Domande frequenti su Active Directory Federation Server per Microsoft Entra
Microsoft Entra ID offre un'esperienza di accesso semplice basata sul cloud a tutte le risorse e le app con autenticazione avanzata e criteri di accesso adattivi basati sul rischio in tempo reale per concedere l'accesso alle risorse, riducendo i costi operativi di gestione e manutenzione di un ambiente AD FS e aumentando l'efficienza IT.
Per maggiori informazioni sul motivo per cui è consigliabile eseguire l'aggiornamento da AD FS a Microsoft Entra ID, consultare la sezione Passaggio da AD FS a Microsoft Entra ID. Vedere migrazione dalla federazione all'autenticazione nel cloud per comprendere come eseguire l'aggiornamento da AD FS.
Domande generali
Questo documento fornisce le risposte alle domande frequenti sulla migrazione da AD FS a Microsoft Entra ID.
È possibile eseguire AD FS insieme alla sincronizzazione dell'hash delle password o l'autenticazione pass-through?
Sì. Questo è abbastanza comune. L'uso dell'implementazione a fasi consente di convalidare che un subset di utenti sia in grado di eseguire l'autenticazione direttamente a Microsoft Entra ID mentre il dominio rimane federato. Questo documento Migrazione dalla federazione all'autenticazione nel cloud illustra la procedura.
Quando si accede ai siti tramite AD FS internamente gli utenti ottengono un'esperienza Single-sign on. Come si mantiene la stessa esperienza quando si passa a Microsoft Entra ID?
Ci sono diversi modi. Il primo modo e quello consigliato è aggiungere Microsoft Entra ibrido ai computer Windows 10/11 aggiunti a un dominio esistente o usare l'aggiunta a Microsoft Entra. In questo modo si otterrà la stessa esperienza Single-sign on senza problemi. Il secondo modo consiste nell'utilizzare l'accesso Single Sign-On facile per i computer aggiunti a Microsoft Entra ibridi non Microsoft Entra o i client Windows di livello inferiore possono comunque ottenere la stessa esperienza.
Sto registrando i dispositivi aggiunti a Microsoft Entra con l'aggiunta ibrida usando le attestazioni del dispositivo AD FS. Come si fa a consentire ai dispositivi di continuare a completare il processo AADJ ibrido con AD FS?
È possibile seguire il processo di configurazione dell'aggiunta ibrida di Microsoft Entra per i dispositivi per completare il processo di registrazione senza AD FS.
Ho delle regole di autorizzazione in AD FS. Qual è il modo equivalente per eseguire questa operazione in Microsoft Entra ID?
Questi si tradurrebbero in criteri di accesso condizionale di Microsoft Entra. Esistono diversi modelli di criteri predefiniti con cui iniziare.
Quando si inseriscono gli utenti in un gruppo di implementazione a fasi, ciò impatta sulle sessioni correnti ed è necessario ripetere l'autenticazione?
No, la sessione corrente rimarrà valida e alla successiva autenticazione si dovrà usare l'autenticazione gestita anziché della federazione.
Si dispone di un trust del provider di attestazioni con un'altra azienda per accedere alle risorse? Come spostare questa relazione di trust?
È consigliabile sfruttare i vantaggi di Microsoft Entra B2B per ottenere lo stesso accesso all'autenticazione.
Sono disponibili regole di attestazione personalizzate che supportano microsoft Entra ID?
Sì, a seconda delle regole necessarie. La cosa migliore da fare è usare il report attività dell’applicazione AD FS e vedere come personalizzare le attestazioni SAML
Quando si passa da un dominio federato a uno gestito, quanto tempo è necessario per la modifica?
Possono essere necessarie fino a 4 ore per il cutover completo, quindi pianificare di conseguenza la finestra di manutenzione
Per usare O365 è necessario AD FS?
No, O365 può eseguire l’autenticazione direttamente senza bisogno di ADFS.
Dopo aver spostato la configurazione dell'applicazione in Microsoft Entra ID, è necessario eseguire altre operazioni per completare la migrazione?
Sì, la migrazione di un'applicazione a Microsoft Entra non è completa fino a quando non è stata riconfigurata l'app stessa (cutover) per l'uso di Microsoft Entra ID.
È necessario ADFS per consentire agli utenti di effettuare il login con il proprio indirizzo e-mail o con il proprio nome utente principale (UPN)?
No, Microsoft Entra ID supporta l'accesso con un indirizzo di posta elettronica o un nome dell'entità utente.