使用分段推出遷移至雲端驗證

分段推出可讓您選擇性地測試具有雲端驗證功能的使用者群組,例如 Azure AD Multi-Factor Authentication (MFA) 、條件式存取、洩漏認證的身分識別保護、身分識別控管等,然後再移至您的網域。 本文討論如何進行此切換。 不過,在開始分段推出前,如果下列一或多個條件成立,則您應思考其含意:

  • 您目前正在使用內部部署 Multi-Factor Authentication 伺服器。
  • 您正在使用智慧卡進行驗證。
  • 目前伺服器提供某些僅限同盟的功能。

在嘗試這項功能前,建議先檢閱指南,以了解如何選擇正確的驗證方法。 如需詳細資訊,請參閱針對 Azure Active Directory 混合式身分識別解決方案選擇正確的驗證方法 (機器翻譯)。

如需此功能的概觀,請檢視此「Azure Active Directory:什麼是階段式推出?」 影片:

Prerequisites

  • 您擁有具有同盟網域的 Azure Active Directory (Azure AD) 租用戶。

  • 您決定移至這兩個選項的其中之一:

    針對這兩個選項,我們建議 (SSO) 啟用單一登入,以達成無訊息登入體驗。 針對 Windows 7 或8.1 加入網域的裝置,我們建議使用無縫 SSO。 如需詳細資訊,請參閱 什麼是無縫 SSO。 針對 Windows 10、Windows Server 2016 和更新版本,建議透過主要重新整理權杖使用 SSO (PRT) 與 Azure AD 已加入的裝置混合式 Azure AD 聯結裝置或個人註冊的裝置(透過新增工作或學校帳戶)。

  • 針對正在移轉至雲端驗證的使用者,您已為其設定了所需的所有適當租用戶商標和條件式存取原則。

  • 如果您打算使用 Azure AD Multi-Factor Authentication,建議您針對自助式密碼重設 (SSPR) 和 Multi-Factor Authentication 使用合併的註冊,讓您的使用者一次註冊驗證方法。 注意-當您在分段推出期間使用 SSPR 來重設密碼或使用 MyProfile 頁面來變更密碼時,Azure AD 連線需要同步處理新的密碼雜湊,在重設之後可能需要最多2分鐘的時間。

  • 若要使用分段推出功能,則您必須是租用戶的全域管理員。

  • 若要在特定 Active Directory 樹系上啟用「無縫 SSO」,則您必須是網域系統管理員。

  • 如果您要部署混合式 Azure AD 或 Azure AD 加入,則必須升級至 Windows 10 1903 更新。

支援的案例

分段推出支援下列案例。 此功能僅適用於:

  • 使用 Azure AD Connect 佈建到 Azure AD 的使用者。 不適用於僅限雲端的使用者。

  • 瀏覽器和「新式驗證」用戶端上的使用者登入流量。 使用舊版驗證的應用程式或雲端服務,將會回到同盟驗證流程。 例如已關閉新式驗證的 Exchange online,或不支援新式驗證的 Outlook 2010。

  • 群組大小目前限制為 50,000 位使用者。 如果的群組大於 50,000 位使用者,建議將此群組分割為多個群組以進行分段推出。

  • Windows 10 混合式聯結或 Azure AD 加入主要重新整理權杖,而不會向同盟伺服器取得 Windows 10 1903 版和更新版本的同盟伺服器(當使用者的 UPN 是可路由的,且在 Azure AD 中驗證了網域尾碼)時。

  • Windows 10 1909 版或更新版本的分段推出中支援 Autopilot 註冊。

不支援的情節

分段推出不支援下列案例:

  • 不支援舊版驗證,例如 POP3 和 SMTP。

  • 某些應用程式會在驗證期間將 "domain_hint" 查詢參數傳送至 Azure AD。 這些流程將會繼續,而啟用分段推出的使用者將繼續使用同盟進行驗證。

  • 系統管理員可使用安全性群組來推出雲端驗證。 若要避免在使用內部部署 Active Directory 安全性群組時發生同步延遲,建議使用雲端安全性群組。 適用條件如下:

    • 每項功能最多可使用 10 個群組。 亦即,您可將 10 個群組分別用於「密碼雜湊同步」、「傳遞驗證」及「無縫 SSO」。
    • 「不支援」巢狀群組。
    • 「不支援」動態群組進行分段推出。
    • 群組內的連絡人物件會禁止新增群組。
  • 在第一次新增安全性群組以進行分段推出時,會限制為 200 位使用者,以避免 UX 逾時。新增群組後,即可視需要將更多使用者直接新增至群組。

  • 當使用者在分段推出時,密碼到期原則會設定為90天,而且沒有可供自訂的選項。

  • Windows 10 混合式聯結或 Azure AD 加入主要重新整理權杖,以取得1903之前的 Windows 10 版本。 即使登入的使用者位於分段推出的範圍內,此案例仍會切換回同盟伺服器的 WS-Trust 端點。

  • 當使用者的內部部署 UPN 無法路由傳送時,Windows 10 混合式聯結或 Azure AD 加入所有版本的主要重新整理權杖。 此案例會在分段推出模式中切換回 WS-Trust 端點,但在預備遷移完成且使用者登入不再依賴同盟伺服器時,將會停止運作。

  • 如果您有 Windows 10 1903 版或更新版本的非持續性 VDI 設定,則必須保留在同盟網域上。 非持續性 VDI 不支援移至受控網域。 如需詳細資訊,請參閱 裝置身分識別和桌面虛擬化

  • 如果您有商務混合憑證信任的 Windows Hello,且憑證是透過作為登錄授權單位或智慧卡使用者的同盟伺服器所發行,則在分段推出時不支援此案例。

    注意

    您仍然需要使用 Azure AD Connect 或 PowerShell 來進行從同盟到雲端驗證最後的完全移轉。 分段推出不會將網域從同盟切換至受控。 如需有關網域切換的詳細資訊,請參閱 從同盟遷移至密碼雜湊同步 處理,以及 從同盟遷移至傳遞驗證

開始使用分段推出

若要使用分段推出測試「密碼雜湊同步」登入,請遵循下一節中的前置工作指示。

如需應使用哪些 PowerShell Cmdlet 的資訊,請參閱 Azure AD 2.0 Preview

密碼雜湊同步的前置工作

  1. 在 Azure AD 連線中,從 [選用功能] 頁面啟用 密碼雜湊同步 處理。

    Azure Active Directory Connect 中 [選用功能] 頁面的螢幕擷取畫面

  2. 請確定已執行完整的「密碼雜湊同步」週期,以便所有使用者的密碼雜湊都同步至 Azure AD。 若要檢查「密碼雜湊同步」的狀態,您可使用透過 Azure AD Connect 同步對密碼雜湊同步進行疑難排解中的 PowerShell 診斷。

    AADConnect 疑難排解記錄的螢幕擷取畫面

如果想要使用分段推出來測試「傳遞驗證」登入,請遵循下一節中的前置工作指示來將其啟用。

傳遞驗證的前置工作

  1. 找出想要執行「傳遞驗證」代理程式的伺服器 (其執行 Windows Server 2012 R2 或更新版本)。

    「請勿」選擇 Azure AD Connect 伺服器。  請確認伺服器已加入網域、可使用 Active Directory 來驗證所選使用者,並可與輸出連接埠和 URL 上的 Azure AD 通訊。 如需詳細資訊,請參閱快速入門:Azure AD 無縫單一登入中的<步驟 1:檢查先決條件>一節。

  2. 下載 Azure AD Connect 驗證代理程式並在伺服器上安裝。

  3. 若要啟用 高可用性,請在其他伺服器上安裝其他驗證代理程式。

  4. 請確認已適當設定智慧型鎖定設定。 這樣有助於確保使用者的內部部署 Active Directory 帳戶不會遭到不良執行者鎖定。

不論選取哪個登入方法 (「密碼雜湊同步」或「傳遞驗證」) 來進行分段推出,都建議啟用「無縫 SSO」。 若要啟用「無縫 SSO」,請遵循下一節中的前置工作指示。

無縫 SSO 的前置工作

使用 PowerShell 在 Active Directory 樹系上啟用 無縫 SSO 。 如果您有多個 Active Directory 樹系,請針對每個樹系個別啟用它。 只有針對已選取進行分段推出的使用者,才會觸發 無縫 SSO 。 不會影響現有的同盟設定。

執行下列動作以啟用「無縫 SSO」:

  1. 登入 Azure AD Connect 伺服器。

  2. 移至 % programfiles% \ Microsoft Azure Active Directory 連線 資料夾。

  3. 使用下列命令匯入「無縫 SSO」PowerShell 模組:

    Import-Module .\AzureADSSO.psd1

  4. 以系統管理員身分執行 PowerShell。 在 PowerShell 中,呼叫 New-AzureADSSOAuthenticationContext。 此命令會開啟一個窗格,您可在其中輸入租用戶的全域管理員認證。

  5. 呼叫 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令會顯示已啟用這項功能的 Active Directory 樹系清單 (查看 [網域] 清單)。 根據預設,在租用戶層級會設為 False。

    Windows PowerShell 輸出的範例

  6. 呼叫 $creds = Get-Credential。 出現提示時,輸入預定 Active Directory 樹系的網域管理員認證。

  7. 呼叫 Enable-AzureADSSOForest -OnPremCredentials $creds。 此命令會從 Active Directory 樹系的內部部署網域控制站建立「無縫 SSO」所需 AZUREADSSOACC 電腦帳戶。

  8. 「無縫 SSO」需要 URL 位於內部網路區域中。 若要使用群組原則來部署這些 URL,請參閱<快速入門:Azure AD 無縫單一登入>

  9. 如需完整的逐步解說,您也可下載「無縫 SSO」的部署計劃

啟用分段推出

若要將特定功能 (「傳遞驗證」、「密碼雜湊同步」或「無縫 SSO」) 推出至群組中的一組所選使用者,請遵循下一節中的指示。

在租用戶上啟用特定功能的分段推出

您可推出下列選項的其中之一:

  • 選項 A - 「密碼雜湊同步」 + 「無縫 SSO」
  • 選項 B - 「傳遞驗證」 + 「無縫 SSO」
  • 不支援 - 「密碼雜湊同步」 + 「傳遞驗證」 + 「無縫 SSO」

執行下列動作:

  1. 若要存取 UX,請登入Azure AD 入口網站

  2. 選取 [ 啟用受控使用者登入的分段推出 ] 連結。

    例如,如果想要啟用「選項 A」,請將「密碼雜湊同步」和「無縫單一登入」控制項滑動至 開啟,如下列影像所示。

  3. 將群組新增至功能以啟用「傳遞驗證」和「無縫 SSO」。 若要避免 UX 逾時,請確認安全性群組一開始不包含超過 200 位成員。

    注意

    群組中的成員會自動啟用,以進行分段推出。 不支援巢狀和動態群組進行分段推出。 新增群組時,群組中的使用者 (最多為200的新群組使用者) 將會更新為立即使用受控驗證。 編輯群組 (新增或移除使用者) ,最多可能需要24小時的時間,變更才會生效。 只有當使用者位於無縫 SSO 群組以及 PTA 或 PHS 群組中時,才會套用無縫 SSO。

稽核

我們已針對分段推出所執行的各種動作啟用了稽核事件:

  • 當啟用「密碼雜湊同步」、「傳遞驗證」或「無縫 SSO」的分段推出時,就會發生稽核事件。

    注意

    使用分段推出開啟「無縫 SSO」時,會記錄稽核事件。

    [為功能建立推出原則] 窗格 - [活動] 索引標籤

    [為功能建立推出原則] 窗格 - [已修改的屬性] 索引標籤

  • 將群組新增至「密碼雜湊同步」、「傳遞驗證」或「無縫 SSO」時,就會發生稽核事件。

    注意

    將群組新增至「密碼雜湊同步」以進行分段推出時,會記錄稽核事件。

    [將群組新增至功能推出] 窗格 - [活動] 索引標籤

    [將群組新增至功能推出] 窗格 - [已修改的屬性] 索引標籤

  • 當已新增至群組的使用者啟用分段推出時,就會發生稽核事件。

    [將使用者新增至功能推出] 窗格 - [活動] 索引標籤

    [將使用者新增至功能推出] 窗格 - [目標] 索引標籤

驗證

若要使用「密碼雜湊同步」或「傳遞驗證」(使用者名稱和密碼登入) 來測試登入,請執行下列操作:

  1. 在外部網路上,前往私密瀏覽器工作階段中的應用程式頁面,然後輸入已選取要進行分段推出的使用者帳戶 UserPrincipalName (UPN)。

    已預定要進行分段推出的使用者,不會重新導向至同盟登入頁面。 反之,系統會要求其登入 Azure AD 租用戶商標的登入頁面。

  2. 藉由篩選 UserPrincipalName 來確保 Azure AD 登入活動報告中顯示登入成功。

使用「無縫 SSO」來測試登入:

  1. 在內部網路上,前往私密瀏覽器工作階段中的應用程式頁面,然後輸入已選取要進行分段推出的使用者帳戶 UserPrincipalName (UPN)。

    已預定要進行「無縫 SSO」分段推出的使用者會看到「正在嘗試登入...」訊息,然後才會無訊息登入。

  2. 藉由篩選 UserPrincipalName 來確保 Azure AD 登入活動報告中顯示登入成功。

    若要追蹤仍會在所選分段推出使用者 Active Directory 同盟服務 (AD FS) 上發生的使用者登入,請遵循 AD FS 疑難排解:事件與記錄 (機器翻譯) 中的指示。 請參閱廠商文件,以了解如何透過協力廠商同盟提供者對此進行檢查。

監視

您可以使用 Azure 入口網站中的新混合式驗證活頁簿,在分段推出時監視新增或移除的使用者和群組,以及在分段推出的使用者登入。

混合式驗證活頁簿

將使用者從分段推出移除

從群組移除使用者時,會停用該使用者的分段推出。 若要停用分段推出功能,請將控制項滑動回 關閉

常見問題集

問:我可在生產中使用這項功能嗎?

A:是,您可在生產租用戶者中使用這項功能,但建議先在測試租用戶中試用。

問:這項功能是否可用來維護永久性的「共存」,其中某些使用者使用同盟驗證,而其他則使用雲端驗證?

答:否,這項功能是專為測試雲端驗證所設計。 成功測試幾個使用者群組之後,您應該剪下雲端驗證。 我們不建議使用永久性混合狀態,因為此方法可能會導致非預期的驗證流程。

問:我可使用 PowerShell 來執行分段推出嗎?

A:是。 若要了解如何使用 PowerShell 來執行分段推出,請參閱 Azure AD Preview (英文)。

後續步驟