Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID proporciona una experiencia de inicio de sesión sencilla basada en la nube para todos los recursos y aplicaciones con autenticación sólida y directivas de acceso adaptables basadas en riesgos en tiempo real para conceder acceso a los recursos, lo que reduce los costos operativos de administrar y mantener un entorno de AD FS y aumentar la eficacia de TI.
For more info on why you should upgrade from AD FS to Microsoft Entra ID, visit moving from AD FS to Microsoft Entra ID. Consulte migrar de la federación a la autenticación en la nube para entender cómo realizar la actualización desde AD FS.
Este documento le proporcionará los pasos recomendados para retirar los servidores de AD FS.
Requisitos previos para retirar servidores de AD FS
Antes de comenzar a retirar los servidores de AD FS, asegúrese de que se han completado los siguientes elementos. Para más información, consulte Migración de la federación a la autenticación en la nube.
Instale Microsoft Entra Connect Health para proporcionar una supervisión sólida de la infraestructura de identidad local.
Complete el trabajo previo para el inicio de sesión único (SSO) .
Migra tu autenticación de usuario a Microsoft Entra ID. Con la autenticación en la nube habilitada, Microsoft Entra ID es capaz de controlar el proceso de inicio de sesión de los usuarios de forma segura. Microsoft Entra ID proporciona tres opciones para proteger la autenticación en la nube de los usuarios:
- Sincronización de hash de contraseñas de Microsoft Entra (PHS): permite a los usuarios iniciar sesión en aplicaciones locales y basadas en la nube con las mismas contraseñas. Microsoft Entra Connect sincroniza un hash, del hash, de la contraseña de un usuario desde una instancia de Active Directory local con una instancia de Microsoft Entra basada en la nube. Las dos capas de hash garantizan que las contraseñas nunca se exponen o transmiten a los sistemas en la nube.
- Autenticación basada en certificados de Microsoft Entra (CBA): permite adoptar un método de autenticación resistente a la suplantación de identidad (phishing) y autenticar a los usuarios con un certificado X.509 en la infraestructura de clave pública (PKI).
- Autenticación de paso a través de Microsoft Entra (PTA): permite a los usuarios iniciar sesión en aplicaciones locales y basadas en la nube con las mismas contraseñas. Instala un agente en el Active Directory local y valida las contraseñas de los usuarios directamente en este.
You can try cloud authentication for your users using Staged Rollout. Permite probar de forma selectiva grupos de usuarios con las funcionalidades de autenticación en la nube mencionadas anteriormente.
Note
- PHS y CBA son las opciones preferidas para la autenticación administrada en la nube. PTA solo debe usarse en los casos en los que haya requisitos normativos para no sincronizar ninguna información de contraseña en la nube.
- La autenticación de usuario y la migración de aplicaciones se pueden realizar en cualquier orden; sin embargo, se recomienda completar primero la migración de autenticación de usuario.
- Make sure to evaluate the supported and not-supported scenarios for Staged Rollout.
Migre todas las aplicaciones que actualmente usan AD FS para la autenticación a Microsoft Entra ID, ya que proporciona un único plano de control para la administración de identidades y acceso a Microsoft Entra ID. Asegúrese de migrar también las aplicaciones de Office 365 y los dispositivos unidos a Microsoft Entra ID.
- El Asistente para la migración se puede usar para migrar aplicaciones de AD FS a Microsoft Entra ID.
- Si no encuentra la aplicación SaaS correcta en la galería de aplicaciones, se pueden solicitar desde https://aka.ms/AzureADAppRequest.
Asegúrese de ejecutar Microsoft Entra Connect Health durante al menos una semana para observar el uso de aplicaciones en el identificador de Microsoft Entra. También debe poder ver los registros de inicio de sesión de usuarios en Microsoft Entra ID.
Pasos para retirar los servidores de AD FS
En esta sección se proporciona el proceso paso a paso para retirar los servidores de AD FS.
Antes de llegar a este punto, debe comprobar que no hay ningún usuario de confianza (relaciones de confianza para usuario autentificado) con el tráfico que todavía está presente en los servidores de AD FS.
Antes de empezar, compruebe los registros de eventos de AD FS o Microsoft Entra Connect Health para ver si hay errores de inicio de sesión o éxitos, ya que esto indicaría que estos servidores todavía se están utilizando para algo. En caso de que vea éxitos o fallos de inicio de sesión, compruebe cómo trasladar sus aplicaciones de AD FS o trasladar su autenticación a Microsoft Entra ID.
Una vez comprobado lo anterior, puede realizar los pasos siguientes (suponiendo que los servidores de AD FS no se usen para nada más ahora):
Note
Después de mover la autenticación a Microsoft Entra ID, pruebe el entorno durante al menos una semana para comprobar que la autenticación en la nube se está ejecutando sin problemas.
- Consider taking an optional final backup before decommissioning AD FS servers.
- Quite todas las entradas de AD FS de cualquiera de los equilibradores de carga (internos y externos) que haya configurado en su entorno.
- Elimine las entradas DNS correspondientes de los nombres de granja respectivos para los servidores de AD FS en su entorno.
- On the primary AD FS server run
Get-ADFSProperties
and look for CertificateSharingContainer. Tenga en cuenta este DN, ya que deberá eliminarlo cerca del final de la instalación (después de algunos reinicios y cuando ya no esté disponible). - Si la base de datos de configuración de AD FS usa una instancia de base de datos de SQL Server como almacén, asegúrese de eliminar la base de datos antes de desinstalar los servidores de AD FS.
- Desinstale los servidores WAP (proxy).
- Inicie sesión en cada servidor WAP, abra la Consola de administración de acceso remoto y busque aplicaciones web publicadas.
- Quite cualquier elemento relacionado con los servidores de AD FS que ya no se usen.
- When all the published web applications are removed, uninstall WAP with the following command Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess.
- Desinstale los servidores de AD FS.
- Starting with the secondary nodes, uninstall AD FS with Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database command. Después de ejecutar el comando C:\Windows\WID\data\adfs* para eliminar los archivos de la base de datos
- Elimine los certificados de Capa de sockets seguros (SSL) de AD FS de cada almacenamiento de servidor.
- Reinstale los servidores de AD FS con un formateo completo del disco.
- Ahora puede eliminar de forma segura la cuenta de AD FS.
- Remove the content of the CertificateSharingContainer DN using ADSI Edit after uninstallation.