Administración de la confianza de AD FS con Microsoft Entra ID mediante Microsoft Entra Connect
Información general
Al federar un entorno local con Microsoft Entra ID, establece una relación de confianza entre el proveedor de identidades local y Microsoft Entra ID. Microsoft Entra Connect puede administrar la federación entre el servicio de federación de Active Directory local (AD FS) y Microsoft Entra ID. En este artículo se proporciona información general de:
- Las distintas configuraciones de la confianza de Microsoft Entra Connect.
- Las reglas de transformación de emisión (reglas de notificación) establecidas por Microsoft Entra Connect.
- Cómo realizar una copia de seguridad de las reglas de notificación y restaurarlas entre actualizaciones y actualizaciones de configuración.
- Procedimiento recomendado para proteger y supervisar la confianza de AD FS con Microsoft Entra ID.
Configuración controlada por Microsoft Entra Connect
Microsoft Entra Connect administra solo la configuración relacionada con la confianza de Microsoft Entra ID. Microsoft Entra Connect no modifica ninguna configuración de otras confianzas para usuarios de confianza de AD FS. En la tabla siguiente se indica la configuración que se controla mediante Microsoft Entra Connect.
| Configuración | Descripción |
|---|---|
| Certificado de firma de tokens | Microsoft Entra Connect se puede usar para restablecer y volver a crear la confianza con Microsoft Entra ID. Microsoft Entra Connect realiza una sustitución inmediata puntual de los certificados de firma de tokens para AD FS y actualiza la configuración de federación de dominios de Microsoft Entra. |
| Algoritmo de firma de token | Microsoft recomienda usar SHA-256 como algoritmo de firma de token. Microsoft Entra Connect puede detectar si el algoritmo de firma de tokens está establecido en un valor menos seguro que SHA-256. y actualizará la configuración a SHA-256 en la siguiente operación de configuración posible. El usuario de confianza debe actualizarse para utilizar el nuevo certificado de firma de tokens. |
| Identificador de confianza de Microsoft Entra ID | Microsoft Entra Connect establece el valor de identificador correcto para la confianza de Microsoft Entra ID. AD FS identifica de forma única la confianza de Microsoft Entra ID con el valor de identificador. |
| Puntos de conexión de Microsoft Entra | Microsoft Entra Connect se asegura de que los puntos de conexión configurados para la confianza de Microsoft Entra ID sigan siempre los valores recomendados más recientes de resistencia y rendimiento. |
| Reglas de transformación de emisión | Hay varias reglas de notificación que son necesarias para un rendimiento óptimo de las características de Microsoft Entra ID en un escenario federado. Microsoft Entra Connect garantiza que la confianza de Microsoft Entra ID siempre esté configurada con el conjunto adecuado de reglas de notificación recomendadas. |
| Identificador alternativo | Si la sincronización está configurada para usar el identificador alternativo, Microsoft Entra Connect configura AD FS para realizar la autenticación mediante dicho identificador. |
| Actualización automática de metadatos | La confianza con Microsoft Entra ID está configurada para la actualización automática de los metadatos. AD FS comprueba periódicamente los metadatos de la confianza de Microsoft Entra ID y los mantiene actualizados en caso de que cambien por parte de Microsoft Entra ID. |
| Autenticación integrada de Windows (IWA) | Durante la operación de unión híbrida de Microsoft Entra, IWA está habilitado para el registro de dispositivos para facilitar la unión híbrida de Microsoft Entra para dispositivos de nivel inferior |
Flujos de ejecución y configuración de federación realizada por Microsoft Entra Connect
Microsoft Entra Connect no actualiza todas las opciones de la confianza de Microsoft Entra ID durante los flujos de configuración. La configuración modificada depende de la tarea o flujo de ejecución que se ejecute. En la tabla siguiente se enumera la configuración afectada en distintos flujos de ejecución.
| Flujo de ejecución | Configuración afectada |
|---|---|
| Primera instalación de paso (rápida) | None |
| Instalación de primer paso (nueva granja de servidores de AD FS) | Se crea una nueva granja de servidores de AD FS y se crea una confianza con Microsoft Entra ID desde cero. |
| Instalación de primer paso (granja de servidores de AD FS existente, confianza de Microsoft Entra ID existente) | El identificador de confianza de Microsoft Entra ID, las reglas de transformación de emisión, los puntos de conexión de Microsoft Entra, identificador alternativo (si es necesario) y la actualización automática de metadatos |
| Restablecer la confianza de Microsoft Entra ID | Certificado de firma de tokens, algoritmo de firma de tokens, identificador de confianza de Microsoft Entra ID, reglas de transformación de emisión, puntos de conexión de Microsoft Entra, identificador alternativo (si es necesario), actualización automática de metadatos |
| Agregar el servidor de federación | None |
| Agregar el servidor WAP | None |
| Opciones de dispositivos | Reglas de transformación de emisión, IWA para el registro de dispositivos |
| Agregar el dominio federado | Si el dominio se agrega por primera vez, es decir, se está cambiando la configuración de federación de dominio único a federación de varios dominios, Microsoft Entra Connect volverá a crear la confianza desde cero. Si la confianza con Microsoft Entra ID ya está configurada para varios dominios, solo se modifican las reglas de transformación de emisión |
| Actualizar TLS | Ninguno |
Durante todas las operaciones, en las que se modifica cualquier configuración, Microsoft Entra Connect realiza una copia de seguridad de las configuraciones de confianza actuales en %ProgramData%\AADConnect\ADFS
Nota:
Antes de la versión 1.1.873.0, la copia de seguridad constaba únicamente de reglas de transformación de emisión y estas se copiaban en el archivo de registro de seguimiento del asistente.
Reglas de transformación de emisión establecidas por Microsoft Entra Connect
Microsoft Entra Connect garantiza que la confianza de Microsoft Entra ID siempre esté configurada con el conjunto adecuado de reglas de notificación recomendadas. Microsoft recomienda usar Microsoft Entra Connect para administrar la confianza de Microsoft Entra ID. En esta sección se enumeran las reglas de transformación de emisión establecidas y su descripción.
| Nombre de la regla | Descripción |
|---|---|
| Emitir UPN | Esta regla consulta el valor de userprincipalname a partir del atributo configurado en la configuración de sincronización de userprincipalname. |
| Consultar objectguid y msdsconsistencyguid para la notificación de ImmutableId personalizada | Esta regla agrega un valor temporal en la canalización para el valor de objectguid y msdsconsistencyguid si existe. |
| Comprobar la existencia de msdsconsistencyguid | Según si el valor de msdsconsistencyguid existe o no, se establece una marca temporal para indicar qué usar como ImmutableId. |
| Emitir msdsconsistencyguid como identificador inmutable si existe | Emitir msdsconsistencyguid como ImmutableId si el valor existe |
| Emitir objectGuidRule si la regla msdsConsistencyGuid no existe | Si el valor de msdsconsistencyguid no existe, se emitirá el valor de objectguid se emitirá como ImmutableId. |
| Emitir nameidentifier | Esta regla emite el valor de la notificación nameidentifier. |
| Emitir accounttype para equipos unidos a un dominio | Si la entidad que se va a autenticar es un dispositivo unido a un dominio, esta regla emite el tipo de cuenta como DJ para indicarlo. |
| Emitir AccountType con el valor USER cuando no es una cuenta de equipo | Si la entidad que se autentica es un usuario, esta regla emite el tipo de cuenta como User. |
| Emitir issuerid cuando no sea una cuenta de equipo | Esta regla emite el valor de issuerId cuando la entidad de autenticación no es un dispositivo. El valor se crea mediante una expresión regular, que ha configurado Microsoft Entra Connect. La expresión regular se crea después teniendo en cuenta todos los dominios federados con Microsoft Entra Connect. |
| Emitir issuerid para la autenticación de equipos DJ | Esta regla emite el valor de issuerId cuando la entidad de autenticación es un dispositivo. |
| Emitir onpremobjectguid para equipos unidos a un dominio | Si la entidad que se va a autenticar es un dispositivo unido a un dominio, esta regla emite para él el valor de objectguid local. |
| SID principal de paso | Esta regla emite el SID principal de la entidad de autenticación. |
| Notificación de paso: insideCorporateNetwork | Esta regla emite una notificación que ayuda a Microsoft Entra ID a saber si la autenticación procede de dentro o fuera de la red corporativa |
| Notificación de paso: Psso | |
| Emitir notificaciones de expiración de contraseña | Esta regla emite tres notificaciones de tiempo de expiración de contraseña, el número de días que falta para que expire la contraseña de la entidad que se autentica y la dirección URL adonde dirigirse para el cambio de contraseña. |
| Notificación de paso: authnmethodsreferences | El valor de la notificación emitida en esta regla indica qué tipo de autenticación se realizó para la entidad. |
| Notificación de paso: multifactorauthenticationinstant | El valor de esta notificación especifica la hora, en UTC, en que el usuario realizó por última vez la autenticación multifactor. |
| Notificación de paso: AlternateLoginID | Esta regla emite la notificación AlternateLoginID si la autenticación se realizó con el identificador de inicio de sesión alternativo. |
Nota:
Las reglas de notificación de emisión de UPN e ImmutableId son diferentes si se usa una opción no predeterminada durante la configuración de Microsoft Entra Connect
Restauración de las reglas de transformación de emisión
Microsoft Entra Connect versión 1.1.873.0 o posterior realiza una copia de seguridad de la configuración de confianza de Microsoft Entra ID cada vez que se realiza una actualización en la configuración de confianza de Microsoft Entra ID. La configuración de confianza de Microsoft Entra ID se copia en %ProgramData%\AADConnect\ADFS. El nombre de archivo se encuentra en el siguiente formato AadTrust-<fecha>-<hora>.txt, por ejemplo, AadTrust-20180710-150216.txt
Puede restaurar las reglas de transformación de emisión mediante los siguientes pasos sugeridos:
- Abra la interfaz de usuario de administración de AD FS en el Administrador del servidor.
- Vaya a AD FS > Confianzas para usuarios autenticados > Plataforma de identidad de Microsoft Office 365 > Editar directiva de emisión de notificaciones para abrir las propiedades de la confianza de Microsoft Entra ID
- Haga clic en Add rule (Agregar regla).
- En la plantilla de regla de notificación, seleccione Send Claims Using a Custom Rule (Enviar notificaciones mediante una regla personalizada) y haga clic en Next (Siguiente).
- Copie el nombre de la regla de notificación del archivo de copia de seguridad y péguelo en el campo Claim rule name (Nombre de regla de notificación).
- Copie la regla de notificación del archivo de copia de seguridad en el campo de texto Custom rule (Regla personalizada) y haga clic en Finish (Finalizar).
Nota:
Asegúrese de que las reglas adicionales no entren en conflicto con las reglas configuradas por Microsoft Entra Connect.
Procedimiento recomendado para proteger y supervisar la confianza de AD FS con Microsoft Entra ID
Al federar AD FS con Microsoft Entra ID, es fundamental que la configuración de la federación (relación de confianza configurada entre AD FS y Microsoft Entra ID) se supervise de forma estrecha y que se capture cualquier actividad inusual o sospechosa. Para ello, se recomienda configurar alertas y recibir notificaciones cada vez que se realicen cambios en la configuración de la federación. Para aprender a configurar alertas, consulte Supervisión de cambios en la configuración de la federación.
Si usa Azure MFA en la nube, para la autenticación multifactor, con usuarios federados, se recomienda encarecidamente habilitar la protección de seguridad adicional. Esta protección de seguridad evita el paso de Azure MFA en la nube cuando se federa con Microsoft Entra ID. Cuando está habilitado, para un dominio federado en el inquilino de Microsoft Entra, garantiza que un actor incorrecto no pueda omitir Azure MFA imitando que el proveedor de identidades ya ha realizado una autenticación multifactor. La protección se puede habilitar mediante la nueva configuración de seguridad, federatedIdpMfaBehavior. Para más información, consulte Procedimientos recomendados para proteger Servicios de federación de Active Directory