Active Directory 联合身份验证服务 (AD FS) 停用指南

Microsoft Entra ID 为具有强身份验证和实时、基于风险的自适应访问策略的所有资源和应用提供简单的基于云的登录体验，以授予对资源的访问权限，从而降低管理和维护 AD FS 环境的运营成本，并提高 IT 效率。

有关 为何 应从 AD FS 升级到 Microsoft Entra ID 的详细信息，请访问 从 AD FS 升级到 Microsoft Entra ID。 请参阅 从联合身份验证迁移到云身份验证 ， 了解如何 从 AD FS 升级。

本文档提供停用 AD FS 服务器的建议步骤。

停用 AD FS 服务器的先决条件

在开始停用 AD FS 服务器之前，请确保做好以下准备。 有关详细信息，请参阅从联合身份验证迁移到云身份验证。

1. 安装 Microsoft Entra Connect Health，为你的本地身份基础架构提供强大的监控。

2. 完成单一登录 (SSO) 的准备工作。

3. 将用户身份验证迁移到 Microsoft Entra ID。 启用云身份验证后，Microsoft Entra ID 可以安全处理用户的登录过程。 Microsoft Entra ID 提供三个选项让用户安全地完成云身份验证：

   • Microsoft Entra 密码哈希同步 (PHS) – 允许用户使用相同密码登录本地和云端应用。 Microsoft Entra Connect 将用户密码的哈希从本地 Active Directory 实例同步到基于云的 Microsoft Entra 实例。 两层哈希可确保密码永远不会公开或传输到云系统。
   • Microsoft Entra 基于证书的身份验证 (CBA) – 使你能够采用抗钓鱼的身份验证方法，使用 X.509 证书针对你的公钥基础设施 (PKI) 进行用户认证。
   • Microsoft Entra 直通身份验证 (PTA) – 允许用户使用相同密码登录本地和云端应用。 它会在本地 Active Directory 上安装一个代理，并直接针对本地 Active Directory 验证用户的密码。

   可以使用 分阶段推出为用户尝试云身份验证。 你可以选择地使用上述云身份验证功能测试用户组。

   Note

   • PHS & CBA 是云管理身份验证的首选方案。 只有在法规要求规定不能将任何密码信息同步到云的情况下，才可使用 PTA。
   • 用户身份验证迁移和应用迁移的顺序没有限制，但建议先完成用户身份验证迁移。
   • 请务必评估分阶段推出支持和不支持的方案。

4. 将当前使用 AD FS 进行身份验证的所有应用程序迁移到 Microsoft Entra ID，因为它提供单个控制平面用于在 Microsoft Entra ID 中进行标识和访问管理。 另外，确保将 Office 365 应用程序和加入的设备迁移到 Microsoft Entra ID。

   • 迁移助手可用于将应用程序从 AD FS 迁移到 Microsoft Entra ID。
   • 如果在应用库中找不到适当的 SaaS 应用程序，可以从 https://aka.ms/AzureADAppRequest 请求。

5. 确保至少运行 Microsoft Entra Connect Health 一周，以观察 Microsoft Entra ID 中应用的使用情况。 你还应该可以在 Microsoft Entra ID 中查看用户登录日志。

停用 AD FS 服务器的步骤

本部分提供停用 AD FS 服务器的分步过程。

在开始停用之前，必须确认 AD FS 服务器中不再存在任何产生流量的信赖方（信赖方信任）。

在开始之前，请在 AD FS 事件日志和/或 Microsoft Entra Connect Health 中检查是否存在任何登录失败或成功事件，因为这意味着这些服务器仍在用于某种目的。 如果你看到登录成功或失败事件，请查看如何从 AD FS 将应用迁移到 Microsoft Entra ID 或将身份验证迁移到 Microsoft Entra ID。

验证上述事项后，可以执行以下步骤（假设 AD FS 服务器现在不再用于任何其他目的）：

1. 请考虑在停用 AD FS 服务器之前进行可选的 最终备份 。
2. 从可能在环境中配置的任何负载均衡器（内部和外部）中删除任何 AD FS 条目。
3. 删除环境中 AD FS 服务器的相关场名称的任何相应 DNS 条目。
4. 在主 AD FS 服务器上运行 Get-ADFSProperties 并查找 CertificateSharingContainer。 请记下此 DN，因为在安装即将结束时需要将其删除（重启几次后，当它不再可用时将其删除）
5. 如果 AD FS 配置数据库使用某个 SQL Server 数据库实例作为存储，请确保在卸载 AD FS 服务器之前删除该数据库。
6. 卸载 WAP（代理）服务器。
   • 登录到每个 WAP 服务器，打开远程访问管理控制台并查看已发布的 Web 应用程序。
   • 删除任何与不再使用的 AD FS 服务器相关的应用程序。
   • 删除所有已发布的 Web 应用程序后，请使用以下命令卸载 WAP ，Uninstall-WindowsFeature Web-Application-Proxy、CMAK、RSAT-RemoteAccess。
7. 卸载 AD FS 服务器。
   • 从辅助节点开始，使用 Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database 命令卸载 AD FS。 然后，运行 del C:\Windows\WID\data\adfs* 命令后删除所有数据库文件
8. 从每个服务器存储中删除 AD FS 安全套接字层 (SSL) 证书。
9. 使用全磁盘格式重建 AD FS 服务器的映像。
10. 现在可以安全删除你的 AD FS 帐户。
11. 卸载后使用 ADSI Edit 删除 CertificateSharingContainer DN 的内容。

后续步骤

• 从 AD FS 到 Microsoft Entra 的常见问题解答