Migrate from MFA Server to Microsoft Entra multifactor authentication – Part3
كنا اتكلمنا فى المقال اللي فات عن MFA Server وماهى مكوناته وازاى بيتم عمليه Design والحاجات اللى لازم تتاكد منها قبل ماتقوم بعمليه Migration وممكن ترجع تشوف المقال ده من اللينك Migrate from MFA Server to Microsoft Entra multifactor authentication – Part1 – Mahmoud Atef (mmansy.com)
وكمان اتكلمنا عن فكره عمل Migration وازاى نعمل configuration لل MFA Server Migration Utility وممكن ترجع تشوف المقال ده من اللينك
النهارده هنكمل المقال بتاعنا وهنبتدى نعمل Migration لمجموعه من Users ونشوف Log الخاص بيهم فهات قهوتك بقى وركز معايا
قبل ما نستخدم MFA Server Migration Utility هنحتاج نعمل Login على Azure Portal الاول ونعمل Group عشان نحدد فيه Users اللى موجودين عندى على Microsoft Entra ID واللى هروح لل MFA Server Migration Utility اقولها اعمل Sync لل MFA User Profile اللى عندك على يوزر ده اللى موجود فى Microsoft Entra ID
وعشان نعمل ده هنروح على Microsoft Entra ID ومنها الى Groups ومنها هنضغط على New Group وهنحط الاسم وهنختار users اللى عاوزينهم
بعد كده هنروح على MFA Server اللى عملنا من عليه Configuration لل MultiFactorAuthMigrationUtility هنروح من عليه نعمل Run لل MultiFactorAuthMigrationUtilityUI.exe من نفس المكان اللى كان فيه الاسكربيت “C:\Program Files\Multi-Factor Authentication Server”
اول ما هنحط اسم Group اللى احنا عملناه من شويه هتلاقى Users اللى جوه الجروب ظهرت عندك والبيانات الخاصه بيهم من اهمها MFAS Default لان دى اللى بتوضحلى طريقه Authentication اللى بيستخدمها User زى ما احنا شايفين على سبيل المثال User1 بيستخدم Text Message اما User2 بيستخدم Mobile App
وعشان كده هنروح نضغط على setting عشان نحدد بالزبط ايه attributes Authentication اللى Tool هتعملها Sync وكمان تقدر تحدد User Match attribute لو تحب عشان Match اليوزر UPN اللى عندك فى Microsoft Entra ID وممكن تسبها على فاضيه على وضع Default وتقدر كمان تفعل automatic synchronization وتحددها كل ساعه مثلا وتحددها على كل Users ولا على Group معينه
ولو حبينا نشوف بيانات اليوزر الموجوده على MFA Server وبياناته الموجوده على Microsoft Entra ID ونتاكد ان Match مزبوط على سبيل المراجعه هنختار اي يوزر وهنضغط على view وزى الصوره هتلاقى بيانات اليوزر فى Azure AD على الشمال وبياناته فى MFA Server على اليمين
بعد ما اتاكدنا انا بيانات اليوزر مزبوطه هنروح نعمل نضغط على Migrate User وهنا Tool هتسالنا اذا كنا عاوزين نعمل Migrate لليوزر اللى احنا عملنهم select بس ولا لكل اليوزر اللى فى Group بعد ما هنختار الاوبشن اللى عاوزينو هنغط على OK
اول ما هيبداء عمليه Sync هيدنا الرساله زى اللى فى الصوره بعدد Users اللى هيعملهم Sync ونقدر ساعتها نروح لل Log ونشوف ايه اللى بيحصل من المسار ده “C:\Program Files\Multi-Factor Authentication Server\logs\ MultiFactorAuthMigrationUtilityUI.log”
ونقدر عن طريق MultiFactorAuthMigrationUtilityUI.log نتابع عمليه Sync اول ما MultiFactorAuthMigrationUtility تخلص عمليه Sync نقدر نروح نتاكد من Azure Portal من Microsoft Entra ID ومنها نروح على Security ومنها الى Authentication methods ومنها User registration details هنلاقى فى المثال بتاعنا ان authentication methods اتعملها Sync زى ما هو موجود فى User1 & User2
المرحله الاخيره وهى اننا نخلى ADFS Server بتاعنا مايبعتش request الى On-Prime MFA Server ويبعته علي طول الى Microsoft Entra multifactor authentication وده عن طريق اننا هنروح على ADFS Server وهنطبق الاوامر دى
اول حاجه هتنزل Model الخاص Microsoft.Graph عن طريق الامر ده
PS> Install-Module Microsoft.Graph
وبعدين هتروح تشوف InternalDomainFederationId عن طريق الامر ده
PS> Connect-MgGraph
PS> Get-MgDomainFederationConfiguration -domain yourdomainname| fl InternalDomainFederationId
وبعد كد هتطبق الامر ده
PS> $params =@{federatedIdpMfaBehavior = “acceptIfMfaDoneByFederatedIdp”}
PS> Update-MgDomainFederationConfiguration -domain yourdomainname -InternalDomainFederationId yourInternalDomainFederationId -BodyParameter $params
قبل ماتروح تجرب ماتنساش تربط Azure MFA Adapter اللى موجود عندك على ADFS بال Azure tenant ID بتاعتك عن طريق الامر ده
PS> Install-Module -Name MSOnline
PS> Connect-Msonline
PS> $certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID 4dff0d28-c18e-45cd-ae86-39a91cca7fd9
PS> New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -Type asymmetric -Usage verify -Value $certBase64
PS> Set-AdfsAzureMfaTenant -TenantId yourtenantID -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720
وبعد ماتجرب وتتاكد ان الدنيا شغاله تمام هتروح تقفل User Portal عن طريق انك هتشيل Check Box من على Allow Users to login in من MFA Server بتاعك
وبكده نكون انتهينا من Migrate from MFA Server to Microsoft Entra multifactor authentication واتمنى اكون فيدتكم بمعلومه جديده 😊