Guía de retirada de Servicios de federación de Active Directory (AD FS)

Microsoft Entra ID proporciona una experiencia de inicio de sesión sencilla basada en la nube para todos los recursos y aplicaciones con autenticación sólida y directivas de acceso en tiempo real adaptables basadas en riesgos para conceder acceso a los recursos, lo que reduce los costos operativos de administración y mantenimiento de un entorno de AD FS y aumenta la eficacia de TI.

Para más información sobre por qué debería actualizar de AD FS a Microsoft Entra ID, consulte migración de AD FS a Microsoft Entra ID. Consulte Migración de la federación a la autenticación en la nube para comprender cómo actualizar desde AD FS.

En este documento se proporcionan los pasos recomendados para retirar los servidores de AD FS.

Requisitos previos para la retirada de servidores de AD FS

Antes de comenzar la retirada de los servidores de AD FS, asegúrese de que se han completado los elementos siguientes. Para más información, consulte Migración de la federación a la autenticación en la nube.

1. Instale Microsoft Entra Connect Health para proporcionar una sólida supervisión a su infraestructura de identidades local.

2. Complete el trabajo previo para el inicio de sesión único (SSO).

3. Migrar la autenticación de usuarios a Microsoft Entra ID. Con la autenticación en la nube habilitada, Microsoft Entra ID es capaz de controlar el proceso de inicio de sesión de los usuarios de forma segura. Microsoft Entra ID proporciona tres opciones para la autenticación de usuarios segura en la nube:

   • Sincronización de hash de contraseñas de Microsoft Entra (PHS): permite a los usuarios iniciar sesión en aplicaciones locales y basadas en la nube con las mismas contraseñas. Microsoft Entra Connect sincroniza un hash, del hash, de la contraseña de un usuario desde una instancia de Active Directory local con una instancia de Microsoft Entra basada en la nube. Las dos capas de hash garantizan que las contraseñas nunca se exponen ni transmiten a los sistemas en la nube.
   • Autenticación basada en certificados de Microsoft Entra (CBA): permite adoptar un método de autenticación resistente a la suplantación de identidad (phishing) y autenticar a los usuarios con un certificado X.509 en la infraestructura de clave pública (PKI).
   • La Autenticación transferida de Microsoft Entra permite a los usuarios iniciar sesión en aplicaciones basadas en la nube y locales con las mismas contraseñas. Instala un agente en el Active Directory local y valida las contraseñas de los usuarios directamente en este.

   Puede probar la autenticación en la nube para los usuarios mediante el lanzamiento preconfigurado. Permite probar de forma selectiva grupos de usuarios con las funcionalidades de autenticación en la nube mencionadas anteriormente.

   Nota:

   • PHS y CBA son las opciones preferidas para la autenticación administrada en la nube. PTA solo se debe usar en los casos en los que haya requisitos normativos para no sincronizar ninguna información de contraseña en la nube.
   • La autenticación de usuario y la migración de aplicaciones se pueden realizar en cualquier orden, pero se recomienda completar primero la migración de autenticación de usuario.
   • Asegúrese de evaluar los escenarios admitidos y no admitidos para el lanzamiento preconfigurado.

4. Migre todas las aplicaciones que actualmente usan AD FS para la autenticación en Microsoft Entra ID, ya que proporciona un único plano de control para la administración de identidades y acceso a Microsoft Entra ID. Asegúrese de migrar también las aplicaciones de Office 365 y los dispositivos unidos a Microsoft Entra ID.

   • Migration Assistant se puede usar para migrar aplicaciones de AD FS a Microsoft Entra ID.
   • Si no encuentra la aplicación SaaS adecuada en la galería de aplicaciones, se pueden solicitar en https://aka.ms/AzureADAppRequest.

5. Asegúrese de ejecutar Microsoft Entra Connect Health durante al menos una semana para observar el uso de aplicaciones en Microsoft Entra ID. También debería poder ver los registros de inicio de sesión de usuario en Microsoft Entra ID.

Pasos para la retirada de los servidores de AD FS

En esta sección se proporciona el proceso paso a paso para la retirada de los servidores de AD FS.

Antes de llegar a este punto, debe comprobar que no hay ningún usuario de confianza (relaciones de confianza para usuario autentificado) con el tráfico que todavía está presente en los servidores de AD FS.

Antes de comenzar, compruebe los registros de eventos de AD FS o Microsoft Entra Connect Health en busca de inicios de sesión correctos o errores en estos, ya que esto significaría que los servidores todavía se están usando. En caso de que los haya, compruebe cómo migrar las aplicaciones de AD FS o mover la autenticación a Microsoft Entra ID.

Una vez comprobado lo anterior, puede realizar los pasos siguientes (suponiendo que los servidores de AD FS ya no se usen para nada más):

Nota:

Después de mover la autenticación a Microsoft Entra ID, pruebe el entorno durante al menos una semana para comprobar que la autenticación en la nube se ejecuta sin problemas.

1. Considere la posibilidad de realizar una copia de seguridad final opcional antes de retirar los servidores de AD FS.
2. Quite las entradas de AD FS de cualquiera de los equilibradores de carga (internos y externos) que haya configurado en su entorno.
3. Elimine las entradas DNS correspondientes de los nombres de granja respectivos para los servidores de AD FS en su entorno.
4. En el servidor principal de AD FS, ejecute Get-ADFSProperties y busque CertificateSharingContainer. Apunte este DN, ya que deberá eliminarlo cerca del final de la instalación (después de algunos reinicios y cuando ya no esté disponible)
5. Si la base de datos de configuración de AD FS usa una instancia de base de datos de SQL Server como almacén, asegúrese de eliminar la base de datos antes de desinstalar los servidores de AD FS.
6. Desinstale los servidores WAP (proxy).
   • Inicie sesión en cada servidor WAP, abra la Consola de administración de acceso remoto y busque aplicaciones web publicadas.
   • Quite cualquier servidor relacionado con AD FS que ya no se use.
   • Cuando se hayan quitado todas las aplicaciones web publicadas, desinstale WAP con el comando siguiente Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
7. Desinstale los servidores de AD FS.
   • A partir de los nodos secundarios, desinstale AD FS con el comando Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database. Después, ejecute el comando del C:\Windows\WID\data\adfs* para eliminar cualquier archivo de base de datos
8. Elimine los certificados de Capa de sockets seguros (SSL) de AD FS de cada almacenamiento de servidor.
9. Recree la imagen de los servidores de AD FS con formato de disco completo.
10. Ahora puede eliminar de forma segura la cuenta de AD FS.
11. Tras la desinstalación, quite el contenido del DN CertificateSharingContainer mediante ADSI Edit.

Pasos siguientes

• Preguntas frecuentes sobre AD FS a Microsoft Entra