Bagikan melalui

Migrasi dari autentikasi gabungan ke cloud

  • Artikel

Dalam artikel ini, Anda mempelajari cara menyebarkan autentikasi pengguna cloud dengan sinkronisasi hash Kata Sandi Microsoft Entra (PHS) atau autentikasi Pass-through (PTA). Sementara kami menyajikan kasus penggunaan untuk berpindah dari Layanan Federasi Direktori Aktif (AD FS) ke metode autentikasi cloud, panduan ini juga secara substansial berlaku untuk sistem lokal lainnya.

Sebelum melanjutkan, sebaiknya Anda meninjau panduan kami tentang memilih metode autentikasi yang tepat dan membandingkan metode yang paling sesuai untuk organisasi Anda.

Sebaiknya gunakan PHS untuk autentikasi cloud.

Peluncuran bertahap

Peluncuran bertahap adalah cara yang bagus untuk menguji grup pengguna secara selektif dengan kemampuan autentikasi cloud seperti autentikasi multifaktor Microsoft Entra, Akses Bersyarat, Perlindungan Identitas untuk kredensial bocor, Tata Kelola Identitas, dan lainnya, sebelum memotong domain Anda.

Lihat rencana penerapan peluncuran bertahap untuk memahami skenario yang didukung dan yang tidak didukung. Sebaiknya gunakan peluncuran bertahap untuk menguji sebelum menghentikan domain.

Alur proses migrasi

Alur proses untuk migrasi ke auth cloud

Prasyarat

Sebelum Anda memulai migrasi Anda, pastikan Anda memenuhi prasyarat ini.

Peran yang Diperlukan

Untuk peluncuran bertahap, Anda harus menjadi Administrator Identitas Hibrid di penyewa Anda.

Meningkatkan server Microsoft Entra Koneksi

Instal Microsoft Entra Koneksi (Microsoft Entra Koneksi) atau tingkatkan ke versi terbaru. Saat Anda meningkatkan server Microsoft Entra Koneksi, ini mengurangi waktu untuk bermigrasi dari Layanan Federasi Direktori Aktif ke metode autentikasi cloud dari jam berpotensi menjadi menit.

Dokumentasikan pengaturan federasi saat ini

Untuk menemukan pengaturan federasi Anda saat ini, jalankan Get-MsolDomainFederationSettings.

Get-MgDomainFederationConfiguration - DomainID yourdomain.com

Verifikasi pengaturan apa pun yang mungkin telah dikustomisasi untuk desain federasi dan dokumentasi penyebaran Anda. Secara khusus, cari kustomisasi di PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (jika federatedIdpMfaBehavior tidak diatur), dan PromptLoginBehavior.

Cadangkan pengaturan federasi

Meskipun penyebaran ini tidak mengubah pihak lain yang mengandalkan di farm Layanan Federasi Direktori Aktif Anda, Anda dapat mencadangkan pengaturan Anda:

  • Gunakan Microsoft Layanan Federasi Direktori Aktif Rapid Restore Tool untuk memulihkan farm yang ada atau membuat farm baru.

  • Ekspor kepercayaan pihak yang mengandalkan Microsoft 365 Identity Platform dan aturan klaim kustom terkait yang Anda tambahkan menggunakan contoh PowerShell berikut:

    
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"

Merencanakan proyek

Jika proyek teknologi gagal, hal ini biasanya karena harapan yang tidak cocok pada dampak, hasil, dan tanggung jawab. Untuk menghindari masalah ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran pemangku kepentingan dalam proyek dipahami dengan baik.

Merencanakan komunikasi

Setelah bermigrasi ke autentikasi cloud, pengalaman masuk pengguna untuk mengakses Microsoft 365 dan sumber daya lain yang diautentikasi melalui perubahan ID Microsoft Entra. Pengguna yang berada di luar jaringan hanya melihat halaman masuk Microsoft Entra.

Berkomunikasi secara proaktif dengan pengguna Anda bagaimana pengalaman mereka berubah, saat berubah, dan cara mendapatkan dukungan jika mereka mengalami masalah.

Merencanakan jendela pemeliharaan

Klien autentikasi modern (aplikasi Office 2016 dan Office 2013, iOS, serta Android) menggunakan token refresh yang valid untuk mendapatkan token akses baru untuk akses berkelanjutan ke sumber daya alih-alih kembali ke Layanan Federasi Direktori Aktif. Klien ini akan kebal terhadap permintaan kata sandi apa pun yang dihasilkan dari proses konversi domain. Klien terus berfungsi tanpa konfigurasi tambahan.

Catatan

Saat Anda bermigrasi dari terfederasi ke autentikasi cloud, proses untuk mengonversi domain dari terfederasi ke terkelola mungkin memakan waktu hingga 60 menit. Selama proses ini, pengguna mungkin tidak dimintai kredensial untuk masuk baru ke pusat admin Microsoft Entra atau aplikasi berbasis browser lainnya yang dilindungi dengan ID Microsoft Entra. Kami menyarankan Anda untuk menyertakan penundaan ini ke jendela pemeliharaan Anda.

Rencanakan untuk melakukan rollback

Tip

Pertimbangkan untuk merencanakan pengalihan domain selama jam kerja jika ada persyaratan pemutaran kembali.

Untuk merencanakan pemutaran kembali, gunakan pengaturan federasi saat ini yang terdokumentasi dan periksa dokumentasi desain dan penyebaran federasi.

Proses pembatalan harus mencakup konversi domain terkelola ke domain federasi dengan menggunakan cmdlet New-MgDomainFederationConfiguration . Jika perlu, konfigurasi aturan klaim tambahan.

Pertimbangan migrasi

Berikut adalah pertimbangan migrasi utama.

Merencanakan pengaturan kustomisasi

File onload.js tidak dapat diduplikasi dalam ID Microsoft Entra. Jika instans Layanan Federasi Direktori Aktif Anda sangat disesuaikan dan bergantung pada pengaturan kustomisasi tertentu dalam file onload.js, verifikasi apakah ID Microsoft Entra dapat memenuhi persyaratan dan rencana kustomisasi Anda saat ini. Komunikasikan perubahan yang akan datang ini kepada pengguna Anda.

Pengalaman masuk

Anda tidak dapat menyesuaikan pengalaman masuk Microsoft Entra. Tidak peduli bagaimana pengguna Anda masuk sebelumnya, Anda memerlukan nama domain yang sepenuhnya memenuhi syarat seperti Nama Prinsipal Pengguna (UPN) atau email untuk masuk ke ID Microsoft Entra.

Branding organisasi

Anda dapat mengkustomisasi halaman masuk Microsoft Entra. Beberapa perubahan visual dari Active Directory Federation Services pada halaman masuk harus diharapkan setelah konversi.

Catatan

Merek organisasi tidak tersedia dalam lisensi ID Microsoft Entra gratis kecuali Anda memiliki lisensi Microsoft 365.

Rencanakan kebijakan Akses Bersyar

Evaluasi apakah saat ini Anda menggunakan Akses Bersyarah untuk autentikasi, atau jika Anda menggunakan kebijakan kontrol akses di Layanan Federasi Direktori Aktif.

Pertimbangkan untuk mengganti kebijakan kontrol akses Layanan Federasi Direktori Aktif dengan kebijakan Akses Bersyarat Microsoft Entra yang setara dan Aturan Akses Klien Exchange Online. Anda dapat menggunakan ID Microsoft Entra atau grup lokal untuk Akses Bersyar.

Nonaktifkan Autentikasi Warisan - Karena peningkatan risiko yang terkait dengan protokol autentikasi warisan, buat kebijakan Akses Bersyarat untuk memblokir autentikasi warisan.

Rencanakan dukungan untuk MFA

Untuk domain federasi, MFA dapat diberlakukan oleh Microsoft Entra Conditional Access atau oleh penyedia federasi lokal. Anda dapat mengaktifkan perlindungan untuk mencegah melewati autentikasi multifaktor Microsoft Entra dengan mengonfigurasi pengaturan keamanan federatedIdpMfaBehavior. Aktifkan perlindungan untuk domain federasi di penyewa Microsoft Entra Anda. Pastikan bahwa autentikasi multifaktor Microsoft Entra selalu dilakukan ketika pengguna federasi mengakses aplikasi yang diatur oleh kebijakan Akses Bersyarat yang memerlukan MFA. Ini termasuk melakukan autentikasi multifaktor Microsoft Entra bahkan ketika penyedia identitas federasi telah mengeluarkan klaim token federasi bahwa MFA lokal telah dilakukan. Memberlakukan autentikasi multifaktor Microsoft Entra setiap kali memastikan bahwa aktor jahat tidak dapat melewati autentikasi multifaktor Microsoft Entra dengan meniru bahwa penyedia identitas sudah melakukan MFA dan sangat disarankan kecuali Anda melakukan MFA untuk pengguna federasi Anda menggunakan penyedia MFA pihak ketiga.

Tabel berikut menjelaskan perilaku untuk setiap opsi. Untuk informasi selengkapnya, lihat federatedIdpMfaBehavior.

Nilai Deskripsi
acceptIfMfaDoneByFederatedIdp MICROSOFT Entra ID menerima MFA yang dilakukan idP federasi. Jika penyedia identitas federasi tidak melakukan MFA, MICROSOFT Entra ID melakukan MFA.
enforceMfaByFederatedIdp MICROSOFT Entra ID menerima MFA yang dilakukan idP federasi. Jika penyedia identitas federasi tidak melakukan MFA, idP federasi mengalihkan permintaan ke penyedia identitas federasi untuk melakukan MFA.
rejectMfaByFederatedIdp MICROSOFT Entra ID selalu melakukan MFA dan menolak MFA yang dilakukan penyedia identitas federasi.

Pengaturan federatedIdpMfaBehavior adalah versi yang berevolusi dari properti SupportsMfacmdlet PowerShell MSOnline v1 Set-MsolDomainFederationSettings.

Untuk domain yang telah menetapkan properti SupportsMfa, aturan ini menentukan bagaimana federatedIdpMfaBehavior dan SupportsMfa bekerja sama:

  • Beralih antara federatedIdpMfaBehavior dan SupportsMfa tidak didukung.
  • Setelah properti federatedIdpMfaBehavior diatur, ID Microsoft Entra mengabaikan pengaturan SupportsMfa .
  • Jika properti federatedIdpMfaBehavior tidak pernah diatur, ID Microsoft Entra terus mematuhi pengaturan SupportsMfa.
  • Jika federatedIdpMfaBehavior maupun SupportsMfa tidak diatur, ID Microsoft Entra default ke acceptIfMfaDoneByFederatedIdp perilaku.

Anda dapat memeriksa status perlindungan dengan menjalankan Get-MgDomainFederationConfiguration:

Get-MgDomainFederationConfiguration -DomainId yourdomain.com

Rencana implementasi

Bagian ini mencakup pra-kerja sebelum Anda mengalihkan metode masuk dan mengonversi domain.

Membuat grup yang diperlukan untuk peluncuran bertahap

Jika Anda tidak menggunakan peluncuran bertahap, lewati langkah ini.

Buat grup untuk peluncuran bertahap dan juga untuk kebijakan Akses Bersyar jika Anda memutuskan untuk menambahkannya.

Kami sarankan Anda menggunakan grup yang dikuasai di ID Microsoft Entra, juga dikenal sebagai grup khusus cloud. Anda dapat menggunakan grup keamanan Microsoft Entra atau Grup Microsoft 365 untuk memindahkan pengguna ke MFA dan untuk kebijakan Akses Bersyar. Untuk informasi selengkapnya, lihat membuat grup keamanan Microsoft Entra, dan gambaran umum Grup Microsoft 365 ini untuk administrator.

Anggota dalam grup secara otomatis diaktifkan untuk peluncuran tahap. Grup berlapis dan dinamis tidak didukung untuk peluncuran bertahap.

Prapekerjaan untuk SSO

Versi SSO yang Anda gunakan bergantung pada OS perangkat Anda dan status gabungan.

Prapekerjaan untuk PHS dan PTA

Tergantung pada pilihan metode masuk, selesaikan prakerja untuk PHS atau untuk PTA.

Menerapkan solusi

Akhirnya, Anda beralih metode masuk ke PHS atau PTA, seperti yang direncanakan dan mengonversi domain dari federasi ke autentikasi cloud.

Menggunakan peluncuran bertahap

Jika Anda menggunakan peluncuran bertahap, ikuti langkah-langkah dalam tautan di bawah ini:

  1. Mengaktifkan peluncuran bertahap fitur tertentu pada penyewa Anda.

  2. Setelah pengujian selesai, konversi domain dari federasi untuk dikelola.

Tanpa menggunakan peluncuran bertahap

Anda memiliki dua opsi untuk mengaktifkan perubahan ini:

  • Opsi A: Beralih menggunakan Microsoft Entra Koneksi.

    Tersedia jika Anda awalnya mengonfigurasi lingkungan Federasi Direktori Aktif/ ping-federasi dengan menggunakan Microsoft Entra Koneksi.

  • Opsi B: Beralih menggunakan Microsoft Entra Koneksi dan PowerShell

    Tersedia jika Anda awalnya tidak mengonfigurasi domain federasi dengan menggunakan Microsoft Entra Koneksi atau jika Anda menggunakan layanan federasi pihak ketiga.

Untuk memilih salah satu opsi ini, Anda harus mengetahui pengaturan Anda saat ini.

Memverifikasi pengaturan Koneksi Microsoft Entra saat ini

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Hibrid.
  2. Telusuri ke Manajemen>Hibrid Identitas>Sinkronisasi Microsoft Entra Koneksi> Cloud.Cuplikan layar beranda sinkronisasi cloud.
  1. Verifikasi pengaturan SIGN_IN PENGGUNA seperti yang ditunjukkan dalam diagram ini:

Memverifikasi pengaturan Koneksi Microsoft Entra saat ini

Verifikasi cara federasi dikonfigurasikan:

  1. Di server Microsoft Entra Koneksi Anda, buka Microsoft Entra Koneksi dan pilih Konfigurasikan.

  2. Di bawah Tugas Tambahan > Kelola Federasi, pilih Lihat konfigurasi federasi.

    Menampilkan cara mengelola federasi

    Jika konfigurasi Layanan Federasi Direktori Aktif muncul di bagian ini, Anda dapat dengan aman mengasumsikan bahwa Layanan Federasi Direktori Aktif awalnya dikonfigurasi dengan menggunakan Microsoft Entra Koneksi. Lihat gambar di bawah ini sebagai contoh-

    Menampilkan konfigurasi Layanan Federasi Direktori Aktif

    Jika Layanan Federasi Direktori Aktif tidak terdaftar di pengaturan saat ini, Anda harus secara manual mengonversi domain dari identitas federasi ke identitas terkelola dengan menggunakan PowerShell.

Opsi A

Beralih dari federasi ke metode masuk baru dengan menggunakan Microsoft Entra Koneksi

  1. Di server Microsoft Entra Koneksi Anda, buka Microsoft Entra Koneksi dan pilih Konfigurasikan.

  2. Di bawah laman Tugas tambahan, pilih Ubah info masuk pengguna, lalu pilih Berikutnya.

    Menampilkan Tugas tambahan

  3. Pada halaman Koneksi ke ID Microsoft Entra, masukkan kredensial akun Administrator Global Anda.

  4. Pada halaman Masuk pengguna:

    • Jika Anda memilih tombol opsi Autentikasi pass-through, dan jika SSO diperlukan untuk perangkat Windows 7 dan 8.1, centang Aktifkan akses menyeluruh, lalu pilih Berikutnya.

    • Jika Anda memilih tombol opsi sinkronisasi hash kata sandi, pastikan untuk mencentang kotak Jangan konversi akun pengguna. Opsi ini tidak digunakan lagi. Jika SSO diperlukan untuk perangkat Windows 7 dan 8.1, centang Aktifkan akses menyeluruh, lalu pilih Berikutnya.

      Periksa aktifkan akses menyeluruh pada halaman masuk Pengguna

    Pelajari selengkapnya: Mengaktifkan SSO tanpa hambatan dengan menggunakan PowerShell.

  5. Di halaman Aktifkan akses menyeluruh, masukkan info masuk akun Administrator Domain, lalu pilih Berikutnya.

    Mengaktifkan halaman akses menyeluruh

    Info masuk akun Administrator Domain diperlukan untuk mengaktifkan SSO yang mulus. Proses menyelesaikan tindakan berikut, yang memerlukan izin yang ditingkatkan ini:

    • Akun komputer bernama AZUREADSSO (yang mewakili MICROSOFT Entra ID) dibuat dalam instans Active Directory lokal Anda.
    • Kunci dekripsi Kerberos akun komputer dibagikan dengan aman dengan ID Microsoft Entra.
    • Dua nama prinsipal layanan (SPN) Kerberos dibuat untuk mewakili dua URL yang digunakan selama masuk Microsoft Entra.

    Kredensial administrator domain tidak disimpan di Microsoft Entra Koneksi atau MICROSOFT Entra ID dan dibuang ketika proses berhasil diselesaikan. Mereka digunakan untuk MENGAKTIFKAN fitur ini.

    Pelajari lebih lanjut: Penyelaman teknis SSO tanpa hambatan.

  6. Pada halaman Siap untuk dikonfigurasi, pastikan bahwa kotak centang Mulai proses sinkronisasi saat konfigurasi selesai dipilih. Lalu, pilih Konfigurasikan.

    Siap untuk mengonfigurasi halaman

    Penting

    Pada titik ini, semua domain federasi Anda berubah menjadi autentikasi terkelola. Metode masuk Pengguna yang Anda pilih adalah metode autentikasi baru.

  7. Di pusat admin Microsoft Entra, pilih ID Microsoft Entra, lalu pilih Microsoft Entra Koneksi.

  8. Verifikasi setelan ini:

    • Federasi diatur ke Dinonaktifkan.
    • Akses menyeluruh tanpa hambatan diatur ke Diaktifkan.
    • Sinkronisasi Hash Sandi disetel ke Diaktifkan.

    Memverifikasi ulang pengaturan pengguna saat ini

  9. Jika Anda beralih ke PTA, ikuti langkah selanjutnya.

Menyebarkan lebih banyak agen autentikasi untuk PTA

Catatan

PTA memerlukan penyebaran agen ringan di server Microsoft Entra Koneksi dan di komputer lokal Anda yang menjalankan server Windows. Untuk mengurangi latensi, instal agen sedekat mungkin dengan pengendali domain Direktori Aktif Anda.

Untuk sebagian besar pelanggan, dua atau tiga agen autentikasi cukup untuk menyediakan ketersediaan tinggi dan kapasitas yang dibutuhkan. Penyewa dapat memiliki maksimal 12 agen yang terdaftar. Agen pertama selalu diinstal di server Microsoft Entra Koneksi itu sendiri. Untuk mempelajari tentang batasan agen dan opsi penyebaran agen, lihat Autentikasi pass-through Microsoft Entra: Batasan saat ini.

  1. Pilih Autentikasi Pass-through.

  2. Di halaman Autentikasi pass-through, pilih tombol Unduh.

  3. Pada halaman Unduh agen, pilih Terima istilah dan unduh.f

    Lebih banyak agen autentikasi mulai mengunduh. Instal agen autentikasi sekunder di server gabungan domain.

  4. Jalankan penginstalan agen autentikasi. Selama penginstalan, Anda harus memasukkan info masuk akun Administrator Global.

  5. Ketika agen autentikasi diinstal, Anda dapat kembali ke halaman kesehatan PTA untuk memeriksa status agen lainnya.

Opsi B

Beralih dari federasi ke metode masuk baru dengan menggunakan Microsoft Entra Koneksi dan PowerShell

Tersedia jika Anda awalnya tidak mengonfigurasi domain federasi dengan menggunakan Microsoft Entra Koneksi atau jika Anda menggunakan layanan federasi pihak ketiga.

Di server Microsoft Entra Koneksi Anda, ikuti langkah 1- 5 di Opsi A. Perhatikan bahwa pada halaman Masuk pengguna, opsi Jangan konfigurasikan telah dipilih sebelumnya.

Lihat opsi Jangan Konfigurasi di halaman masuk pengguna

  1. Di pusat admin Microsoft Entra, pilih ID Microsoft Entra, lalu pilih Microsoft Entra Koneksi.

  2. Verifikasi setelan ini:

  • Federasi diatur ke Diaktifkan.

  • SSO tanpa hambatan diatur ke Dinonaktifkan.

  • Sinkronisasi Hash Sandi disetel ke Diaktifkan.

    Memverifikasi pengaturan pengguna saat ini di pusat admin Microsoft Entra

Dalam kasus PTA saja, ikuti langkah-langkah ini untuk menginstal lebih banyak server agen PTA.

  1. Di pusat admin Microsoft Entra, pilih ID Microsoft Entra, lalu pilih Microsoft Entra Koneksi.

  2. Pilih Autentikasi Pass-through. Verifikasi bahwa status diatur ke Aktif.

    Pengaturan autentikasi pass-through

    Jika agen autentikasi tidak aktif, selesaikan beberapa langkah pemecahan masalah sebelum Anda melanjutkan proses konversi domain di langkah berikutnya. Anda berisiko menyebabkan pemadaman autentikasi jika Anda mengonversi domain sebelum memvalidasi bahwa agen PTA Anda berhasil diinstal dan statusnya Aktif di pusat admin Microsoft Entra.

  3. Menyebarkan lebih banyak agen autentikasi.

Mengonversi domain dari federasi ke dikelola

Pada titik ini, autentikasi gabungan masih aktif dan beroperasi untuk domain Anda. Untuk melanjutkan penyebaran, Anda harus mengonversi setiap domain dari identitas gabungan menjadi identitas terkelola.

Penting

Anda tidak harus mengonversi semua domain pada saat yang bersamaan. Anda dapat memilih untuk memulai dengan domain percobaan di penyewa produksi atau memulai dengan domain Anda yang memiliki jumlah pengguna terendah.

Selesaikan konversi dengan menggunakan Microsoft Graph PowerShell SDK:

  1. Di PowerShell, masuk ke ID Microsoft Entra dengan menggunakan akun Administrator Global.

     Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Untuk mengonversi domain pertama, jalankan perintah berikut:

     Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"

  3. Di pusat admin Microsoft Entra, pilih Microsoft Entra ID > Microsoft Entra Koneksi.

  4. Verifikasi bahwa domain telah dikonversi ke dikelola dengan menjalankan perintah di bawah ini. Jenis Autentikasi harus diatur ke dikelola.

    Get-MgDomain -DomainId yourdomain.com

Selesaikan migrasi Anda

Selesaikan tugas berikut untuk memverifikasi metode pendaftaran dan menyelesaikan proses konversi.

Menguji metode masuk baru

Saat penyewa Anda menggunakan identitas federasi, pengguna dialihkan dari halaman masuk Microsoft Entra ke lingkungan LAYANAN Federasi Direktori Aktif Anda. Sekarang penyewa dikonfigurasi untuk menggunakan metode masuk baru daripada autentikasi gabungan, pengguna tidak dialihkan ke AD FS.

Sebagai gantinya, pengguna masuk langsung di halaman masuk Microsoft Entra.

Ikuti langkah-langkah di tautan ini - Validasi kredensial masuk dengan PHS/PTA dan SSO tanpa kendala (jika diperlukan)

Menghapus pengguna dari peluncuran bertahap

Jika Anda menggunakan peluncuran bertahap, Anda harus ingat untuk menonaktifkan fitur peluncuran bertahap setelah Anda selesai memotong.

Untuk menonaktifkan fitur peluncuran bertahap, geser kontrol kembali ke Off.

Menyinkronkan pembaruan UserPrincipalName

Secara historis, pembaruan atribut UserPrincipalName, yang menggunakan layanan sinkronisasi dari lingkungan lokal, akan diblokir kecuali kedua kondisi ini benar:

  • Pengguna berada di domain identitas terkelola (nonfederasi).
  • Pengguna belum diberi lisensi.

Untuk mempelajari cara memverifikasi atau mengaktifkan fitur ini, lihat Menyinkronkan pembaruan userPrincipalName.

Mengelola implementasi Anda

Gulir kunci dekripsi Kerberos SSO tanpa hambatan

Sebaiknya lakukan rollover kunci dekripsi Kerberos setidaknya setiap 30 hari untuk menyelaraskan dengan cara anggota domain direktori aktif mengirimkan perubahan kata sandi. Tidak ada perangkat terkait yang terpasang ke objek akun komputer AZUREADSSO, jadi Anda harus melakukan rollover secara manual.

Lihat Tanya Jawab Umum Bagaimana cara melakukan rollover kunci dekripsi Kerberos dari akun komputer AZUREADSSO?.

Pemantauan dan pengelogan

Pantau server yang menjalankan agen autentikasi untuk menjaga ketersediaan solusi. Selain penghitung kinerja server umum, agen autentikasi mengekspos objek kinerja yang dapat membantu Anda memahami statistik dan kesalahan autentikasi.

Agen autentikasi log operasi ke log peristiwa Windows yang terletak di bawah log aplikasi dan layanan. Anda juga dapat mengaktifkan pengelogan untuk pemecahan masalah.

Untuk mengonfirmasi berbagai tindakan yang dilakukan pada peluncuran bertahap, Anda dapat Mengaudit peristiwa untuk PHS, PTA, atau SSO tanpa hambatan.

Pecahkan masalah

Tim dukungan Anda harus memahami cara memecahkan masalah autentikasi yang muncul baik selama, atau setelah perubahan dari federasi ke kelola. Gunakan dokumentasi pemecahan masalah berikut untuk membantu tim dukungan Anda membiasakan diri dengan langkah-langkah pemecahan masalah umum dan tindakan yang sesuai yang dapat membantu mengisolasi dan mengatasi masalah tersebut.

Infrastruktur Layanan Federasi Direktori Aktif Penonaktifan

Memigrasikan autentikasi aplikasi dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra

Migrasi memerlukan penilaian bagaimana aplikasi dikonfigurasi secara lokal, lalu memetakan konfigurasi tersebut ke ID Microsoft Entra.

Jika Anda berencana untuk tetap menggunakan Layanan Federasi Direktori Aktif dengan Aplikasi Lokal & SaaS menggunakan protokol SAML / WS-FED atau Oauth, Anda akan menggunakan LAYANAN Federasi Direktori Aktif dan ID Microsoft Entra setelah mengonversi domain untuk autentikasi pengguna. Dalam hal ini, Anda dapat melindungi aplikasi dan sumber daya lokal Anda dengan Secure Hybrid Access (SHA) melalui proksi aplikasi Microsoft Entra atau salah satu integrasi mitra ID Microsoft Entra. Menggunakan Proksi Aplikasi atau salah satu mitra kami dapat memberikan akses jarak jauh yang aman ke aplikasi lokal Anda. Pengguna mendapatkan keuntungan dengan menyambungkan dengan mudah ke aplikasi mereka dari perangkat apa pun setelah akses menyeluruh.

Anda dapat memindahkan aplikasi SaaS yang saat ini digabungkan dengan ADFS ke ID Microsoft Entra. Konfigurasi ulang untuk mengautentikasi dengan ID Microsoft Entra baik melalui konektor bawaan dari galeri Aplikasi Azure, atau dengan mendaftarkan aplikasi di ID Microsoft Entra.

Untuk informasi selengkapnya, lihat Memindahkan autentikasi aplikasi dari Layanan Federasi Direktori Aktif ke ID Microsoft Entra.

Hapus kepercayaan pihak yang mengandalkan

Jika Anda memiliki Microsoft Entra Koneksi Health, Anda dapat memantau penggunaan dari pusat admin Microsoft Entra. Jika penggunaan tidak menunjukkan req autentikasi baru dan Anda memvalidasi bahwa semua pengguna dan klien berhasil mengautentikasi melalui ID Microsoft Entra, aman untuk menghapus kepercayaan pihak yang mengandalkan Microsoft 365.

Jika Anda tidak menggunakan AD FS untuk tujuan lain (yaitu, untuk kepercayaan pihak yang mengandalkan lainnya), Anda dapat menonaktifkan AD FS sekarang juga.

Menghapus LAYANAN Federasi Direktori Aktif

Untuk daftar lengkap langkah-langkah yang harus diambil untuk menghapus AD FS sepenuhnya dari lingkungan, ikuti panduan penonaktifan Layanan Federasi Direktori Aktif (AD FS).

Langkah berikutnya