Novedades de Windows Server 2019

En este artículo se describen algunas de las nuevas características de Windows Server 2019. Windows Server 2019 se basa en Windows Server 2016 e incluye numerosas innovaciones en cuatro temas claves: nube híbrida, seguridad, plataforma de aplicaciones e infraestructuras hiperconvergidas (HCI).

General

Windows Admin Center

Windows Admin Center es una aplicación implementada localmente, basada en explorador para la administración de servidores, clústeres, infraestructura hiperconvergida y PC con Windows 10. Se ofrece sin costo adicional además del de Windows y está listo para usarse en producción.

Puede instalar Windows Admin Center en Windows Server 2019, Windows 10 y versiones anteriores de Windows y Windows Server, y usarlo para administrar servidores y clústeres con Windows Server 2008 R2 y versiones posteriores.

Para obtener más información, consulta Windows Admin Center.

Experiencia de escritorio

Dado que Windows Server 2019 es una versión de canal de servicio a largo plazo (LTSC), incluye la Experiencia de escritorio. Las versiones del canal semianual (SAC) no incluyen la experiencia de escritorio por diseño; son estrictamente versiones de imagen de contenedor server Core y Nano Server. Al igual que con Windows Server 2016, durante la instalación del sistema operativo, es posible elegir entre las instalaciones de Server Core o las instalaciones de Server con Experiencia de escritorio.

Conclusiones del sistema

Información del sistema es una nueva característica disponible en Windows Server 2019 que aporta funcionalidades de análisis predictivo local de forma nativa a Windows Server. Estas funcionalidades predictivas, cada una respaldada por un modelo de aprendizaje automático, analizan localmente los datos del sistema de Windows Server, como contadores de rendimiento y eventos. La información del sistema permite comprender cómo funcionan los servidores y le ayuda a reducir los gastos operativos asociados a la administración reactiva de problemas en las implementaciones de Windows Server.

Nube híbrida

Característica a petición App Compatibility de Server Core

La característica de compatibilidad de aplicación de Server Core a petición (FOD) mejora significativamente la compatibilidad de las aplicaciones al incluir un subconjunto de archivos binarios y componentes de Windows Server con la experiencia de escritorio. Server Core se mantiene lo más ágil posible al no agregar el propio entorno gráfico experiencia de escritorio de Windows Server, lo que aumenta la funcionalidad y la compatibilidad.

Esta característica opcional a petición está disponible en una ISO independiente y se puede agregar solo a imágenes e instalaciones de Windows Server Core mediante DISM.

Rol del servidor de transporte de Servicios de implementación de Windows (WDS) agregado a Server Core

Servidor de transporte solo contiene los principales elementos de red de WDS. Puede usar Server Core con el rol del servidor de transporte para crear espacios de nombres multidifusión que transmitan datos (p.ej. imágenes del sistema operativo) desde un servidor independiente. También puedes utilizarlo si deseas disponer de un servidor PXE que permita a los clientes arrancar basándose en PXE y descargar su propia aplicación personalizada de configuración.

Integración de Servicios de Escritorio remoto con Azure AD

Con la integración de Azure AD, puede usar las directivas de acceso condicionales, autenticación multifactor, autenticación integrada con otras aplicaciones SaaS con Azure AD y mucho más. Para más información, consulta Integrar Azure AD Domain Services con la implementación de RDS.

Redes

Hemos realizado varias mejoras en la pila de red principal, como TCP Fast Open (TFO), Receive Window Autotuning, IPv6, y mucho más. Para más información, consulte la publicación sobre la mejora de características de pila de red principal.

Seguridad

Protección contra amenazas avanzada de Windows Defender (ATP)

Los sensores de plataforma profunda y las acciones de respuesta de ATP exponen ataques de nivel de kernel y memoria, y responden suprimiendo archivos malintencionados y finalizando procesos dañinos.

• Para obtener más información acerca de ATP de Windows Defender, consulta Información general de las funcionalidades de ATP de Windows Defender.

• Para obtener más información sobre la incorporación de servidores, consulta Incorporar servidores al servicio de ATP de Windows Defender.

La protección contra vulnerabilidades de seguridad de ATP de Windows Defender es un nuevo conjunto de funcionalidades de prevención de intrusiones de host que le permiten equilibrar los requisitos de riesgo de seguridad y productividad. La protección contra vulnerabilidades de seguridad de Windows Defender está diseñada para bloquear el dispositivo frente a una amplia variedad de vectores de ataque y bloquear comportamientos usados normalmente en ataques de malware. Los componentes son:

• Reducción de la superficie expuesta a ataques (ASR) es un conjunto de controles que las empresas pueden habilitar para impedir que el malware entre en la máquina bloqueando archivos sospechosos malintencionados. Por ejemplo, archivos de Office, scripts, movimiento lateral, comportamiento de ransomware y amenazas basadas en correo electrónico.

• Protección de red protege el punto de conexión frente a amenazas basadas en web bloqueando cualquier proceso de salida en el dispositivo para hosts o direcciones IP que no son de confianza a través de SmartScreen de Windows Defender.

• Acceso controlado a carpetas protege los datos confidenciales del ransomware bloqueando para los procesos que no son de confianza el acceso a las carpetas protegidas.

• Protección contra vulnerabilidades es un conjunto de las mitigaciones para vulnerabilidades de seguridad (reemplazando EMET) que se pueden configurar con facilidad para proteger sus aplicaciones y el sistema.

• Control de aplicaciones de Windows Defender (también conocido como la directiva de integridad de código (CI)) se lanzó en Windows Server 2016. Hemos facilitado la implementación al incluir directivas de CI predeterminadas. La directiva predeterminada permite todos los archivos incluidos en Windows y aplicaciones de Microsoft, como SQL Server, y bloquea archivos ejecutables conocidos que pueden omitir la CI.

Seguridad con Redes definidas por software (SDN)

Seguridad con SDN ofrece muchas características para aumentar la confianza del cliente en la ejecución de cargas de trabajo, de forma local, o como proveedor de servicios en la nube.

Estas mejoras de seguridad están integradas en la plataforma completa de SDN que se introdujo en Windows Server 2016.

Para obtener una lista completa de las novedades de SDN, consulta Novedades de SDN para Windows Server 2019.

Mejoras de las máquinas virtuales blindadas

• Mejoras de sucursal

  Ahora puedes ejecutar máquinas virtuales blindadas en máquinas con conectividad intermitente para el Servicio de protección de host al usar las nuevas características HGS de reserva y modo sin conexión. HGS de reserva te permite configurar un segundo conjunto de direcciones URL para Hyper-V para probar si no puede conectar con el servidor HGS principal.

  Incluso si no se puede acceder al servicio de protección de host (HGS), el modo sin conexión le permitirá continuar iniciando las máquinas virtuales blindadas. El modo sin conexión permitirá continuar iniciando las máquinas virtuales blindadas, incluso si no se puede conectar al HGS, siempre y cuando la máquina virtual se haya iniciado correctamente una vez y no haya cambiado la configuración de seguridad del host.

• Solución de problemas de las mejoras

  También hemos facilitado la solución de problemas de las máquinas virtuales blindadas habilitando el soporte con el modo de sesión mejorada de VMConnect y PowerShell Direct. Estas herramientas son útiles si ha perdido la conectividad de red con la máquina virtual y necesita actualizar su configuración para restaurar el acceso.

  No es necesario configurar estas características y están disponibles automáticamente cuando se coloca una máquina virtual blindada en un host de Hyper-V con Windows Server, versión 1803 o posterior.

• Compatibilidad con Linux

  Si ejecutas entornos de sistemas operativos mixtos, Windows Server 2019 admite ahora la ejecución de Ubuntu, Red Hat Enterprise Linux y SUSE Linux Enterprise Server dentro de las máquinas virtuales blindadas.

HTTP/2 para una Web más rápida y segura

• Fusión mejorada de las conexiones para ofrecer una experiencia de exploración sin interrupciones y cifrada correctamente.

• Negociación mejorada del conjunto de aplicaciones de cifrado de lado de servidor HTTP/2 para la mitigación automática de errores de conexión y la facilidad de implementación.

• Nuestro proveedor de congestión TCP predeterminado es ahora Cubic, para ofrecerte un mayor rendimiento.

Redes cifradas

El cifrado de red virtual cifra el tráfico de red virtual entre máquinas virtuales dentro de subredes que tienen la etiqueta Cifrado habilitado. Las redes cifradas también utilizan la Seguridad de la capa de transporte de datagrama (DTLS) en la subred virtual para cifrar los paquetes. DTLS protege los datos de las interceptaciones, alteraciones y falsificaciones realizadas por cualquier persona con acceso a la red física.

Para obtener más información, consulte Redes cifradas.

Auditoría de firewall

La Auditoría de firewall es una nueva característica para el firewall de SDN que registra cualquier flujo procesado por reglas de firewall de SDN y listas de control de acceso (ACL) que tienen habilitado el registro.

Interconexión de red virtual

El Emparejamiento de red virtual permite conectar dos redes virtuales directamente. Una vez emparejadas, las redes virtuales aparecen en la supervisión como una sola.

Medición de salida

La Medición de salida ofrece medidores de uso para transferencias de datos salientes. La Controladora de red usa esta característica para mantener una lista de permitidos de todos los intervalos IP usados en SDN por red virtual. Estas listas consideran que cualquier paquete que se dirija a un destino no incluido en los intervalos IP enumerados se factura como transferencia de datos salientes.

Storage

Estos son algunos de los cambios que hemos realizado para el almacenamiento en Windows Server 2019. Para obtener más información, consulta Novedades del almacenamiento.

Desduplicación de datos

• Desduplicación de datos ahora admite ReFS: ahora puede habilitar la Desduplicación de datos siempre que pueda habilitar ReFS, lo que aumenta la eficacia del almacenamiento hasta un 95 % con ReFS.

• DataPort API para la entrada o salida optimizadas de volúmenes desduplicados: los desarrolladores ahora pueden aprovechar el conocimiento que tiene Desduplicación de datos sobre cómo almacenar datos para mover datos entre volúmenes, servidores y clústeres de manera eficaz.

File Server Resource Manager

Ahora es posible evitar que el servicio del Administrador de recursos del servidor de archivos cree un diario de cambios (también conocido como diario USN) en todos los volúmenes cuando se inicia el servicio. Impedir la creación del recorrido de cambio puede ahorrar espacio en cada volumen, pero deshabilitará la clasificación de archivos en tiempo real. Para obtener más información, vea Introducción al Administrador de recursos del servidor de archivos.

SMB

• Eliminación de la autenticación de invitados y SMB1: Windows Server ya no instala el servidor y el cliente SMB1 de manera predeterminada. Además, la capacidad de autenticar como invitado en SMB2 y versiones posteriores está desactivada de manera predeterminada. Para más información, consulta SMBv1 no está instalado de manera predeterminada en Windows 10, versión 1709 y Windows Server, versión 1709.

• Compatibilidad y seguridad de SMB2/SMB3: ahora tiene la capacidad de desactivar bloqueos oportunistas en SMB2+ para aplicaciones heredadas, y requerir inicio de sesión o cifrado en función de la base por conexión de un cliente. Para más información, consulte la ayuda del módulo de SMBShare de PowerShell.

Servicio de migración de almacenamiento

El servicio de migración de almacenamiento facilita la migración de servidores a una versión más reciente de Windows Server. Esta herramienta gráfica realiza un inventario de los datos en los servidores y, a continuación, transfiere los datos y la configuración a los servidores más nuevos. El Servicio de migración de almacenamiento también puede mover las identidades de los servidores antiguos a los nuevos servidores para que los usuarios no tengan que volver a configurar sus perfiles y aplicaciones. Para obtener más información, consulte Servicio de migración de almacenamiento.

La versión 1910 de Windows Admin Center agregó la capacidad de implementar máquinas virtuales de Azure. Esta actualización integra la implementación de máquinas virtuales de Azure en el servicio de migración de almacenamiento. Para más información, consulte Migración de máquinas virtuales de Azure.

También puede acceder a las siguientes características posteriores al lanzamiento a fabricación (RTM) al ejecutar el orquestador del Servidor de migración de almacenamiento en Windows Server 2019 con KB5001384 instalado o en Windows Server 2022:

• Migrar usuarios y grupos locales al nuevo servidor.
• Migrar el almacenamiento desde clústeres de conmutación por error, migrar a clústeres de conmutación por error y migrar entre servidores independientes y clústeres de conmutación por error.
• Migrar el almacenamiento desde un servidor Linux que use Samba.
• Sincronice más fácilmente los recursos compartidos migrados en Azure mediante Azure File Sync.
• Migrar a nuevas redes, como Azure.
• Migrar servidores de NetApp Common Internet File System (CIFS) desde matrices del Servicio de autenticación federada (FAS) de NetApp a servidores y clústeres de Windows.

Espacios de almacenamiento directos

Esta es una lista de novedades de Espacios de almacenamiento directo. Para obtener más información, consulta Novedades de Espacios de almacenamiento directo. Consulta también Azure Stack HCI para más información acerca de cómo adquirir sistemas de espacio de almacenamiento directo validados.

• Desduplicación y compresión de volúmenes ReFS
• Compatibilidad nativa con memoria persistente
• Resistencia anidada para la infraestructura hiperconvergida de dos nodos en el borde
• Clústeres de dos servidores usando una unidad flash USB como testigo
• Soporte técnico de Windows Admin Center
• Historial de rendimiento
• Escalar hasta 4 PB por clúster
• La paridad acelerada por reflejos es el doble de rápida
• Detección de valores atípicos de latencia de unidad
• Delimitar manualmente la asignación de volúmenes para aumentar la tolerancia a errores

Réplica de almacenamiento

Estas son las novedades de Réplica de almacenamiento. Para obtener más información, consulta Novedades de Réplica de almacenamiento.

• Réplica de almacenamiento ahora está disponible en Windows Server 2019 Standard Edition.
• La conmutación por error es una nueva función que permite el montaje de almacenamiento de destino para validar la replicación o datos de copia de seguridad. Para obtener más información, consulta Preguntas frecuentes acerca de Réplica de almacenamiento.
• Mejoras de rendimiento de registro de Réplica de almacenamiento
• Soporte técnico de Windows Admin Center

Clúster de conmutación por error

Esta es una lista de novedades de clústeres de conmutación por error. Para obtener más información, consulta Novedades de clústeres de conmutación por error.

• Conjuntos de clústeres
• Clústeres con reconocimiento de Azure
• Migración de clúster entre dominios
• Testigo USB
• Mejoras de infraestructura de clústeres
• La actualización con reconocimiento de clúster es compatible con Espacios de almacenamiento directo
• Mejoras de testigo de recurso compartido de archivo
• Refuerzo de clústeres
• Clúster de conmutación por error ya no usa autenticación NTLM

Plataformas de aplicaciones

Contenedores de Linux en Windows

Ahora es posible ejecutar contenedores basados en Linux y Windows en el mismo host de contenedor, mediante el mismo demonio de Docker. Ahora puede tener un entorno de host de contenedor heterogéneo que proporcione flexibilidad a los desarrolladores de aplicaciones.

Compatibilidad integrada para Kubernetes

Windows Server 2019 continúa con las mejoras de cálculo, redes y almacenamiento de las versiones del Canal semianual necesarias para la compatibilidad con Kubernetes en Windows. Habrá más detalles disponibles en las próximas versiones de Kubernetes.

• Las redes de contenedores en Windows Server 2019 mejoran en gran medida la facilidad de uso de Kubernetes en Windows. Hemos mejorado la resistencia de las redes de plataformas y la compatibilidad con los complementos de red de contenedores.

• Las cargas de trabajo implementadas en Kubernetes pueden usar la seguridad de red para proteger los servicios de Windows y Linux con herramientas incrustadas.

Mejoras de contenedor

• Mejora de la identidad integrada

  Hemos facilitado la autenticación integrada de Windows en contenedores y la hemos vuelto más confiable, abordando varias limitaciones de versiones anteriores de Windows Server.

• Mejor compatibilidad de aplicaciones

  Inclusión de aplicaciones para Windows en contenedores más fácil: La compatibilidad de aplicaciones para la imagen de windowsservercore existente ha aumentado. Para las aplicaciones con más dependencias de API, ahora hay una imagen de terceros: windows.

• Tamaño reducido y mayor rendimiento

  Se han mejorado los tamaños de descarga de imagen de contenedor base, el tamaño en el disco y los tiempos de inicio para acelerar los flujos de trabajo de contenedor.

• Experiencia de administración con Windows Admin Center (versión preliminar)

  Hemos hecho que sea más sencillo que nunca antes la acción de ver qué contenedores se ejecutan en el equipo y de administrar contenedores individuales con una nueva extensión para Windows Admin Center. Busca la extensión "Contenedores" en la fuente pública de Windows Admin Center.

Mejoras de proceso

• El orden de inicio de la máquina virtual: también se ha mejorado con reconocimiento de sistema operativo y aplicación, incluidos desencadenadores mejorados para cuando se considera que una máquina virtual se ha iniciado antes de iniciar la siguiente.

• El soporte de la memoria de clase de almacenamiento para máquinas virtuales permite la creación de volúmenes de acceso directo con formato NTFS en DIMM no volátiles y la exposición a máquinas virtuales de Hyper-V. Las máquinas virtuales de Hyper-V ahora pueden usar las ventajas de rendimiento de latencia baja de dispositivos de memoria de clase de almacenamiento.

• Soporte de memoria persistente para máquinas virtuales de Hyper-V: para usar el alto rendimiento y la baja latencia de la memoria persistente (también conocida como memoria de clase de almacenamiento) en las máquinas virtuales, ahora se puede proyectar directamente en estas. La memoria persistente puede ayudar a reducir drásticamente la latencia de transacción de base de datos o reducir los tiempos de recuperación para bases de datos en memoria de latencia baja en caso de error.

• Almacenamiento de contenedores: volúmenes de datos persistentes: los contenedores de aplicaciones ahora tienen acceso persistente a los volúmenes. Para más información, consulta Container Storage Support with Cluster Shared Volumes (CSV), Storage Spaces Direct (S2D), SMB Global Mapping (Soporte de almacenamiento de contenedor con volúmenes compartidos de clúster (CSV), Espacios de almacenamiento directo (S2D), Asignación global de SMB).

• Formato de archivo de configuración de máquina virtual (actualizado): el archivo de estado de invitado de la máquina virtual (.vmgs) se ha agregado para las máquinas virtuales con una versión de configuración de 8.2 y versiones posteriores. El archivo de estado de invitado de máquina virtual incluye información de estado del dispositivo que anteriormente formaba parte del archivo de estado en tiempo de ejecución de máquina virtual.

Redes cifradas

Redes cifradas: el cifrado de red virtual permite el cifrado del tráfico de red virtual entre máquinas virtuales que se comunican entre sí dentro de subredes marcadas como Cifrado habilitado. También utiliza la Seguridad de la capa de transporte de datagrama (DTLS) en la subred virtual para cifrar los paquetes. DTLS protege frente a las interceptaciones, alteraciones y falsificaciones realizadas por cualquier persona con acceso a la red física.

Mejoras de rendimiento de red para las cargas de trabajo virtuales

Las mejoras de rendimiento de red para las cargas de trabajo virtuales maximizan el rendimiento de red para las máquinas virtuales sin necesidad de realizar ajustes constantemente o de aprovisionar en exceso al host. El rendimiento mejorado reduce las operaciones y el costo de mantenimiento a la vez que aumenta la densidad disponible de los hosts. Estas nuevas características son:

• Cola múltiple de máquina virtual dinámica (d.VMMQ)

• Recibir segmentos de recepción en el vSwitch

Transporte en segundo plano de retraso adicional bajo

El transporte en segundo plano de retraso adicional bajo (LEDBAT) es un proveedor de controles de congestión de red de optimización de latencia diseñado para producir automáticamente ancho de banda a usuarios y aplicaciones. LEDBAT consume ancho de banda disponible mientras la red no está en uso. La tecnología está pensada para usarla en la implementación de actualizaciones críticas de gran tamaño en un entorno de TI sin afectar a los servicios orientados a los clientes y al ancho de banda asociado.

Servicio de hora de Windows

El Servicio de hora de Windows incluye soporte de segundo intercalar compatible con UTC real, un nuevo protocolo de hora denominado protocolo de tiempo de precisión y rastreabilidad integral.

Puertas de enlace SDN de alto rendimiento

Puertas de enlace SDN de alto rendimiento en Windows Server 2019 mejora considerablemente el rendimiento para las conexiones IPsec y GRE, proporcionando un rendimiento muy elevado con un uso mucho menor de la CPU.

Nueva extensión de Windows Admin Center e interfaz de usuario de implementación para SDN

Ahora, con Windows Server 2019, la implementación y administración son fáciles a través de una nueva interfaz de usuario de implementación y una extensión de Windows Admin Center que permiten que cualquier persona pueda aprovechar la capacidad de SDN.

Subsistema de Windows para Linux (WSL)

WSL permite a los administradores de servidores usar las herramientas existentes y los scripts de Linux en Windows Server. Muchas mejoras expuestas en el blog de línea de comandos ahora forman parte de Windows Server, incluidas Tareas en segundo plano, DriveFS, WSLPath y mucho más.

Servicios de federación de Active Directory

Servicios de federación de Active Directory (AD FS) (AD FS) para Windows Server 2019 incluye los siguientes cambios.

Inicios de sesiones protegidos

Los inicios de sesión protegidos con AD FS ahora incluyen las siguientes actualizaciones:

• Los usuarios ahora pueden usar productos de autenticación de terceros como primer factor sin exponer contraseñas. En los casos en los que el proveedor de autenticación externa puede demostrar dos factores, puede usar la autenticación multifactor (MFA).

• Los usuarios ahora pueden usar contraseñas como un factor adicional después de usar una opción sin contraseña como primer factor. Esta compatibilidad integrada mejora la experiencia general de AD FS 2016, que requiere descargar un adaptador de GitHub.

• Los usuarios ahora pueden crear sus propios módulos de evaluación de riesgos del complemento para bloquear determinados tipos de solicitudes durante la fase de autenticación previa. Esta característica facilita el uso de la inteligencia en la nube, como la protección de identidades, para bloquear las transacciones o usuarios de riesgo. Para obtener más información, consulte Creación de complementos con el modelo de evaluación de riesgos de AD FS 2019.

• Mejora la ingeniería de correcciones rápidas de bloqueo inteligente (ESL) extranet (QFE) agregando las siguientes funcionalidades:

  • Ahora puede usar el modo auditoría mientras está protegido por la funcionalidad clásica de bloqueo de extranet.

  • Los usuarios ahora pueden usar umbrales de bloqueo independientes para ubicaciones conocidas. Esta característica le permite ejecutar varias instancias de aplicaciones dentro de una cuenta de servicio común para revertir contraseñas con una interrupción mínima.

Otras mejoras de seguridad

AD FS 2019 incluye las siguientes mejoras de seguridad:

• PowerShell remoto mediante el inicio de sesión con Tarjeta inteligente permite a los usuarios conectarse de forma remota a AD FS con tarjetas inteligentes mediante la ejecución de comandos de PowerShell. Los usuarios también pueden usar este método para administrar todas las funciones de PowerShell, incluidos los cmdlets de varios nodos.

• La personalización del encabezado HTTP permite a los usuarios personalizar los encabezados HTTP creados durante las respuestas de AD FS. La personalización del encabezado incluye los siguientes tipos de encabezados:

  • HSTS, que solo permite usar puntos de conexión de AD FS en puntos de conexión HTTPS para que se aplique un explorador compatible.

  • Opciones de marco X, que permite a los administradores de AD FS permitir que usuarios de confianza específicos inserten iFrames para páginas de inicio de sesión interactivas de AD FS. Solo debe usar este encabezado en hosts HTTPS.

  • Encabezado futuro. También puede configurar varios encabezados futuros.

  Para obtener más información, consulte Personalizar encabezados de respuesta de seguridad HTTP con AD FS 2019.

Funcionalidades de autenticación y directiva

AD FS 2019 incluye las siguientes funcionalidades de autenticación y directiva:

• Los usuarios ahora pueden crear reglas para especificar qué proveedor de autenticación invoca su implementación para la autenticación adicional. Esta característica ayuda a realizar la transición entre proveedores de autenticación y a proteger aplicaciones específicas que tienen requisitos especiales para proveedores de autenticación adicionales.

• Restricciones opcionales para las autenticaciones de dispositivos basadas en seguridad de la capa de transporte (TLS) para que solo las aplicaciones que requieran TLS puedan usarlas. Los usuarios pueden restringir las autenticaciones de dispositivos basadas en TLS de cliente para que solo las aplicaciones que realizan acceso condicional basado en dispositivos puedan usarlas. Esta característica evita solicitudes no deseadas de autenticación de dispositivos para aplicaciones que no requieren autenticación de dispositivos basada en TLS.

• AD FS ahora admite la puesta al día de las credenciales de segundo factor en función de la actualización de credenciales de segundo factor. Esta característica solo permite a los usuarios requerir TFA para la primera transacción y, a continuación, solo requieren el segundo factor de forma periódica. Solo puede usar esta característica en las aplicaciones que pueden proporcionar un parámetro adicional en la solicitud, ya que no es una configuración configurable en AD FS. Microsoft Entra ID admite este parámetro si configura la opción Recordar mi MFA para X Días para que supportsMFA se establezca en True en la configuración de confianza de dominio federado de Id. de Microsoft Entra.

Mejoras en el inicio de sesión único

AD FS 2019 también incluye las siguientes mejoras de inicio de sesión único (SSO):

• AD FS ahora usa un flujo de experiencia de usuario paginado y una interfaz de usuario centrada que proporciona una experiencia de inicio de sesión más fluida para los usuarios. Esta funcionalidad de reflejo de cambios que se ofrece en Azure AD. Es posible que tenga que actualizar el logotipo y las imágenes de fondo de su organización para adaptarse a la nueva interfaz de usuario.

• Se ha corregido un problema que provocaba que el estado de MFA no persistiera al usar la autenticación del token de actualización principal (PRT) en dispositivos Windows 10. Ahora se debe solicitar a los usuarios credenciales de segundo factor menos a menudo. La experiencia ahora debe ser coherente cuando la autenticación del dispositivo se realiza correctamente en la autenticación TLS y PRT del cliente.

Compatibilidad para crear aplicaciones de línea de negocio modernas

AD FS 2019 incluye las siguientes características para admitir la creación de aplicaciones modernas de línea de negocio (LOB):

• AD FS ahora incluye compatibilidad con el perfil de flujo de dispositivo OAuth para iniciar sesión con dispositivos sin un área expuesta de la interfaz de usuario para admitir experiencias de inicio de sesión enriquecidas. Esta característica permite a los usuarios terminar de iniciar sesión en un dispositivo diferente. La experiencia de Interfaz de la línea de comandos de Azure (CLI) en Azure Stack requiere esta funcionalidad y también puede usarla en otros escenarios.

• Ya no necesita el parámetro Resource para usar AD FS, que está en línea con las especificaciones actuales de OAUth. Los clientes ahora solo necesitan proporcionar el identificador de confianza del usuario de confianza de usuario de confianza como parámetro de ámbito largo con permisos solicitados.

• Puede usar encabezados de uso compartido de recursos entre orígenes (CORS) en las respuestas de AD FS. Estos nuevos encabezados permiten a los usuarios crear aplicaciones de página única que permitan a las bibliotecas de JavaScript del lado cliente validar la firma de id_token consultando las claves de firma desde el documento de detección de Open ID Connect (OIDC) en AD FS.

• AD FS incluye la compatibilidad con la clave de prueba para Intercambio de código (PKCE) para el flujo de código de autenticación seguro dentro de OAuth. Esta capa adicional de seguridad evita que los actores malintencionados secuestran el código y lo reproducen de un cliente diferente.

• Se ha corregido un problema menor que provocaba que AD FS enviara solo la notificación x5t. AD FS ahora también envía una notificación de niño para indicar la sugerencia de identificador de clave para la verificación de firmas.

Mejoras de compatibilidad

Los administradores ahora pueden configurar AD FS para permitir a los usuarios enviar informes de errores y depurarlos como un archivo ZIP para solucionar problemas. Los administradores también pueden configurar una conexión de Protocolo simple de transferencia de correo (SMTP) para enviar automáticamente el archivo ZIP a una cuenta de correo electrónico de evaluación de prioridades. Otra configuración permite a los administradores crear automáticamente una incidencia para su sistema de soporte técnico en función de ese correo electrónico.

Actualizaciones de implementación

Las siguientes actualizaciones de implementación ahora están incluidas en AD FS 2019:

• AD FS tiene una función similar a su versión de Windows Server 2016 que facilita la actualización de granjas de servidores de Windows Server 2016 a granjas de servidores de Windows Server 2019. Un servidor de Windows Server 2019 agregado a una granja de servidores de Windows Server 2016 solo se comportará como un servidor de Windows Server 2016 hasta que esté listo para actualizarse. Para obtener más información, consulta Actualización a AD FS en Windows Server 2016.

Actualizaciones de SAML

AD FS 2019 incluye las siguientes actualizaciones del lenguaje de marcado de aserción de seguridad (SAML):

• Se han corregido problemas en la compatibilidad con la federación agregada, como InCommon, en estas áreas:

  • Escalado mejorado para muchas entidades en el documento de metadatos de federación agregados. Anteriormente, el escalado de estas entidades no se realiza correctamente y devuelve un mensaje de error ADMIN0017.

  • Ahora puede realizar consultas mediante el parámetro ScopeGroupID ejecutando el Get-AdfsRelyingPartyTrustsGroup cmdlet de PowerShell.

  • Se ha mejorado el control de las condiciones de error para los valores de entityID duplicados.

Especificación de recursos de estilo Azure AD en el parámetro de ámbito

Anteriormente, AD FS necesitaba que el recurso y el ámbito deseados se incluyeran en parámetros independientes en cualquier solicitud de autenticación. Por ejemplo, la siguiente solicitud de OAuth de ejemplo contiene un parámetro de ámbito:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Con AD FS en Windows Server 2019, ahora puede pasar el valor del recurso insertado en el parámetro de ámbito. Este cambio es coherente con la autenticación con el identificador de Entra de Microsoft.

El parámetro de ámbito ahora se puede organizar como una lista separada por espacios que estructura cada entidad como un recurso o ámbito.

Nota:

Solo puede especificar un recurso en la solicitud de autenticación. Si incluye más de un recurso en la solicitud, AD FS devuelve un error y la autenticación no se realiza correctamente.