Eseguire la migrazione dal server MFA all'autenticazione a più fattori Microsoft Entra

Articolo
10/25/2023

L'autenticazione a più fattori è importante per proteggere l'infrastruttura e gli asset da attori malintenzionati. Il server Azure Multi-Factor Authentication (server MFA) non è disponibile per le nuove distribuzioni e sarà deprecato. I clienti che usano il server MFA devono passare all'uso dell'autenticazione a più fattori Microsoft Entra basata sul cloud.

In questo articolo si presuppone che si disponga di un ambiente ibrido in cui:

Si usa il server MFA per l'autenticazione a più fattori.
Si usa la federazione in Microsoft Entra ID con Active Directory Federation Services (AD FS) o un altro prodotto federativo del provider di identità.
- Anche se questo articolo ha come ambito AD FS, passaggi simili si applicano ad altri provider di identità.
Il server MFA è integrato con AD FS.
È possibile che siano presenti applicazioni che usano AD FS per l'autenticazione.

Esistono più stati finali possibili per la migrazione, a seconda dell'obiettivo.

	Obiettivo: Rimuovere solo il server MFA	Obiettivo: Rimuovere le autorizzazioni del server MFA e passare all'autenticazione di Microsoft Entra	Obiettivo: Rimuovere le autorizzazioni del server MFA e AD FS
Provider MFA	Modificare il provider MFA da MFA Server all'autenticazione a più fattori Microsoft Entra.	Modificare il provider MFA da MFA Server all'autenticazione a più fattori Microsoft Entra.	Modificare il provider MFA da MFA Server all'autenticazione a più fattori Microsoft Entra.
Autenticazione dell'utente	Continuare a usare la federazione per l'autenticazione di Microsoft Entra.	Passare a Microsoft Entra ID con la sincronizzazione dell'hash delle password (preferita) o l'autenticazione pass-through e l'accesso Single Sign-On facile (SSO).	Passare a Microsoft Entra ID con la sincronizzazione dell'hash delle password (preferita) o l'autenticazione pass-through e l'accesso SSO.
Autenticazione applicazione	Continuare a usare l'autenticazione ad AD FS per le applicazioni.	Continuare a usare l'autenticazione ad AD FS per le applicazioni.	Spostare le app in Microsoft Entra ID prima di eseguire la migrazione all'autenticazione a più fattori Di Microsoft Entra.

Se possibile, spostare sia l'autenticazione a più fattori che l'autenticazione utente in Azure. Per istruzioni dettagliate, vedere Passaggio all'autenticazione a più fattori Di Microsoft Entra e autenticazione utente di Microsoft Entra.

Se non è possibile spostare l'autenticazione utente, vedere le istruzioni dettagliate per passare all'autenticazione a più fattori Di Microsoft Entra con la federazione.

Prerequisiti

Ambiente AD FS (obbligatorio se non si esegue la migrazione di tutte le app a Microsoft Entra prima della migrazione del server MFA)
- Eseguire l'aggiornamento ad AD FS per Windows Server 2019, livello di comportamento della farm (FBL) 4. Questo aggiornamento consente di selezionare il provider di autenticazione in base all'appartenenza al gruppo per una transizione utente più semplice. Anche se è possibile eseguire la migrazione in AD FS per Windows Server 2016 FBL 3, non è così facile per gli utenti. Durante la migrazione, agli utenti viene richiesto di selezionare un provider di autenticazione (MFA Server o autenticazione a più fattori Microsoft Entra) fino al completamento della migrazione.
Autorizzazioni
- Ruolo di amministratore dell'organizzazione in Active Directory per configurare la farm AD FS per l'autenticazione a più fattori Microsoft Entra
- Ruolo di amministratore globale in Microsoft Entra ID per configurare Microsoft Entra ID tramite PowerShell

Considerazioni su tutti i percorsi di migrazione

La migrazione dal server MFA all'autenticazione a più fattori Di Microsoft Entra comporta più che spostare solo i numeri di telefono MFA registrati. Il server MFA di Microsoft può essere integrato con molti sistemi ed è necessario valutare in che modo questi sistemi usano MFA Server per comprendere i modi migliori per l'integrazione con l'autenticazione a più fattori Di Microsoft Entra.

Migrazione delle informazioni utente MFA

I modi comuni per pensare allo spostamento degli utenti in batch includono lo spostamento in base a aree, reparti o ruoli come gli amministratori. È consigliabile spostare gli account utente in modo iterativo, a partire dai gruppi di test e pilota e assicurarsi di disporre di un piano di rollback.

È possibile usare l'Utilità migrazione server MFA per sincronizzare i dati MFA archiviati nel server Azure MFA locale con l'autenticazione a più fattori Microsoft Entra e usare l'implementazione a più fattori per reindirizzare gli utenti ad Azure MFA. L'implementazione a fasi consente di testare senza apportare modifiche alle impostazioni di federazione del dominio.

Per consentire agli utenti di distinguere l'account appena aggiunto dall'account precedente collegato al server MFA, assicurarsi che il nome account per l'app per dispositivi mobili nel server MFA sia denominato in modo da distinguere i due account. Ad esempio, il nome dell'account visualizzato in App per dispositivi mobili nel server MFA è stato rinominato in Server MFA locale. Il nome dell'account in Microsoft Authenticator cambierà con la notifica push successiva all'utente.

La migrazione dei numeri di telefono può anche causare la migrazione di numeri non aggiornati e rendere gli utenti più propensi a rimanere sull'autenticazione a più fattori basata sul telefono invece di configurare metodi più sicuri come Microsoft Authenticator in modalità senza password. È quindi consigliabile che, indipendentemente dal percorso di migrazione scelto, tutti gli utenti si registrino per ottenere informazioni di sicurezza combinate.

Migrazione delle chiavi di sicurezza hardware

Microsoft Entra ID fornisce supporto per i token hardware OATH. È possibile usare l'Utilità migrazione server MFA per sincronizzare le impostazioni MFA tra il server MFA e l'autenticazione a più fattori Di Microsoft Entra e usare l'implementazione a fasi per testare le migrazioni degli utenti senza modificare le impostazioni di federazione del dominio.

Se si vuole eseguire solo la migrazione dei token hardware OATH, è necessario caricare i token in Microsoft Entra ID usando un file CSV, comunemente definito "file di inizializzazione". Il file di inizializzazione contiene le chiavi segrete, i numeri di serie del token e altre informazioni necessarie per caricare i token in Microsoft Entra ID.

Se il file di inizializzazione non è più disponibile con le chiavi segrete, non è possibile esportare le chiavi segrete dal server MFA. Se non si ha più accesso alle chiavi segrete, contattare il fornitore dell'hardware per ricevere supporto.

È possibile usare MFA Server Web Service SDK per esportare il numero di serie per tutti i token OATH assegnati a un determinato utente. È possibile usare queste informazioni insieme al file di inizializzazione per importare i token nell'ID Microsoft Entra e assegnare il token OATH all'utente specificato in base al numero di serie. L'utente dovrà anche essere contattato al momento dell'importazione per fornire informazioni OTP dal dispositivo per completare la registrazione. Fare riferimento all'argomento del file della Guida GetUserInfo>user Impostazioni> OathTokenSerialNumber nel server Multi-Factor Authentication nel server MFA.

Altre migrazioni

La decisione di eseguire la migrazione dal server MFA all'autenticazione a più fattori Di Microsoft Entra apre la porta per altre migrazioni. Il completamento di altre migrazioni dipende da molti fattori, tra cui:

La volontà di usare l'autenticazione di Microsoft Entra per gli utenti
La volontà di spostare le applicazioni in Microsoft Entra ID

Poiché il server MFA è parte integrante sia dell'autenticazione dell'applicazione che dell'utente, prendere in considerazione lo spostamento di entrambe le funzioni in Azure come parte della migrazione MFA e infine rimuovere ad AD FS.

I nostri consigli:

Usare l'ID Entra di Microsoft per l'autenticazione perché consente una sicurezza e una governance più affidabili
Spostare le applicazioni in Microsoft Entra ID, se possibile

Per selezionare il metodo di autenticazione utente migliore per l'organizzazione, vedere Scegliere il metodo di autenticazione appropriato per la soluzione di gestione delle identità ibrida di Microsoft Entra. È consigliabile usare la sincronizzazione dell'hash delle password (PHS).

Autenticazione senza password

Nell'ambito della registrazione degli utenti per l'uso di Microsoft Authenticator come secondo fattore, è consigliabile abilitare l'accesso tramite telefono senza password come parte della registrazione. Per altre informazioni, inclusi altri metodi senza password, ad esempio chiavi di sicurezza FIDO2 e Windows Hello for Business, vedere Pianificare una distribuzione di autenticazione senza password con Microsoft Entra ID.

Reimpostazione della password self-service di Microsoft Identity Manager

La reimpostazione della password self-service di Microsoft Identity Manager (MIM) può usare il server MFA per richiamare passcode SMS monouso come parte del flusso di reimpostazione della password. Non è possibile configurare MIM per l'uso dell'autenticazione a più fattori Microsoft Entra. È consigliabile valutare lo spostamento del servizio reimpostazione della password self-service in Microsoft Entra SSPR. È possibile usare l'opportunità per gli utenti di registrarsi per l'autenticazione a più fattori Di Microsoft Entra per usare l'esperienza di registrazione combinata per la reimpostazione della password self-service di Microsoft Entra.

Se non è possibile spostare il servizio reimpostazione della password self-service o si usa il server MFA per richiamare le richieste MFA per scenari PAM (Privileged Access Management), è consigliabile eseguire l'aggiornamento a un'opzione MFA alternativa di terze parti.

Client RADIUS e autenticazione a più fattori Microsoft Entra

Il server MFA supporta RADIUS per richiamare l'autenticazione a più fattori per le applicazioni e i dispositivi di rete che supportano il protocollo. Se si usa RADIUS con il server MFA, è consigliabile spostare le applicazioni client in protocolli moderni, ad esempio SAML, OpenID Connessione o OAuth in Microsoft Entra ID. Se l'applicazione non può essere aggiornata, è possibile distribuire Server dei criteri di rete con l'estensione di autenticazione a più fattori Microsoft Entra. L'estensione server dei criteri di rete funge da scheda tra applicazioni basate su RADIUS e l'autenticazione a più fattori Microsoft Entra per fornire un secondo fattore di autenticazione. Questo "adattatore" consente di spostare i client RADIUS nell'autenticazione a più fattori Microsoft Entra e rimuovere le autorizzazioni del server MFA.

Considerazioni importanti

Esistono limitazioni quando si usa Server dei criteri di rete per i client RADIUS e si consiglia di valutare eventuali client RADIUS per determinare se è possibile aggiornarli ai protocolli di autenticazione moderni. Rivolgersi al provider di servizi per le versioni di prodotto supportate e le relative funzionalità.

L'estensione NPS non usa i criteri di accesso condizionale di Microsoft Entra. Se si usa RADIUS e si usa l'estensione NPS, tutte le richieste di autenticazione che passano a Server dei criteri di rete richiederanno all'utente di eseguire l'autenticazione a più fattori.
Gli utenti devono registrarsi per l'autenticazione a più fattori Di Microsoft Entra prima di usare l'estensione NPS. In caso contrario, l'estensione non riesce a autenticare l'utente, che può generare chiamate help desk.
Quando l'estensione NPS richiama MFA, la richiesta MFA viene inviata al metodo MFA predefinito dell'utente.
- Poiché l'accesso avviene in applicazioni non Microsoft, spesso l'utente non può visualizzare la notifica visiva che è necessaria l'autenticazione a più fattori e che una richiesta è stata inviata al dispositivo.
- Durante il requisito di autenticazione a più fattori, l'utente deve avere accesso al metodo di autenticazione predefinito per completare il requisito. Non possono scegliere un metodo alternativo. Il metodo di autenticazione predefinito verrà usato anche se è disabilitato nei metodi di autenticazione tenant e nei criteri di autenticazione a più fattori.
- Gli utenti possono modificare il metodo di autenticazione a più fattori predefinito nella pagina Informazioni di sicurezza (aka.ms/mysecurityinfo).
I metodi MFA disponibili per i client RADIUS sono controllati dai sistemi client che inviano le richieste di accesso RADIUS.
- I metodi MFA che richiedono l'input dell'utente dopo l'immissione di una password possono essere usati solo con i sistemi che supportano le risposte di richiesta di accesso con RADIUS. I metodi di input possono includere token OTP, OATH hardware o Microsoft Authenticator.
- Alcuni sistemi potrebbero limitare i metodi di autenticazione a più fattori disponibili alle notifiche push e alle chiamate telefoniche di Microsoft Authenticator.

Nota

L'algoritmo di crittografia delle password usato tra il client RADIUS e il sistema NPS e i metodi di input che il client può usare influisce sui metodi di autenticazione disponibili. Per altre informazioni, vedere Determinare i metodi di autenticazione che gli utenti possono usare.

Le integrazioni client RADIUS comuni includono applicazioni come Gateway Desktop remoto e server VPN. Altri potrebbero includere:

Citrix Gateway
- Citrix Gateway supporta l'integrazione dell'estensione RADIUS e NPS e un'integrazione SAML.
Cisco VPN
- Cisco VPN supporta sia l'autenticazione RADIUS che l'autenticazione SAML per l'accesso SSO.
- Passando dall'autenticazione RADIUS a SAML, è possibile integrare cisco VPN senza distribuire l'estensione NPS.
Tutte le VPN
- Se possibile, è consigliabile eseguire la federazione della VPN come app SAML. Questa federazione consentirà di usare l'accesso condizionale. Per altre informazioni, vedere un elenco di fornitori vpn integrati nella raccolta di app Microsoft Entra ID .