Gerenciar a confiança do AD FS com o Microsoft Entra ID usando o Microsoft Entra Connect
Visão geral
Ao federar seu ambiente local com a ID do Microsoft Entra, você estabelece uma relação de confiança entre o provedor de identidade local e a ID do Microsoft Entra. O Microsoft Entra Connect pode gerenciar a federação entre o AD FS (Serviço de Federação do Active Directory) local e a ID do Microsoft Entra. Este artigo fornece uma visão geral de:
- As várias configurações definidas na confiança pelo Microsoft Entra Connect.
- As regras de transformação de emissão (regras de declaração) definidas pelo Microsoft Entra Connect.
- Como fazer backup e restaurar suas regras de declaração entre atualizações e atualizações de configuração.
- Prática recomendada para proteger e monitorar a confiança do AD FS com o Microsoft Entra ID.
Configurações controladas pelo Microsoft Entra Connect
O Microsoft Entra Connect gerencia apenas as configurações relacionadas à confiança do Microsoft Entra ID. O Microsoft Entra Connect não modifica nenhuma configuração em outras relações de confiança de terceira parte confiável no AD FS. As configurações dos controles do Microsoft Entra Connect são indicadas na tabela a seguir:
| Configuração | Descrição |
|---|---|
| Certificado de autenticação de token | O Microsoft Entra Connect pode ser usado para redefinir e recriar a confiança com a ID do Microsoft Entra. O Microsoft Entra Connect faz uma substituição imediata de certificados de assinatura de token para o AD FS e atualiza as configurações de federação de domínio do Microsoft Entra. |
| Algoritmo de assinatura de token | A Microsoft recomenda usar SHA-256 como o algoritmo de assinatura de token. O Microsoft Entra Connect pode detectar se o algoritmo de assinatura de token está definido como um valor menos seguro que SHA-256. Ele atualiza a configuração para SHA-256 na próxima operação de configuração possível. Outro objeto de confiança de terceira parte confiável precisa ser atualizado para usar o novo certificado de autenticação de tokens. |
| Identificador de confiança do Microsoft Entra ID | O Microsoft Entra Connect define o valor do identificador correto para a relação de confiança do Microsoft Entra ID. O AD FS identifica exclusivamente a confiança do Microsoft Entra ID usando o valor do identificador. |
| Pontos de extremidade do Microsoft Entra | O Microsoft Entra Connect garante que os pontos de extremidade configurados para a confiança do Microsoft Entra ID estejam sempre de acordo com os valores recomendados mais recentes para resiliência e desempenho. |
| Regras de transformação de emissão | Há várias regras de declaração que são necessárias para o desempenho ideal dos recursos do Microsoft Entra ID em uma configuração federada. O Microsoft Entra Connect garante que a confiança do Microsoft Entra ID esteja sempre configurada com o conjunto correto de regras de declaração recomendadas. |
| Id alternativo | Se a sincronização estiver configurada para usar a id alternativa, o Microsoft Entra Connect configurará o AD FS para executar a autenticação usando a id alternativa. |
| Atualização automática de metadados | A confiança com o Microsoft Entra ID é configurada para atualização automática de metadados. O AD FS verifica periodicamente os metadados da confiança do Microsoft Entra ID e os mantém atualizados no caso de alterações no lado do Microsoft Entra ID. |
| Autenticação integrada do Windows (IWA) | Durante a operação de junção híbrida do Microsoft Entra, o IWA está habilitado para registro de dispositivo para facilitar a junção híbrida do Microsoft Entra para dispositivos de nível inferior |
Fluxos de execução e configurações de federação configuradas pelo Microsoft Entra Connect
O Microsoft Entra Connect não atualiza todas as configurações de confiança da ID do Microsoft Entra durante os fluxos de configuração. As configurações modificadas dependem de qual tarefa ou fluxo de execução está sendo executado. A tabela a seguir lista as configurações afetadas em diferentes fluxos de execução.
| Fluxo de execução | Configurações afetadas |
|---|---|
| Primeira instalação de passagem (express) | Nenhum |
| Primeira instalação de passagem (novo farm do AD FS) | Uma nova fazenda do AD FS é criada e uma relação de confiança com o Microsoft Entra ID é estabelecida do zero. |
| Instalação inicial (farm do AD FS existente, conexão existente do Microsoft Entra ID) | Identificador de confiança do Microsoft Entra ID, regras de transformação de emissão, pontos de extremidade do Microsoft Entra, ID alternativa (se necessário), atualização automática de metadados |
| Redefinir confiança do Microsoft Entra ID | Certificado de assinatura de token, algoritmo de assinatura de token, identificador de confiança do Microsoft Entra ID, regras de transformação de emissão, pontos de extremidade do Microsoft Entra, ID alternativa (se necessário), atualização automática de metadados |
| Adicionar servidor de federação | Nenhum |
| Adicionar servidor WAP | Nenhum |
| Opções de dispositivo | Regras de transformação de emissão, IWA para registro de dispositivo |
| Adicionar domínio federado | Se o domínio estiver sendo adicionado pela primeira vez, ou seja, a configuração será alterada de federação de domínio único para federação de vários domínios – o Microsoft Entra Connect recriará a confiança do zero. Se a confiança com o Microsoft Entra ID já estiver configurada para vários domínios, somente as regras de transformação de emissão serão modificadas |
| Atualizar TLS | Nenhum |
Durante todas as operações, nas quais qualquer configuração é modificada, o Microsoft Entra Connect faz um backup das configurações de confiança atuais em %ProgramData%\AADConnect\ADFS
Nota
Antes da versão 1.1.873.0, o backup consistia apenas em regras de transformação de emissão e era feito backup no arquivo de log de rastreio do assistente.
Regras de transformação de emissão definidas pelo Microsoft Entra Connect
O Microsoft Entra Connect garante que a confiança do Microsoft Entra ID esteja sempre configurada com o conjunto correto de regras de declaração recomendadas. A Microsoft recomenda usar o Microsoft Entra Connect para gerenciar sua relação de confiança do Microsoft Entra ID. Esta seção lista o conjunto de regras de transformação de emissão e sua descrição.
| Nome da regra | Descrição |
|---|---|
| Problema de UPN | Essa regra consulta o valor do userprincipalname a partir do atributo configurado nas configurações de sincronização para o userprincipalname. |
| Consultar objectguid e msdsconsistencyguid para declaração de ImmutableId personalizada | Esta regra adiciona um valor temporário no pipeline para o valor de objectguid e msdsconsistencyguid, se existir |
| Verifique a existência do msdsconsistencyguid | Com base na existência ou não do valor de msdsconsistencyguid, definimos uma flag temporária para determinar o que usar como ImmutableId. |
| Emita msdsconsistencyguid como ID Imutável, se existir | Emita msdsconsistencyguid como ImmutableId se o valor existir |
| Emitir objectGuidRule se a regra msdsConsistencyGuid não existir | Se o valor de msdsconsistencyguid não existir, o valor do objectguid será emitido como ImmutableId |
| Problema nameidentifier | Essa regra emite valor para a declaração nameidentifier. |
| Tipo de conta do problema para computadores conectados ao domínio | Se a entidade que está sendo autenticada for um dispositivo vinculado ao domínio, essa regra emitirá o tipo de conta como DJ, significando um dispositivo vinculado ao domínio. |
| Emitir AccountType com o valor USER quando não for uma conta de computador | Se a entidade que está sendo autenticada for um usuário, essa regra emitirá o tipo de conta como Usuário |
| Emitir issuerid quando não é uma conta de computador | Essa regra emite o valor issuerId quando a entidade de autenticação não é um dispositivo. O valor é criado por meio de um regex, que é configurado pelo Microsoft Entra Connect. O regex é criado depois de levar em consideração todos os domínios federados usando o Microsoft Entra Connect. |
| Emita o issuerid de autenticação de computador DJ | Essa regra emite o valor issuerId quando a entidade de autenticação é um dispositivo |
| Problema onpremobjectguid para computadores conectados ao domínio | Se a entidade que está sendo autenticada for um dispositivo de domínio associado, essa regra emite o objectguid local para o dispositivo |
| Passe pelo SID primário | Essa regra emite o SID primário da entidade de autenticação |
| Passar por declaração – insideCorporateNetwork | Essa regra emite uma declaração que ajuda o Microsoft Entra ID a saber se a autenticação vem de dentro da rede corporativa ou de fora. |
| Passar declaração – Psso | |
| Emitir declarações de expiração de senha | Essa regra emite três declarações para o tempo de expiração da senha, o número de dias para a senha expirar da entidade que está sendo autenticada e a URL para onde rotear para alterar a senha. |
| Passar por declaração – authnmethodsreferences | O valor na declaração emitida sob essa regra indica que tipo de autenticação foi executada para a entidade |
| Pass through declaração – multifactorauthenticationinstant | O valor dessa declaração especifica a hora, em UTC, em que o usuário executou a autenticação de vários fatores pela última vez. |
| Passar declaração – AlternateLoginID | Essa regra emitirá a declaração AlternateLoginID se a autenticação tiver sido executada usando a ID de entrada alternativa. |
Nota
As regras de declaração para Issue UPN e ImmutableId diferem se você usar a opção não padrão durante a configuração do Microsoft Entra Connect
Restaurar regras de transformação de emissão
O Microsoft Entra Connect versão 1.1.873.0 ou posterior faz um backup das configurações de confiança da ID do Microsoft Entra sempre que uma atualização é feita nas configurações de confiança da ID do Microsoft Entra. As configurações de confiança do Microsoft Entra ID têm backup em %ProgramData%\AADConnect\ADFS. O nome do arquivo está no seguinte formato AadTrust-<date>-<time>.txt, for example – AadTrust-20180710-150216.txt
Você pode restaurar as regras de transformação de emissão usando as etapas sugeridas abaixo
- Abrir a interface do usuário de gerenciamento do AD FS no Gerenciador de Servidores
- Abra as propriedades de confiança do Microsoft Entra ID indo até Trusts de Terceira Parte Confiável do AD FS > Plataforma de Identidade do > Microsoft Office 365 >Editar a política de emissão de declarações
- Selecione em Adicionar regra
- No modelo de regra de declaração, selecione Enviar Declarações usando uma Regra Personalizada e selecione Próximo
- Copie o nome da regra de declaração do arquivo de backup e cole-o no campo nome da regra de declaração
- Copie a regra de declaração do arquivo de backup para o campo de texto da regra personalizada e selecione Concluir
Nota
Verifique se as regras adicionais não estão em conflito com as regras configuradas pelo Microsoft Entra Connect.
Prática recomendada para proteger e monitorar a confiança do AD FS com a ID do Microsoft Entra
Quando você federa o AD FS com a ID do Microsoft Entra, é fundamental que a configuração de federação (relação de confiança configurada entre o AD FS e a ID do Microsoft Entra) seja monitorada de perto e qualquer atividade incomum ou suspeita seja capturada. Para fazer isso, recomendamos configurar alertas e ser notificados sempre que forem feitas alterações na configuração de federação. Para aprender a configurar alertas, confira Monitorar alterações na configuração de federação.
Se você estiver usando a autenticação multifator do Microsoft Entra na nuvem, com usuários federados, é altamente recomendável habilitar proteções de segurança adicionais. Essa proteção de segurança impede a violação da autenticação multifator do Microsoft Entra na nuvem quando federada com o Microsoft Entra ID. Quando habilitado para um domínio federado no seu locatário do Microsoft Entra, ele garante que um agente mal-intencionado não possa ignorar a MFA do Azure. Isso é feito impedindo que o ator inválido imite que uma autenticação multifator já tenha sido executada pelo provedor de identidade. A proteção pode ser habilitada por meio da nova configuração de segurança, federatedIdpMfaBehavior. Para obter mais informações, consulte Práticas Recomendadas para Proteger os Serviços de Federação do Active Directory