Migrate from MFA Server to Microsoft Entra multifactor authentication – Part2
كنا اتكلمنا فى المقال اللي فات عن MFA Server وماهى مكوناته وازاى بيتم عمليه Design والحاجات اللى لازم تتاكد منها قبل ماتقوم بعمليه Migration وممكن ترجع تشوف المقال ده من اللينك Migrate from MFA Server to Microsoft Entra multifactor authentication – Part1 – Mahmoud Atef (mmansy.com)
النهارده هنكمل المقال بتاعنا فهات قهوتك بقى وركز معايا
فكره عمل Migration
الفكره فى عمليه Migration هو اننا زى ما قولنا ان Users اللى بيستخدم MFA server هو بالفعل عمل enroll عليه بمعنى ان اليوزر دخل على اللينك بتاع MFA server على سبيل المثال
https://mfa.abc.com/MultiFactorAuth/ وسجل فيه بياناته وطريقه عمل authentication الخاصه بيه يعنى من الاخر نقدر نقول انه اليوزر بقى ليه enroll profile فى حاله اننى لو نقلت الخدمه من MFA Server الى Microsoft Entra multifactor authentication على طول وده ممكن على فكره بس فى الحاله دى كل Users عندك هيحتاجو يعملو enroll من تانى وبناءا عليه هيحتاج يعمل configure لل Mobile application من تانى وده هياخود وقت ومجهود كبير من السبورت تيم عشان يقوم بالمهمه دى علما بان مايكروسوف عملت لينا tool نقدر ننقل بيها user enroll profile من MFA Server الى Microsoft Entra multifactor authentication تعالو نشوف هنعملها ازاى
طريقه عمل Migration
زى ما احنا شايفين مايكروسوفت قسمت لينا Migration على 3 مراحل واحنا عشان ما نضعيش وقت كتير والمقال يبقى كبير خلينا نشرح المراحل دى مع تطبيقها عشان نقدر نفهمها كويس ويبقى الموضوع سهل علينا
Install New MFA Server Build
المرحله دى هو يقصد بيها انك تعمل Update لل MFA Server بتاعك بيحث يكون الاصار مايقلش عن8.1 ليه عشان MFA server migration utility tool تكون موجوده وزى ما قولنا ده الاداه اللى هنقدر نعمل بيها Sync لليوزر enroll data وكمان عشان نعمل Configuration الخاصه بالاداه هنحتاج اسكربت مش هيكون موجود الا فى اصدار 8.1 وتقدر تعمل دونلود لاخر اصدار من MFA Server من Azure portal فى الجزئيه زى ما هو موجود فى الصوره بالزبط
Home -> Security -> Multifactor authentication -> Server settings
بعد ما تعمل Download لاخر اصدار هتروح على primary Web Service SDK وتعمل setup ومش لازم تعمل setup على second node كفايه primary وكمان مش لازم تعمل update لل User portal كفايه جدا primary Web Service SDK المهم قبل ماتعمل update خود Backup من الملف phonefactor.pfdata ده عباره عن الداتا بيز بتاعت MFA Server وهتلاقي في
C:\Program Files\PhoneFactor\Data\Phonefactor.pfdata بعد ما تعمل setup وتفتح البرنامج هيسالك اول مره اذا كنت تحب تعمل Update لل User portal وقولنا اننا هنقوله NO عشان مش مهم بالنسبالنا فى الوقت الحالى
ولو رحنا شفنا الاصدر بعد كده هنلاقيه بقى 8.1 وده معناه اننا شغالين على اخر اصدار من MFA Server وده الاصدار اللي هيكون فيه السكربت المطلوب اللى من خلاله هنقدر نعمل Configuration لل MFA Migration Utility
هتلاقى السكربت
Configure-MultiFactorAuthMigrationUtility.ps1
موجود فى
“C:\Program Files\Multi-Factor Authentication Server”
الاسكربت بختصار هيعمل Application عندك فى Microsoft Entra ID الخاصه بيك اسمها MFA Server Migration Utility عشان من خلالها يبتدى يعمل Sync
بس قبل ما نعمل Run للاسكربت
Configure-MultiFactorAuthMigrationUtility.ps1
تعالى الاول نزبط شويه حاجات افتح PowerShell بس Run as Administrator و نزل الاتنين Modules دول على MFA Server بتاعك
Install-Module AzureAD
Install-Module Microsoft.Graph
ومتنساش تتاكد ان MFA Server بيقدر يوصل الى
https://graph.microsoft.com/* &
https://login.microsoftonline.com/*
ولو انت شغال على Government cloud هتغير .com الى الدومين الخاص بيك على سبيل المثال هيكون بالشكل ده
https://graph.microsoft.us/* &
https://login.microsoftonline.us/*
بعد ما عملنا كل Prerequisites هنروح دلوقتى نعمل Run للاسكربيت Configure-MultiFactorAuthMigrationUtility.ps1 وطبعا هيطلب مننا اننا نعمل Login على Microsoft Entra ID وبعديها هيدينى رساله انه اضاف MFA Server Migration Utility فى Application بس هيحتاج مننا اننا نروح على Azure Portal عشان نعمل Grant admin consent
زى ماقولنا لما هنروح على Azure Portal بالتحديد على App registration وهنضغط على MFA Server Migration Utility وبعدها هنروح على API Permission ومن هناك هنضغط على Grant admin consent
وبكده هنكون خلصنا اول جزئيه وهيكون MFA Server Migration Utility جهزه ونقدر نعمل بيها Migrate لل users زى ما هنشوف فى المقال القادم.