Microsoft Entra ID 为具有强身份验证和实时、基于风险的自适应访问策略的所有资源和应用提供简单的基于云的登录体验,以授予对资源的访问权限,从而降低管理和维护 AD FS 环境的运营成本,并提高 IT 效率。
有关 为何 应从 AD FS 升级到 Microsoft Entra ID 的详细信息,请访问 从 AD FS 升级到 Microsoft Entra ID。 请参阅 从联合身份验证迁移到云身份验证 , 了解如何 从 AD FS 升级。
一般问题
本文档将提供从 AD FS 迁移到 Microsoft Entra ID 的常见问题解答。
我可以与密码哈希同步或直通身份验证一起使用 AD FS 吗?
是的,你可以。 这是相当常见的。 使用分阶段推出可帮助验证一部分用户能否在域保持联合状态的同时直接向 Microsoft Entra ID 进行身份验证。 本文档 将引导你完成从联合身份验证迁移到云身份验证 的过程。
通过 AD FS 在内部访问站点时,用户将获得单一登录体验。 移动到 Microsoft Entra ID 时,如何保持相同的体验?
有几种方法。 建议的第一种方法是使用 Microsoft Entra 混合加入现有的 Windows 10/11 域加入的计算机,或者使用 Microsoft Entra 加入。 这样就可以获得相同的无缝单一登录体验。 第二种方法是对未加入 Microsoft Entra 混合联结计算机或下层 Windows 客户端利用无缝单一登录,这样就仍可获得相同的体验。
我使用 AD FS 设备声明注册 Microsoft Entra 混合联接设备。 如何让设备继续使用 AD FS 完成其混合 AADJ 过程?
可以按照为设备 配置 Microsoft Entra 混合加入 过程来完成注册过程,而无需 AD FS。
我在 AD FS 中有授权规则。 在 Microsoft Entra ID 中,有哪些等效的方式可以实现这一点?
这些策略将转换为 Microsoft Entra 条件访问策略。 有几个预置 模板 策略可供初步使用。
当用户进入分阶段推出组时,其当前会话是否受到影响并被迫重新进行身份验证?
否,其当前会话将保持有效状态,下次需要进行身份验证时,他们将使用托管身份验证而不是联合身份验证进行身份验证。
我与另一家公司建立了声明提供程序信任关系以便能够访问资源。 如何转移此信任关系?
应利用 Microsoft Entra B2B 来实现相同的身份验证访问。
我们有自定义声明规则,Microsoft Entra ID 能支持这些吗?
是,具体取决于所需的规则。 进行调查的最佳方法是使用 AD FS 应用程序活动报告,然后查看如何 自定义 SAML 声明
将域从联合切换到托管域时,更改需要多长时间?
完成全面切换可能需要长达 4 小时,因此 请相应地规划维护时段
使用 O365 是否需要 AD FS?
否,O365 无需 ADFS 即可直接进行身份验证。
将应用程序配置移动到 Microsoft Entra ID 后,是否需要执行任何其他作才能完成迁移?
是的,应用程序迁移到 Microsoft Entra 尚未完成,直到您重新配置应用本身(切换)以使用 Microsoft Entra ID。
是否需要 ADFS,以便用户可以使用其电子邮件地址或用户主体名称(UPN)登录?
否,Microsoft Entra ID 支持使用 电子邮件地址 或用户主体名称登录。