Migrera till Azure AD MFA och Azure AD-användarautentisering

Multifaktorautentisering (MFA) hjälper dig att skydda din infrastruktur och dina tillgångar från dåliga aktörer. Microsofts Multi-Factor Authentication-server (MFA Server) erbjuds inte längre för nya distributioner. Kunder som använder MFA Server bör flytta till Azure AD Multi-Factor Authentication (Azure AD MFA).

Det finns flera alternativ för att migrera multifaktorautentisering (MFA) från MFA Server till Azure Active Directory (Azure AD). Dessa omfattar:

  • Bra: Flytta endast din MFA-tjänst till Azure AD.
  • Bättre: Flytta MFA-tjänsten och användarautentisering till Azure AD, som beskrivs i den här artikeln.
  • Bäst: Flytta alla dina program, din MFA-tjänst och användarautentisering till Azure AD. Se avsnittet flytta program till Azure AD i den här artikeln om du planerar att flytta program som beskrivs i den här artikeln.

Om du vill välja lämpligt migreringsalternativ för MFA för din organisation, se överväganden i Migrera från MFA Server till Azure Active Directory MFA.

Följande diagram visar processen för att migrera till Azure AD MFA och molnautentisering samtidigt som vissa av dina program är AD FS. Den här processen möjliggör iterativ migrering av användare från MFA Server till Azure MFA baserat på gruppmedlemskap.

Varje steg beskrivs i följande avsnitt i den här artikeln.

Anteckning

Om du planerar att flytta program till Azure Active Directory som en del av den här migreringen bör du göra det innan du migrerar MFA. Om du flyttar alla dina appar kan du hoppa över avsnitt i MFA-migreringsprocessen. Se avsnittet om att flytta program i slutet av den här artikeln.

Process för att migrera till Azure AD och användarautentisering

Process för att migrera till Azure AD och användarautentisering.

Förbereda grupper och villkorlig åtkomst

Grupper används i tre kapaciteter för MFA-migrering.

  • För att iterativt flytta användare till Azure AD MFA med mellanlagring. Använd en grupp som skapats i Azure AD, även kallat en grupp som endast är molnbaserad. Du kan använda Azure AD-säkerhetsgrupper eller Microsoft 365 grupper för att både flytta användare till MFA och för principer för villkorsstyrd åtkomst. Mer information finns i Skapa en Azure AD-säkerhetsgrupp och den här översikten över Microsoft 365 grupper för administratörer.

    Viktigt

    Kapslade och dynamiska grupper stöds inte i den mellandelade installationen. Använd inte de här typerna av grupper för ditt mellanslag för att distribuera.

  • Principer för villkorsstyrd åtkomst. Du kan använda antingen Azure AD eller lokala grupper för villkorlig åtkomst.
  • Anropa Azure AD MFA för AD FS program med anspråksregler. Detta gäller endast om du har program på AD FS. Detta måste vara en lokal Active Directory säkerhetsgrupp. När Azure AD MFA är en ytterligare autentiseringsmetod kan du ange grupper av användare som ska använda den metoden för varje förlitande partsförtroende. Du kan till exempel anropa Azure AD MFA för användare som du redan har migrerat och MFA Server för de som ännu inte har migrerats. Detta är användbart både vid testning och under migrering.

Anteckning

Vi rekommenderar inte att du återanvänder grupper som används för säkerhet. När du använder en säkerhetsgrupp för att skydda en grupp med högvärdesappar via en princip för villkorsstyrd åtkomst, bör det vara den enda användningen av den gruppen.

Konfigurera principer för villkorlig åtkomst

Om du redan använder villkorsstyrd åtkomst för att avgöra när användarna tillfrågas om MFA behöver du inte göra några ändringar i dina principer. När användarna migreras till molnautentisering börjar de använda Azure AD MFA enligt definitionen i dina befintliga principer för villkorlig åtkomst. De omdirigeras inte till AD FS MFA Server längre.

Om dina federerade domäner har SupportsMFA inställt på falskt, framtvingar du sannolikt MFA på AD FS använder anspråksregler. I det här fallet måste du analysera dina anspråksregler för azure AD-förlitande partsförtroende och skapa principer för villkorsstyrd åtkomst som stöder samma säkerhetsmål.

Om du behöver konfigurera principer för villkorsstyrd åtkomst måste du göra det innan du aktiverar mellanstegsutrullning. Mer information finns i följande resurser:

Förbereda AD FS

Om du inte har några program i AD FS som kräver MFA kan du hoppa över det här avsnittet och gå till avsnittet Förbereda mellanfasad distribuera.

Uppgradera AD FS servergrupp till 2019, FBL 4

I AD FS 2019 släppte Microsoft nya funktioner som ger möjlighet att ange ytterligare autentiseringsmetoder för en förlitande part, till exempel ett program. Detta görs med hjälp av gruppmedlemskap för att fastställa autentiseringsprovidern. Genom att ange ytterligare en autentiseringsmetod kan du övergå till Azure AD MFA samtidigt som annan autentisering förblir intakt under övergången.

Mer information finns i Uppgradera till AD FS i Windows Server 2016 en WID-databas. Artikeln beskriver både hur du uppgraderar servergruppen till AD FS 2019 och uppgraderar din FBL till 4.

Konfigurera anspråksregler för att anropa Azure AD MFA

Nu när du har Azure AD MFA som ytterligare en autentiseringsmetod kan du tilldela grupper av användare för att använda Azure AD MFA. Du gör detta genom att konfigurera anspråksregler, även kallade förtroenden för förlitande part. Med hjälp av grupper kan du styra vilken autentiseringsprovider som anropas antingen globalt eller av program. Du kan till exempel anropa Azure AD MFA för användare som har registrerat sig för kombinerad säkerhetsinformation eller som har migrerat sina telefonnummer, när de anropar MFA Server för dem som inte har det.

Anteckning

Anspråksregler kräver lokal säkerhetsgrupp.

Back up existing rules ( Back up existing rules)

Konfigurerar dina befintliga regler innan du konfigurerar nya anspråksregler. Du måste återställa dessa som en del av rensningsstegen.

Beroende på din konfiguration kan du också behöva kopiera den befintliga regeln och lägga till de nya regler som skapas för migreringen.

Om du vill visa befintliga globala regler kör du:

Get-AdfsAdditionalAuthenticationRule

Om du vill visa befintliga förtroenden för förlitande part kör du följande kommando och ersätter RPTrustName med namnet på anspråksregeln för förlitande partsförtroende:

(Get-AdfsRelyingPartyTrust -Name “RPTrustName”).AdditionalAuthenticationRules

Principer för åtkomstkontroll

Anteckning

Åtkomstkontrollprinciper kan inte konfigureras så att en specifik autentiseringsprovider anropas baserat på gruppmedlemskap.

Om du vill övergå från dina principer för åtkomstkontroll till ytterligare autentiseringsregler kör du det här kommandot för var och en av dina förlitande partsförtroenden med hjälp av MFA Server-autentiseringsprovidern:

Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**

Det här kommandot flyttar logiken från din Access Control princip till ytterligare autentiseringsregler.

Konfigurera gruppen och leta upp SID

Du måste ha en specifik grupp där du placerar användare som du vill anropa Azure AD MFA för. Du måste hitta säkerhetsidentifieraren (SID) för den gruppen. Om du vill hitta grupp-SID använder du följande kommando, med ditt gruppnamn Get-ADGroup “GroupName”

PowerShell-kommando för att hämta grupp-SID.

Ange anspråksregler för att anropa Azure MFA

Följande PowerShell-cmdlets anropar Azure AD MFA för de i gruppen när de inte finns i företagsnätverket. Du måste ersätta "YourGroupSid" med det SID som hittades genom att köra föregående cmdlet.

Se till att du går igenom How to Choose Additional Auth Providers in 2019 (Så här väljer du ytterligare autentiseringsproviders under 2019).

Viktigt

Säkerhetskopiera dina befintliga anspråksregler innan du fortsätter.

Ange regel för globala anspråk

Kör följande kommando och ersätt RPTrustName med namnet på regeln för förlitande partsförtroendeanspråk:

(Get-AdfsRelyingPartyTrust -Name “RPTrustName”).AdditionalAuthenticationRules

Kommandot returnerar dina aktuella ytterligare autentiseringsregler för ditt förlitande partsförtroende.
Du måste lägga till följande regler i dina aktuella anspråksregler:

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");’

I följande exempel förutsätter vi att dina aktuella anspråksregler har konfigurerats för att fråga efter MFA när användare ansluter utanför nätverket. Det här exemplet innehåller de ytterligare regler som du behöver lägga till.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
“YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value==“YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");’
Ange anspråksregel per program

Det här exemplet ändrar anspråksregler för ett specifikt förtroende för förlitande part (program). Den innehåller de ytterligare regler som du behöver lägga till.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
“YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value==“YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");’

Konfigurera Azure AD MFA som autentiseringsprovider i AD FS

För att konfigurera Azure AD MFA för AD FS måste du konfigurera varje AD FS server. Om du har flera AD FS servrar i servergruppen kan du konfigurera dem via fjärrinstallation med Azure AD PowerShell.

Stegvisa anvisningar om den här processen finns i Konfigurera AD FS servrar.

När du har konfigurerat servrarna kan du lägga till Azure AD MFA som ytterligare en autentiseringsmetod.

Skärmbild av hur du lägger till Azure AD MFA som ytterligare en autentiseringsmetod.

Förbereda mellanfasad utrullning

Nu är du redo att aktivera funktionen för mellanfasad utrullning. Med mellanstadiet kan du iterativt flytta dina användare till antingen PHS eller PTA.

Registrera användare för Azure MFA

Det finns två sätt att registrera användare för Azure MFA:

  • Registrera dig för kombinerad säkerhet (MFA och lösenordsåterställning via självbetjäning)
  • Migrera telefonnummer från MFA Server

Appen Microsoft Authenticator kan användas som en lösenordsfri inloggningsmetod samt en andra faktor för MFA med någon av metoderna.

Vi rekommenderar att användarna registrerar sig för kombinerad säkerhetsinformation, vilket är en enda plats där de kan registrera sina autentiseringsmetoder och enheter för både MFA och SSPR. Även om det är möjligt att migrera data från MFA-servern till Azure AD MFA uppstår följande utmaningar:

  • Endast telefonnummer kan migreras.
  • Authenticator måste omregistreras.
  • Inaktuella data kan migreras.

Microsoft tillhandahåller kommunikationsmallar som du kan ge dina användare för att vägleda dem genom den kombinerade registreringsprocessen. Det kan vara mallar för e-post, affischer, tabelltroffs och en mängd andra tillgångar. Användarna registrerar sin information på https://aka.ms/mysecurityinfo , vilket tar dem till den kombinerade säkerhetsregistreringsskärmen.

Vi rekommenderar att du skyddar säkerhetsregistreringsprocessen med villkorsstyrd åtkomst som kräver att registreringen sker från en betrodd enhet eller plats. Information om hur du spårar registreringsstatusar finns i Autentiseringsmetodaktivitet för Azure Active Directory.

Anteckning

Användare som MÅSTE registrera sin kombinerade säkerhetsinformation från en icke-betrodd plats eller enhet kan få en Tillfällig åtkomstkod eller alternativt, tillfälligt undantagna från principen.

Migrera telefonnummer från MFA Server

Du kan migrera användarnas registrerade MFA-telefonnummer och maskinvarutoken, men du kan inte migrera enhetsregistreringar, till exempel deras Microsoft Authenticator-appinställningar. Migrering av telefonnummer kan leda till att inaktuella nummer migreras och göra det mer troligt att användarna stannar kvar på telefonbaserad MFA i stället för att konfigurera säkrare metoder som lösenordsfri inloggning med Microsoft Authenticator-appen. Vi rekommenderar därför att alla användare registrerar sig för kombinerad säkerhetsinformation oavsett vilken migreringsväg du väljer. Med kombinerad säkerhetsinformation kan användarna även registrera sig för lösenordsåterställning via självbetjäning.

Om användarna inte kan registrera sin kombinerade säkerhetsinformation kan du exportera användarna tillsammans med deras telefonnummer från MFA Server och importera telefonnumren till Azure AD.

Exportera användartelefonnummer från MFA Server

  1. Öppna Multi-Factor Authentication-server administratörskonsolen på MFA-servern.
  2. Välj > Filexportanvändare.
  1. Spara CSV-filen. Standardnamnet är Multi-Factor Authentication Users.csv.

Tolka och formatera .csv filen

Filen .csv innehåller ett antal fält som inte behövs för migrering och måste redigeras och formateras innan telefonnumren importeras till Azure AD.

När du öppnar .csv innehåller kolumner av intresse Användarnamn, Primär Telefon, Primär landskod, Landskod för säkerhetskopiering, Säkerhetskopiering Telefon, Säkerhetskopieringstillägg. Du måste tolka dessa data och formatera dem efter behov.

Tips för att undvika fel under importen

  • CSV-filen måste ändras innan du använder API:et för autentiseringsmetoder för att importera telefonnumren till Azure AD.

  • Vi rekommenderar att du förenklar .csv tre kolumner: UPN, PhoneType och PhoneNumber.

    Skärmbild av ett csv-exempel.

  • Kontrollera att det exporterade MFA Server-användarnamnet matchar Azure AD UserPrincipalName. Om den inte gör det uppdaterar du användarnamnet i CSV-filen så att det matchar det som finns i Azure AD, annars hittas inte användaren.

Användarna kanske redan har registrerat telefonnummer i Azure AD. När du importerar telefonnumren med hjälp av API:et för autentiseringsmetoder måste du bestämma om du vill skriva över det befintliga telefonnumret eller lägga till det importerade numret som ett alternativt telefonnummer.

Följande PowerShell-cmdlets tar CSV-filen som du tillhandahåller och lägger till de exporterade telefonnumren som ett telefonnummer för varje UPN med hjälp av API:et för autentiseringsmetoder. Du måste ersätta "myPhones" med namnet på din CSV-fil.

$csv = import-csv myPhones.csv
$csv|% { New-MgUserAuthenticationPhoneMethod -UserId $_.UPN -phoneType $_.PhoneType -phoneNumber $_.PhoneNumber} 

Mer information om hur du hanterar användarnas autentiseringsmetoder finns i Hantera autentiseringsmetoder för Azure AD Multi-Factor Authentication.

Lägga till användare i lämpliga grupper

  • Om du har skapat nya principer för villkorlig åtkomst lägger du till lämpliga användare i dessa grupper.
  • Om du har skapat lokala säkerhetsgrupper för anspråksregler lägger du till lämpliga användare i dessa grupper.
  • Det är först när du har lagt till användare i lämpliga regler för villkorlig åtkomst som du lägger till användare i gruppen som du skapade för mellanstaderad roll. När du är klar börjar de använda den Azure-autentiseringsmetod som du har valt (PHS eller PTA) och Azure AD MFA när de krävs för att utföra multifaktorautentisering.

Viktigt

Kapslade och dynamiska grupper stöds inte i den mellandelade installationen. Använd inte dessa typer av grupper.

Vi rekommenderar inte att du återanvänder grupper som används för säkerhet. Om du använder en säkerhetsgrupp för att skydda en grupp med appar med högt värde via en princip för villkorsstyrd åtkomst bör det därför vara den enda användningen av den gruppen.

Övervakning

Ett antal Azure Monitor arbetsböcker och användningsrapporter & Insights är tillgängliga för att övervaka distributionen. Dessa finns i Azure AD i navigeringsfönstret under Övervakning.

Övervakning av mellanfasad utrullning

I avsnittet arbetsböcker väljer du Offentliga mallar. I avsnittet Hybridauth väljer du arbetsboken Grupper, Användare och Inloggningar i mellanstegsdistribution.

Den här arbetsboken kan användas för att övervaka följande:

  • Användare och grupper som har lagts till i mellanstaderad rollout.
  • Användare och grupper som har tagits bort från den mellantagna utrullningen.
  • Inloggningsfel för användare i mellanstadierad drift och orsakerna till fel.

Övervaka Azure MFA-registrering

Azure MFA-registreringen kan övervakas med hjälp av autentiseringsmetoderna & Insights-rapporten. Den här rapporten finns i Azure AD. Välj Övervakning och sedan Usage & insights.

Skärmbild av hur du hittar användnings- Insights rapporten.

I Usage & insights (Användningsinformation) väljer du Autentiseringsmetoder.

Detaljerad azure MFA-registreringsinformation finns på fliken Registrering. Du kan öka detaljnivå för att visa en lista över registrerade användare genom att välja hyperlänken Användare som är registrerade för Azure Multi-Factor Authentication.

Skärmbild av fliken Registrering.

Övervaka appens inloggningshälsa

Övervaka program som du har flyttat till Azure AD med arbetsboken för appens inloggningshälsa eller användningsrapporten för programaktivitet.

  • Arbetsbok för appens inloggningshälsa. Detaljerad information om hur du använder den här arbetsboken finns i Övervaka programmets inloggningshälsa för återhämtning.
  • Användningsrapport för Azure AD-programaktivitet. Den här rapporten kan användas för att visa lyckade och misslyckade inloggningar för enskilda program samt möjligheten att öka detaljgranska och visa inloggningsaktivitet för ett visst program.

Rensningsuppgifter

När du har flyttat alla användare till Azure AD-molnautentisering och Azure MFA bör du vara redo att inaktivera din MFA-server. Vi rekommenderar att du granskar MFA Server-loggarna för att se till att inga användare eller program använder den innan du tar bort servern.

Konvertera dina domäner till hanterad autentisering

Nu bör du konvertera dina federerade domäner i Azure AD till hanterad och ta bort konfigurationen för den mellanlagringen. Detta säkerställer att nya användare använder molnautentisering utan att läggas till i migreringsgrupperna.

Återställa anspråksregler på AD FS ta bort MFA Server-autentiseringsprovidern

Följ stegen under Konfigurera anspråksregler för att anropa Azure AD MFA för att återgå till de säkerhetskopierade anspråksreglerna och ta bort eventuella Anspråksregler för AzureMFAServerAuthentication.

Ta till exempel bort följande från regeln/reglerna:

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
“**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");’

Inaktivera MFA Server som autentiseringsprovider i AD FS

Den här ändringen säkerställer att endast Azure MFA används som autentiseringsprovider.

  1. Öppna AD FS hanteringskonsolen.
  2. Under Tjänster högerklickar du på Autentiseringsmetoder och väljer Redigera multifaktorautentiseringsmetoder.
  3. Avmarkera kryssrutan Azure Multi-Factor Authentication-server.

Inaktivera MFA-servern

Följ din enterprise-serveravställningsprocess för att ta bort MFA-servrarna i din miljö.

Möjliga överväganden när inaktiverar MFA-servern är:

  • Vi rekommenderar att du granskar MFA Server-loggar för att se till att inga användare eller program använder den innan du tar bort servern.
  • Avinstallera Multi-Factor Authentication-server från Kontrollpanelen på servern.
  • Du kan också rensa loggar och datakataloger som lämnas kvar efter att de har igts tillbaka först.
  • Avinstallera Webbserver-SDK för Multi-Factor Authentication, om tillämpligt, inklusive alla filer som är över ietpub\wwwroot\MultiFactorAuthWebServiceSdk och/eller MultiFactorAuth-kataloger.
  • För MFA-serverversioner före 8.0.x kan det också vara nödvändigt att ta bort Multi-Factor Auth Telefon App-webbtjänsten.

Flytta programautentisering till Azure Active Directory

Om du migrerar all programautentisering tillsammans med din MFA och användarautentisering kan du ta bort betydande delar av din lokala infrastruktur, vilket minskar kostnaderna och riskerna. Om du flyttar all programautentisering kan du hoppa över förberedelsefasen AD FS och förenkla MFA-migreringen.

Processen för att flytta all programautentisering visas i följande diagram.

Bearbeta för att migrera program till Azure AD MFA.

Om det inte går att flytta alla dina program före migreringen flyttar du program som du kan innan du startar. Mer information om hur du migrerar program till Azure finns i Resurser för att migrera program till Azure Active Directory.

Nästa steg