使用分阶段推出迁移到云身份验证

  • 项目

使用分阶段推出,可以在直接转换域之前,通过云身份验证功能选择性地测试用户组(例如 Microsoft Entra 多重身份验证、条件访问、适用于已泄露凭据的标识保护,以及标识治理等)。 本文介绍如何进行这种切换。

在开始分阶段推出之前,如果满足以下一个或多个条件,就应当考虑影响:

  • 当前正在使用本地多重身份验证服务器。
  • 使用智能卡进行身份验证。
  • 当前服务器提供某些仅限联合的功能。
  • 你要从第三方联合解决方案迁移到托管服务。

在尝试此功能之前,建议查看有关选择正确身份验证方法的指南。 有关详细信息,请参阅为 Microsoft Entra 混合标识解决方案选择正确的身份验证方法中的“比较方法”表。

有关功能概述,请观看这个“什么是分阶段推出?”视频:

先决条件

  • 你有一个包含联合域 Microsoft Entra 租户。

  • 你已决定移动以下选项之一:

    对于这两个选项,建议启用单一登录 (SSO) 以实现静默登录体验。 对于加入域的 Windows 7 或 8.1 设备,建议使用无缝 SSO。 有关详细信息,请参阅什么是无缝 SSO。 对于 Windows 10、Windows Server 2016 及更高版本,建议通过主刷新令牌 (PRT) 将 SSO 用于 Microsoft Entra 联接设备Microsoft Entra 混合联接设备,或通过“添加工作或学校帐户”用于个人注册设备

  • 你已配置了要迁移到云身份验证的用户所需的所有相应租户品牌和条件访问策略。

  • 如果你已从联合身份验证迁移到云身份验证,则必须验证 DirSync 设置 SynchronizeUpnForManagedUsers 是否已启用,否则 Microsoft Entra ID 不会允许将更新同步到使用托管身份验证的已授权用户帐户的 UPN 或备用登录 ID。 有关详细信息,请参阅 Microsoft Entra Connect Sync 服务功能

  • 如果计划使用 Microsoft Entra 多重身份验证,我们建议使用自助式密码重置 (SSPR) 和多重身份验证的组合注册,以要求你的用户注册一次其身份验证方法。 注意 - 在分阶段推出期间使用 SSPR 重置密码或使用“MyProfile”页更改密码时,Microsoft Entra Connect 在密码重置后需要同步新的密码哈希,这可能最多需要 2 分钟的时间。

  • 若要使用分阶段推出功能,需要在租户上具有混合标识管理员身份。

  • 若要在特定 Active Directory 林上启用无缝 SSO,你必须是域管理员。

  • 如果要部署混合 Microsoft Entra ID 或 Microsoft Entra 联接,则必须升级到 Windows 10 1903 更新。

支持的方案

分阶段推出支持以下场景。 该功能仅适用于:

  • 使用 Microsoft Entra Connect 预配到 Microsoft Entra ID 的用户。 它不适用于纯云用户。

  • 浏览器和新式身份验证客户端上的用户登录流量。 使用旧身份验证的应用程序或云服务将回退到联合身份验证流。 例如,关闭了新式身份验证的 Exchange Online 或不支持新式身份验证的 Outlook 2010 是旧身份验证。

  • 组大小当前限制为 50,000 个用户。 如果你有超过 50,000 个用户的组,建议将该组拆分为多个组以进行分阶段推出。

  • 如果用户的 UPN 可路由,并且域后缀已在 Microsoft Entra ID 中验证,则对于 Windows 10 版本 1903 和更高版本,Windows 10 混合加入或 Microsoft Entra 加入主刷新令牌获取在联合服务器视线以外。

  • Windows 10 版本 1909 或更高版本在分阶段推出时支持 Autopilot 注册。

不支持的方案

分阶段推出不支持以下场景:

  • 不支持 POP3 和 SMTP 等旧式身份验证。

  • 某些应用程序在身份验证过程中会将“domain_hint”查询参数发送到 Microsoft Entra ID。 这些流会继续运行,允许进行分阶段推出的用户可继续使用联合身份验证。

  • 管理员可以使用安全组来推出云身份验证。 为了避免在使用本地 Active Directory 安全组时出现同步延迟,建议使用云安全组。 下列条件适用:

    • 每个功能最多可以使用 10 个组。 也就是说,密码哈希同步、直通身份验证和无缝 SSO 各可以使用 10 个组。
    • 不支持嵌套组。
    • 分阶段推出不支持动态组。
    • 组内的联系人对象会阻止添加组。

  • 首次为分阶段推出添加安全组时,限制于 200 个用户,以避免 UX 超时。添加组后,可以根据需要直接向其添加更多用户。

  • 当用户处于使用密码哈希同步 (PHS) 登录的分阶段推出阶段,默认情况下不会应用密码过期。 你可以通过启用“CloudPasswordPolicyForPasswordSyncedUsersEnabled”应用密码过期策略。 如果已启用“CloudPasswordPolicyForPasswordSyncedUsersEnabled”,则密码过期策略将设置为自本地设置密码后 90 天内,没有选项可自定义该策略。 当用户处于分阶段推出状态时,不支持以编程方式更新 PasswordPolicies 属性。 要了解如何设置“CloudPasswordPolicyForPasswordSyncedUsersEnabled”,请参阅密码过期策略

  • 适用于低于 1903 的 Windows 10 版本的 Windows 10 混合加入或 Microsoft Entra 加入主刷新令牌获取。 此方案将回退到联合服务器的 WS-Trust 终结点,即使用户登录在分阶段推出的范围内发生。

  • 如果用户的本地 UPN 不可路由,则对于所有版本,将获取 Windows 10 混合联接或 Microsoft Entra 联接主刷新令牌。 此方案会回退到处于“分阶段推出”模式的 WS-Trust 终结点,但会在分阶段迁移完成时停止工作,此时用户登录不再依赖于联合服务器。

  • 如果在 Windows 10 版本 1903 或更高版本中使用非永久性 VDI 设置,则必须保留在联合域中。 非永久性 VDI 不支持移动到托管域。 有关详细信息,请参阅设备标识和桌面虚拟化

  • 如果使用 Windows Hello 企业版混合证书信任,且证书是通过联合服务器以注册机构或智能卡用户身份颁发的,则分阶段推出不支持该方案。

    注意

    仍需要使用 Microsoft Entra Connect 或 PowerShell 进行从联合身份验证到云身份验证的最终直接转换。 分阶段部署不会将域从联合域切换到托管域。 有关域切换的详细信息,请参阅从联合迁移到密码哈希同步从联合迁移到传递身份验证

分阶段推出入门

若要使用分阶段推出测试密码哈希同步登录,请遵循下一部分中的准备工作说明。

有关要使用的 PowerShell cmdlet 的信息,请参阅 Microsoft Entra ID 2.0 预览版

密码哈希同步的准备工作

  1. 通过 Microsoft Entra Connect 中的“可选功能”页启用密码哈希同步。 

    Microsoft Entra Connect 中“可选功能”页的屏幕截图

  2. 请确保已运行完整的密码哈希同步循环,以便将所有用户的密码哈希同步到 Microsoft Entra ID。 要检查密码哈希同步的状态,可以使用通过 Microsoft Entra Connect 同步排查密码哈希同步问题中的 PowerShell 诊断。

    Microsoft Entra Connect 故障排除日志的屏幕截图

如果要使用分阶段推出测试直通身份验证登录,请按照下一部分中的准备工作说明启用该功能。

直通身份验证的准备工作

  1. 识别运行 Windows Server 2012 R2 或更高版本的服务器,你希望在该服务器上运行直通身份验证代理。

    不要选择 Microsoft Entra Connect 服务器。 确保服务器已加入域,可以通过 Active Directory 对所选用户进行身份验证,并且可以在出站端口和 URL 上与 Microsoft Entra ID 通信。 有关详细信息,请参阅快速入门:Microsoft Entra 无缝单一登录中的“步骤 1:检查先决条件”部分。

  2. 下载 Microsoft Entra Connect 身份验证代理,并将其安装在服务器上。 

  3. 若要启用高可用性,请在其他服务器上安装额外的身份验证代理。

  4. 请确保已正确配置智能锁定设置。 这样做有助于确保用户的本地 Active Directory 帐户不会被恶意行为者锁定。

建议无论为分阶段推出选择哪种登录方法(密码哈希同步或传递身份验证),都启用无缝 SSO。 若要启用无缝 SSO,请遵循下一部分中的准备工作说明。

无缝 SSO 的准备工作

使用 PowerShell 在 Active Directory 林中启用无缝 SSO。 如果你有多个 Active Directory 林,请为每个林单独启用无缝 SSO。 只会为已选择对其进行分阶段推出的用户触发无缝 SSO。 这不会影响现有联合设置。

通过执行以下任务,启用无缝 SSO:

  1. 登录到 Microsoft Entra Connect 服务器。

  2. 转到“%programfiles%\Microsoft Entra Connect”文件夹。

  3. 使用以下命令导入无缝 SSO PowerShell 模块:

    Import-Module .\AzureADSSO.psd1

  4. 以管理员身份运行 PowerShell。 在 PowerShell 中,调用 New-AzureADSSOAuthenticationContext。 此命令将打开一个窗格,可以在其中输入租户的混合标识管理员凭据。

  5. 调用 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令将显示一个已在其上启用此功能的 Active Directory 林列表(请查看“域”列表)。 默认情况下,它在租户级别设置为 false。

    PowerShell 输出示例

  6. 调用 $creds = Get-Credential。 出现提示时,输入目标 Active Directory 林的域管理员凭据。

  7. 调用 Enable-AzureADSSOForest -OnPremCredentials $creds。 此命令从本地域控制器为无缝 SSO 所需的 Active Directory 林创建 AZUREADSSOACC 计算机帐户。

  8. 无缝 SSO 要求 URL 位于 Intranet 区域中。 要使用组策略部署这些 URL,请参阅快速入门:Microsoft Entra 无缝单一登录

  9. 如需完整的演练,还可以下载我们的无缝 SSO 部署计划

启用分阶段推出

若要将特定功能(直通身份验证、密码哈希同步或无缝 SSO)推出到组中的一群用户,请遵循后续部分中的说明。

在租户上启用特定功能的分阶段推出

提示

本文中的步骤可能因开始使用的门户而略有不同。

可以推出下列选项:

  • 密码哈希同步 + 无缝 SSO
  • 直通身份验证 + 无缝 SSO
  • 不支持 - 密码哈希同步 + 直通身份验证 + 无缝 SSO
  • 基于证书的身份验证设置
  • Azure 多重身份验证

若要配置分阶段推出,请执行以下步骤:

  1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connect”>“Connect 同步”

  3. 在“Microsoft Entra Connect”页面的“云身份验证分阶段推出”下,选择“为托管用户登录启用分阶段推出”链接。

  4. 在“启用分阶段推出功能”页上,选择要启用的选项:密码哈希同步直通身份验证无缝单一登录基于证书的身份验证。 例如,如果要启用“密码哈希同步”和“无缝单一登录”,请将两个控件都滑动到“开”。

  5. 将组添加到所选功能。 例如,直通身份验证和无缝 SSO。 若要避免超时,请确保安全组最初仅包含至多 200 个成员。

    注意

    将自动为组中成员启用分阶段推出。 分阶段推出不支持嵌套和动态组。 添加新组时,该组中的用户(一个新组最多可包含 200 个用户)将立即更新为使用托管身份验证。 编辑某个组(添加或删除用户)后,最长可能需要在 24 小时后更改才会生效。 仅当用户位于“无缝 SSO”组以及“PTA”或“PHS”组中时,才会应用无缝 SSO。

审核

对于为分阶段推出而执行的各种操作,已启用审核事件:

  • 为密码哈希同步、传递身份验证或无缝 SSO 启用分阶段推出时审核事件。

    注意

    使用分阶段推出启用无缝 SSO 时,将记录审核事件。

    “为功能创建推出策略”窗格 -“活动”选项卡

    “为功能创建推出策略”窗格 -“已修改的属性”选项卡

  • 将组添加到密码哈希同步、直通身份验证或无缝 SSO 时审核事件。

    注意

    将组添加到密码哈希同步以实现分阶段推出时,记录审核事件。

    “向功能推出添加组”窗格 -“活动”选项卡

    “向功能推出添加组”窗格 -“已修改的属性”选项卡

  • 为添加到组中的用户启用分阶段推出时,审核事件。

    “向功能推出添加用户”窗格 -“活动”选项卡

    “向功能推出添加用户”窗格 -“目标”选项卡

验证

若要测试密码哈希同步登录或直通身份验证登录(用户名和密码登录),请执行以下任务:

  1. 在 Extranet 上,在私密浏览器会话中转到应用页面,然后输入已选择要进行分阶段推出的用户帐户的 UserPrincipalName (UPN)。

    不会将已设为分阶段推出目标的用户重定向到联合登录页。 相反,系统会要求他们在 Microsoft Entra 租户品牌的登录页上登录。

  2. 通过使用 UserPrincipalName 进行筛选,确保登录成功显示在 Microsoft Entra 登录活动报告中。

测试无缝 SSO 登录:

  1. 在 Intranet 上,在私密浏览器会话中转到应用页面,然后输入已选择要进行分阶段推出的用户帐户的 UserPrincipalName (UPN)。

    对于已设为无缝 SSO 分阶段推出目标的用户,会先显示“正在尝试登录...”消息,然后会以无提示方式将其登录。

  2. 通过使用 UserPrincipalName 进行筛选,确保登录成功显示在 Microsoft Entra 登录活动报告中。

    若要跟踪所选分阶段推出用户仍使用 Active Directory 联合身份验证服务 (AD FS) 进行的用户登录,请遵循 AD FS 排除故障:事件和日志记录中的说明。 查看有关如何在第三方联合身份验证提供程序上检查此项的供应商文档。

    注意

    当用户使用 PHS 进行分阶段推出时,由于同步时间的原因,更改密码可能需要 2 分钟才能生效。 请确保与用户一同设定期望,以避免他们在更改密码后致电支持人员。

监视

可以监视从分阶段推出和用户登录中添加或删除的用户和组,同时可以在分阶段推出期间在 Microsoft Entra 管理中心使用全新的混合身份验证工作簿。

混合身份验证工作簿

从分阶段推出中删除用户

从组中删除用户将为该用户禁用分阶段推出。 若要禁用分阶段推出功能,请将控件滑回“关”。

常见问题

问:能否在生产中使用此功能?

A:是的,可以在生产租户中使用此功能,但建议首先在测试租户中试用。

问:此功能能否用于维持永久“共存状态”,即某些用户使用联合身份验证、其他用户使用云身份验证的情况?

答:不能,此功能旨在用于测试云身份验证。 在成功测试几组用户后,应切换为云身份验证。 建议不要使用永久混合状态,因为这种方法可能导致意外的身份验证流。

问:可以使用 PowerShell 执行分阶段推出吗?

答:是的。 要了解如何使用 PowerShell 执行分阶段推出,请参阅 Microsoft Entra ID 预览版

后续步骤