Migrera till Microsoft Entra multifaktorautentisering med federation

  • Artikel

Att flytta din MFA-lösning (multifaktorautentisering) till Microsoft Entra-ID är ett bra första steg i din resa till molnet. Överväg även att flytta till Microsoft Entra-ID för användarautentisering i framtiden. Mer information finns i processen för att migrera till Microsoft Entra multifaktorautentisering med molnautentisering.

Om du vill migrera till Microsoft Entra multifaktorautentisering med federation installeras Microsoft Entra multifaktorautentiseringsautentiseringsprovidern på AD FS. Microsoft Entra-ID:t för förlitande partförtroende och andra förlitande partförtroenden är konfigurerade för att använda Microsoft Entra multifaktorautentisering för migrerade användare.

Följande diagram visar migreringsprocessen.

Flow chart of the migration process. Process areas and headings in this document are in the same order

Skapa migreringsgrupper

Om du vill skapa nya principer för villkorsstyrd åtkomst måste du tilldela dessa principer till grupper. Du kan använda Microsoft Entra-säkerhetsgrupper eller Microsoft 365-grupper för detta ändamål. Du kan också skapa eller synkronisera nya.

Du behöver också en Microsoft Entra-säkerhetsgrupp för iterativ migrering av användare till Microsoft Entra multifaktorautentisering. Dessa grupper används i dina anspråksregler.

Återanvänd inte grupper som används för säkerhet. Om du använder en säkerhetsgrupp för att skydda en grupp med värdefulla appar med en princip för villkorsstyrd åtkomst använder du bara gruppen för det ändamålet.

Förbereda AD FS

Uppgradera AD FS-servergruppen till 2019, FBL 4

I AD FS 2019 kan du ange ytterligare autentiseringsmetoder för en förlitande part, till exempel ett program. Du använder gruppmedlemskap för att fastställa autentiseringsprovidern. Genom att ange ytterligare en autentiseringsmetod kan du övergå till Microsoft Entra multifaktorautentisering samtidigt som annan autentisering hålls intakt under övergången. Mer information finns i Uppgradera till AD FS i Windows Server 2016 med hjälp av en WID-databas. Artikeln beskriver både uppgradering av din servergrupp till AD FS 2019 och uppgradering av din FBL till 4.

Konfigurera anspråksregler för att anropa Microsoft Entra multifaktorautentisering

Nu när Microsoft Entra multifaktorautentisering är en ytterligare autentiseringsmetod kan du tilldela grupper av användare att använda den. Du gör det genom att konfigurera anspråksregler, även kallade förlitande partförtroenden. Med hjälp av grupper kan du styra vilken autentiseringsprovider som anropas globalt eller av program. Du kan till exempel anropa Microsoft Entra multifaktorautentisering för användare som har registrerat sig för kombinerad säkerhetsinformation, samtidigt som du anropar MFA Server för dem som inte har gjort det.

Kommentar

Anspråksregler kräver en lokal säkerhetsgrupp. Säkerhetskopiera dem innan du gör ändringar i anspråksregler.

Säkerhetskopiera regler

Säkerhetskopiera dina regler innan du konfigurerar nya anspråksregler. Du måste återställa dessa regler som en del av dina rensningssteg.

Beroende på konfigurationen kan du också behöva kopiera regeln och lägga till de nya regler som skapas för migreringen.

Om du vill visa globala regler kör du:

Get-AdfsAdditionalAuthenticationRule

Om du vill visa förtroenden för förlitande part kör du följande kommando och ersätter RPTrustName med namnet på anspråksregeln för förlitande part:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

Principer för åtkomstkontroll

Kommentar

Åtkomstkontrollprinciper kan inte konfigureras så att en specifik autentiseringsprovider anropas baserat på gruppmedlemskap.

Om du vill övergå från principer för åtkomstkontroll till ytterligare autentiseringsregler kör du följande kommando för var och en av dina förlitande partförtroenden med MFA Server-autentiseringsprovidern:

Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null

Det här kommandot flyttar logiken från din aktuella princip för åtkomstkontroll till Ytterligare autentiseringsregler.

Konfigurera gruppen och hitta SID

Du måste ha en specifik grupp där du placerar användare som du vill anropa Microsoft Entra multifaktorautentisering för. Du behöver säkerhetsidentifieraren (SID) för den gruppen.

Om du vill hitta grupp-SID använder du följande kommando med ditt gruppnamn

Get-ADGroup "GroupName"

Image of screen shot showing the results of the Get-ADGroup script.

Ange anspråksregler för att anropa Microsoft Entra multifaktorautentisering

Följande PowerShell-cmdletar anropar Microsoft Entra multifaktorautentisering för användare i gruppen när de inte finns i företagsnätverket. Ersätt "YourGroupSid" med det SID som hittades genom att köra cmdleten ovan.

Kontrollera att du granskar Hur du väljer ytterligare autentiseringsproviders under 2019.

Viktigt!

Säkerhetskopiera dina anspråksregler

Ange regel för globala anspråk

Kör följande cmdlet i PowerShell:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

Kommandot returnerar dina aktuella ytterligare autentiseringsregler för det förlitande partförtroendet. Lägg till följande regler i dina aktuella anspråksregler:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

I följande exempel förutsätter vi att dina aktuella anspråksregler har konfigurerats för att fråga efter MFA när användare ansluter utanför nätverket. Det här exemplet innehåller de ytterligare regler som du behöver lägga till.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Ange anspråksregel per program

Det här exemplet ändrar anspråksregler för ett specifikt förlitande partsförtroende (program) och innehåller den information som du måste lägga till.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Konfigurera Microsoft Entra multifaktorautentisering som autentiseringsprovider i AD FS

För att konfigurera Microsoft Entra multifaktorautentisering för AD FS måste du konfigurera varje AD FS-server. Om du har flera AD FS-servrar i servergruppen kan du konfigurera dem via fjärranslutning med Azure AD PowerShell.

Stegvisa anvisningar för den här processen finns i Konfigurera AD FS-servrar i artikeln Konfigurera Microsoft Entra multifaktorautentisering som autentiseringsprovider med AD FS.

När du har konfigurerat servrarna kan du lägga till Microsoft Entra multifaktorautentisering som ytterligare en autentiseringsmetod.

Screen shot showing the Edit authentication methods screen with Microsoft Entra multifactor authentication and Azure Multi-Factor Authentication Server selected

Förbereda Microsoft Entra-ID och implementera migrering

Det här avsnittet beskriver de sista stegen innan du migrerar MFA-inställningar för användare.

Ange federatedIdpMfaBehavior för att framtvingaMfaByFederatedIdp

För federerade domäner kan MFA framtvingas av villkorsstyrd åtkomst i Microsoft Entra eller av den lokala federationsprovidern. Varje federerad domän har en Microsoft Graph PowerShell-säkerhetsinställning med namnet federatedIdpMfaBehavior. Du kan ange federatedIdpMfaBehavior så att enforceMfaByFederatedIdp Microsoft Entra ID accepterar MFA som utförs av den federerade identitetsprovidern. Om den federerade identitetsprovidern inte utförde MFA omdirigerar Microsoft Entra ID begäran till den federerade identitetsprovidern för att utföra MFA. Mer information finns i federatedIdpMfaBehavior.

Kommentar

Inställningen federatedIdpMfaBehavior är en ny version av egenskapen SupportsMfa för cmdleten New-MgDomainFederationConfiguration .

För domäner som anger egenskapen SupportsMfa avgör dessa regler hur federatedIdpMfaBehavior och SupportsMfa fungerar tillsammans:

  • Växling mellan federatedIdpMfaBehavior och SupportsMfa stöds inte.
  • När egenskapen federatedIdpMfaBehavior har angetts ignorerar Microsoft Entra ID inställningen SupportsMfa .
  • Om egenskapen federatedIdpMfaBehavior aldrig har angetts fortsätter Microsoft Entra ID att följa inställningen SupportsMfa.
  • Om federatedIdpMfaBehavior eller SupportsMfa inte har angetts kommer Microsoft Entra ID som standard att acceptIfMfaDoneByFederatedIdp vara beteende.

Du kan kontrollera statusen för federatedIdpMfaBehavior med hjälp av Get-MgDomainFederationConfiguration.

Get-MgDomainFederationConfiguration –DomainID yourdomain.com

Du kan också kontrollera statusen för din SupportsMfa-flagga med Get-MgDomainFederationConfiguration:

Get-MgDomainFederationConfiguration –DomainName yourdomain.com

I följande exempel visas hur du anger federatedIdpMfaBehavior till enforceMfaByFederatedIdp med hjälp av Graph PowerShell.

Begär

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Response

Obs! Svarsobjektet som visas här kan förkortas för läsbarhet.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Konfigurera principer för villkorsstyrd åtkomst om det behövs

Om du använder villkorsstyrd åtkomst för att avgöra när användare uppmanas att använda MFA bör du inte behöva ändra dina principer.

Om dina federerade domäner har SupportsMfa inställt på false analyserar du dina anspråksregler på microsoft Entra-ID:ts förlitande partförtroende och skapar principer för villkorsstyrd åtkomst som stöder samma säkerhetsmål.

När du har skapat principer för villkorsstyrd åtkomst för att tillämpa samma kontroller som AD FS kan du säkerhetskopiera och ta bort dina anpassningar av anspråksregler på microsoft entra-ID-förlitande part.

Mer information finns i följande resurser:

Registrera användare för Microsoft Entra multifaktorautentisering

Det här avsnittet beskriver hur användare kan registrera sig för kombinerad säkerhet (MFA och självbetjäning av lösenordsåterställning) och hur de migrerar sina MFA-inställningar. Microsoft Authenticator kan användas som i lösenordslöst läge. Det kan också användas som en andra faktor för MFA med någon av registreringsmetoderna.

Vi rekommenderar att användarna registrerar sig för kombinerad säkerhetsinformation, vilket är en enda plats där de kan registrera sina autentiseringsmetoder och enheter för både MFA och SSPR.

Microsoft tillhandahåller kommunikationsmallar som du kan tillhandahålla till dina användare för att vägleda dem genom den kombinerade registreringsprocessen. Dessa inkluderar mallar för e-post, affischer, bordtält och olika andra tillgångar. Användare registrerar sin information på https://aka.ms/mysecurityinfo, vilket tar dem till den kombinerade säkerhetsregistreringsskärmen.

Vi rekommenderar att du skyddar processen för säkerhetsregistrering med villkorsstyrd åtkomst som kräver att registreringen sker från en betrodd enhet eller plats. Information om hur du spårar registreringsstatusar finns i Autentiseringsmetodaktivitet för Microsoft Entra-ID.

Kommentar

Användare som måste registrera sin kombinerade säkerhetsinformation från en icke-betrodd plats eller enhet kan utfärdas ett tillfälligt åtkomstpass eller tillfälligt undantas från principen.

Migrera MFA-inställningar från MFA Server

Du kan använda migreringsverktyget för MFA Server för att synkronisera registrerade MFA-inställningar för användare från MFA Server till Microsoft Entra ID. Du kan synkronisera telefonnummer, maskinvarutoken och enhetsregistreringar, till exempel Microsoft Authenticator-inställningar.

Lägga till användare i lämpliga grupper

  • Om du har skapat nya principer för villkorsstyrd åtkomst lägger du till lämpliga användare i dessa grupper.

  • Om du har skapat lokala säkerhetsgrupper för anspråksregler lägger du till lämpliga användare i dessa grupper.

Vi rekommenderar inte att du återanvänder grupper som används för säkerhet. Om du använder en säkerhetsgrupp för att skydda en grupp med värdefulla appar med en princip för villkorsstyrd åtkomst använder du bara gruppen för det ändamålet.

Övervakning

Registrering av multifaktorautentisering i Microsoft Entra kan övervakas med hjälp av rapporten Autentiseringsmetoder för användning och insikter. Den här rapporten finns i Microsoft Entra-ID. Välj Övervakning och sedan Användning och insikter.

I Användning och insikter väljer du Autentiseringsmetoder.

Detaljerad information om registrering av multifaktorautentisering i Microsoft Entra finns på fliken Registrering. Du kan öka detaljnivån för att visa en lista över registrerade användare genom att välja hyperlänken Användare som kan använda Azure multifaktorautentisering .

Image of Authentication methods activity screen showing user registrations to MFA

Rensningssteg

När du har slutfört migreringen till Microsoft Entra multifaktorautentisering och är redo att inaktivera MFA-servern gör du följande tre saker:

  1. Återställ dina anspråksregler på AD FS till konfigurationen före migreringen och ta bort MFA Server-autentiseringsprovidern.

  2. Ta bort MFA-servern som autentiseringsprovider i AD FS. Detta säkerställer att alla användare använder Microsoft Entra multifaktorautentisering eftersom det är den enda ytterligare autentiseringsmetoden som är aktiverad.

  3. Inaktivera MFA-servern.

Återställ anspråksregler på AD FS och ta bort MFA Server-autentiseringsprovidern

Följ stegen under Konfigurera anspråksregler för att anropa Microsoft Entra-multifaktorautentisering för att återgå till reglerna för säkerhetskopierade anspråk och ta bort eventuella AzureMFAServerAuthentication-anspråksregler.

Ta till exempel bort följande från regeln eller reglerna:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

Inaktivera MFA Server som autentiseringsprovider i AD FS

Den här ändringen säkerställer att endast Microsoft Entra multifaktorautentisering används som autentiseringsprovider.

  1. Öppna AD FS-hanteringskonsolen.

  2. Under Tjänster högerklickar du på Autentiseringsmetoder och väljer Redigera metoder för multifaktorautentisering.

  3. Avmarkera kryssrutan bredvid Azure Multi-Factor Authentication Server.

Inaktivera MFA-servern

Följ processen för att inaktivera företagsservern för att ta bort MFA-servrarna i din miljö.

Möjliga överväganden när MFA-servrarna inaktiveras är:

  • Granska MFA-servrarnas loggar för att se till att inga användare eller program använder den innan du tar bort servern.

  • Avinstallera Multi-Factor Authentication Server från Kontrollpanelen på servern

  • Du kan också rensa loggar och datakataloger som lämnas kvar efter säkerhetskopieringen först.

  • Avinstallera webbserver-SDK för multifaktorautentisering om tillämpligt, inklusive filer som finns kvar i etpub\wwwroot\MultiFactorAuthWebServiceSdk och eller MultiFactorAuth-kataloger

  • För MFA Server-versioner före 8.0 kan det också vara nödvändigt att ta bort multifaktorautentiseringen Telefon App Web Service

Nästa steg