Implementar e gerenciar a federação

  • 1 minuto

A federação pode utilizar um farm do Active Directory local novo ou existente no Windows Server 2012 R2 (ou posterior), e o Microsoft Entra Connect permite que os usuários se conectem aos recursos do Microsoft Entra usando sua senha local.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Federação é uma coleção de domínios que estabeleceram confiança. O nível de confiança varia, mas normalmente inclui autenticação e quase sempre inclui autorização. Uma federação típica pode incluir um número de organizações que estabeleceram confiança para acesso compartilhado a um conjunto de recursos.

Você pode estabelecer a federação em seu ambiente local com o Microsoft Entra ID e usar essa federação para autenticação e autorização. Esse método de entrada garante que toda a autenticação do usuário ocorra localmente. Esse método permite que os administradores implementem níveis mais rigorosos de controle de acesso. A federação com o AD FS e o PingFederate está disponível.

Com a entrada federada, seus usuários podem entrar em serviços baseados no Microsoft Entra com suas senhas locais. Embora eles estejam na rede corporativa, eles nem precisam inserir suas senhas. Ao usar a opção de federação com o AD FS, é possível implantar um farm novo ou existente com o AD FS no Windows Server 2012 R2 ou posterior. Se você optar por especificar um farm existente, o Microsoft Entra Connect configurará a relação de confiança entre o farm e o Microsoft Entra ID, para que os usuários possam se conectar.

Requisito para implantar a federação com o AD FS e o Microsoft Entra Connect

Ao implantar em um farm do AD FS, você precisa:

  • Credenciais de administrador local nos servidores de federação.
  • Credenciais de administrador local em servidores de grupo de trabalho (não ingressados no domínio) nos quais você pretende implantar a função de Proxy de Aplicativo Web.
  • O computador no qual você executa o assistente precisa conseguir se conectar aos outros computadores nos quais você deseja instalar o AD FS ou o Proxy de Aplicativo Web usando o Gerenciamento Remoto do Windows.

Configure sua federação utilizando o Microsoft Entra Connect para conectar-se a um farm do AD FS

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

Especificar os servidores do AD FS Especifique os servidores em que você deseja instalar o AD FS. Você pode adicionar um ou mais servidores com base em suas necessidades de capacidade. Antes de configurar essa configuração, una todos os servidores do AD FS ao Active Directory. Essa etapa não é necessária para os servidores proxy de aplicativo Web. A Microsoft recomenda instalar um único servidor do AD FS para implantações de teste e piloto. Após a configuração inicial, adicione e implante mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente.

Especificar os servidores Proxy de Aplicativo Web Especifique seus servidores proxy de aplicativo Web. O servidor proxy de aplicativo Web é implantado em sua rede de perímetro, voltada para a extranet. Ele dá suporte a solicitações de autenticação da extranet. Você pode adicionar um ou mais servidores com base em suas necessidades de capacidade. Após a configuração inicial, adicione e implante mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente.

Especifique a conta de serviço do serviço do AD FS O serviço do AD FS requer uma conta de serviço de domínio para autenticar usuários e procurar informações do usuário no Active Directory. Ele pode dar suporte a dois tipos de contas de serviço:

  • Conta de serviço gerenciado de grupo
  • Conta de usuário do domínio

Selecionar o domínio do Microsoft Entra que você deseja federar: usa a página do domínio do Microsoft Entra ID para configurar o relacionamento de federação entre o AD FS e o Microsoft Entra ID. Aqui, você configura o AD FS para fornecer tokens de segurança ao Microsoft Entra ID. Você também configura o Microsoft Entra ID para confiar nos tokens dessa instância do AD FS. Nessa página, você pode configurar apenas um único domínio na instalação inicial. Você pode configurar mais domínios mais tarde executando novamente o Microsoft Entra Connect.

Ferramentas do Microsoft Entra Connect para gerenciar sua federação

Você pode concluir várias tarefas relacionadas ao AD FS no Microsoft Entra Connect com o mínimo de intervenção do usuário, utilizando o assistente do Microsoft Entra Connect. Mesmo após a conclusão da instalação do Microsoft Entra Connect executando o assistente, você pode executar o assistente novamente para realizar outras tarefas. Por exemplo, você pode utilizar o assistente para reparar a confiança com o Microsoft 365, federar com o Microsoft Entra ID usando uma identificação de entrada alternativa e adicionar um servidor de Proxy de Aplicativo Web (WAP) do AD FS.

Reparar a relação de confiança: você pode utilizar o Microsoft Entra Connect para verificar a integridade atual da confiança do AD FS e do Microsoft Entra ID e executar as ações apropriadas para reparar a confiança.

Federar com o Microsoft Entra ID utilizando AlternateID: recomenda-se que o nome UPN (UPN) local e o nome UPN na nuvem sejam mantidos os mesmos. Se o UPN local usar um domínio não roteável (por exemplo, Contoso.local) ou não puder ser alterado devido às dependências do aplicativo local, recomendamos configurar o uso de uma ID de entrada alternativa. A ID de entrada alternativa permite configurar uma experiência de entrada na qual os usuários podem entrar com um atributo diferente de seu UPN, como email. A escolha do nome UPN no Microsoft Entra ID Connect tem como padrão o atributo userPrincipalName no Active Directory. Se você escolher qualquer outro atributo para o Nome UPN e estiver federando usando o AD FS, o Microsoft Entra Connect configurará o AD FS para uso da ID de entrada alternativa.

Adicionar um domínio federado: é fácil adicionar um domínio a ser federado com o Microsoft Entra ID utilizando o Microsoft Entra Connect. O Microsoft Entra Connect adiciona o domínio para federação e modifica as regras de declaração para refletir corretamente o emissor quando você tem vários domínios federados com o Microsoft Entra ID.

Juntamente com Adicionar um servidor AD FS e Adicionar um servidor Proxy de Aplicativo Web do AD FS.

Write-back de dispositivo

O write-back de dispositivo é usado para habilitar o acesso condicional baseado em dispositivo para dispositivos protegidos por ADFS. Esse acesso condicional fornece segurança extra e garantia de que o acesso aos aplicativos é concedido somente a dispositivos confiáveis. O write-back de dispositivo permite essa segurança sincronizando todos os dispositivos registrados no Azure de volta para o Active Directory local. Quando configurado durante a instalação, as seguintes operações são executadas para preparar a floresta do AD:

  • Se ainda não existirem, crie e configure novos contêineres e objetos em: CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest dn ].
  • Se eles ainda não existirem, crie e configure novos contêineres e objetos em: CN=RegisteredDevices,[domain-dn]. Objetos de dispositivo serão criados neste contêiner.
  • Defina as permissões necessárias na conta do Microsoft Entra Connector para gerenciar dispositivos em seu Active Directory.