руководство по выводу службы федерации Active Directory (AD FS) (AD FS)

Идентификатор Microsoft Entra предоставляет простой облачный интерфейс входа для всех ресурсов и приложений с строгой проверкой подлинности и в режиме реального времени, политиками адаптивного доступа на основе рисков для предоставления доступа к ресурсам, уменьшающим операционные затраты на управление средой AD FS и повышение эффективности ИТ-отдела.

Дополнительные сведения о том, почему следует обновить ad FS до идентификатора Microsoft Entra, перейдите из AD FS в идентификатор Microsoft Entra. Ознакомьтесь с миграцией из федерации в облачную проверку подлинности , чтобы понять , как выполнить обновление с AD FS.

В этом документе приведены рекомендуемые шаги по удалению серверов AD FS.

Предварительные требования для вывода серверов AD FS

Прежде чем начать вывод серверов AD FS, убедитесь, что следующие элементы завершены. Дополнительные сведения см. в статье о миграции из федерации в облачную проверку подлинности.

1. Установите Microsoft Entra Подключение Health, чтобы обеспечить надежный мониторинг локальной инфраструктуры удостоверений.

2. Выполните предварительную работу для единого входа.

3. Перенесите проверку подлинности пользователя на идентификатор Microsoft Entra. С включенной облачной проверкой подлинности идентификатор Microsoft Entra может безопасно обрабатывать процесс входа пользователей. Идентификатор Microsoft Entra предоставляет три варианта безопасной облачной проверки подлинности пользователей:

   • Синхронизация хэша паролей (PHS) Microsoft Entra — позволяет пользователям входить как в локальные, так и облачные приложения, используя одни и те же пароли. Microsoft Entra Подключение синхронизирует хэш хэша пароля пользователя из локальная служба Active Directory экземпляра в облачный экземпляр Microsoft Entra. Два уровня хэширования гарантируют, что пароли никогда не предоставляются или передаются в облачные системы.
   • Проверка подлинности на основе сертификатов (CBA) Microsoft Entra — позволяет внедрить фишинговый метод проверки подлинности и пройти проверку подлинности пользователей с помощью сертификата X.509 в инфраструктуре открытых ключей (PKI).
   • Сквозная проверка подлинности (PTA) Microsoft Entra — позволяет пользователям входить как в локальные, так и облачные приложения с использованием одинаковых паролей. Он устанавливает агент на локальная служба Active Directory и проверяет пароли пользователей непосредственно на локальная служба Active Directory.

   Вы можете попробовать облачную проверку подлинности для пользователей с помощью поэтапного развертывания. Он позволяет выборочно тестировать группы пользователей с возможностями облачной проверки подлинности, упоминание выше.

   Примечание.

   • PHS и CBA — это предпочтительный вариант для облачной управляемой проверки подлинности. PTA следует использовать только в тех случаях, когда существуют нормативные требования, чтобы не синхронизировать данные паролей с облаком.
   • Проверка подлинности пользователей и миграция приложений можно выполнить в любом порядке, однако сначала рекомендуется выполнить миграцию проверки подлинности пользователей.
   • Обязательно оцените поддерживаемые и не поддерживаемые сценарии для поэтапного развертывания.

4. Перенос всех приложений , которые в настоящее время используют AD FS для проверки подлинности в идентификатор Microsoft Entra ID, так как он предоставляет единый уровень управления удостоверениями и доступом к идентификатору Microsoft Entra ID. Убедитесь, что вы также переносите приложения Office 365 и присоединенные устройства к идентификатору Microsoft Entra.

   • Помощник миграции можно использовать для переноса приложений из AD FS в идентификатор Microsoft Entra.
   • Если вы не найдете подходящее приложение SaaS в коллекции приложений, их можно запросить.https://aka.ms/AzureADAppRequest

5. Убедитесь, что для запуска Microsoft Entra Подключение Health по крайней мере одна неделя, чтобы наблюдать за использованием приложений в идентификаторе Microsoft Entra. Вы также можете просматривать журналы входа пользователей в идентификатор Microsoft Entra.

Действия по выводу серверов AD FS

В этом разделе описан пошаговый процесс вывода серверов AD FS.

Прежде чем достичь этой точки, необходимо убедиться, что на серверах AD FS нет проверяющей стороны (доверия к ответам на части).

Прежде чем начать, проверка журналы событий AD FS и (или) Microsoft Entra Подключение Health для любых сбоев входа или успешного выполнения, так как это означает, что эти серверы по-прежнему используются для чего-то. Если вы видите успешное выполнение входа или сбои, проверка, как перенести приложения из AD FS или переместить проверку подлинности в идентификатор Microsoft Entra.

После проверки выше можно выполнить следующие действия (если серверы AD FS не используются для других компонентов):

Примечание.

После перемещения проверки подлинности в идентификатор Microsoft Entra проверьте среду по крайней мере на одну неделю, чтобы проверить, работает ли облачная проверка подлинности без каких-либо проблем.

1. Прежде чем выводить серверы AD FS, рассмотрите возможность создания необязательной окончательной резервной копии .
2. Удалите все записи AD FS из любой из подсистем балансировки нагрузки (внутренних, а также внешних), которые вы могли настроить в вашей среде.
3. Удалите все соответствующие записи DNS соответствующих имен ферм для серверов AD FS в вашей среде.
4. На основном сервере AD FS запустите Get-ADFSProperties и найдите CertificateSharingContainer. Помните об этом DN, так как вам потребуется удалить его ближе к концу установки (после нескольких перезагрузок и когда он больше недоступен)
5. Если база данных конфигурации AD FS использует экземпляр базы данных SQL Server в качестве хранилища, удалите базу данных перед удалением серверов AD FS.
6. Удалите серверы WAP (Прокси- серверы).
   • Войдите на каждый сервер WAP, откройте консоль управления удаленным доступом и найдите опубликованные веб-приложения.
   • Удалите все связанные с серверами AD FS, которые больше не используются.
   • После удаления всех опубликованных веб-приложений удалите WAP со следующей командой Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
7. Удалите серверы AD FS.
   • Начиная с вторичных узлов удалите AD FS с помощью команды Uninstall-WindowsFeature ADFS-Federation, Windows-Internal-Database . После выполнения команды del C:\Windows\WID\data\adfs* для удаления всех файлов базы данных
8. Удаление сертификатов SSL уровня безопасности AD FS из каждого хранилища сервера.
9. Повторное изображение серверов AD FS с полным форматированием диска.
10. Теперь вы можете безопасно удалить учетную запись AD FS.
11. Удалите содержимое DN CertificateSharingContainer с помощью ADSI Edit после удаления.

Next Steps

• Часто задаваемые вопросы о AD FS в Microsoft Entra