Preguntas frecuentes sobre el servidor de federación de Active Directory a Microsoft Entra
Microsoft Entra ID proporciona una experiencia de inicio de sesión sencilla basada en la nube para todos los recursos y aplicaciones con autenticación sólida y directivas de acceso en tiempo real adaptables basadas en riesgos para conceder acceso a los recursos, lo que reduce los costos operativos de administración y mantenimiento de un entorno de AD FS y aumenta la eficacia de TI.
Para más información sobre por qué debería actualizar de AD FS a Microsoft Entra ID, consulte migración de AD FS a Microsoft Entra ID. Consulte Migración de la federación a la autenticación en la nube para comprender cómo actualizar desde AD FS.
En este documento se proporcionan respuestas a las preguntas más frecuentes sobre la migración de AD FS a Microsoft Entra ID.
¿Puedo ejecutar AD FS en paralelo con la sincronización de hash de contraseñas o la autenticación transferida?
Sí, puede. Esto es bastante habitual. El uso del lanzamiento de paquete puede ayudarle a validar que un subconjunto de los usuarios pueda autenticarse en Microsoft Entra ID directamente mientras el dominio permanece federado. En el documento Migración de la federación a la autenticación en la nube se indica el proceso.
Al acceder a sitios a través de AD FS internamente, los usuarios obtienen una experiencia de inicio de sesión único. ¿Cómo se mantiene la misma experiencia al pasar a Microsoft Entra ID?
Existen varias maneras. La primera forma, y la más recomendable, es la unión híbrida de Microsoft Entra a sus máquinas unidas a un dominio Windows 10/11 existente o usar la unión de Microsoft Entra. Esto le proporcionará la misma experiencia de inicio de sesión único de conexión directa. La segunda manera es aprovechar el inicio de sesión único de conexión directa para máquinas unidas híbridas a Microsoft Entra no híbridas o clientes Windows de nivel inferior que todavía pueden obtener esa misma experiencia.
Estoy registrando dispositivos unidos híbridos Microsoft Entra mediante reclamaciones de dispositivos AD FS. ¿Cómo puedo permitir que los dispositivos sigan completando su proceso de AADJ híbrido con AD FS?
Puede seguir el proceso de configuración de unión híbrida de Microsoft Entra para dispositivos para completar el proceso de registro sin AD FS.
Tengo reglas de autorización en AD FS. ¿Cuál es la manera equivalente de hacerlo en Microsoft Entra ID?
Esto se traduciría en políticas de acceso condicional de Microsoft Entra. Existen varias directivas de plantilla predefinidas con las que empezar.
Al colocar usuarios en un grupo de lanzamiento de paquete, ¿se ven afectadas sus sesiones actuales y se ven obligados a volver a autenticarse?
No, su sesión actual seguirá siendo válida y la próxima vez que deban autenticarse, se autenticarán mediante la autenticación administrada en lugar de la federación.
Tengo una relación de confianza con un proveedor de notificaciones de otra empresa para acceder a los recursos. ¿Cómo debo trasladar esta relación de confianza?
Debe tener en cuenta las ventajas de Microsoft Entra B2B para lograr el mismo acceso de autenticación.
¿Las reglas de notificación personalizadas pueden admitir estos identificadores de Microsoft Entra?
Sí, según las reglas necesarias. El mejor método para investigar es usar el informe de actividad de la aplicación de AD FS y, a continuación, ver cómo personalizar las notificaciones de SAML
Al cambiar un dominio de federado a administrado, ¿cuánto tiempo tarda en realizarse el cambio?
La transición completa puede tardar hasta 4 horas, así que planee la ventana de mantenimiento según corresponda
¿Se requiere AD FS para usar O365?
No, O365 puede autenticarse directamente sin necesidad de ADFS.
Una vez que se traslada la configuración de la aplicación a Microsoft Entra ID, ¿debo hacer algo más para completar la migración?
Sí. Para completar la migración de una aplicación a Microsoft Entra hay que reconfigurar la propia aplicación (transición) para el uso de Microsoft Entra ID.
¿Se requiere ADFS para que los usuarios puedan iniciar sesión con su dirección de correo electrónico o nombre principal de usuario (UPN)?
No, Microsoft Entra ID admite el inicio de sesión con una dirección de correo electrónico o un nombre principal de usuario.