Migrasi dari federasi ke autentikasi berbasis sertifikat Microsoft Entra (CBA)

Artikel ini menjelaskan cara bermigrasi dari menjalankan server federasi seperti Active Directory Federation Services (AD FS) lokal ke autentikasi cloud menggunakan autentikasi berbasis sertifikat (CBA) Microsoft Entra.

Peluncuran Bertahap

Admin penyewa dapat memotong domain federasi sepenuhnya ke Entra ID CBA tanpa pengujian pilot dengan mengaktifkan metode autentikasi CBA di ID Entra dan mengonversi seluruh domain ke autentikasi terkelola. Namun jika pelanggan ingin menguji batch kecil pengguna yang mengautentikasi terhadap Entra ID CBA sebelum cutover domain lengkap untuk dikelola, mereka dapat menggunakan fitur peluncuran bertahap.

Peluncuran Bertahap untuk Autentikasi Berbasis Sertifikat (CBA) membantu pelanggan beralih dari melakukan CBA di IdP federasi ke ID Microsoft Entra dengan secara selektif memindahkan sekumpulan kecil pengguna untuk menggunakan CBA di ID Entra (tidak lagi dialihkan ke IdP federasi) dengan grup pengguna yang dipilih sebelum kemudian mengonversi konfigurasi domain di ID Entra dari federasi ke dikelola. Peluncuran bertahap tidak dirancang agar domain tetap terfederasi untuk jangka waktu yang lama atau untuk pengguna dalam jumlah besar.

Tonton video cepat ini yang menunjukkan migrasi dari autentikasi berbasis sertifikat ADFS ke Microsoft Entra CBA

Catatan

Saat peluncuran Bertahap diaktifkan untuk pengguna, pengguna dianggap sebagai pengguna terkelola dan semua autentikasi akan terjadi di ID Microsoft Entra. Untuk Penyewa federasi, jika CBA diaktifkan pada Peluncuran Bertahap, autentikasi kata sandi hanya berfungsi jika PHS diaktifkan juga jika tidak, autentikasi kata sandi akan gagal.

Mengaktifkan Peluncuran Bertahap untuk autentikasi berbasis sertifikat pada penyewa Anda

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk mengonfigurasi Peluncuran Bertahap, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
2. Cari dan pilih Microsoft Entra Koneksi.
3. Pada halaman Microsoft Entra Koneksi, di bawah Peluncuran Bertahap autentikasi cloud, klik Aktifkan Peluncuran Bertahap untuk masuk pengguna terkelola.
4. Pada halaman Aktifkan fitur Peluncuran Bertahap , klik Aktif untuk opsi Autentikasi berbasis sertifikat
5. Klik Kelola grup dan tambahkan grup yang ingin Anda jadikan bagian dari autentikasi cloud. Untuk menghindari batas waktu, pastikan bahwa kelompok keamanan awalnya tidak berisi lebih dari 200 anggota.

Untuk informasi selengkapnya, lihat Peluncuran Bertahap.

Menggunakan Microsoft Entra Koneksi untuk memperbarui atribut certificateUserIds

Admin Layanan Federasi Direktori Aktif dapat menggunakan Editor Aturan Sinkronisasi untuk membuat aturan guna menyinkronkan nilai atribut dari Layanan Federasi Direktori Aktif ke objek pengguna Microsoft Entra. Untuk informasi selengkapnya, lihat Aturan sinkronisasi untuk certificateUserIds.

Microsoft Entra Koneksi memerlukan peran khusus bernama Administrator Identitas Hibrid, yang memberikan izin yang diperlukan. Anda memerlukan peran ini untuk izin menulis ke atribut cloud baru.

Catatan

Jika pengguna menggunakan atribut yang disinkronkan, seperti atribut onPremisesUserPrincipalName di objek pengguna untuk pengikatan nama pengguna, ketahuilah bahwa setiap pengguna yang memiliki akses administratif ke server Microsoft Entra Koneksi dapat mengubah pemetaan atribut yang disinkronkan, dan mengubah nilai atribut yang disinkronkan. Pengguna tidak perlu menjadi admin cloud. Admin Layanan Federasi Direktori Aktif harus memastikan akses administratif ke server Microsoft Entra Koneksi harus dibatasi, dan akun istimewa harus berupa akun khusus cloud.

Tanya jawab umum tentang migrasi dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra

Dapatkah kita memiliki akun istimewa dengan server LAYANAN Federasi Direktori Aktif federasi?

Meskipun memungkinkan, Microsoft merekomendasikan akun istimewa menjadi akun khusus cloud. Menggunakan akun khusus cloud untuk paparan batas akses istimewa di ID Microsoft Entra dari lingkungan lokal yang disusupi. Untuk informasi selengkapnya, lihat Melindungi Microsoft 365 dari serangan lokal.

Jika organisasi adalah hibrid yang menjalankan Layanan Federasi Direktori Aktif dan Azure CBA, apakah organisasi tersebut masih rentan terhadap penyusupan Layanan Federasi Direktori Aktif?

Microsoft merekomendasikan akun istimewa menjadi akun khusus cloud. Praktik ini akan membatasi paparan dalam ID Microsoft Entra dari lingkungan lokal yang disusupi. Mempertahankan akun istimewa khusus cloud adalah dasar untuk tujuan ini.

Untuk akun yang disinkronkan:

• Jika mereka berada di domain terkelola (tidak terfederasi), tidak ada risiko dari IdP federasi.
• Jika mereka berada di domain federasi, tetapi subset akun sedang dipindahkan ke Microsoft Entra CBA oleh Peluncuran Bertahap, akun tersebut tunduk pada risiko yang terkait dengan Idp federasi hingga domain federasi sepenuhnya beralih ke autentikasi cloud.

Haruskah organisasi menghilangkan server federasi seperti Layanan Federasi Direktori Aktif untuk mencegah kemampuan untuk melakukan pivot dari Layanan Federasi Direktori Aktif ke Azure?

Dengan federasi, penyerang dapat meniru siapa pun, seperti CIO, bahkan jika mereka tidak dapat memperoleh peran khusus cloud seperti akun Administrator Global.

Ketika domain digabungkan dalam MICROSOFT Entra ID, tingkat kepercayaan tinggi sedang ditempatkan pada IdP Federasi. Layanan Federasi Direktori Aktif adalah salah satu contoh, tetapi gagasan tersebut berlaku untuk IdP federasi apa pun . Banyak organisasi menyebarkan IdP federasi seperti Layanan Federasi Direktori Aktif secara eksklusif untuk menyelesaikan autentikasi berbasis sertifikat. Microsoft Entra CBA sepenuhnya menghapus dependensi LAYANAN Federasi Direktori Aktif dalam kasus ini. Dengan Microsoft Entra CBA, pelanggan dapat memindahkan properti aplikasi mereka ke ID Microsoft Entra untuk memodernisasi infrastruktur IAM mereka dan mengurangi biaya dengan peningkatan keamanan.

Dari perspektif keamanan, tidak ada perubahan pada kredensial, termasuk sertifikat X.509, CAC, PIV, dan sebagainya, atau ke PKI yang digunakan. Pemilik PKI mempertahankan kontrol penuh atas penerbitan sertifikat dan siklus hidup dan kebijakan pencabutan. Pemeriksaan pencabutan dan autentikasi terjadi di ID Microsoft Entra alih-alih Idp federasi. Pemeriksaan ini memungkinkan autentikasi tanpa kata sandi dan tahan pengelabuan langsung ke ID Microsoft Entra untuk semua pengguna.

Bagaimana cara kerja autentikasi dengan Federated AD FS dan autentikasi cloud Microsoft Entra dengan Windows?

Microsoft Entra CBA mengharuskan pengguna atau aplikasi untuk menyediakan Microsoft Entra UPN pengguna yang masuk.

Dalam contoh browser, pengguna paling sering mengetikan di MICROSOFT Entra UPN mereka. Microsoft Entra UPN digunakan untuk realm dan penemuan pengguna. Sertifikat yang digunakan kemudian harus cocok dengan pengguna ini dengan menggunakan salah satu pengikatan nama pengguna yang dikonfigurasi dalam kebijakan.

Di masuk Windows, kecocokan bergantung pada apakah perangkat tergabung dengan hibrid atau Microsoft Entra. Tetapi dalam kedua kasus, jika petunjuk nama pengguna disediakan, Windows akan mengirim petunjuk sebagai Microsoft Entra UPN. Sertifikat yang digunakan kemudian harus cocok dengan pengguna ini dengan menggunakan salah satu pengikatan nama pengguna yang dikonfigurasi dalam kebijakan.

Langkah berikutnya

• Gambaran umum Microsoft Entra CBA
• Penyelaman teknis mendalam untuk Microsoft Entra CBA
• Cara mengonfigurasi Microsoft Entra CBA
• Microsoft Entra CBA di perangkat iOS
• Microsoft Entra CBA di perangkat Android
• Masuk kartu pintar Windows menggunakan Microsoft Entra CBA
• ID pengguna sertifikat
• FAQ