói bejelentkezés már nem támaszkodik az összevonási kiszolgálóra.

  • Ha nem állandó VDI-beállítással Windows 10 1903-as vagy újabb verzióval, összevont tartományban kell maradnia. A felügyelt tartományra való áthelyezés nem támogatott a nem állandó VDI-k esetén. További információ: Eszközidentitás és asztali virtualizálás.

  • Ha az Windows Hello vállalati verzió hibrid tanúsítványai között olyan tanúsítványokkal rendelkezik, amelyek a regisztrációszolgáltatóként vagy intelligenskártya-felhasználóként működő összevonási kiszolgálón keresztül vannak kibocsátva, a forgatókönyv szakaszos bevezetés esetén nem támogatott.

    Megjegyzés

    Az összevont hitelesítésről a felhőalapú hitelesítésre való végső átváltást továbbra is el kell látnia az Azure AD Csatlakozás PowerShell használatával. Az szakaszos bevezetés nem vált tartományokat összevontról felügyeltre. A tartományok átváltásával kapcsolatos további információkért lásd: Áttelepítés összevonásról jelszó-kivonat szinkronizálására és Áttelepítés összevonásról átmenő hitelesítésre.

Bevezetés a szakaszos bevezetésbe

A jelszó kivonatszinkronizálási bejelentkezés szakaszos bevezetés használatával való teszteléshez kövesse a következő szakaszban található, használat előtti utasításokat.

A használni szükséges PowerShell-parancsmagokkal kapcsolatos információkért lásd: Azure AD 2.0 előzetes verzió.

Jelszó-kivonat szinkronizálásának előzetes használata

  1. Engedélyezze a jelszó kivonatszinkronizálását az Azure AD-portál Választható szolgáltatások Csatlakozás.

    Képernyőkép a "Választható szolgáltatások" lapról a Azure Active Directory Csatlakozás

  2. Győződjön meg arról, hogy teljes jelszó-kivonatszinkronizálási ciklus fut, hogy a felhasználók összes jelszó-kivonata szinkronizálva legyen az Azure AD-be. A jelszó-kivonat szinkronizálásának állapotának ellenőrzéshez használja a Jelszó-kivonat szinkronizálásának hibaelhárítása az Azure AD Csatlakozás diagnosztika szakaszát.

    Képernyőkép az AADConnect hibaelhárítási naplóról

Ha az átmenő hitelesítésre való bejelentkezést szakaszos bevezetéssel szeretné tesztelni, engedélyezze azt a következő szakaszban található, használat előtti utasításokat követve.

Átmenő hitelesítés előzetes használata

  1. Azonosítsa az R2 vagy újabb Windows Server 2012 futtató kiszolgálót, ahol az átmenő hitelesítési ügynököt futtatni szeretné.

    Ne válassza ki az Azure AD Csatlakozás kiszolgálót. Győződjön meg arról, hogy a kiszolgáló tartományhoz csatlakozik, hitelesítheti a kiválasztott felhasználókat Active Directory, és kommunikálhat az Azure AD-val a kimenő portokon és URL-címeken. További információkért tekintse meg a rövid útmutató 1. lépés: Előfeltételek ellenőrzése szakaszát: Azure AD közvetlen egyszeri bejelentkezés.

  2. Töltse le az Azure AD Csatlakozás hitelesítési ügynököt,és telepítse a kiszolgálóra.

  3. A magas rendelkezésre állás engedélyezéséheztelepítsen további hitelesítési ügynököket más kiszolgálókra.

  4. Győződjön meg arról, hogy megfelelően konfigurálta az intelligens zárolás beállításait. Ezzel biztosíthatja, hogy a felhasználók helyi Active Directory fiókjait ne zárják ki rossz aktaktak.

Javasoljuk, hogy a közvetlen egyszeri bejelentkezést a bejelentkezési módszertől (jelszó kivonatszinkronizálás vagy átmenő hitelesítés) függetlenül engedélyezi, amely a szakaszos bevezetéshez van kiválasztva. A közvetlen egyszeri bejelentkezés engedélyezéséhez kövesse a következő szakaszban található, munka előtti utasításokat.

Előzetes munka a zökkenőmentes egyszeri bejelentkezéshez

Zökkenőmentes egyszeri bejelentkezés engedélyezése a Active Directory erdőkön a PowerShell használatával. Ha több erdővel Active Directory, engedélyezze azt minden erdőhöz külön-külön. A közvetlen egyszeri bejelentkezés csak az olyan felhasználók számára aktiválódik, akik ki vannak választva az szakaszos bevezetéshez. Ez nincs hatással a meglévő összevonási beállításokra.

A közvetlen egyszeri bejelentkezés engedélyezéséhez tegye a következőket:

  1. Jelentkezzen be az Azure AD Csatlakozás Serverbe.

  2. Ugrás a %programfiles% Microsoft Azure Active Directory Csatlakozás \ mappára.

  3. Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő parancs futtatásával:

    Import-Module .\AzureADSSO.psd1

  4. Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt: New-AzureADSSOAuthenticationContext. Ez a parancs megnyit egy panelt, ahol megadhatja a bérlő globális rendszergazdai hitelesítő adatait.

  5. Hívja meg a következőt: Get-AzureADSSOStatus | ConvertFrom-Json. Ez a parancs megjeleníti azon erdő Active Directory (lásd a "Tartományok" listát), amelyeken ez a funkció engedélyezve van. Alapértelmezés szerint a bérlő szintjén false (hamis) érték van megjelölve.

    Példa a Windows PowerShell kimenetre

  6. Hívja meg a következőt: $creds = Get-Credential. Amikor a rendszer kéri, adja meg a tartomány rendszergazdájának hitelesítő adatait a Active Directory erdőhöz.

  7. Hívja meg a következőt: Enable-AzureADSSOForest -OnPremCredentials $creds. Ez a parancs létrehozza az AZUREADSSOACC számítógépfiókot a közvetlen egyszeri bejelentkezéshez szükséges Active Directory erdő helyszíni tartományvezérlőjéről.

  8. A közvetlen egyszeri bejelentkezéshez az URL-címeknek az intranet zónában kell lennie. Az URL-címek csoportházirendekkel való üzembe helyezéséhez lásd: Rövid útmutató: Azure AD közvetlen egyszeri bejelentkezés.

  9. A teljes körű útmutatóért letöltheti az üzembe helyezési terveinket a közvetlen egyszeri bejelentkezéshez.

Szakaszos bevezetés engedélyezése

Ha egy adott szolgáltatást (átmenő hitelesítést, jelszó kivonatszinkronizálást vagy zökkenőmentes egyszeri bejelentkezést) egy csoport felhasználóinak egy adott csoportjára is ki kell használnia, kövesse a következő szakaszokban található utasításokat.

Adott funkció szakaszos bevezetésének engedélyezése a bérlőn

Az alábbi lehetőségek valamelyikét használhatja:

  • "A" lehetőség - jelszó kivonatának szinkronizálása + közvetlen egyszeri bejelentkezés
  • B lehetőség - átmenő hitelesítés + közvetlen egyszeri bejelentkezés
  • Nem támogatott - jelszó kivonatának szinkronizálása + átmenő hitelesítés + közvetlen egyszeri bejelentkezés

Tegye a következőket:

  1. A felhasználói felület eléréséhez jelentkezzen be az Azure AD portálra.

  2. Válassza az Enable staged rollout for managed user sign-in (Szakaszos bevezetés engedélyezése felügyelt felhasználói bejelentkezéshez) hivatkozást.

    Ha például engedélyezni szeretné az A lehetőséget, húzza a Jelszó kivonatszinkronizálás és a Közvetlen egyszeri bejelentkezés vezérlőt On(Bekapcsolva) beállításra, ahogyan az alábbi képeken látható.

  3. Adja hozzá a csoportokat a szolgáltatáshoz az átmenő hitelesítés és a zökkenőmentes egyszeri bejelentkezés engedélyezéséhez. A felhasználói felület időkorreklának elkerülése érdekében győződjön meg arról, hogy a biztonsági csoportok kezdetben legfeljebb 200 tagot tartalmaznak.

    Megjegyzés

    A csoport tagjai automatikusan engedélyezve vannak a szakaszos bevezetéshez. A beágyazott és dinamikus csoportok nem támogatottak az szakaszos bevezetéshez. Új csoport hozzáadásakor a csoport felhasználói (egy új csoport legfeljebb 200 felhasználója) frissülnek a felügyelt hitelesítés azonnali használatára. Egy csoport szerkesztése (felhasználók hozzáadása vagy eltávolítása) akár 24 órát is igénybehet, hogy a módosítások életbe lépnek. A közvetlen egyszeri bejelentkezés csak akkor érvényes, ha a felhasználók a Közvetlen egyszeri bejelentkezés csoportban, valamint egy PTA- vagy PHS-csoportban is vannak.

Naplózás

A naplózási eseményeket a szakaszos bevezetéshez végzett különböző műveletekhez engedélyeztünk:

  • Esemény naplózása, ha engedélyezi a jelszó kivonatszinkronizálásának, az átmenő hitelesítésnek vagy a közvetlen egyszeri bejelentkezésnek az engedélyezését.

    Megjegyzés

    A rendszer naplózza a naplózást, ha a közvetlen egyszeri bejelentkezés szakaszos bevezetés használatával van bekapcsolva.

    A "Bevezetési szabályzat létrehozása funkcióhoz" panel – Tevékenység lap

    A "Bevezetési szabályzat létrehozása szolgáltatáshoz" panel – Módosított tulajdonságok lap

  • Esemény naplózása, ha egy csoportot hozzáadnak a jelszó kivonatszinkronizálásához, átmenő hitelesítéshez vagy zökkenőmentes egyszeri bejelentkezéshez.

    Megjegyzés

    A naplózási esemény akkor lesz naplózva, amikor egy csoportot hozzáadnak a jelszó kivonatának szinkronizálásához az szakaszos bevezetéshez.

    A "Csoport hozzáadása a szolgáltatáshoz bevezetéshez" panel – Tevékenység lap

    A "Csoport hozzáadása a szolgáltatáshoz bevezetéshez" panel – Módosított tulajdonságok lap

  • Naplózási esemény, ha a csoporthoz hozzáadott felhasználó számára engedélyezve van az szakaszos bevezetés.

    A "Felhasználó hozzáadása funkcióhoz" panel – Tevékenység lap

    A "Felhasználó hozzáadása a szolgáltatáshoz bevezetéshez" panel – Cél(ak) lap

Érvényesítés

A jelszó-kivonatszinkronizálással vagy átmenő hitelesítéssel (felhasználónév és jelszó bejelentkezés) való bejelentkezés teszteléséhez tegye a következőket:

  1. Az extraneten lépjen az Alkalmazások lapra egy privát böngésző-munkamenetben, majd adja meg annak a felhasználói fióknak a UserPrincipalName (UPN) nevét, amely az szakaszos bevezetéshez van kiválasztva.

    Az szakaszos bevezetésre célzott felhasználók nem lépnek át az összevont bejelentkezési oldalra. Ehelyett be kell jelentkezniük az Azure AD bérlői védjegyű bejelentkezési oldalára.

  2. A UserPrincipalName paraméter szűrésével győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik az Azure AD bejelentkezési tevékenységjelentésében.

A közvetlen egyszeri bejelentkezéssel való bejelentkezés tesztelése:

  1. Az intraneten lépjen az Alkalmazások lapra egy privát böngésző-munkamenetben, majd adja meg annak a felhasználói fióknak a UserPrincipalName (UPN) nevét, amely az szakaszos bevezetéshez van kiválasztva.

    Azok a felhasználók, akik közvetlen egyszeri bejelentkezés (SSO) szakaszos bevezetésre vannak megcélzva, "Megpróbálják bejelentkezni..." üzenetet, mielőtt csendesen bejelentkeznek.

  2. A UserPrincipalName paraméter szűrésével győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik az Azure AD bejelentkezési tevékenységjelentésében.

    A kiválasztott, szakaszos bevezetési felhasználókra továbbra is Active Directory összevonási szolgáltatások (AD FS) (AD FS) felhasználói bejelentkezések nyomon követéséhez kövesse az AD FS:Események és naplózás szakasz utasításait. A külső összevonási szolgáltatóknál tekintse meg a gyártó dokumentációját.

Figyelés

Figyelheti a fázisos bevezetéshez hozzáadott vagy abból eltávolított felhasználókat és csoportokat, valamint a felhasználók bejelentkezését szakaszos bevezetés során az új Hybrid Auth-munkafüzetek használatával a Azure Portal.

Hibrid hitelesítési munkafüzetek

Felhasználó eltávolítása az szakaszos bevezetésből

Ha eltávolít egy felhasználót a csoportból, az letiltja az adott felhasználó szakaszos bevezetését. Az szakaszos bevezetési funkció letiltásához húzza vissza a vezérlőt Ki beállításra.

Gyakori kérdések

K: Használhatom ezt a képességet éles környezetben?

A: Igen, használhatja ezt a funkciót az éles bérlőben, de azt javasoljuk, hogy először próbálja ki a tesztbérlőben.

K: Használható-e ez a funkció állandó "közös létezik" fenntartására, amelyben egyes felhasználók összevont hitelesítést, mások pedig felhőalapú hitelesítést használnak?

A: Nem, ez a szolgáltatás a felhőalapú hitelesítés tesztelésére lett kialakítva. Néhány felhasználói csoport sikeres tesztelése után érdemes átveszni a felhőalapú hitelesítést. Nem javasoljuk állandó vegyes állapot használatát, mert ez a megközelítés váratlan hitelesítési folyamatokhoz vezethet.

K: Használhatom a PowerShellt szakaszos bevezetéshez?

V: Igen. Ha meg szeretne ismerkedni a PowerShell használatával az szakaszos bevezetés végrehajtásához, tekintse meg az Azure AD előzetes verzióját.

Következő lépések