Protección de identidades híbridas con Azure AD Connect Health

Protección de identidades híbridas con Azure AD Connect Health

01/06/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en el uso de Microsoft Entra Connect Health (anteriormente Azure AD Connect Health) para monitorear y proteger identidades híbridas. Azure AD Connect Health es un servicio de monitoreo que proporciona una vista consolidada de su infraestructura de identidad local, incluidos Azure AD Connect, Servicios de federación de Active Directory (AD FS) y controladores de dominio de Active Directory, lo que ayuda a garantizar que la sincronización y autenticación de identidades funcionen de manera confiable y segura [1].

Introducción

Para muchas organizaciones, la gestión de identidades es un desafío complejo, especialmente en entornos híbridos donde las identidades existen tanto en Active Directory local como en Microsoft Entra ID en la nube. Sincronizar y autenticar estas identidades es fundamental para acceder a recursos y servicios. Las fallas de sincronización o los problemas de rendimiento pueden provocar interrupciones del servicio, problemas de seguridad y frustración del usuario. Azure AD Connect Health proporciona herramientas de monitoreo y generación de informes que le permiten identificar y resolver proactivamente problemas de identidad híbrida, garantizando el estado y la seguridad de su entorno [2].

Esta guía práctica cubrirá la instalación de agentes de Azure AD Connect Health, la configuración de la supervisión, el análisis de informes de sincronización, la identificación y solución de errores comunes y las mejores prácticas para mantener un entorno de identidad híbrido saludable y seguro. Se proporcionarán instrucciones paso a paso, ejemplos de uso de la interfaz y métodos de validación para que los lectores puedan implementar y administrar Azure AD Connect Health de manera efectiva, protegiendo sus identidades híbridas y garantizando la continuidad del negocio.

¿Por qué es fundamental Azure AD Connect Health?

  • Monitoreo proactivo: proporciona alertas y notificaciones sobre problemas de sincronización, rendimiento y disponibilidad antes de que afecten a los usuarios.
  • Visibilidad centralizada: proporciona un único panel para monitorear el estado de todos los componentes de su infraestructura de identidad híbrida.
  • Informes detallados: genera informes sobre errores de sincronización, actividades de autenticación y uso de AD FS, lo que facilita la auditoría y el cumplimiento.
  • Solución de problemas simplificada: ayuda a diagnosticar y resolver problemas de sincronización y autenticación rápidamente, lo que reduce el tiempo de inactividad.
  • Seguridad mejorada: Identifica configuraciones incorrectas y patrones de uso sospechosos que pueden indicar riesgos de seguridad.

Requisitos previos

Para usar Azure AD Connect Health, necesitará los siguientes elementos:

  1. Licencia: Una licencia Microsoft Entra ID Free, Premium P1 o Premium P2. Azure AD Connect Health se incluye con todas estas licencias [3].
  2. Acceso Administrativo: Una cuenta con el rol de Administrador Global en Microsoft Ingrese ID para configurar el servicio.
  3. Azure AD Connect: se debe instalar y configurar una instancia de Azure AD Connect para sincronizar identidades entre Active Directory local y Microsoft Entra ID.
  4. Conectividad de red: el servidor Azure AD Connect y/o los servidores AD FS deben tener conectividad saliente a los puntos finales de Azure AD Connect Health (puertos TCP 443).

Paso a paso: configuración y uso de Azure AD Connect Health

Cubriremos la instalación de los agentes y el monitoreo de la sincronización de identidades.

1. Accediendo al Portal de Microsoft Ingrese al centro de administración

  1. Abra su navegador y navegue hasta https://entra.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el panel de navegación izquierdo, seleccione Protección > Azure AD Connect.

2. Instalación de los agentes de Azure AD Connect Health

Los agentes se instalan automáticamente durante la instalación de Azure AD Connect. Sin embargo, si necesita reinstalarlos o instalarlos en servidores AD FS o controladores de dominio, siga estos pasos:

  1. En la página Azure AD Connect, haga clic en Azure AD Connect Health.
  2. En el panel de navegación izquierdo de Azure AD Connect Health, seleccione Sincronización de conexión.

  3. Si el agente no está instalado o no está actualizado, verá una advertencia. Haga clic en Instalarr agente o Descargar agente.

  4. Ejecute el instalador del agente (AdHealthAgentSetup.exe) en el servidor donde está instalado Azure AD Connect (o en el servidor AD FS/Domain Controller).

  5. Siga las instrucciones del asistente. Durante la instalación, se le pedirá que inicie sesión con una cuenta de "Administrador global" de Microsoft Entra ID para registrar el agente.

  6. Después de una instalación exitosa, el agente comenzará a recopilar y enviar datos al servicio Azure AD Connect Health.

3. Monitoring Identity Synchronization

El panel de Azure AD Connect Health proporciona una vista detallada de su estado de sincronización.

  1. En el panel de Azure AD Connect Health, seleccione Sincronización de conexión.
  2. Verá una lista de servicios de sincronización. Haga clic en su servicio de sincronización (normalmente el nombre de su servidor Azure AD Connect).
  3. El panel de descripción general mostrará:
    • Estado de sincronización: Indica si la sincronización funciona correctamente.
    • Errores de sincronización: un gráfico y una lista de errores de sincronización que deben resolverse.
    • Latencia de sincronización: el tiempo que tardan en sincronizarse los cambios.
    • Cambios exportados: la cantidad de objetos que se exportaron a Microsoft Entra ID.

4. Análisis de errores de sincronización

Azure AD Connect Health le ayuda a identificar y diagnosticar errores de sincronización.

  1. En la descripción general del servicio de sincronización, haga clic en la sección Errores de sincronización.
  2. Verá una lista de errores, categorizados por tipo (por ejemplo, AttributeConflict, DuplicateValue).
  3. Haga clic en un error específico para ver los detalles, que incluyen:
    • Objetos afectados: una lista de los objetos que están causando el error.
    • Detalles del error: una descripción del error y la solución sugerida.
    • Atributos en conflicto: si se trata de un conflicto de atributos, qué atributos están causando el problema.

5. Monitoreo de AD FS (si corresponde)

Si usa AD FS para la federación, Azure AD Connect Health puede monitorear el estado y el rendimiento de sus servidores AD FS.

  1. En el panel de Azure AD Connect Health, seleccione Servicios de federación.
  2. Verá una descripción general de su entorno AD FS, que incluye:
    • Estado del servidor: estado de los servidores AD FS y proxy de aplicación web.
    • Errores de autenticación: informes sobre intentos fallidos de autenticación.
    • Rendimiento: Métricas de rendimiento para solicitudes de autenticación.

6. Monitoreo de controladores de dominio (si corresponde)

Azure AD Connect Health también puede monitorear el estado de sus controladores de dominio locales.

  1. En el panel de Azure AD Connect Health, seleccione Servicios de dominio de Active Directory.
  2. Verá una descripción general de sus controladores de dominio, que incluye:
    • Estado del servidor: Estado de los controladores de dominio.
    • Alertas: Advertencias sobre replicación, rendimiento u otros problemas.

Validación y pruebas

Validar su implementación de Azure AD Connect Health es fundamental para garantizar que se monitoree correctamente y proporcione información precisa.

1. Verificar el estado del agente

  1. En el portal de Azure AD Connect Health, verifique que el estado del agente sea "Activo" para todos los servidores relevantes (Azure AD Connect, AD FS, controladores de dominio).

2. Simulación de un error de sincronización

  1. En un entorno de prueba, cree un usuario en el Active Directory local con un atributo que podría causar un conflicto de sincronización (por ejemplo: proxyAddresses duplicado con un usuario existente en Microsoft Entra ID).
  2. Fuerce un ciclo de sincronización de Azure AD Connect: powershell Módulo de importación ADSync Inicio-ADSyncSyncCycle -PolicyType Delta
  3. Espere unos minutos y verifique el panel de Azure AD Connect Health para ver si se detectó e informó el error de sincronización.

3. Comprobación de alertas y notificaciones

  1. Asegúrese de que las notificaciones por correo electrónico estén configuradas para alertas críticas en Azure AD Connect Health.
  2. Revise su bandeja de entrada para ver si recibió alertas sobre el error de sincronización simulado.

Consejos de seguridad y mejores prácticas

  • Instalación completa: instale agentes de Azure AD Connect Health en todos los servidores relevantes (Azure AD Connect, AD FS, controladores de dominio) para obtener una vista completa de su infraestructura.estructura de identidad.
  • Configuración de alertas: configure alertas para eventos críticos de sincronización, rendimiento y disponibilidad para recibir notificaciones proactivas sobre los problemas.
  • Revisión periódica de errores: supervise y resuelva periódicamente los errores de sincronización para mantener la integridad de los datos de identidad y evitar problemas de acceso.
  • Mantenimiento de Azure AD Connect: mantenga actualizado su software Azure AD Connect para asegurarse de tener las características y correcciones de seguridad más recientes.
  • Copia de seguridad y recuperación: tenga un plan de copia de seguridad y recuperación para su servidor Azure AD Connect y su base de datos de Active Directory local.
  • Principio de privilegio mínimo: asegúrese de que la cuenta de servicio de Azure AD Connect y las cuentas utilizadas por los agentes de Connect Health tengan solo los permisos necesarios.
  • Seguridad del servidor: proteja su servidor Azure AD Connect y sus servidores AD FS con las mejores prácticas de seguridad (parches, antivirus, firewall, etc.), ya que son componentes críticos de su infraestructura de identidad.

Solución de problemas comunes

  • El agente no se conecta: verifique la conectividad de red desde el servidor hasta los puntos finales de Azure AD Connect Health. Verifique que el firewall permita el tráfico saliente en el puerto 443. Verifique los registros de eventos en el servidor para detectar errores relacionados con el agente.
  • Datos desactualizados en el panel: puede haber un retraso en la sincronización de los datos del agente con el servicio. Verifique que el agente se esté ejecutando en el servidor. Reinicie el servicio del agente si es necesario.
  • Errores de sincronización persistentes: revise los detalles del error en el panel de Azure AD Connect Health. Utilice las herramientas de solución de problemas de Azure AD Connect (por ejemplo, "Administrador de servicios de sincronización") para investigar la causa raíz. Los conflictos de atributos son comunes y a menudo requieren corrección de datos en Active Directory local.
  • Alertas falsas: revise la configuración y los umbrales de alerta. Ajústelos si generan demasiadas alertas irrelevantes.
  • Problemas de rendimiento de AD FS: use Azure AD Connect Health para monitorear las métricas de rendimiento de AD FS e identificar cuellos de botella. Verifique los registros de eventos en los servidores AD FS.

Conclusión

Azure AD Connect Health es una herramienta indispensable para las organizaciones que operan entornos de identidad híbridos. Al proporcionar monitoreo proactivo, visibilidad centralizada y capacidades de resolución de problemas, permite a los equipos de seguridad y TI mantener el estado, el rendimiento y la seguridad de su infraestructura de identidad. La implementación y administración efectivas de Azure AD Connect Health garantiza que la sincronización y autenticación de identidades funcionen de manera confiable, minimizando las interrupciones y protegiendo contra amenazas de seguridad. Con esta guía práctica los profesionales de la seguridad podrán reforzar la protección de las identidades híbridas, garantizando un acceso continuo y seguro a los recursos de la organización.

Referencias:

[1] Microsoft aprende. ¿Qué es Microsoft Entra Connect Health?. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] Microsoft aprende. Usando Microsoft Entra Connect Health con sincronización. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] Microsoft aprende. Requisitos de licencia de Microsoft Entra Connect Health. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements