Zabezpečení hybridních identit pomocí Azure AD Connect Health

Zabezpečení hybridních identit pomocí Azure AD Connect Health

06.01.2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Microsoft Entra Connect Health (dříve Azure AD Connect Health) k monitorování a zabezpečení hybridních identit. Azure AD Connect Health je služba monitorování, která poskytuje konsolidovaný pohled na vaši místní infrastrukturu identit, včetně Azure AD Connect, Active Directory Federation Services (AD FS) a řadičů domény Active Directory, což pomáhá zajistit, aby synchronizace identit a ověřování fungovaly spolehlivě a bezpečně [1].

Úvod

Pro mnoho organizací je správa identit složitou výzvou, zejména v hybridních prostředích, kde identity existují jak v místní službě Active Directory, tak v cloudu Microsoft Entra ID. Synchronizace a ověřování těchto identit je zásadní pro přístup ke zdrojům a službám. Selhání synchronizace nebo problémy s výkonem mohou vést k přerušení služeb, problémům se zabezpečením a frustraci uživatelů. Azure AD Connect Health poskytuje nástroje pro monitorování a vytváření sestav, které vám umožňují proaktivně identifikovat a řešit problémy s hybridní identitou a zajistit stav a zabezpečení vašeho prostředí [2].

Tato praktická příručka se bude zabývat instalací agentů Azure AD Connect Health, konfigurací monitorování, analýzou zpráv o synchronizaci, zjišťováním a odstraňováním běžných chyb a osvědčenými postupy pro udržování zdravého a bezpečného prostředí hybridní identity. Budou poskytnuty podrobné pokyny, příklady použití rozhraní a metody ověřování, aby čtenáři mohli efektivně implementovat a spravovat Azure AD Connect Health, chránit své hybridní identity a zajišťovat kontinuitu podnikání.

Proč je Azure AD Connect Health zásadní?

  • Proaktivní monitorování: Poskytuje výstrahy a oznámení o problémech se synchronizací, výkonem a dostupností dříve, než budou mít dopad na uživatele.
  • Centralizovaná viditelnost: Poskytuje jedinou skleněnou tabuli pro sledování stavu všech součástí vaší infrastruktury hybridní identity.
  • Podrobné hlášení: Generuje zprávy o chybách synchronizace, ověřovacích aktivitách a využití služby AD FS, což usnadňuje auditování a dodržování předpisů.
  • Zjednodušené odstraňování problémů: Pomáhá rychle diagnostikovat a řešit problémy se synchronizací a ověřováním, čímž zkracuje prostoje.
  • Vylepšené zabezpečení: Identifikuje nesprávné konfigurace a podezřelé vzorce používání, které mohou naznačovat bezpečnostní rizika.

Předpoklady

Chcete-li používat Azure AD Connect Health, budete potřebovat následující položky:

  1. Licencování: Licence Microsoft Entra ID Free, Premium P1 nebo Premium P2. Azure AD Connect Health je součástí všech těchto licencí [3].
  2. Administrativní přístup: Účet s rolí „Globálního správce“ v Microsoft Enter ID pro konfiguraci služby.
  3. Azure AD Connect: Instance Azure AD Connect musí být nainstalována a nakonfigurována pro synchronizaci identit mezi místní službou Active Directory a ID Microsoft Entra.
  4. Připojení k síti: Server Azure AD Connect a/nebo servery AD FS musí mít odchozí připojení ke koncovým bodům Azure AD Connect Health (porty TCP 443).

Krok za krokem: Konfigurace a používání Azure AD Connect Health

Pokryjeme instalaci agentů a monitorování synchronizace identit.

1. Přístup k portálu Microsoft Vstupte do centra pro správu

  1. Otevřete prohlížeč a přejděte na https://entra.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. V levém navigačním panelu vyberte Ochrana > Azure AD Connect.

2. Instalace Azure AD Connect Health Agents

Agenti se automaticky nainstalují během instalace Azure AD Connect. Pokud je však potřebujete přeinstalovat nebo nainstalovat na servery AD FS nebo řadiče domény, postupujte takto:

  1. Na stránce Azure AD Connect klikněte na Zdraví Azure AD Connect.
  2. V levém navigačním podokně Azure AD Connect Health vyberte Synchronizace připojení.

  3. Pokud agent není nainstalován nebo je zastaralý, zobrazí se varování. Klikněte na Instalovatr agent nebo Stáhnout agent.

  4. Spusťte instalační program agenta (AdHealthAgentSetup.exe) na serveru, kde je nainstalována Azure AD Connect (nebo na serveru AD FS/Domain Controller).

  5. Postupujte podle pokynů průvodce. Během instalace budete vyzváni k přihlášení pomocí účtu Microsoft Entra ID „Global Administrator“ pro registraci agenta.

  6. Po úspěšné instalaci začne agent shromažďovat a odesílat data do služby Azure AD Connect Health.

3. Monitorování synchronizace identity

Řídicí panel Azure AD Connect Health poskytuje podrobné zobrazení stavu synchronizace.

  1. Na řídicím panelu Azure AD Connect Health vyberte Synchronizace připojení.
  2. Zobrazí se seznam synchronizačních služeb. Klikněte na svou synchronizační službu (obvykle název vašeho serveru Azure AD Connect).
  3. Panel přehledu zobrazí:
    • Stav synchronizace: Označuje, zda synchronizace funguje správně.
    • Chyby synchronizace: Tabulka a seznam chyb synchronizace, které je třeba vyřešit.
    • Latence synchronizace: Doba potřebná k synchronizaci změn.
    • Exportované změny: Počet objektů, které byly exportovány do Microsoft Entra ID.

4. Analýza chyb synchronizace

Azure AD Connect Health vám pomůže identifikovat a diagnostikovat chyby synchronizace.

  1. V přehledu synchronizační služby klikněte na část Chyby synchronizace.
  2. Zobrazí se seznam chyb, roztříděných podle typu (např. AttributeConflict, DuplicateValue).
  3. Kliknutím na konkrétní chybu zobrazíte podrobnosti, včetně:
    • Ovlivněné objekty: Seznam objektů, které způsobují chybu.
    • Podrobnosti o chybě: Popis chyby a navrhované řešení.
    • Konfliktní atributy: Pokud se jedná o konflikt atributů, které atributy způsobují problém.

5. Monitorování AD FS (je-li k dispozici)

Pokud pro federaci používáte AD FS, Azure AD Connect Health může monitorovat stav a výkon vašich serverů AD FS.

  1. Na řídicím panelu Azure AD Connect Health vyberte Federation Services.
  2. Zobrazí se přehled vašeho prostředí AD FS, včetně:
    • Stav serveru: Stav serverů AD FS a proxy serverů webových aplikací.
    • Chyby ověřování: Hlášení o neúspěšných pokusech o ověření.
    • Výkon: Metriky výkonu pro požadavky na ověření.

6. Monitorování řadičů domény (pokud jsou k dispozici)

Azure AD Connect Health může také monitorovat stav vašich místních řadičů domény.

  1. Na řídicím panelu Azure AD Connect Health vyberte Active Directory Domain Services.
  2. Zobrazí se přehled vašich doménových řadičů, včetně:
    • Stav serveru: Stav řadičů domény.
    • Upozornění: Upozornění na replikaci, výkon nebo jiné problémy.

Validace a testování

Ověření implementace Azure AD Connect Health je zásadní pro zajištění správného monitorování a poskytování přesných informací.

1. Kontrola stavu agenta

  1. Na portálu Azure AD Connect Health ověřte, zda je stav agenta 'Aktivní' pro všechny relevantní servery (Azure AD Connect, AD FS, řadiče domén).

2. Simulace chyby synchronizace

  1. V testovacím prostředí vytvořte uživatele v místním Active Directory s atributem, který by mohl způsobit konflikt synchronizace (např. proxyAddresses duplikované s existujícím uživatelem v Microsoft Entra ID).
  2. Vynucení cyklu synchronizace Azure AD Connect: powershell Import-modul ADSync Start-ADSyncSyncCycle -PolicyType Delta
  3. Počkejte několik minut a na řídicím panelu Azure AD Connect Health zkontrolujte, zda byla zjištěna a nahlášena chyba synchronizace.

3. Kontrola výstrah a oznámení

  1. Ujistěte se, že jsou e-mailová oznámení nakonfigurována pro kritická upozornění v Azure AD Connect Health.
  2. Zkontrolujte svou doručenou poštu a zjistěte, zda jste obdrželi upozornění na simulovanou chybu synchronizace.

Bezpečnostní tipy a doporučené postupy

  • Komplexní instalace: Nainstalujte agenty Azure AD Connect Health na všechny relevantní servery (Azure AD Connect, AD FS, řadiče domén), abyste získali úplný přehled o své infrastruktuře.struktura identity.
  • Konfigurace výstrah: Nakonfigurujte výstrahy pro kritické události týkající se synchronizace, výkonu a dostupnosti, abyste byli proaktivně upozorňováni na problémy.
  • Pravidelná kontrola chyb: Pravidelně sledujte a řešte chyby synchronizace, abyste zachovali integritu dat identity a zabránili problémům s přístupem.
  • Údržba Azure AD Connect: Udržujte svůj software Azure AD Connect aktuální, abyste měli k dispozici nejnovější funkce a opravy zabezpečení.
  • Zálohování a obnova: Mějte plán zálohování a obnovy pro server Azure AD Connect a místní databázi Active Directory.
  • Princip nejmenšího oprávnění: Ujistěte se, že účet služby Azure AD Connect a účty používané agenty Connect Health mají pouze nezbytná oprávnění.
  • Zabezpečení serveru: Chraňte svůj server Azure AD Connect a servery AD FS pomocí nejlepších postupů zabezpečení (záplaty, antivirus, firewall atd.), protože jsou kritickými součástmi vaší infrastruktury identit.

Běžné odstraňování problémů

  • Agent se nepřipojuje: Zkontrolujte síťové připojení ze serveru ke koncovým bodům Azure AD Connect Health. Ověřte, zda brána firewall povoluje odchozí provoz na portu 443. Zkontrolujte protokoly událostí na serveru, zda neobsahují chyby související s agentem.
  • Zastaralá data na řídicím panelu: Při synchronizaci dat agenta se službou může dojít ke zpoždění. Ověřte, že agent běží na serveru. V případě potřeby restartujte službu agenta.
  • Trvalé chyby synchronizace: Zkontrolujte podrobnosti o chybě na řídicím panelu Azure AD Connect Health. Pomocí nástrojů pro odstraňování problémů Azure AD Connect (např. Synchronization Service Manager) prozkoumejte hlavní příčinu. Konflikty atributů jsou běžné a často vyžadují opravu dat v místní službě Active Directory.
  • Falešné výstrahy: Zkontrolujte nastavení výstrah a prahové hodnoty. Upravte je, pokud generují příliš mnoho irelevantních upozornění.
  • Problémy s výkonem služby AD FS: Pomocí Azure AD Connect Health můžete sledovat metriky výkonu služby AD FS a identifikovat úzká místa. Zkontrolujte protokoly událostí na serverech služby AD FS.

Závěr

Azure AD Connect Health je nepostradatelný nástroj pro organizace provozující prostředí hybridních identit. Tím, že poskytuje proaktivní monitorování, centralizovanou viditelnost a možnosti řešení problémů, umožňuje IT a bezpečnostním týmům udržovat stav, výkon a zabezpečení své infrastruktury identit. Efektivní implementace a správa Azure AD Connect Health zajišťuje, že synchronizace identit a ověřování funguje spolehlivě, minimalizuje narušení a chrání před bezpečnostními hrozbami. S touto praktickou příručkou budou bezpečnostní profesionálové schopni posílit ochranu hybridních identit a zajistit nepřetržitý a bezpečný přístup ke zdrojům organizace.

Reference:

[1] Microsoft Learn. Co je Microsoft Entra Connect Health?. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] Microsoft Learn. Pomocí Microsoft Entra Connect Health se synchronizací. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] Microsoft Learn. Požadavky licence Microsoft Entra Connect Health. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements