Eseguire la migrazione all'autenticazione cloud usando l'implementazione a fasi

L'implementazione a fasi consente di testare in modo selettivo gruppi di utenti con funzionalità di autenticazione cloud come l'autenticazione a più fattori Microsoft Entra, l'accesso condizionale, Identity Protection per le credenziali perse, La governance delle identità e altri utenti, prima di tagliare i domini. Questo articolo illustra come eseguire il passaggio.

Prima di iniziare l'implementazione a fasi, è necessario considerare le implicazioni se una o più delle condizioni seguenti sono vere:

  • Attualmente si usa un server Multi-Factor Authentication locale.
  • Si usano smart card per l'autenticazione.
  • Il server corrente offre alcune funzionalità solo per la federazione.
  • Si passa da una soluzione federativa di terze parti ai servizi gestiti.

Prima di provare questa funzionalità, è consigliabile rivedere la guida relativa alla scelta del metodo di autenticazione appropriato. Per altre informazioni, vedere la tabella "Confronto dei metodi" in Scegliere il metodo di autenticazione appropriato per la soluzione di gestione delle identità ibrida Di Microsoft Entra.

Per una panoramica della funzionalità, vedere questo video "What is Staged Rollout?" (Che cos'è l'implementazione a fasi?):

Prerequisiti

  • Si dispone di un tenant di Microsoft Entra con domini federati.

  • Si è deciso di spostare una delle opzioni seguenti:

    Per entrambe le opzioni, è consigliabile abilitare l'accesso Single Sign-On (SSO) per ottenere un'esperienza di accesso invisibile all'utente. Per i dispositivi Windows 7 o 8.1 aggiunti a un dominio, è consigliabile usare l'accesso Single Sign-On facile. Per altre informazioni, vedere Che cos'è l'accesso Single Sign-On facile. Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare l'accesso SSO tramite il token di aggiornamento primario (PRT) con dispositivi aggiunti a Microsoft Entra, dispositivi aggiunti a Microsoft Entra ibridi o dispositivi registrati personali tramite Aggiungi account aziendale o dell'istituto di istruzione.

  • Sono stati configurati tutti i criteri di personalizzazione del tenant e di accesso condizionale appropriati necessari per gli utenti di cui viene eseguita la migrazione all'autenticazione cloud.

  • Se si è passati dall'autenticazione federata all'autenticazione cloud, è necessario verificare che l'impostazione SynchronizeUpnForManagedUsers DirSync sia abilitata. In caso contrario, Microsoft Entra ID non consente gli aggiornamenti della sincronizzazione all'UPN o all'ID di accesso alternativo per gli account utente con licenza che usano l'autenticazione gestita. Per altre informazioni, vedere Funzionalità del servizio Microsoft Entra Connessione Sync.

  • Se si prevede di usare l'autenticazione a più fattori Microsoft Entra, è consigliabile usare la registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori per fare in modo che gli utenti registrino i metodi di autenticazione una sola volta. Nota: quando si usa la reimpostazione della password self-service per reimpostare la password o modificare la password usando la pagina MyProfile durante l'implementazione a fasi, Microsoft Entra Connessione deve sincronizzare il nuovo hash della password che può richiedere fino a 2 minuti dopo la reimpostazione.

  • Per usare la funzionalità Di implementazione a fasi, è necessario essere un Amministrazione istrator di identità ibrida nel tenant.

  • Per abilitare l'accesso Single Sign-On facile in una foresta di Active Directory specifica, è necessario essere un amministratore di dominio.

  • Se stai distribuendo l'ID Microsoft Entra ibrido o l'aggiunta a Microsoft Entra, devi eseguire l'aggiornamento a Windows 10 1903.

Scenari supportati

Gli scenari seguenti sono supportati per l'implementazione a fasi. La funzionalità può essere usata solo nei casi seguenti:

  • Utenti di cui viene effettuato il provisioning in Microsoft Entra ID utilizzando Microsoft Entra Connessione. Non si applica agli utenti solo cloud.

  • Traffico di accesso utente in browser e client con autenticazione moderna. Le applicazioni o i servizi cloud che usano l'autenticazione legacy fallback ai flussi di autenticazione federati. Un esempio di autenticazione legacy potrebbe essere Exchange Online con l'autenticazione moderna disattivata o Outlook 2010, che non supporta l'autenticazione moderna.

  • Le dimensioni del gruppo sono attualmente limitate a 50.000 utenti. Se si hanno gruppi di dimensioni superiori a 50.000 utenti, è consigliabile suddividere questo gruppo su più gruppi per l'implementazione a fasi.

  • Windows 10 Hybrid Join o Microsoft Entra join primary refresh token acquisition without line-of-sight to the federation server for Windows 10 version 1903 and newer, when user's UPN is routable and domain suffix is verified in Microsoft Entra ID.

  • La registrazione di Autopilot è supportata nell'implementazione a fasi con Windows 10 versione 1909 o successiva.

Scenari non supportati

Gli scenari seguenti non sono supportati per l'implementazione a fasi:

  • L'autenticazione legacy, ad esempio POP3 e SMTP, non è supportata.

  • Alcune applicazioni inviano il parametro di query "domain_hint" a Microsoft Entra ID durante l'autenticazione. Questi flussi continuano e gli utenti abilitati per l'implementazione a fasi continuano a usare la federazione per l'autenticazione.

  • Gli amministratori possono implementare l'autenticazione cloud usando i gruppi di sicurezza. Per evitare latenza di sincronizzazione durante l'uso dei gruppi di sicurezza Active Directory locali, è consigliabile usare gruppi di sicurezza cloud. Vengono applicate le seguenti condizioni:

    • È possibile usare un massimo di 10 gruppi per ogni funzionalità, vale a dire 10 gruppi per sincronizzazione dell'hash delle password, 10 per autenticazione pass-through e 10 per accesso Single Sign-On facile.
    • I gruppi annidati non sono supportati.
    • I gruppi dinamici non sono supportati per l'implementazione a fasi.
    • Gli oggetti contatto all'interno del gruppo impediscono l'aggiunta del gruppo.
  • Quando si aggiunge un gruppo di sicurezza per l'implementazione a fasi, sono limitati a 200 utenti per evitare un timeout dell'esperienza utente. Dopo aver aggiunto il gruppo, è possibile aggiungere altri utenti direttamente al gruppo, in base alle esigenze.

  • Mentre gli utenti sono in fase di implementazione con sincronizzazione dell'hash delle password (PHS), per impostazione predefinita non viene applicata alcuna scadenza della password. La scadenza della password può essere applicata abilitando "CloudPasswordPolicyForPasswordSyncedUsersEnabled". Quando "CloudPasswordPolicyForPasswordSyncedUsersEnabled" è abilitato, i criteri di scadenza della password vengono impostati su 90 giorni dal momento in cui la password è stata impostata in locale senza alcuna opzione per personalizzarla. L'aggiornamento dell'attributo PasswordPolicies a livello di codice non è supportato mentre gli utenti sono in fase di implementazione. Per informazioni su come impostare "CloudPasswordPolicyForPasswordSyncedUsersEnabled", vedere Criteri di scadenza delle password.

  • Windows 10 Hybrid Join o Microsoft Entra join primary refresh token acquisition for Windows 10 version older than 1903 .Windows 10 hybrid join or Microsoft Entra join primary refresh token acquisition for Windows 10 version older than 1903. Questo scenario esegue il fallback all'endpoint WS-Trust del server federativo, anche se l'utente che esegue l'accesso è nell'ambito dell'implementazione a fasi.

  • Aggiunta ibrida a Windows 10 o acquisizione del token di aggiornamento primario di Microsoft Entra per tutte le versioni, quando l'UPN locale dell'utente non è instradabile. Questo scenario esegue il fallback all'endpoint WS-Trust in modalità implementazione temporanea, ma smette di funzionare al termine della migrazione a fasi e l'accesso utente non si basa più sul server federativo.

  • Se si dispone di una configurazione VDI non persistente con Windows 10, versione 1903 o successiva, è necessario rimanere in un dominio federato. Il passaggio a un dominio gestito non è supportato in VDI non persistente. Per altre informazioni, vedere Identità del dispositivo e virtualizzazione del desktop.

  • Se si dispone di un trust certificato ibrido di Windows Hello for Business con certificati rilasciati tramite il server federativo che funge da autorità di registrazione o utenti di smart card, lo scenario non è supportato in un'implementazione a fasi.

    Nota

    È comunque necessario eseguire il cutover finale dall'autenticazione federata all'autenticazione cloud usando Microsoft Entra Connessione o PowerShell. L'implementazione a fasi non passa da domini federati a gestiti. Per altre informazioni sul cutover del dominio, vedere Eseguire la migrazione dalla federazione alla sincronizzazione dell'hash delle password e eseguire la migrazione dalla federazione all'autenticazione pass-through.

Introduzione all'implementazione a fasi

Per testare l'accesso alla sincronizzazione dell'hash delle password usando l'implementazione a fasi, seguire le istruzioni preliminari nella sezione successiva.

Per informazioni sui cmdlet di PowerShell da usare, vedere Microsoft Entra ID 2.0 preview.

Prework for password hash sync (Prework for password hash sync)

  1. Abilitare la sincronizzazione dell'hash delle password dalla pagina Funzionalità facoltative in Microsoft Entra Connessione. 

    Screenshot della pagina

  2. Assicurarsi che sia stato eseguito un ciclo di sincronizzazione hash delle password completo in modo che tutti gli hash delle password degli utenti siano stati sincronizzati con Microsoft Entra ID. Per controllare lo stato della sincronizzazione dell'hash delle password, è possibile usare la diagnostica di PowerShell in Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.

    Screenshot del log di risoluzione dei problemi di Microsoft Entra Connessione

Se si vuole testare l'accesso di autenticazione pass-through usando l'implementazione a fasi, abilitarlo seguendo le istruzioni preliminari nella sezione successiva.

Pre-lavoro per l'autenticazione pass-through

  1. Identificare un server che esegue Windows Server 2012 R2 o versione successiva in cui si vuole eseguire l'autenticazione l'agente di autenticazione pass-through.

    Non scegliere il server Microsoft Entra Connessione. Assicurarsi che il server sia aggiunto a un dominio, sia in grado di autenticare gli utenti selezionati con Active Directory e di comunicare con Microsoft Entra ID su porte e URL in uscita. Per altre informazioni, vedere la sezione "Passaggio 1: Controllare i prerequisiti" di Avvio rapido: Single Sign-On facile di Microsoft Entra.

  2. Scaricare l'agente di autenticazione di Microsoft Entra Connessione e installarlo nel server. 

  3. Per abilitare la disponibilità elevata, installare agenti di autenticazione aggiuntivi in altri server.

  4. Assicurarsi di aver configurato le impostazione di blocco intelligente in modo appropriato. In questo modo è possibile assicurarsi che gli account Active Directory locali degli utenti non vengano bloccati da utenti malintenzionati.

È consigliabile abilitare l'accesso Single Sign-On facile indipendentemente dal metodo di accesso (sincronizzazione dell'hash delle password o autenticazione pass-through) selezionato per Implementazione temporanea. Per abilitare l'accesso Single Sign-On facile, seguire le istruzioni preliminari nella sezione successiva.

Prework for seamless SSO

Abilitare l'accesso Single Sign-On facile nelle foreste di Active Directory usando PowerShell. Se sono presenti più foreste di Active Directory, abilitarla singolarmente per ogni foresta. L'accesso Single Sign-On facile viene attivato solo per gli utenti selezionati per l'implementazione a fasi. Non condiziona la configurazione della federazione esistente.

Abilitare l'accesso Single Sign-On facile eseguendo le attività seguenti:

  1. Accedere a Microsoft Entra Connessione Server.

  2. Passare alla cartella %programfiles%\Microsoft Entra Connessione.

  3. Importare il modulo Di PowerShell SSO facile eseguendo il comando seguente:

    Import-Module .\AzureADSSO.psd1

  4. Esegui PowerShell come amministratore. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext. Questo comando apre un riquadro in cui è possibile immettere le credenziali dell'identità ibrida del tenant Amministrazione istrator.

  5. Chiamare Get-AzureADSSOStatus | ConvertFrom-Json. Questo comando visualizza un elenco di foreste di Active Directory (vedere l'elenco "Domini") in cui è stata abilitata questa funzionalità. Per impostazione predefinita, è impostato su false a livello di tenant.

    Esempio di output di PowerShell

  6. Chiamare $creds = Get-Credential. Al prompt dei comandi, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.

  7. Chiamare Enable-AzureADSSOForest -OnPremCredentials $creds. Questo comando crea l'account computer AZUREADSSOACC dal controller di dominio locale per la foresta di Active Directory necessaria per l'accesso Single Sign-On facile.

  8. Per l'accesso Single Sign-On facile è necessario che gli URL siano nell'area Intranet. Per distribuire tali URL usando i criteri di gruppo, vedere Avvio rapido: Single Sign-On facile di Microsoft Entra.

  9. Per una procedura dettagliata completa, è anche possibile scaricare i piani di distribuzione per l'accesso Single Sign-On facile.

Abilitare l'implementazione a fasi

Per implementare una funzionalità specifica (autenticazione pass-through, sincronizzazione dell'hash delle password o accesso Single Sign-On facile) per una serie di utenti in un gruppo, seguire le istruzioni illustrate nelle sezioni successive.

Abilitare un'implementazione a fasi di una funzionalità specifica nel tenant

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

È possibile implementare queste opzioni:

  • Accesso Single Sign-On facile per la sincronizzazione + dell'hash delle password
  • Autenticazione pass-through + Seamless SSO
  • Autenticazione pass-through per la sincronizzazione + dell'hash + delle password non supportata -
  • Impostazioni di autenticazione basate su certificati
  • Autenticazione a più fattori di Azure

Per configurare l'implementazione a fasi, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'identità ibrida Amministrazione istrator.

  2. Passare a Gestione>ibrida delle identità>Microsoft Entra Connessione> Connessione sincronizzazione.

  3. Nella pagina Microsoft Entra Connessione, nell'implementazione a fasi dell'autenticazione cloud, selezionare il collegamento Abilita implementazione a fasi per l'accesso utente gestito.

  4. Nella pagina Abilita funzionalità di implementazione a fasi selezionare le opzioni da abilitare: Sincronizzazione hash delle password, Autenticazione pass-through, Accesso Single Sign-On facile o Autenticazione basata su certificati. Ad esempio, se si vuole abilitare La sincronizzazione dell'hash delle password e l'accesso Single Sign-On facile, spostare entrambi i controlli su .

  5. Aggiungere gruppi alle funzionalità selezionate. Ad esempio, l'autenticazione pass-through e l'accesso Single Sign-On facile. Per evitare un timeout, assicurarsi che i gruppi di sicurezza non contengano inizialmente più di 200 membri.

    Nota

    I membri di un gruppo vengono abilitati automaticamente per l'implementazione a fasi. I gruppi annidati e dinamici non sono supportati per l'implementazione a fasi. Quando si aggiunge un nuovo gruppo, gli utenti nel gruppo (fino a 200 utenti per un nuovo gruppo) verranno aggiornati per usare immediatamente l'autenticazione gestita. La modifica di un gruppo (aggiunta o rimozione di utenti) può richiedere fino a 24 ore prima che le modifiche siano effettive. L'accesso Single Sign-On facile verrà applicato solo se gli utenti si trovano nel gruppo Seamless SSO e anche in un gruppo PTA o PHS.

Controllo

Sono stati abilitati gli eventi di controllo per le varie azioni eseguite per l'implementazione a fasi:

  • Controlla evento quando si abilita un'implementazione a fasi per la sincronizzazione dell'hash delle password, l'autenticazione pass-through o l'accesso SSO facile.

    Nota

    Un evento di controllo viene registrato quando l'accesso Single Sign-On facile viene attivato usando l'implementazione temporanea.

    Riquadro

    Riquadro

  • Evento di controllo durante l'aggiunta di un gruppo alla sincronizzazione dell'hash delle password, all'autenticazione pass-through o all'accesso Single Sign-On facile.

    Nota

    Un evento di controllo viene registrato quando un gruppo viene aggiunto alla sincronizzazione dell'hash delle password per l'implementazione a fasi.

    Riquadro

    Riquadro

  • Evento di controllo quando un utente aggiunto al gruppo è abilitato per l'implementazione a fasi.

    Riquadro

    Riquadro

Convalida

Per testare l'accesso con la sincronizzazione dell'hash delle password o l'autenticazione pass-through (accesso con nome utente e password), eseguire le attività seguenti:

  1. Nella extranet passare alla pagina App in una sessione del browser privato e quindi immettere l'UPN (UserPrincipalName) dell'account utente selezionato per l'implementazione a fasi.

    Gli utenti destinati all'implementazione a fasi non vengono reindirizzati alla pagina di accesso federata. Viene invece chiesto di accedere alla pagina di accesso con marchio tenant di Microsoft Entra.

  2. Assicurarsi che l'accesso venga visualizzato correttamente nel report attività di accesso di Microsoft Entra filtrando con UserPrincipalName.

Per verificare l'accesso tramite accesso Single Sign-On facile:

  1. Nella intranet passare alla pagina App in una sessione del browser privato e quindi immettere l'UPN (UserPrincipalName) dell'account utente selezionato per l'implementazione a fasi.

    Agli utenti interessati all'implementazione temporanea dell'accesso Single Sign-On facile viene visualizzato un messaggio "Tentativo di accesso..." messaggio prima dell'accesso invisibile all'utente.

  2. Assicurarsi che l'accesso venga visualizzato correttamente nel report attività di accesso di Microsoft Entra filtrando con UserPrincipalName.

    Per tenere traccia degli accessi utente che si verificano ancora in Active Directory Federation Services (AD FS) per gli utenti selezionati per l'implementazione a fasi, seguire le istruzioni riportate in Risoluzione dei problemi di AD FS: Eventi e registrazione. Vedere la documentazione del fornitore per informazioni su come eseguire il controllo in provider di federazione di terze parti.

    Nota

    Mentre gli utenti sono in fase di implementazione con PHS, la modifica delle password potrebbe richiedere fino a 2 minuti per rendere effettiva la sincronizzazione. Assicurarsi di impostare le aspettative con gli utenti per evitare chiamate al supporto tecnico dopo aver modificato la password.

Monitoraggio

È possibile monitorare gli utenti e i gruppi aggiunti o rimossi dall'implementazione temporanea e dagli accessi degli utenti durante l'implementazione a fasi, usando le nuove cartelle di lavoro di autenticazione ibrida nell'interfaccia di amministrazione di Microsoft Entra.

Cartelle di lavoro di autenticazione ibrida

Rimuovere un utente dall'implementazione a fasi

La rimozione di un utente dal gruppo disabilita l'implementazione a fasi per tale utente. Per disabilitare la funzionalità Di implementazione a fasi, scorrere il controllo su Off.

Domande frequenti

D: È possibile usare questa funzionalità nell'ambiente di produzione?

R: Sì, è possibile usare questa funzionalità nel tenant di produzione, ma è consigliabile provarla prima nel tenant di test.

D: Questa funzionalità può essere usata per mantenere una "coesistenza" permanente, in cui alcuni utenti usano l'autenticazione federata e altri usano l'autenticazione cloud?

R: No, questa funzionalità è progettata per il test dell'autenticazione cloud. Dopo aver completato il test, alcuni gruppi di utenti è necessario passare all'autenticazione cloud. Non è consigliabile usare uno stato misto permanente, perché questo approccio potrebbe causare flussi di autenticazione imprevisti.

D: È possibile usare PowerShell per eseguire l'implementazione a fasi?

R: Sì. Per informazioni su come usare PowerShell per eseguire l'implementazione a fasi, vedere Microsoft Entra ID Preview.

Passaggi successivi