Migrate from MFA Server to Microsoft Entra multifactor authentication – Part1
اعلنت مايكروسوفت انه من اول 30 سيبتمبر 2024 سوف يتوقف Azure Multi-Factor Authentication Server عن العمل وعلى الجميع عمل migrate لسرفير MFA on-premise server الى Microsoft Entra multifactor authentication لتجنب وقوف خدمه authentication services
ومن هنا هبداء بشرح عمليه Migration وازاى هنقدر نعمل Migration Activity بدون حدوث اى مشاكل
فهات قهوتك بقي وركز معايا
مقدمه :
خدمه Multifactor authentication المقدمه من مايكروسوفت هى خدمه تقوم بحمايه اكونت اليوزر من السرقه او الاستخدم عند الدخول الى اي System او Application معين خاص بالشركه او حتي الايميل الشخصى لليوزر عن طريق اضافه authentication methods اضافيه
على سبيل المثال بعد عمل User authentication عن طريق Username & Password للدخول الى الايميل الخاص بيه سوف يتطلب من اليوزر عمل Approve من على Mobile Application او كتابه PIN سوف يستقبله عن طريق SMS اوحتى انه يستقبل مكلمه تليفون تخبره PIN المطلوب بعد كده هيقدر اليوزر يدخل على الايميل الخاص بيه بمعنى ان اليوزر فى هذه الحاله عمل Multi-Factor Authentication اول مره عن طريق Username & Password وتانى مره عن طريق تاكيد الهويه عن طريقه من الطرق اللى ذكرنها قبل كده Mobile Application او SMS code او Phone Call
يمكن تنفيذ Azure Multi-Factor Authentication Solutionعن طريق طريقه من اتنين
Azure Multi-Factor Authentication Server “On-Premise”
Microsoft Entra multifactor authentication “Cloud”
بدون الدخول فى تفاصيل On-premise MFA server لانه خلاص مش هيكون ليه وجود ولكن لازم ناخود فكره عن طريق implementation بتاعته وبالتحديد جزئيه Design عشان نقدر نعرف اى جزء هنحتاج نعمله ابجريد واي جزء هنحتاج نفتح Ports المطلوبه عشان نقدر نعمل Migrate لل Users Profile ومانحتجش ان User بعمل enroll من تانى
هنلاقى ان MFA Server بيتكون من اتنين Components هما Web Service SDK, User portal من ناحيه Server Side ومن ناحيه اليوزر هنلاقى Mobile App Web Service Components وبختصار شديد هنوضح دور كل Component لان زى مااحنا قولنا مش محتاجين ندخل فى التفاصيل لانه مش هيكون متاح بعد 30 سيبتمبر 2024
السرفير اللى هيلعب دور Web Service SDK هو السرفير المسؤال عن الاتصال office 365 tenant الخاصه بيك هو اللي بيحتوى على users enroll profile هو ده الجزء اللى هتحتاج نعمله مايجريت زى ما هنشوف والسرفير ده بيكون موجود فى internal network وبيكون متصل مع Active Directory عشان يقدر يتعرف على users الموجوده عندك فى الدومين
اما السرفير اللى هيلعب دور User Portal هو السرفير المسؤال عن users Enrol يعنى نقدر نقول هو عباره عن Web Server من خلاله اليوزر هيقدر يعمل Enrol عشان يستفيد من خدمه Multi-Factor Authentication وهنلاقي انه بيكون موجود فى DMZ Network لانه بيتعمله publish على الانترنت عشان اليوزر يعمل enrol من داخل الشركه او خارجها وكمان يقدر يعمل Manage للبروفيل الخاص بيه
اما Mobile App Web Service Components هو عباره عن Mobile Application بيكون اسمه Microsoft Authenticator بيقدر من خلاله اليوزر يعمل Approve او Deny وممكن نستغنى عنه ويستخدم PIN عن طريق SMS او حتى انه يستقبل تليفون تقوله على PIN
ممكن تكون Web Service SDK, User portal موجوده على سرفير واحد وممكن تكون كل Component موجوده على سرفير مختلف ولكن الدزين اللى ادامنا ده بيوضح High Availability Solution وازاى كنا بنعمله Implement مع مرعاه المعاير الخاصه بالسكيورتى
اخر نقطه حابب اوضحها قبل الانتقال الى عمليه Migrate فى الاغلب هتلاقى ان MFA server متصل بال Active Directory Federation Services فى بينهم Integration وفى الحاله ممكن نوضحها فى ارتكل لوحدها
ماقبل Migration Activity
- قبل ما نقوم بعمليه Migration لازم ناخود بالنا اذا كان active directory federation services فى بينهم integration ولا لاء لان فى حاله وجود active directory federation services لازم نتاكد من Version الموجود لان اقل version هيشتغل معانا فى حاله Migration هو AD FS for Windows Server 2019 ولو AD FS موجود على Windows Server Version اقل من ده هنحتاج اننا نعمله Migration وده هنتكلم عليه فى جزء خاص بيه
- فى حاله عدم وجود active directory federation services وال Application Servers بتستخدم MFA on-premise server لازم فى حاله دى اننا نغيير اعدادات Application ونعملها Integration مع Microsoft Entra ID عشان تقدر تستخدم Microsoft Entra Multifactor Authentication بعد عمليه Migration
- فى حاله User authentication اذا كان active directory federation services موجود فى الشبكه فى الحاله دى مافيش مشكله لان اليوزر هيكون متصل AD FS وال AD FS هو اللى هيروح يتصل Microsoft Entra multifactor authentication بعد مانعمله Migration ولكن اذا كان مافيش AD FS فى الحاله دى لازم نخلى اليوزر يعمل authentication من Microsoft Entra ID مع Password Hash Synchronization (preferred) او Passthrough Authentication مع single sign-on (SSO).
- الصلاحيات المطلوبه لعمل Migration هي Enterprise administrator role in Active Directory لعمل الاعدادات الخاصه AD FS لربطها Microsoft Entra multifactor authentication
- والصلاحيات المطللوبه من ناحيه Microsoft Entra ID هي Global administrator role
وبكده نكون خلصنا المقدمه وياله بينا نبداء فى Migration فى الجزء الثاني خليكو معانا