Procedimientos recomendados para migrar aplicaciones y autenticación a Microsoft Entra ID

Ya sabe que Azure Active Directory es ahora Microsoft Entra ID y está pensando que es un buen momento para migrar los Servicios de federación de Active Directory (AD FS) a la autenticación en la nube (AuthN) en Microsoft Entra ID. A medida que revise sus opciones, consulte nuestros amplios recursos de para migrar aplicaciones a Microsoft Entra ID y los procedimientos recomendados.

Hasta que pueda migrar AD FS a Microsoft Entra ID, proteja los recursos locales con Microsoft Defender for Identity. Puede encontrar y corregir vulnerabilidades de forma proactiva. Use evaluaciones, análisis e inteligencia de datos, puntuación de prioridad de investigación de usuarios y respuesta automática a identidades en peligro. La migración a la nube significa que su organización puede beneficiarse de la autenticación moderna, como los métodos sin contraseña para autenticarse.

Estas son las razones por las que puede optar por no migrar AD FS:

• Su entorno tiene nombres de usuario simples (como el id. de empleado).
• Necesita más opciones para proveedores de autenticación multifactor personalizados.
• Usa soluciones de autenticación de dispositivos desde sistemas de administración de dispositivos móviles (MDM) de terceros, como VMware.
• Su instancia de AD FS recibe información doblemente de varias nubes.
• Necesita redes desconectadas.

Migración de aplicaciones

Planee una implementación de migración de aplicaciones preconfigurada y seleccione los usuarios para autenticarse en Microsoft Entra ID para realizar pruebas. Siga las instrucciones incorporadas, planee la migración de aplicaciones a Microsoft Entra ID y, recursos para migrar aplicaciones a Microsoft Entra ID.

Obtenga más información en el siguiente vídeo, Migración de aplicaciones sin esfuerzo mediante Microsoft Entra ID.

Herramienta de migración de aplicaciones

Actualmente en versión preliminar, la Migración de aplicaciones de AD FS para mover aplicaciones de AD FS a Microsoft Entra ID es una guía para que los administradores de TI migren las aplicaciones de usuario de confianza AD FS de este entorno a Microsoft Entra ID. El Asistente para la migración de aplicaciones de AD FS ofrece una experiencia unificada para detectar, evaluar y configurar nuevas aplicaciones de Microsoft Entra. Tiene una configuración de un solo clic para las direcciones URL básicas de SAML, la asignación de notificaciones y las asignaciones de usuario para integrar la aplicación con Microsoft Entra ID. Incluye compatibilidad de un extremo a otro para migrar aplicaciones de AD FS locales, con estas características:

• Evaluación de las actividades de inicio de sesión de las aplicaciones de usuario de confianza de AD FS para ayudarle a identificar el uso y el impacto de las aplicaciones
• Para ayudar a determinar los bloqueadores de migración y las acciones necesarias para migrar aplicaciones a Microsoft Entra ID, analice la viabilidad de la migración de AD FS a Microsoft Entra
• Para configurar automáticamente una nueva aplicación de Microsoft Entra para una aplicación de AD FS, configure las nuevas aplicaciones de Microsoft Entra con un proceso de migración de aplicaciones con un solo clic

Fase 1: Detección y ámbito de aplicaciones

Durante la detección de aplicaciones, incluya las aplicaciones en desarrollo y planificadas. Ajústelas para usar Microsoft Entra ID para autenticarse después de que se complete la migración.

Use el informe de actividad para mover aplicaciones de AD FS a Microsoft Entra ID. Este informe ayuda a identificar las aplicaciones que pueden migrar a Microsoft Entra ID. Evalúa las aplicaciones de AD FS para la compatibilidad de Microsoft Entra, comprueba si hay problemas y proporciona instrucciones sobre cómo preparar aplicaciones individuales para la migración.

Use el AD FS para la herramienta de migración de aplicaciones de Microsoft Entra para recopilar aplicaciones de usuario de confianza del servidor de AD FS y analizar la configuración. A partir de este análisis, el informe muestra qué aplicaciones son aptas para la migración a Microsoft Entra ID. En el caso de las aplicaciones no válidas, puede ver algunas explicaciones acerca de por qué no se pueden migrar.

Instale Microsoft Entra Connect para entornos locales con agentes de mantenimiento de AD FS de Microsoft Entra Connect.

Más información sobre ¿Qué es Microsoft Entra Connect?

Fase 2: clasificación de aplicaciones y planificación del piloto

Clasificar la migración de las aplicaciones es un ejercicio importante. Planee la migración y la transición de aplicaciones en fases después de decidir el orden en el que migrará las aplicaciones. Incluya los siguientes criterios para la clasificación de aplicaciones:

• Protocolos de autenticación modernos, como aplicaciones de software como servicio (SaaS) de terceros en la galería de aplicaciones de Microsoft Entra pero no a través de Microsoft Entra ID.
• Protocolos de autenticación heredados para modernizar, como aplicaciones SaaS de terceros (que no están en la galería pero pueden agregarse a la galería).
• Aplicaciones federadas que usan AD FS y pueden migrar a Microsoft Entra ID.
• Los protocolos de autenticación heredados NO se van a modernizar. La modernización puede excluir protocolos detrás del proxy de aplicación web (WinSCP (WAP) que pueden usar proxy de aplicación de Microsoft Entra y controladores de entrega de aplicaciones o red de entrega de aplicaciones que pueden usar Secure Hybrid Access.
• Nuevas aplicaciones de línea de negocio (LOB).
• Las aplicaciones que en el futuro dejarán de usarse pueden tener funcionalidades redundantes con otros sistemas y ningún propietario o uso empresarial.

Al elegir las primeras aplicaciones para la migración, haga todo que sea sencillo. Los criterios pueden incluir aplicaciones SaaS en la galería que admiten varias conexiones de proveedor de identidades (IdP). Hay aplicaciones con acceso a instancias de prueba, aplicaciones con reglas de notificación sencillas y aplicaciones que controlan el acceso a la audiencia.

Fase 3: planificación de la migración y pruebas

Las Herramientas de migración y pruebas incluyen el kit de herramientas de migración de aplicaciones de Microsoft Entra para detectar, clasificar y migrar aplicaciones. Consulte la lista de tutoriales de aplicaciones SaaS y el plan de implementación de inicio de sesión único (SSO) de Microsoft Entra que realiza paso a paso el proceso integral.

Obtenga información sobre proxy de aplicación de Microsoft Entra y use el plan de implementación completo de proxy de aplicación de Microsoft Entra. Considere la posibilidad de usar el acceso híbrido seguro (SHA) para proteger las aplicaciones de autenticación heredadas locales y en la nube mediante su conexión a Microsoft Entra ID. Use Microsoft Entra Connect para sincronizar los grupos y los usuarios de AD FS con Microsoft Entra ID.

Fase 4: administración del plan y conclusiones

Después de migrar aplicaciones, siga la guía de administración e información para asegurarse de que los usuarios puedan acceder y administrar aplicaciones de forma segura. Adquiera y comparta información sobre el uso y el estado de la aplicación.

Desde el Centro de administración Microsoft Entra, audite todas las aplicaciones con estos métodos:

• Audite las aplicaciones con la auditoría de aplicaciones empresariales u obtenga acceso a la misma información de la API de informes de Microsoft Entra para integrarla en sus herramientas favoritas.
• Vea los permisos de aplicación con los permisos de aplicaciones empresariales para aplicaciones mediante Open Authorization (OAuth)/OpenID Connect.
• Obtenga informaciones del inicio de sesión con los inicios de sesión de aplicaciones empresariales y desde la API de informes de Microsoft Entra.
• Visualice el uso de aplicaciones desde los libros de Microsoft Entra.

Preparación del entorno de validación

Administre, solucione problemas e informe sobre los productos y servicios de Microsoft Identity con MSIdentityTools en la Galería de PowerShell. Supervise la infraestructura de AD FS con Microsoft Entra Connect Health. Cree aplicaciones de prueba en AD FS y genere regularmente actividad de usuario, supervisando la actividad en el Centro de administración de Microsoft Entra.

A medida que sincroniza objetos con Microsoft Entra ID, compruebe las reglas de notificación de relación de usuario de confianza de AD FS para grupos, usuarios y atributos de usuario usados en las reglas de notificaciones disponibles en la nube. Asegure la sincronización de contenedores y atributos.

Diferencias en escenarios de migración de aplicaciones

El plan de migración de aplicaciones necesita atención específica cuando el entorno incluye los siguientes escenarios. Siga los vínculos para obtener más instrucciones.

• Certificados. (Certificado de firma global de AD FS). En Microsoft Entra ID, puede usar un certificado por aplicación o un certificado para todas las aplicaciones. Escalonar las fechas de expiración y configurar recordatorios. Delegar la administración de certificados en roles con privilegios mínimos. Revise la información y las preguntas comunes relacionadas con los certificados que crea Microsoft Entra ID para establecer el SSO federado para las aplicaciones SaaS.
• Reglas de notificación y asignación de atributos básicas. En el caso de las aplicaciones SaaS, es posible que solo necesite una asignación básica de atributos a notificaciones. Obtenga información sobre cómo personalizar las notificaciones de token de SAML.
• Extraiga el nombre de usuario de UPN. Microsoft Entra ID admite la transformación basada en regex (también relacionada con la personalización de notificaciones de token de SAML).
• Notificaciones de grupo. Emita notificaciones de grupo filtradas por los usuarios que son miembros y están asignados a la aplicación. Puede configurar notificaciones de grupo para aplicaciones mediante Microsoft Entra ID.
• Proxy de aplicación web. Publique con proxy de aplicación de Microsoft Entra para conectarse de forma segura a aplicaciones web locales sin una VPN. Proporcione acceso remoto a aplicaciones web locales y compatibilidad nativa con protocolos de autenticación heredados.

Plan de proceso de migración de aplicaciones

Considere la posibilidad de incluir los pasos siguientes en el proceso de migración de aplicaciones.

• Clone la configuración de la aplicación AD FS. Configure una instancia de prueba de la aplicación o use una aplicación ficticia en un inquilino de Microsoft Entra de prueba. Asigne la configuración de AD FS a las configuraciones de Microsoft Entra. Planeación para una reversión. Cambie la instancia de prueba a Microsoft Entra ID y valide.
• Configure notificaciones e identificadores. Imite las aplicaciones de producción para confirmar y solucionar problemas. Apunte una instancia de prueba de la aplicación al inquilino de la aplicación de prueba de Microsoft Entra ID. Valide y solucione problemas de acceso, actualizando la configuración según sea necesario.
• Prepare la instancia de producción para la migración. Agregue la aplicación de producción a Microsoft Entra ID en función de los resultados de la prueba. En el caso de las aplicaciones que permiten varios proveedores de identidades (IdP), configure Microsoft Entra ID como IdP agregado a la instancia de producción.
• Cambie la instancia de producción para usar Microsoft Entra ID. En el caso de las aplicaciones que permiten varios IdP simultáneos, cambie el IdP predeterminado a Microsoft Entra ID. De lo contrario, configure Microsoft Entra ID como IdP en la instancia de producción. Actualice la instancia de producción para usar la aplicación de producción de Microsoft Entra como IdP principal.
• Migre la primera aplicación, ejecute las pruebas de migración y corrija los posibles problemas. Consulte el estado de migración en los informes de actividad de aplicaciones de AD FS que proporcionan instrucciones sobre cómo solucionar posibles problemas de migración.
• Migre a escala. Migre aplicaciones y usuarios en fases. Use Microsoft Entra ID para administrar aplicaciones y usuarios migrados mientras se prueba lo suficiente la autenticación.
• Elimine la federación. Confirme que la granja de AD FS ya no se usa para la autenticación. Use las configuraciones relacionadas con la exportación, la conmutación por recuperación y la copia de seguridad.

Migración de la autenticación

A medida que se prepara para la migración de autenticación, decida qué métodos de autenticación son necesarios para su organización.

• Habilite la sincronización de hash de contraseña (PHS) con Microsoft Entra ID como conmutación por error o como autenticación del usuario final principal. Configure la detección de riesgos como parte de la protección de Microsoft Entra ID. Revise el tutorial Identificar y corregir el riesgo mediante las Microsoft Graph API y aprenda a aplicar la Implementación de la sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect.
• La Autenticación basada en certificados (CBA) de Microsoft Entra autentica directamente en Microsoft Entra ID sin necesidad de un IdP federado. Entre las principales ventajas se incluyen características que ayudan a mejorar la seguridad con CBA resistente al phish y a cumplir los requisitos de la Orden Ejecutiva (EO) 14028 para una autenticación multifactor resistente al phish. Se reducen los costos y los riesgos asociados a la infraestructura de federación local y se simplifica la experiencia de administración en Microsoft Entra ID con controles pormenorizados.
• La Autenticación de paso a través (PTA) de Microsoft Entra Connect usa un agente de software para conectarse a contraseñas almacenadas en el entorno local para la validación. Los usuarios inician sesión en aplicaciones en la nube con el mismo nombre de usuario y contraseña para los recursos locales, trabajando sin problemas con directivas de Acceso condicional de Microsoft Entra. El bloqueo inteligente evita ataques por fuerza bruta. Instalar agentes de autenticación locales con la infraestructura actual de Windows Server Active Directory de Microsoft. Use PTA si los requisitos normativos especifican que los hashes de contraseña no se pueden sincronizar con Microsoft Entra ID; de lo contrario, use PHS.
• Mantenga la experiencia actual de SSO sin AD FS. El Inicio de sesión único (SSO) de conexión directa proporciona una experiencia de inicio de sesión único desde dispositivos unidos a un dominio en la red corporativa (Kerberos). Funciona con PHS, PTA y CBA y no necesita ninguna otra infraestructura local. Puede permitir que los usuarios inicien sesión en Microsoft Entra ID con correo electrónico como un id. de inicio de sesión alternativo con las mismas credenciales que su entorno de directorio local. Con la autenticación híbrida, los usuarios necesitan un conjunto de credenciales.
• Recomendación: PHS a través de PTA, autenticación sin contraseña en Microsoft Entra ID con Windows Hello para empresas, claves de seguridad FIDO2 o Microsoft Authenticator. Si tiene previsto usar confianza de certificados híbridos de Windows Hello para empresas, migre primero a la confianza en la nube para volver a inscribir todos los usuarios.

Directivas de autenticación y contraseña

Con directivas dedicadas para AD FS local y Microsoft Entra ID, alinee las directivas de expiración de contraseñas locales y en Microsoft Entra ID. Considere la posibilidad de implementar una directiva de contraseña combinada y comprobar si hay contraseñas no seguras en Microsoft Entra ID. Después de cambiar a un dominio administrado, se aplican ambas directivas de expiración de contraseña.

Permita que los usuarios restablezcan contraseñas olvidadas con el autoservicio de restablecimiento de contraseña (SSPR) para reducir los costos del departamento de soporte técnico. Limite los métodos de autenticación basados en dispositivos. Modernice la directiva de contraseñas para que no tenga expiraciones periódicas, con capacidad de revocar cuando haya un riesgo. Bloquee las contraseñas no seguras y compruebe las contraseñas en las listas de contraseñas prohibidas. Habilite la protección con contraseña para AD FS local y en la nube.

Migre la configuración de directiva heredada de Microsoft Entra ID que controla por separado la autenticación multifactor y SSPR a la administración unificada con la directiva de métodos de autenticación. Migre la configuración de directiva con un proceso reversible. Puede seguir usando directivas de la autenticación multifactor y SSPR en todo el inquilino mientras configura métodos de autenticación de forma precisa para usuarios y grupos.

Dado que el inicio de sesión de Windows y otros métodos sin contraseña requieren una configuración detallada, habilite el inicio de sesión con Microsoft Authenticator y claves de seguridad FIDO2. Use grupos para administrar la implementación y preparar a los usuarios.

Puede configurar la aceleración automática de inicio de sesión mediante la detección del dominio de inicio. Obtenga información sobre el uso del inicio de sesión de aceleración automática para omitir la pantalla de entrada de nombre de usuario y reenviar automáticamente a los usuarios a los puntos de conexión de inicio de sesión federados. Impida la aceleración automática de inicio de sesión mediante la directiva de detección de dominio de inicio para tener varias maneras de controlar cómo y dónde se autentican los usuarios.

Directivas de expiración de cuentas

El atributo accountExpires de administración de cuentas de usuario no se sincroniza con Microsoft Entra ID. Por tanto, una cuenta de Active Directory expirada en un entorno configurado para la sincronización de hash de contraseña está activa en Microsoft Entra ID. Use un script de PowerShell programado para deshabilitar las cuentas de Windows Server Active Directory de Microsoft de usuario después de que expiren, como el cmdlet Set-ADUser. Por el contrario, al quitar la expiración de una cuenta de Windows Server Active Directory de Microsoft, vuelva a habilitar la cuenta.

Con Microsoft Entra ID, puede evitar ataques mediante el bloqueo inteligente. Bloquee las cuentas en la nube antes de bloquearlas en el entorno local, para mitigar los ataques por fuerza bruta. Tenga un intervalo más corto para la nube, lo que garantiza que el umbral local sea al menos dos o tres veces mayor que el umbral de Microsoft Entra. Establezca la duración de bloqueo de Microsoft Entra durante más tiempo que la duración local. Una vez completada la migración, configure la protección de bloqueo inteligente de extranet (ESL) de AD FS.

Plan de implementación de acceso condicional

La flexibilidad de la directiva de acceso condicional requiere una planeación cuidadosa. Vaya a Planeamiento de una implementación de acceso condicional de Microsoft Entra para los pasos de planeación. Estos son los puntos clave que debe tener en cuenta:

• Un borrador de las directivas de acceso condicional con convenciones de nomenclatura significativas
• Use una hoja de cálculo de puntos de decisión de diseño con los siguientes campos:
  • Factores de asignación: usuario, aplicaciones en la nube
  • Condiciones: ubicaciones, tipo de dispositivo, tipo de aplicaciones cliente, riesgo de inicio de sesión
  • Controles: bloquear, autenticación multifactor necesaria, unido a Windows Server Active Directory de Microsoft híbrido, dispositivo compatible requerido, tipo de aplicación cliente aprobado
• Seleccione pequeños conjuntos de usuarios de prueba para las directivas de acceso condicional
• Pruebe las directivas de acceso condicional en modo de solo informes
• Valide las directivas de acceso condicional con la herramienta de directiva what-if
• Use plantillas de acceso condicional, especialmente si la organización no está familiarizada con el acceso condicional

Directivas de acceso condicional

Cuando complete la autenticación de primer factor, aplique de forma obligada las directivas de acceso condicional. El acceso condicional no es una defensa de primera línea para escenarios como los ataques por denegación de servicio (DoS). Pero el acceso condicional puede usar señales de estos eventos, como el riesgo de inicio de sesión y la ubicación de una solicitud para determinar el acceso. El flujo de una directiva de acceso condicional examina una sesión y sus condiciones y, a continuación, incorpora los resultados en el motor de directivas central.

Con el acceso condicional, puede restringirse el acceso a aplicaciones cliente aprobadas (con capacidad para la autenticación moderna) con directivas de protección de aplicaciones de Intune. En el caso de las aplicaciones cliente anteriores que puede que no admitan directivas de protección de aplicaciones, se puede restringir el acceso a las aplicaciones cliente aprobadas.

Proteja automáticamente las aplicaciones en función de los atributos. Para cambiar los atributos de seguridad del cliente, use el filtrado dinámico de aplicaciones en la nube para agregar y eliminar el alcance de la directiva de aplicación. Use atributos de seguridad personalizados para dirigirse a aplicaciones propias de Microsoft que no aparezcan en el selector de aplicaciones de acceso condicional.

Use el control de seguridad de autenticación de acceso condicional para especificar qué combinación de métodos de autenticación acceden a un recurso. Por ejemplo, haga que solo haya disponibles métodos de autenticación resistentes a la suplantación de identidad (phishing) para acceder a un recurso confidencial.

Evalúe los controles personalizados en el acceso condicional. Los usuarios se redirigen a un servicio compatible para satisfacer los requisitos de autenticación fuera de Microsoft Entra ID. Microsoft Entra ID comprueba la respuesta y, si el usuario se autentica o valida, seguirá en el flujo del acceso condicional. Como se mencionó en Próximos cambios en Controles personalizados, las funcionalidades de autenticación proporcionadas por el asociado funcionan sin problemas con el administrador de Microsoft Entra y las experiencias del usuario final.

Soluciones de autenticación multifactor personalizadas

Si usa proveedores de autenticación multifactor personalizados, considere la posibilidad de migrar del servidor Multi-Factor Authentication a la autenticación multifactor de Microsoft Entra. Si es necesario, use la utilidad de migración del servidor multifactor de Multi-Factor Authentication para migrar a la autenticación multifactor. Personalice la experiencia del usuario final con la configuración del umbral de bloqueo de cuenta, alerta de fraude y notificación.

Más información sobre cómo migrar a la autenticación multifactor y la autenticación de usuario de Microsoft Entra. Mueva todas las aplicaciones, el servicio de autenticación multifactor y la autenticación de usuario a Microsoft Entra ID.

Puede habilitar la autenticación multifactor de Microsoft Entra y aprender a crear directivas de acceso condicional para grupos de usuarios, configurar condiciones de directiva que solicitan una autenticación multifactor y probar la configuración y el uso de una autenticación multifactor.

La extensión Servidor de políticas de red (NPS) para la autenticación multifactor agrega capacidades de autenticación multifactor basadas en la nube a su infraestructura de autenticación utilizando sus servidores. Si usa la autenticación multifactor de Microsoft Entra con NPS, determine lo que puede migrar a protocolos modernos, como el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) y OAuth2. Evalúe el proxy de aplicación de Microsoft Entra para el acceso remoto y use acceso híbrido seguro (SHA) para proteger las aplicaciones heredadas con Microsoft Entra ID.

Supervisión de inicios de sesión

Use Connect Health para integrar inicios de sesión de AD FS para correlacionar varios identificadores de eventos de AD FS, según la versión del servidor, para obtener información sobre los detalles de solicitud y error. El informe de inicios de sesión de Microsoft Entra incluye información sobre cuándo los usuarios, las aplicaciones y los recursos administrados inician sesión en Microsoft Entra ID y acceden a los recursos. Esta información se correlaciona con el esquema del informe de inicios de sesión de Microsoft Entra y aparece en la experiencia de usuario del informe de inicios de sesión de Microsoft Entra. Con el informe, una secuencia de Log Analytics proporciona datos de AD FS. Use y modifique la plantilla de libro de Azure Monitor para el análisis de escenarios. Algunos ejemplos son los bloqueos de cuenta de AD FS, los intentos de contraseña incorrectos y el aumento de intentos de inicio de sesión inesperados.

Microsoft Entra registra todos los inicios de sesión en un inquilino de Azure que incluye las aplicaciones internas y los recursos. Revise los errores y patrones de inicio de sesión para obtener información valiosa sobre cómo los usuarios acceden a las aplicaciones y los servicios. Los registros de inicio de sesión de Microsoft Entra ID son registros de actividad útiles para su análisis. Configure los registros con hasta 30 días retención de datos, en función de las licencias, y expórtelos a Azure Monitor, Sentinel, Splunk y otros sistemas de administración de eventos e información de seguridad (SIEM).

Dentro de las notificaciones de una red corporativa

Independientemente del lugar en el que se origine la solicitud o del recurso al que acceda, el modelo de Confianza cero enseña a "No confiar nunca y realizar siempre todas las comprobaciones pertinentes". Proteja todas las ubicaciones como si estuvieran fuera de la red corporativa. Declare las redes internas como ubicaciones de confianza para reducir los falsos positivos de protección de identidades. Aplique una autenticación multifactor para todos los usuarios y establezca directivas de acceso condicional basadas en dispositivos.

Ejecute una consulta en los registros de inicio de sesión para detectar usuarios que se conectan desde dentro de la red corporativa, pero no Microsoft Entra híbrido unido o compatible. Considere la posibilidad de tener usuarios en dispositivos compatibles y usar exploradores no compatibles, como Firefox o Chrome sin la extensión. Alternativamente, use el dominio del equipo y el estado de cumplimiento.

Transición y pruebas de migración de autenticación preconfigurada

Para las pruebas, use la autenticación en la nube de Microsoft Entra Connect con lanzamiento preconfigurado para controlar la autenticación de usuario de prueba con grupos. Pruebe de forma selectiva los grupos de usuarios con funcionalidades de autenticación en la nube, como la autenticación multifactor de Microsoft Entra, el acceso condicionaly la Protección de Microsoft Entra ID. Sin embargo, no use el lanzamiento preconfigurado para las migraciones incrementales.

Para completar la migración a la autenticación en la nube, use el lanzamiento preconfigurado para probar los nuevos métodos de inicio de sesión. Convierta dominios de autenticación federada a administrada. Comience con un dominio de prueba o con el dominio con el número más bajo de usuarios.

Planee la migración del dominio durante las horas fuera del horario de trabajo, en caso de que se necesite una reversión. Como plan de reversión, use la configuración de federación actual. Consulte la guía de implementación y diseño de federaciones.

Incluya la conversión de dominios administrados a dominios federados en el proceso de reversión. Use el cmdlet New-MgDomainFederationConfiguration. Si es necesario, configure reglas de notificaciones adicionales. Para garantizar un proceso completado, deje activado el lanzamiento preconfigurado de reversión entre 24 y 48 horas después de la transición. Elimine los usuarios y grupos del lanzamiento preconfigurado y, a continuación, desactívelo.

Después de la transición, cada 30 días, revierta la clave para SSO de conexión directa:

Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Retire AD FS

Supervise la actividad de AD FS desde Análisis de uso de Connect Health para AD FS. En primer lugar, habilite la auditoría para AD FS. Antes de retirar la granja de AD FS, asegúrese de que no haya ninguna actividad de AD FS. Use la guía de retirada de AD FS y la referencia de retirada de AD FS. Este es un resumen de los pasos de retirada de claves.

1. Realice una copia de seguridad final antes de retirar los servidores de AD FS.
2. Elimine las entradas de AD FS de equilibradores de carga internos y externos.
3. Elimine las entradas correspondientes del servidor de nombres de dominio (DNS) para los nombres de granja de servidores de AD FS.
4. En el servidor de AD FS principal, ejecute Get-ADFSProperties y busque CertificateSharingContainer.

   Nota:

   Elimine el nombre de dominio (DN) casi del final de la instalación, después de algunos reinicios y cuando ya no esté disponible.

5. Elimine la base de datos de configuración de AD FS, si usa una instancia de base de datos de SQL Server como almacén.
6. Desinstale los servidores WAP.
7. Desinstale los servidores AD FS.
8. Elimine los certificados de Capa de sockets seguros (SSL) de AD FS de cada almacenamiento de servidor.
9. Vuelva a crear la imagen de los servidores AD FS con formato de disco completo.
10. Elimine la cuenta de AD FS.
11. Use la Edición de interfaces del servicio de Active Directory (ADSI) para quitar el contenido del DN CertificateSharingContainer.

Pasos siguientes

• Migrar de la federación a la autenticación en la nube en Microsoft Entra ID explica cómo implementar la autenticación de usuarios en la nube con la sincronización de hash de contraseñas de Microsoft Entra (PHS) o la autenticación de paso a través (PTA)
• Recursos para migrar aplicaciones a Microsoft Entra ID le ayuda a migrar el acceso y la autenticación de aplicaciones a Microsoft Entra ID
• Planeamiento de la migración de aplicaciones a Microsoft Entra ID describe las ventajas de Microsoft Entra ID y cómo planear la migración de la autenticación de la aplicación
• Uso de Microsoft Entra Connect Health con AD FS incluye documentación sobre la supervisión de la infraestructura de AD FS con Microsoft Entra Connect Health
• Administrar métodos de autenticación tiene métodos de autenticación que admiten escenarios de inicio de sesión
• Planear la implementación del acceso condicional explica cómo usar el acceso condicional para automatizar las decisiones y aplicar directivas de acceso de la organización para los recursos
• Microsoft Entra Connect: Autenticación en la nube a través del lanzamiento preconfigurado describe cómo probar selectivamente grupos de usuarios con funcionalidades de autenticación en la nube antes de transicionar los dominios
• Guía de retirada de los Servicios de federación de Active Directory (AD FS) incluye recomendaciones de retirada