Compartir a través de

Guía para la desmantelación de los Servicios de Federación de Active Directory (AD FS)

Microsoft Entra ID proporciona una experiencia de inicio de sesión sencilla basada en la nube para todos los recursos y aplicaciones con autenticación sólida y directivas de acceso adaptables basadas en riesgos en tiempo real para conceder acceso a los recursos, lo que reduce los costos operativos de administrar y mantener un entorno de AD FS y aumentar la eficacia de TI.

For more info on why you should upgrade from AD FS to Microsoft Entra ID, visit moving from AD FS to Microsoft Entra ID. Consulte migrar de la federación a la autenticación en la nube para entender cómo realizar la actualización desde AD FS.

Este documento le proporcionará los pasos recomendados para retirar los servidores de AD FS.

Requisitos previos para retirar servidores de AD FS

Antes de comenzar a retirar los servidores de AD FS, asegúrese de que se han completado los siguientes elementos. Para más información, consulte Migración de la federación a la autenticación en la nube.

  1. Instale Microsoft Entra Connect Health para proporcionar una supervisión sólida de la infraestructura de identidad local.

  2. Complete el trabajo previo para el inicio de sesión único (SSO) .

  3. Migra tu autenticación de usuario a Microsoft Entra ID. Con la autenticación en la nube habilitada, Microsoft Entra ID es capaz de controlar el proceso de inicio de sesión de los usuarios de forma segura. Microsoft Entra ID proporciona tres opciones para proteger la autenticación en la nube de los usuarios:

    You can try cloud authentication for your users using Staged Rollout. Permite probar de forma selectiva grupos de usuarios con las funcionalidades de autenticación en la nube mencionadas anteriormente.

    Note

    • PHS y CBA son las opciones preferidas para la autenticación administrada en la nube. PTA solo debe usarse en los casos en los que haya requisitos normativos para no sincronizar ninguna información de contraseña en la nube.
    • La autenticación de usuario y la migración de aplicaciones se pueden realizar en cualquier orden; sin embargo, se recomienda completar primero la migración de autenticación de usuario.
    • Make sure to evaluate the supported and not-supported scenarios for Staged Rollout.

  4. Migre todas las aplicaciones que actualmente usan AD FS para la autenticación a Microsoft Entra ID, ya que proporciona un único plano de control para la administración de identidades y acceso a Microsoft Entra ID. Asegúrese de migrar también las aplicaciones de Office 365 y los dispositivos unidos a Microsoft Entra ID.

    • El Asistente para la migración se puede usar para migrar aplicaciones de AD FS a Microsoft Entra ID.
    • Si no encuentra la aplicación SaaS correcta en la galería de aplicaciones, se pueden solicitar desde https://aka.ms/AzureADAppRequest.

  5. Asegúrese de ejecutar Microsoft Entra Connect Health durante al menos una semana para observar el uso de aplicaciones en el identificador de Microsoft Entra. También debe poder ver los registros de inicio de sesión de usuarios en Microsoft Entra ID.

Pasos para retirar los servidores de AD FS

En esta sección se proporciona el proceso paso a paso para retirar los servidores de AD FS.

Antes de llegar a este punto, debe comprobar que no hay ningún usuario de confianza (relaciones de confianza para usuario autentificado) con el tráfico que todavía está presente en los servidores de AD FS.

Antes de empezar, compruebe los registros de eventos de AD FS o Microsoft Entra Connect Health para ver si hay errores de inicio de sesión o éxitos, ya que esto indicaría que estos servidores todavía se están utilizando para algo. En caso de que vea éxitos o fallos de inicio de sesión, compruebe cómo trasladar sus aplicaciones de AD FS o trasladar su autenticación a Microsoft Entra ID.

Una vez comprobado lo anterior, puede realizar los pasos siguientes (suponiendo que los servidores de AD FS no se usen para nada más ahora):

Note

Después de mover la autenticación a Microsoft Entra ID, pruebe el entorno durante al menos una semana para comprobar que la autenticación en la nube se está ejecutando sin problemas.

  1. Consider taking an optional final backup before decommissioning AD FS servers.
  2. Quite todas las entradas de AD FS de cualquiera de los equilibradores de carga (internos y externos) que haya configurado en su entorno.
  3. Elimine las entradas DNS correspondientes de los nombres de granja respectivos para los servidores de AD FS en su entorno.
  4. On the primary AD FS server run Get-ADFSProperties and look for CertificateSharingContainer. Tenga en cuenta este DN, ya que deberá eliminarlo cerca del final de la instalación (después de algunos reinicios y cuando ya no esté disponible).
  5. Si la base de datos de configuración de AD FS usa una instancia de base de datos de SQL Server como almacén, asegúrese de eliminar la base de datos antes de desinstalar los servidores de AD FS.
  6. Desinstale los servidores WAP (proxy).
    • Inicie sesión en cada servidor WAP, abra la Consola de administración de acceso remoto y busque aplicaciones web publicadas.
    • Quite cualquier elemento relacionado con los servidores de AD FS que ya no se usen.
    • When all the published web applications are removed, uninstall WAP with the following command Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
  7. Desinstale los servidores de AD FS.
  8. Elimine los certificados de Capa de sockets seguros (SSL) de AD FS de cada almacenamiento de servidor.
  9. Reinstale los servidores de AD FS con un formateo completo del disco.
  10. Ahora puede eliminar de forma segura la cuenta de AD FS.
  11. Remove the content of the CertificateSharingContainer DN using ADSI Edit after uninstallation.

Next Steps