Migrálás felhőalapú hitelesítésre szakaszos bevezetéssel

A szakaszos bevezetés lehetővé teszi a felhasználók csoportjainak szelektív tesztelését olyan felhőalapú hitelesítési képességekkel, mint a Microsoft Entra többtényezős hitelesítése, a feltételes hozzáférés, a kiszivárgott hitelesítő adatok identitásvédelme, az identitásszabályozás és mások, mielőtt átvágja a tartományait. Ez a cikk a kapcsoló létrehozásának módját ismerteti.

A szakaszos bevezetés megkezdése előtt vegye figyelembe a következményeket, ha az alábbi feltételek közül egy vagy több igaz:

• Jelenleg helyszíni Multi-Factor Authentication-kiszolgálót használ.
• Intelligens kártyákat használ a hitelesítéshez.
• Az aktuális kiszolgáló bizonyos összevonási funkciókat kínál.
• Egy harmadik féltől származó összevonási megoldásról a felügyelt szolgáltatásokra lép át.

Mielőtt kipróbálná ezt a funkciót, javasoljuk, hogy tekintse át a megfelelő hitelesítési módszer kiválasztásáról szóló útmutatót. További információt a Microsoft Entra hibrid identitásmegoldás megfelelő hitelesítési módszerének kiválasztása című témakör "Módszerek összehasonlítása" című táblázatában talál.

A funkció áttekintéséhez tekintse meg ezt a "Mi a szakaszos bevezetés?" videót:

Előfeltételek

• Összevont tartományokkal rendelkező Microsoft Entra-bérlője van.

• Úgy döntött, hogy a következő lehetőségek egyikét helyezi át:

  • Jelszókivonat-szinkronizálás (szinkronizálás). További információ: Mi az a jelszókivonat-szinkronizálás?
  • Átmenő hitelesítés. További információ: Mi az átmenő hitelesítés?
  • A Microsoft Entra tanúsítványalapú hitelesítési (CBA) beállításai. További információ: A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése

  Mindkét lehetőség esetében javasoljuk, hogy engedélyezze az egyszeri bejelentkezést (SSO) a csendes bejelentkezési élmény eléréséhez. Windows 7 vagy 8.1 tartományhoz csatlakoztatott eszközök esetén javasoljuk a közvetlen egyszeri bejelentkezés használatát. További információ: Mi a közvetlen egyszeri bejelentkezés? Windows 10, Windows Server 2016 és újabb verziók esetén ajánlott az egyszeri bejelentkezés használata elsődleges frissítési jogkivonaton (PRT) keresztül a Microsoft Entra-hoz csatlakoztatott eszközökkel, a Microsoft Entra hibrid csatlakoztatott eszközökkel vagy a személyes regisztrált eszközökkel munkahelyi vagy iskolai fiók hozzáadása révén.

• Konfigurálta a felhőhitelesítésbe migrált felhasználók számára szükséges bérlői védjegyzési és feltételes hozzáférési szabályzatokat.

• Ha az összevontról a felhőbeli hitelesítésre váltott, ellenőriznie kell, hogy a DirSync-beállítás SynchronizeUpnForManagedUsers engedélyezve van-e, ellenkező esetben a Microsoft Entra-azonosító nem engedélyezi a felügyelt hitelesítést használó licencelt felhasználói fiókok upn- vagy másodlagos bejelentkezési azonosítójának szinkronizálási frissítéseit. További információ: Microsoft Entra Csatlakozás Sync szolgáltatás funkciói.

• Ha többtényezős Microsoft Entra-hitelesítést szeretne használni, javasoljuk, hogy az önkiszolgáló jelszó-visszaállításhoz (SSPR) és a többtényezős hitelesítéshez kombinált regisztrációt használjon, hogy a felhasználók egyszer regisztrálhassák a hitelesítési módszereiket. Megjegyzés: ha SSPR-t használ a jelszó alaphelyzetbe állításához vagy a jelszó módosításához a MyProfile oldal használatával a szakaszos bevezetés során, a Microsoft Entra Csatlakozás szinkronizálnia kell az új jelszókivonatot, amely az alaphelyzetbe állítás után akár 2 percet is igénybe vehet.

• A szakaszos bevezetés funkció használatához hibrid identitás-Rendszergazda istratornak kell lennie a bérlőn.

• Ha egy adott Active Directory-erdőben szeretné engedélyezni a közvetlen egyszeri bejelentkezést , tartományi rendszergazdának kell lennie.

• Ha hibrid Microsoft Entra-azonosítót vagy Microsoft Entra-csatlakozást helyez üzembe, frissítenie kell a Windows 10 1903-ra.

Támogatott esetek

A szakaszos bevezetéshez az alábbi forgatókönyvek támogatottak. A funkció csak a következő célokra használható:

• A Microsoft Entra-azonosítóhoz a Microsoft Entra Csatlakozás használatával kiosztott felhasználók. Ez nem vonatkozik a csak felhőalapú felhasználókra.

• Felhasználói bejelentkezési forgalom böngészőkben és modern hitelesítési ügyfeleken. Az örökölt hitelesítést használó alkalmazások vagy felhőszolgáltatások visszaállnak az összevont hitelesítési folyamatokra. Az örökölt hitelesítésre példa lehet az Exchange Online, ha a modern hitelesítés ki van kapcsolva, vagy az Outlook 2010, amely nem támogatja a modern hitelesítést.

• A csoport mérete jelenleg 50 000 felhasználóra korlátozódik. Ha 50 000 felhasználónál nagyobb csoportokkal rendelkezik, javasoljuk, hogy több csoportra ossza fel ezt a csoportot a szakaszos bevezetéshez.

• A Windows 10 Hibrid csatlakozás vagy a Microsoft Entra csatlakozik az elsődleges frissítési jogkivonat beszerzéséhez a Windows 10 1903-as és újabb verziójának összevonási kiszolgálójához, ha a felhasználó UPN-je nem érhető el, és a tartomány utótagja a Microsoft Entra-azonosítóban van ellenőrizve.

• Az Autopilot-regisztráció támogatott a Szakaszos bevezetésben a Windows 10 1909-es vagy újabb verziójával.

Nem támogatott forgatókönyvek

A szakaszos bevezetés esetében a következő forgatókönyvek nem támogatottak:

• Az örökölt hitelesítés, például a POP3 és az SMTP nem támogatott.

• Egyes alkalmazások a hitelesítés során elküldik a "domain_hint" lekérdezési paramétert a Microsoft Entra ID-nak. Ezek a folyamatok folytatódnak, és azok a felhasználók, akik engedélyezve vannak a szakaszos bevezetéshez, továbbra is összevonást használnak a hitelesítéshez.

• Rendszergazda biztonsági csoportok használatával hozhatják létre a felhőhitelesítést. A helyi Active Directory biztonsági csoportok használatakor a szinkronizálás késésének elkerülése érdekében javasoljuk, hogy felhőbeli biztonsági csoportokat használjon. A következő feltételeket kell figyelembe venni:

  • Funkciónként legfeljebb 10 csoportot használhat. Vagyis 10 csoportot használhat a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez és a zökkenőmentes egyszeri bejelentkezéshez.
  • A beágyazott csoportok nem támogatottak.
  • A dinamikus csoportok nem támogatottak a szakaszos bevezetéshez.
  • A csoporton belüli partnerobjektumok letiltják a csoport hozzáadását.

• Amikor először ad hozzá biztonsági csoportot a szakaszos bevezetéshez, 200 felhasználóra van korlátozva, hogy elkerülje a UX időtúllépését. Miután hozzáadta a csoportot, szükség szerint további felhasználókat is hozzáadhat közvetlenül hozzá.

• Míg a felhasználók szakaszos bevezetést használnak jelszókivonat-szinkronizálással (PHS), alapértelmezés szerint nincs jelszó lejárata. A jelszó lejárata a "CloudPasswordPolicyForPasswordSyncedUsersEnabled" engedélyezésével alkalmazható. Ha a "CloudPasswordPolicyForPasswordSyncedUsersEnabled" engedélyezve van, a jelszó lejárati szabályzata a jelszó helyszíni beállításától számított 90 napra van beállítva, és nincs lehetőség a testreszabására. A PasswordPolicies attribútum programozott frissítése nem támogatott, amíg a felhasználók szakaszos bevezetésben vannak. A "CloudPasswordPolicyForPasswordSyncedUsersEnabled" beállításáról a Jelszó lejárati szabályzatában olvashat.

• Windows 10 Hybrid Join vagy Microsoft Entra join elsődleges frissítési jogkivonat beszerzése a Windows 10 1903-nál régebbi verziójához. Ez a forgatókönyv visszaesik az összevonási kiszolgáló WS-Trust végpontjára, még akkor is, ha a bejelentkező felhasználó a szakaszos bevezetés hatókörébe tartozik.

• A Windows 10 Hibrid csatlakozás vagy a Microsoft Entra csatlakozik az elsődleges frissítési jogkivonat beszerzéséhez az összes verzióhoz, ha a felhasználó helyszíni UPN-je nem érhető el. Ez a forgatókönyv a szakaszos bevezetési módban visszaesik a WS-Trust végpontra, de a szakaszos migrálás befejeztével leáll, és a felhasználói bejelentkezés már nem az összevonási kiszolgálóra támaszkodik.

• Ha a Windows 10 1903-at vagy újabb verzióját futtató, nem időszakos VDI-beállítással rendelkezik, összevont tartományon kell maradnia. A nem időszakos VDI-n nem támogatott a felügyelt tartományba való áttérés. További információ: Eszközidentitás és asztali virtualizálás.

• Ha Vállalati Windows Hello hibrid tanúsítvány megbízhatósága van a regisztrációs szolgáltatóként vagy smartcard-felhasználókként eljáró összevonási kiszolgálón keresztül kibocsátott tanúsítványokkal, a forgatókönyv nem támogatott szakaszos bevezetés esetén.

  Feljegyzés

  A Microsoft Entra Csatlakozás vagy a PowerShell használatával továbbra is át kell helyeznie a végső átállást az összevonttól a felhőhitelesítésig. A szakaszos bevezetés nem vált tartományokat összevontról felügyeltre. További információ a tartományátvételről: Migrálás összevonásról jelszókivonat-szinkronizálásra , migrálás összevonásról átmenő hitelesítésre.

Bevezetés a szakaszos bevezetésbe

A jelszókivonat-szinkronizálási bejelentkezés szakaszos bevezetéssel való teszteléséhez kövesse a következő szakaszban található előmunkára vonatkozó utasításokat.

A PowerShell-parancsmagok használatáról a Microsoft Entra ID 2.0 előzetes verziójában olvashat.

A jelszókivonat-szinkronizálás előmunkája

1. Engedélyezze a jelszókivonat szinkronizálását a Microsoft Entra Csatlakozás Választható funkciók lapján. 

   

2. Győződjön meg arról, hogy a jelszókivonatok teljes szinkronizálási ciklusa lefutott, hogy az összes felhasználó jelszókivonata szinkronizálva legyen a Microsoft Entra-azonosítóval. A jelszókivonat-szinkronizálás állapotának ellenőrzéséhez használja a PowerShell-diagnosztikát a Microsoft Entra Csatlakozás Synctel való jelszókivonat-szinkronizálás hibaelhárítása című témakörben.

   

Ha szakaszos bevezetéssel szeretné tesztelni az átmenő hitelesítési bejelentkezést, engedélyezze azt a következő szakaszban található előmunkára vonatkozó utasítások követésével.

Az átmenő hitelesítés előkészülete

1. Azonosítsa a Windows Server 2012 R2 vagy újabb rendszert futtató kiszolgálót, ahol az átmenő hitelesítési ügynököt futtatni szeretné.

   Ne válassza a Microsoft Entra Csatlakozás kiszolgálót. Győződjön meg arról, hogy a kiszolgáló tartományhoz csatlakozik, hitelesíteni tudja a kijelölt felhasználókat az Active Directoryval, és képes kommunikálni a Microsoft Entra-azonosítóval a kimenő portokon és URL-címeken. További információ: "1. lépés: Az előfeltételek ellenőrzése" című rövid útmutató: Microsoft Entra közvetlen egyszeri bejelentkezés.

2. Töltse le a Microsoft Entra Csatlakozás hitelesítési ügynököt, és telepítse a kiszolgálóra. 

3. A magas rendelkezésre állás engedélyezéséhez telepítsen további hitelesítési ügynököket más kiszolgálókra.

4. Győződjön meg arról, hogy megfelelően konfigurálta az intelligens zárolási beállításokat . Ezzel biztosíthatja, hogy a felhasználók helyi Active Directory fiókjait ne zárják ki a rossz szereplők.

Javasoljuk, hogy a zökkenőmentes egyszeri bejelentkezést a szakaszos bevezetéshez választott bejelentkezési módszertől (jelszókivonat-szinkronizálástól vagy átmenő hitelesítéstől) függetlenül engedélyezze. A közvetlen egyszeri bejelentkezés engedélyezéséhez kövesse a következő szakaszban található előmunkálati utasításokat.

Előzetes munka a közvetlen egyszeri bejelentkezéshez

Engedélyezze a közvetlen egyszeri bejelentkezést az Active Directory-erdőkben a PowerShell használatával. Ha egynél több Active Directory-erdőt is használhat, egyenként engedélyezze az egyes erdőkhöz. A közvetlen egyszeri bejelentkezés csak a szakaszos bevezetéshez kiválasztott felhasználók esetében aktiválódik. Ez nincs hatással a meglévő összevonási beállításra.

Engedélyezze a közvetlen egyszeri bejelentkezést a következő feladatok végrehajtásával:

1. Jelentkezzen be a Microsoft Entra Csatlakozás-kiszolgálóra.

2. Nyissa meg a %programfiles%\Microsoft Entra Csatlakozás mappát.

3. Importálja a közvetlen SSO PowerShell-modult az alábbi parancs futtatásával:

   Import-Module .\AzureADSSO.psd1

4. Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt: New-AzureADSSOAuthenticationContext. Ez a parancs megnyit egy panelt, ahol megadhatja a bérlő hibrid identitásának Rendszergazda istrator hitelesítő adatait.

5. Hívja meg a következőt: Get-AzureADSSOStatus | ConvertFrom-Json. Ez a parancs megjeleníti azon Active Directory-erdők listáját (lásd a "Tartományok" listát), amelyeken ez a funkció engedélyezve van. Alapértelmezés szerint a bérlői szinten hamis értékre van állítva.

   

6. Hívja meg a következőt: $creds = Get-Credential. A parancssorba írja be a tartományi rendszergazda hitelesítő adatait a kívánt Active Directory-erdőhöz.

7. Hívja meg a következőt: Enable-AzureADSSOForest -OnPremCredentials $creds. Ez a parancs létrehozza az AZUREADSSOACC számítógépfiókot a közvetlen egyszeri bejelentkezéshez szükséges Active Directory-erdő helyszíni tartományvezérlőjén.

8. A közvetlen egyszeri bejelentkezéshez az URL-címeknek az intranetes zónában kell lenniük. Az URL-címek csoportházirendek használatával történő üzembe helyezéséhez tekintse meg a Microsoft Entra közvetlen egyszeri bejelentkezésről szóló rövid útmutatót.

9. A teljes útmutatóhoz letöltheti az üzembehelyezési terveket a közvetlen egyszeri bejelentkezéshez.

Szakaszos bevezetés engedélyezése

Ha egy adott funkciót (átmenő hitelesítést, jelszókivonat-szinkronizálást vagy közvetlen egyszeri bejelentkezést) szeretne létrehozni egy csoport egyes felhasználóinak, kövesse a következő szakaszok utasításait.

Adott funkció szakaszos bevezetésének engedélyezése a bérlőn

Ezeket a beállításokat a következő lehetőségek közül választhatja ki:

• Jelszókivonat szinkronizálása + közvetlen egyszeri bejelentkezés
• Átmenő hitelesítés + – közvetlen egyszeri bejelentkezés
• Nem támogatott - jelszókivonat szinkronizálása + átmenő hitelesítés + közvetlen egyszeri bejelentkezéssel
• Tanúsítványalapú hitelesítési beállítások
• Többtényezős Azure-hitelesítés

A szakaszos bevezetés konfigurálásához kövesse az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.

2. Keresse meg az Identity>Hybrid management>Microsoft Entra Csatlakozás> Csatlakozás szinkronizálást.

3. A Microsoft Entra Csatlakozás lapon, a felhőalapú hitelesítés szakaszos bevezetése alatt válassza a felügyelt felhasználói bejelentkezési hivatkozás szakaszos bevezetésének engedélyezése lehetőséget.

4. A szakaszos bevezetés engedélyezése funkciólapon válassza ki az engedélyezni kívánt beállításokat: Jelszókivonat-szinkronizálás, átmenő hitelesítés, közvetlen egyszeri bejelentkezés vagy tanúsítványalapú hitelesítés. Ha például engedélyezni szeretné a jelszókivonat-szinkronizálást és a közvetlen egyszeri bejelentkezést, húzza mindkét vezérlőt a Be gombra.

5. Csoportok hozzáadása a kiválasztott funkciókhoz. Például átmenő hitelesítés és közvetlen egyszeri bejelentkezés. Az időtúllépés elkerülése érdekében győződjön meg arról, hogy a biztonsági csoportok kezdetben legfeljebb 200 tagot tartalmaznak.

   Feljegyzés

   A csoport tagjai automatikusan engedélyezve vannak a szakaszos bevezetéshez. A beágyazott és dinamikus csoportok nem támogatottak a szakaszos bevezetéshez. Új csoport hozzáadásakor a csoport felhasználói (új csoport esetén legfeljebb 200 felhasználó) azonnal frissülnek a felügyelt hitelesítés használatára. A csoportok szerkesztése (felhasználók hozzáadása vagy eltávolítása) akár 24 órát is igénybe vehet a módosítások érvénybe lépéséhez. A közvetlen egyszeri bejelentkezés csak akkor érvényes, ha a felhasználók a közvetlen egyszeri bejelentkezés csoporthoz tartoznak, valamint PTA- vagy PHS-csoportban is.

Naplózás

Engedélyeztük a naplózási eseményeket a szakaszos bevezetéshez végrehajtott különböző műveletekhez:

• Naplózási esemény, ha engedélyezi a szakaszos bevezetést a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez vagy a zökkenőmentes egyszeri bejelentkezéshez.

  Feljegyzés

  A rendszer naplózza a naplózási eseményt, ha a közvetlen egyszeri bejelentkezés be van kapcsolva a szakaszos bevezetés használatával.

  

  

• Naplózási esemény, ha egy csoport hozzáadódik a jelszókivonat-szinkronizáláshoz, az átmenő hitelesítéshez vagy a közvetlen egyszeri bejelentkezéshez.

  Feljegyzés

  Naplóz egy naplózási eseményt, amikor egy csoport hozzáadódik a szakaszos bevezetés jelszókivonat-szinkronizálásához .

  

  

• Naplózási esemény, ha a csoporthoz hozzáadott felhasználó engedélyezve van a szakaszos bevezetéshez.

  

  

Érvényesítés

Ha jelszókivonat-szinkronizálással vagy átmenő hitelesítéssel (felhasználónév és jelszó-bejelentkezés) szeretné tesztelni a bejelentkezést, végezze el a következő feladatokat:

1. Az extraneten nyissa meg az Alkalmazások lapot egy privát böngésző munkamenetben, majd adja meg a szakaszos bevezetéshez kiválasztott felhasználói fiók UserPrincipalName (UPN) értékét.

   A szakaszos bevezetésre célzott felhasználók nem lesznek átirányítva az összevont bejelentkezési oldalra. Ehelyett a rendszer arra kéri őket, hogy jelentkezzenek be a Microsoft Entra bérlői márkajelzésű bejelentkezési oldalán.

2. Győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik a Microsoft Entra bejelentkezési tevékenységjelentésében a UserPrincipalName szűrésével.

A közvetlen egyszeri bejelentkezéssel történő bejelentkezés tesztelése:

1. Az intraneten nyissa meg az Alkalmazások lapot egy privát böngésző munkamenetben, majd adja meg a szakaszos bevezetéshez kiválasztott felhasználói fiók UserPrincipalName (UPN) értékét.

   Azok a felhasználók, akik a közvetlen egyszeri bejelentkezés szakaszos bevezetésére lettek megcélzva, a következőhöz hasonló szöveg jelenik meg: "Megpróbáljuk bejelentkezni..." üzenet, mielőtt csendben bejelentkeznének.

2. Győződjön meg arról, hogy a bejelentkezés sikeresen megjelenik a Microsoft Entra bejelentkezési tevékenységjelentésében a UserPrincipalName szűrésével.

   A Active Directory összevonási szolgáltatások (AD FS) (AD FS) a kijelölt szakaszos bevezetési felhasználók esetében továbbra is előforduló felhasználói bejelentkezések nyomon követéséhez kövesse az AD FS hibaelhárítási útmutatóját: Események és naplózás. Tekintse meg a szállító dokumentációját arról, hogyan ellenőrizheti ezt a külső összevonási szolgáltatókon.

   Feljegyzés

   Amíg a felhasználók a PHS-sel együtt szakaszos bevezetésben vannak, a jelszavak módosítása a szinkronizálási idő miatt akár 2 percet is igénybe vehet. Győződjön meg arról, hogy elvárásokat támaszt a felhasználókkal, hogy elkerüljék a segélyhívásokat, miután megváltoztatták a jelszavukat.

Figyelés

A Szakaszos bevezetésben hozzáadott vagy eltávolított felhasználókat és csoportokat, valamint a szakaszos bevezetés során bejelentkezett felhasználókat és csoportokat a Microsoft Entra felügyeleti központban található új hibrid hitelesítésű munkafüzetek használatával figyelheti.

Felhasználó eltávolítása a szakaszos bevezetésből

Ha eltávolít egy felhasználót a csoportból, azzal letiltja a szakaszos bevezetést. A szakaszos bevezetés funkció letiltásához húzza vissza a vezérlőt kikapcsolva.

Gyakori kérdések

K: Használhatom ezt a képességet éles környezetben?

Válasz: Igen, használhatja ezt a funkciót az éles bérlőben, de javasoljuk, hogy először próbálja ki a tesztbérlében.

K: Használható ez a funkció egy állandó "együttlét" fenntartásához, ahol egyes felhasználók összevont hitelesítést használnak, míg mások felhőalapú hitelesítést használnak?

Válasz: Nem, ez a funkció a felhőhitelesítés tesztelésére lett tervezve. A sikeres tesztelés után néhány felhasználócsoportot át kell vágnia a felhőhitelesítésre. Nem javasoljuk, hogy állandó vegyes állapotot használjon, mert ez a megközelítés váratlan hitelesítési folyamatokat eredményezhet.

K: Használhatom a PowerShellt a szakaszos bevezetés végrehajtásához?

V: Igen. A PowerShell szakaszos bevezetés végrehajtásának módjáról a Microsoft Entra ID előzetes verziójában olvashat.

Következő lépések

• Microsoft Entra ID 2.0 előzetes verzió
• A bejelentkezési módszer módosítása jelszókivonat-szinkronizálásra
• Bejelentkezési módszer módosítása átmenő hitelesítésre