Gerenciar a confiança do AD FS com a ID do Microsoft Entra usando o Microsoft Entra Connect
Descrição geral
Ao federar seu ambiente local com a ID do Microsoft Entra, você estabelece uma relação de confiança entre o provedor de identidade local e a ID do Microsoft Entra. O Microsoft Entra Connect pode gerenciar a federação entre o Serviço de Federação do Ative Directory (AD FS) local e a ID do Microsoft Entra. Este artigo fornece uma visão geral de:
- As várias configurações configuradas na confiança pelo Microsoft Entra Connect.
- As regras de transformação de emissão (regras de declaração) definidas pelo Microsoft Entra Connect.
- Como fazer backup e restaurar suas regras de declaração entre atualizações e atualizações de configuração.
- Práticas recomendadas para proteger e monitorar a confiança do AD FS com a ID do Microsoft Entra.
Configurações controladas pelo Microsoft Entra Connect
O Microsoft Entra Connect gerencia apenas as configurações relacionadas à confiança do Microsoft Entra ID. O Microsoft Entra Connect não modifica nenhuma configuração em outras relações de confiança de terceira parte confiável no AD FS. A tabela a seguir indica as configurações controladas pelo Microsoft Entra Connect.
| Definição | Descrição |
|---|---|
| Certificado de assinatura de token | O Microsoft Entra Connect pode ser usado para redefinir e recriar a confiança com o Microsoft Entra ID. O Microsoft Entra Connect faz uma substituição imediata única de certificados de assinatura de token para AD FS e atualiza as configurações de federação de domínio do Microsoft Entra. |
| Algoritmo de assinatura de token | A Microsoft recomenda o uso de SHA-256 como o algoritmo de assinatura de token. O Microsoft Entra Connect pode detetar se o algoritmo de assinatura de token está definido para um valor menos seguro do que SHA-256. Ele atualizará a configuração para SHA-256 na próxima operação de configuração possível. Outra confiança de terceira parte confiável deve ser atualizada para usar o novo certificado de assinatura de token. |
| Identificador de confiança do Microsoft Entra ID | O Microsoft Entra Connect define o valor de identificador correto para a confiança de ID do Microsoft Entra. O AD FS identifica exclusivamente a confiança do ID do Microsoft Entra usando o valor do identificador. |
| Pontos de extremidade Microsoft Entra | O Microsoft Entra Connect garante que os pontos de extremidade configurados para a confiança de ID do Microsoft Entra estejam sempre de acordo com os valores recomendados mais recentes para resiliência e desempenho. |
| Regras de transformação de emissão | Há um número de regras de declaração que são necessárias para o desempenho ideal dos recursos do Microsoft Entra ID em uma configuração federada. O Microsoft Entra Connect garante que a confiança do ID do Microsoft Entra esteja sempre configurada com o conjunto correto de regras de declaração recomendadas. |
| Id alternativo | Se a sincronização estiver configurada para usar a ID alternativa, o Microsoft Entra Connect configurará o AD FS para executar a autenticação usando a ID alternativa. |
| Atualização automática de metadados | A confiança com o Microsoft Entra ID está configurada para atualização automática de metadados. O AD FS verifica periodicamente os metadados da confiança do Microsoft Entra ID e mantém-nos atualizados caso sejam alterados no lado do ID do Microsoft Entra. |
| Autenticação integrada do Windows (IWA) | Durante a operação de associação híbrida do Microsoft Entra, o IWA é habilitado para registro de dispositivos para facilitar a associação híbrida do Microsoft Entra para dispositivos de nível inferior |
Fluxos de execução e configurações de federação configurados pelo Microsoft Entra Connect
O Microsoft Entra Connect não atualiza todas as configurações de confiança do Microsoft Entra ID durante os fluxos de configuração. As configurações modificadas dependem de qual tarefa ou fluxo de execução está sendo executado. A tabela a seguir lista as configurações afetadas em diferentes fluxos de execução.
| Fluxo de execução | Configurações afetadas |
|---|---|
| Instalação de primeira passagem (expresso) | Nenhuma |
| Instalação de primeira passagem (novo farm do AD FS) | Um novo farm do AD FS é criado e uma relação de confiança com a ID do Microsoft Entra é criada do zero. |
| Instalação de primeira passagem (farm do AD FS existente, confiança de ID do Microsoft Entra existente) | Identificador de confiança do Microsoft Entra ID, regras de transformação de emissão, pontos de extremidade do Microsoft Entra, id alternativo (se necessário), atualização automática de metadados |
| Redefinir a confiança do Microsoft Entra ID | Certificado de assinatura de token, Algoritmo de assinatura de token, Identificador de confiança do Microsoft Entra ID, Regras de transformação de emissão, Pontos de extremidade do Microsoft Entra, ID alternativo (se necessário), atualização automática de metadados |
| Adicionar servidor de federação | Nenhuma |
| Adicionar servidor WAP | Nenhuma |
| Opções do dispositivo | Regras de transformação de emissão, IWA para registro de dispositivo |
| Adicionar domínio federado | Se o domínio estiver sendo adicionado pela primeira vez, ou seja, a configuração estiver mudando de federação de domínio único para federação de vários domínios, o Microsoft Entra Connect recriará a confiança do zero. Se a confiança com o Microsoft Entra ID já estiver configurada para vários domínios, apenas as regras de transformação de emissão serão modificadas |
| Atualizar TLS | Nenhuma |
Durante todas as operações, nas quais qualquer configuração é modificada, o Microsoft Entra Connect faz um backup das configurações de confiança atuais em %ProgramData%\AADConnect\ADFS
Nota
Antes da versão 1.1.873.0, o backup consistia apenas em regras de transformação de emissão e o backup delas era feito no arquivo de log de rastreamento do assistente.
Regras de transformação de emissão definidas pelo Microsoft Entra Connect
O Microsoft Entra Connect garante que a confiança do ID do Microsoft Entra esteja sempre configurada com o conjunto correto de regras de declaração recomendadas. A Microsoft recomenda o uso do Microsoft Entra Connect para gerenciar sua confiança de ID do Microsoft Entra. Esta seção lista o conjunto de regras de transformação de emissão e sua descrição.
| Nome da regra | Description |
|---|---|
| Emitir UPN | Esta regra consulta o valor de userprincipalname a partir do atributo configurado nas configurações de sincronização para userprincipalname. |
| Query objectguid e msdsconsistencyguid para declaração ImmutableId personalizada | Esta regra adiciona um valor temporário no pipeline para o valor objectguid e msdsconsistencyguid, se existir |
| Verificar a existência de msdsconsistencyguid | Com base na existência ou não do valor para msdsconsistencyguid, definimos um sinalizador temporário para direcionar o que usar como ImmutableId |
| Emitir msdsconsistencyguid como ID imutável, se existir | Emitir msdsconsistencyguid como ImmutableId se o valor existir |
| Issue objectGuidRule se a regra msdsConsistencyGuid não existir | Se o valor de msdsconsistencyguid não existir, o valor de objectguid será emitido como ImmutableId |
| Identificador de nome do problema | Esta regra emite valor para a declaração nameidentifier. |
| Problema de tipo de conta para computadores que ingressaram no domínio | Se a entidade que está a ser autenticada for um dispositivo associado a um domínio, esta regra emite o tipo de conta como DJ significando um dispositivo associado ao domínio |
| Emitir AccountType com o valor USER quando não for uma conta de computador | Se a entidade que está sendo autenticada for um usuário, essa regra emitirá o tipo de conta como Usuário |
| Problema issuerid quando não é uma conta de computador | Esta regra emite o valor issuerId quando a entidade de autenticação não é um dispositivo. O valor é criado através de um regex, que é configurado pelo Microsoft Entra Connect. O regex é criado depois de levar em consideração todos os domínios federados usando o Microsoft Entra Connect. |
| Issue issuerid para DJ computer auth | Esta regra emite o valor issuerId quando a entidade de autenticação é um dispositivo |
| Problema onpremobjectguid para computadores ingressados no domínio | Se a entidade que está sendo autenticada for um dispositivo associado ao domínio, esta regra emitirá o objectguid local para o dispositivo |
| Passar pelo SID primário | Esta regra emite o SID primário da entidade de autenticação |
| Passe por reclamação - insideCorporateNetwork | Esta regra emite uma declaração que ajuda o Microsoft Entra ID a saber se a autenticação vem de dentro da rede corporativa ou externamente |
| Reivindicação de Passagem – Psso | |
| Emitir declarações de expiração de senha | Esta regra emite três declarações para o tempo de expiração da palavra-passe, o número de dias para a palavra-passe expirar da entidade que está a ser autenticada e o URL para onde encaminhar para alterar a palavra-passe. |
| Passe através da reivindicação – authnmethodsreferences | O valor na declaração emitida sob esta regra indica que tipo de autenticação foi realizada para a entidade |
| Passar por declaração - multifactorauthenticationinstant | O valor dessa declaração especifica a hora, em UTC, em que o usuário executou pela última vez a autenticação de vários fatores. |
| Passagem através da declaração - AlternateLoginID | Esta regra emite a declaração AlternateLoginID se a autenticação tiver sido executada usando ID de login alternativo. |
Nota
As regras de declaração para UPN de emissão e ImmutableId serão diferentes se você usar a opção não padrão durante a configuração do Microsoft Entra Connect
Restaurar regras de transformação de emissão
O Microsoft Entra Connect versão 1.1.873.0 ou posterior faz um backup das configurações de confiança do ID do Microsoft Entra sempre que uma atualização é feita para as configurações de confiança do ID do Microsoft Entra. O backup das configurações de confiança do Microsoft Entra ID é feito em %ProgramData%\AADConnect\ADFS. O nome do arquivo está no seguinte formato AadTrust-date-time.txt, por exemplo - AadTrust-20180710-150216<<.txt>>
Você pode restaurar as regras de transformação de emissão usando as etapas sugeridas abaixo
- Abrir a IU de gestão do AD FS no Gestor de Servidor
- Abra as propriedades de confiança do ID do Microsoft Entra indo para a Terceira Parte Confiável do AD FS > Confianças da Plataforma > de > Identidade do Microsoft Office 365 Editar Política de Emissão de Declarações
- Clique em Adicionar regra
- No modelo de regra de declaração, selecione Enviar declarações usando uma regra personalizada e clique em Avançar
- Copie o nome da regra de declaração do arquivo de backup e cole-o no campo Nome da regra de declaração
- Copie a regra de declaração do arquivo de backup para o campo de texto de Regra personalizada e clique em Concluir
Nota
Certifique-se de que suas regras adicionais não entrem em conflito com as regras configuradas pelo Microsoft Entra Connect.
Práticas recomendadas para proteger e monitorar a confiança do AD FS com a ID do Microsoft Entra
Quando você federa seu AD FS com a ID do Microsoft Entra, é fundamental que a configuração de federação (relação de confiança configurada entre o AD FS e a ID do Microsoft Entra) seja monitorada de perto e qualquer atividade incomum ou suspeita seja capturada. Para fazer isso, recomendamos configurar alertas e ser notificado sempre que forem feitas alterações na configuração da federação. Para saber como configurar alertas, consulte Monitorar alterações na configuração de federação.
Se você estiver usando o Azure MFA na nuvem, para autenticação multifator, com usuários federados, é altamente recomendável habilitar a proteção de segurança adicional. Essa proteção de segurança evita ignorar o Azure MFA na nuvem quando federado com o Microsoft Entra ID. Quando habilitado, para um domínio federado em seu locatário do Microsoft Entra, ele garante que um agente mal-intencionado não possa ignorar o Azure MFA imitando que uma autenticação multifator já foi executada pelo provedor de identidade. A proteção pode ser ativada através de uma nova configuração de segurança, federatedIdpMfaBehavior. Para obter informações adicionais, consulte Práticas recomendadas para proteger os Serviços de Federação do Ative Directory