Gestire l'attendibilità di AD FS con Microsoft Entra ID con Microsoft Entra Connect
Panoramica
Quando si esegue la federazione dell'ambiente locale con Microsoft Entra ID, si stabilisce una relazione di trust tra il provider di identità locale e l'ID Microsoft Entra. Microsoft Entra Connect può gestire la federazione tra Active Directory Federation Service (AD FS) locale e Microsoft Entra ID. Questo articolo offre una panoramica di:
- Le varie impostazioni di attendibilità configurate da Microsoft Entra Connect.
- Regole di trasformazione emissione (regole attestazioni) impostate da Microsoft Entra Connect.
- Come eseguire il backup e il ripristino delle regole di attestazione tra upgrade e aggiornamenti della configurazione.
- Procedura consigliata per proteggere e monitorare l'attendibilità di AD FS con Microsoft Entra ID.
Impostazioni controllate da Microsoft Entra Connect
Microsoft Entra Connect gestisce solo impostazioni relative all'attendibilità di Microsoft Entra ID. Microsoft Entra Connect non modifica le impostazioni su altri trust di parte affidabile in AD FS. Le impostazioni dei controlli Microsoft Entra Connect sono indicate nella tabella seguente:
| Impostazione | Descrizione |
|---|---|
| Certificato di firma del token | Microsoft Entra Connect può essere usato per reimpostare e ricreare l'attendibilità con Microsoft Entra ID. Microsoft Entra Connect esegue un rollover una tantum immediato dei certificati di firma dei token per AD FS e aggiorna le impostazioni di federazione del dominio Microsoft Entra. |
| Algoritmo di firma dei token | Microsoft consiglia di usare SHA-256 come algoritmo di firma del token. Microsoft Entra Connect può rilevare se l'algoritmo di firma del token è impostato su un valore meno sicuro di SHA-256. Aggiorna l'impostazione su SHA-256 nella successiva operazione di configurazione possibile. È necessario aggiornare un altro trust della relying party per usare il nuovo certificato di firma del token. |
| Identificatore di attendibilità Microsoft Entra ID | Microsoft Entra Connect imposta il valore dell'identificatore corretto per l'attendibilità di Microsoft Entra ID. AD FS identifica in modo univoco l'attendibilità dell'ID Microsoft Entra usando il valore dell'identificatore. |
| Endpoint di Microsoft Entra | Microsoft Entra Connect assicura che gli endpoint configurati per l'attendibilità di Microsoft Entra ID siano sempre in base ai valori consigliati più recenti per resilienza e prestazioni. |
| Le regole di trasformazione dell'emissione | Esistono un certo numero di regole di attestazione necessarie per garantire prestazioni ottimali delle funzionalità di Microsoft Entra ID in un contesto federato. Microsoft Entra Connect assicura che l'attendibilità di Microsoft Entra ID sia sempre configurata con il set corretto di regole di dichiarazione consigliate. |
| ID alternativo | Se la sincronizzazione è configurata per l'uso di un ID alternativo, Microsoft Entra Connect configura AD FS per eseguire l'autenticazione usando un ID alternativo. |
| Aggiornamento automatico dei metadati | L'attendibilità con Microsoft Entra ID è configurata per l'aggiornamento automatico dei metadati. AD FS controlla periodicamente i metadati dell'attendibilità di Microsoft Entra ID e lo mantiene up-to-date nel caso in cui cambi sul lato Microsoft Entra ID. |
| Autenticazione integrata di Windows (IWA) | Durante l'operazione di aggiunta ibrida a Microsoft Entra, l'IWA è abilitata per la registrazione dei dispositivi per facilitare l'aggiunta ibrida a Microsoft Entra per i dispositivi di livello inferiore |
Flussi di esecuzione e impostazioni di federazione configurate da Microsoft Entra Connect
Microsoft Entra Connect non aggiorna tutte le impostazioni per l'attendibilità di Microsoft Entra ID durante i flussi di configurazione. Le impostazioni modificate dipendono da quale attività o flusso di esecuzione viene eseguito. Nella tabella seguente sono elencate le impostazioni interessate in flussi di esecuzione diversi.
| Flusso di esecuzione | Impostazioni interessate |
|---|---|
| Installazione rapida iniziale | Nessuno |
| Installazione iniziale di un nuovo cluster AD FS | Viene creata una nuova farm AD FS e viene stabilita da zero una relazione di fiducia con Microsoft Entra ID. |
| Prima installazione pass (farm AD FS esistente, attendibilità esistente di Microsoft Entra ID) | Identificatore di attendibilità di Microsoft Entra ID, regole di trasformazione di emissione, endpoint di Microsoft Entra, ID alternativo (se necessario), aggiornamento automatico dei metadati |
| Reimpostare l'attendibilità di Microsoft Entra ID | Certificato di firma del token, Algoritmo di firma del token, Identificatore di attendibilità ID Microsoft Entra, regole di trasformazione di rilascio, endpoint di Microsoft Entra, ID alternativo (se necessario), aggiornamento automatico dei metadati |
| Aggiungere un server federativo | Nessuno |
| Aggiungere un server WAP | Nessuno |
| Opzioni del dispositivo | Regole di trasformazione per il rilascio, IWA per la registrazione dei dispositivi |
| Aggiungere un dominio federato | Se il dominio viene aggiunto per la prima volta, ovvero la configurazione passa dalla federazione di un dominio singolo alla federazione multidominio. Microsoft Entra Connect ricrea l'attendibilità da zero. Se l'attendibilità con Microsoft Entra ID è già configurata per più domini, vengono modificate solo le regole di trasformazione del rilascio |
| Aggiornare TLS | Nessuno |
Durante tutte le operazioni, in cui viene modificata qualsiasi impostazione, Microsoft Entra Connect esegue un backup delle impostazioni di attendibilità correnti in %ProgramData%\AADConnect\ADFS
Nota
Prima della versione 1.1.873.0, il backup era costituito solo da regole di trasformazione dell'emissione e erano salvate nel file di log di traccia della procedura guidata.
Regole di trasformazione del rilascio impostate da Microsoft Entra Connect
Microsoft Entra Connect assicura che l'attendibilità di Microsoft Entra ID sia sempre configurata con il set corretto di regole di dichiarazione consigliate. Microsoft consiglia di usare Microsoft Entra Connect per gestire l'attendibilità di Microsoft Entra ID. In questa sezione sono elencate le regole di trasformazione del rilascio impostate e la relativa descrizione.
| Nome regola | Descrizione |
|---|---|
| Emissione UPN | Questa regola esegue una query sul valore di "userprincipalname", come definito dall'attributo configurato nelle impostazioni di sincronizzazione per "userprincipalname". |
| Eseguire query su objectguid e msdsconsistencyguid per la dichiarazione ImmutableId personalizzata | Questa regola aggiunge un valore temporaneo nella pipeline per il valore di objectguid e msdsconsistencyguid, se esistente. |
| Verificare l'esistenza di msdsconsistencyguid | A seconda se il valore per msdsconsistencyguid esista o meno, viene impostato un flag temporaneo per determinare cosa utilizzare come ImmutableId. |
| Rilasciare msdsconsistencyguid come ID non modificabile se esistente | Rilasciare msdsconsistencyguid come ImmutableId se il valore esiste |
| Emettete objectGuidRule se la regola msdsConsistencyGuid non esiste. | Se il valore per msdsconsistencyguid non esiste, il valore di objectguid viene emesso come ImmutableId |
| Nome identificatore del problema | Questa regola rileva il valore per la dichiarazione nameidentifier. |
| Problema di accounttype per i computer aggiunti a un dominio | Se l'entità autenticata è un dispositivo unito a un dominio, questa regola assegna il tipo di account come DJ (Dominio Unito) per indicare un dispositivo unito a un dominio. |
| Rilasciare AccountType con il valore USER quando non è un account computer | Se l'entità autenticata è un utente, questa regola assegna il tipo di account come tipo Utente. |
| Emettere issuerid quando non si tratta di un account del computer | Questa regola rilascia il valore issuerId quando l'entità di autenticazione non è un dispositivo. Il valore viene creato tramite un'espressione regolare, configurata da Microsoft Entra Connect. L'espressione regolare viene creata dopo aver preso in considerazione tutti i domini federati tramite Microsoft Entra Connect. |
| Rilasciare issuerid per l'autenticazione del computer DJ | Questa regola rilascia il valore issuerId quando l'entità di autenticazione è un dispositivo |
| Questione onpremobjectguid per i computer collegati a un dominio | Se l'entità autenticata è un dispositivo aggiunto a un dominio, questa regola rilascia l'objectguid locale per il dispositivo |
| Passare il SID primario | Questa regola rilascia il SID primario dell'entità di autenticazione |
| Attestazione di passaggio diretto - insideCorporateNetwork | Questa regola rilascia un'attestazione che aiuta Microsoft Entra ID a sapere se l'autenticazione proviene dall'interno della rete aziendale o esternamente |
| Reclamo di Trasferimento – Psso | |
| Emissione delle dichiarazioni di scadenza della password | Questa regola rilascia tre attestazioni per l'ora di scadenza della password, il numero di giorni per la scadenza della password dell'entità autenticata e l'URL in cui indirizzare la modifica della password. |
| Attestazione pass-through: authnmethodsreferences | Il valore nell'attestazione emessa in questa regola mostra quale tipo di autenticazione è stata eseguita per l'entità. |
| Richiesta di passaggio - autenticazione multifattoriale istantanea | Il valore di questa attestazione specifica l'ora, in formato UTC, dell'ultima esecuzione dell'autenticazione a più fattori da parte dell'utente. |
| Attestazione pass-through - AlternateLoginID | Questa regola rilascia l'attestazione AlternateLoginID se l'autenticazione è stata eseguita usando l'ID di accesso alternativo. |
Nota
Le regole di attestazione per l'emissione di UPN e ImmutableId differiscono se si utilizza un'opzione non predefinita durante la configurazione di Microsoft Entra Connect.
Ripristinare le regole di trasformazione di emissione
Microsoft Entra Connect versione 1.1.873.0 o successiva esegue un backup delle impostazioni di attendibilità di Microsoft Entra ID ogni volta che viene eseguito un aggiornamento alle impostazioni di attendibilità dell'ID di Microsoft Entra. Le impostazioni di attendibilità di Microsoft Entra ID vengono sottoposte a backup in %ProgramData%\AADConnect\ADFS. Il nome del file è nel formato AadTrust-<data>-<ora>.txt, ad esempio - AadTrust-20180710-150216.txt
È possibile ripristinare le regole di trasformazione del rilascio seguendo i passaggi suggeriti di seguito:
- Aprire l'interfaccia utente di gestione di AD FS in Server Manager
- Aprire le proprietà di fiducia di Microsoft Entra ID passando per AD FS > Attendibilità del Relying Party > Microsoft Office 365 Identity Platform > Modificare i criteri di rilascio delle attestazioni
- Selezionare "Aggiungi regola"
- Nel modello di regola di attestazione selezionare Invia attestazioni usando una regola personalizzata e selezionare Avanti
- Copiare il nome della regola di dichiarazione dal file di backup e incollarlo nel campo nome della regola di dichiarazione
- Copia la regola attestazione dal file di backup nel campo di testo per Regola personalizzata e seleziona Fine
Nota
Assicurarsi che le regole aggiuntive non siano in conflitto con le regole configurate da Microsoft Entra Connect.
Procedura consigliata per proteggere e monitorare l'attendibilità di AD FS con Microsoft Entra ID
Quando si esegue la federazione di AD FS con l'ID Microsoft Entra, è fondamentale che la configurazione della federazione (relazione di trust configurata tra AD FS e MICROSOFT Entra ID) venga monitorata attentamente e venga acquisita qualsiasi attività insolita o sospetta. A tale scopo, è consigliabile configurare gli avvisi e ricevere una notifica ogni volta che vengono apportate modifiche alla configurazione della federazione. Per informazioni su come configurare gli avvisi, vedere Monitorare le modifiche alla configurazione della federazione.
Se si usa l'autenticazione a più fattori cloud di Microsoft Entra, per l'autenticazione a più fattori con utenti federati, è consigliabile abilitare una protezione aggiuntiva per la sicurezza. Questa protezione di sicurezza impedisce di ignorare l'autenticazione a più fattori cloud di Microsoft Entra quando è federata con Microsoft Entra ID. Se abilitato per un dominio federato nel tenant di Microsoft Entra, garantisce che un attore non valido non possa ignorare l'autenticazione a più fattori di Microsoft Entra. Questo si ottiene impedendo al malintenzionato di simulare che un'autenticazione a più fattori sia già stata eseguita dal provider di identità. La protezione può essere abilitata tramite una nuova impostazione di sicurezza federatedIdpMfaBehavior. Per altre informazioni, vedere Procedure consigliate per la protezione di Active Directory Federation Services