Protezione delle identità ibride con Azure AD Connect Health

Protezione delle identità ibride con Azure AD Connect Health

01/06/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'uso di Microsoft Entra Connect Health (in precedenza Azure AD Connect Health) per monitorare e proteggere le identità ibride. Azure AD Connect Health è un servizio di monitoraggio che fornisce una visione consolidata dell'infrastruttura di identità locale, inclusi Azure AD Connect, Active Directory Federation Services (AD FS) e controller di dominio Active Directory, contribuendo a garantire che la sincronizzazione e l'autenticazione dell'identità funzionino in modo affidabile e sicuro [1].

Introduzione

Per molte organizzazioni, la gestione delle identità è una sfida complessa, soprattutto negli ambienti ibridi in cui le identità esistono sia in Active Directory locale che in Microsoft Entra ID nel cloud. La sincronizzazione e l'autenticazione di queste identità sono fondamentali per l'accesso a risorse e servizi. Gli errori di sincronizzazione o i problemi di prestazioni possono portare a interruzioni del servizio, problemi di sicurezza e frustrazione per gli utenti. Azure AD Connect Health fornisce strumenti di monitoraggio e reporting che consentono di identificare e risolvere in modo proattivo i problemi di identità ibrida, garantendo l'integrità e la sicurezza dell'ambiente [2].

Questa guida pratica riguarderà l'installazione degli agenti Azure AD Connect Health, la configurazione del monitoraggio, l'analisi dei report di sincronizzazione, l'identificazione e la risoluzione dei problemi comuni e le procedure consigliate per mantenere un ambiente di identità ibrido sano e sicuro. Verranno fornite istruzioni dettagliate, esempi di utilizzo dell'interfaccia e metodi di convalida in modo che i lettori possano implementare e gestire Azure AD Connect Health in modo efficace, proteggendo le proprie identità ibride e garantendo la continuità aziendale.

Perché Azure AD Connect Health è fondamentale?

  • Monitoraggio proattivo: fornisce avvisi e notifiche sui problemi di sincronizzazione, prestazioni e disponibilità prima che abbiano un impatto sugli utenti.
  • Visibilità centralizzata: fornisce un unico pannello di controllo per monitorare lo stato di tutti i componenti della tua infrastruttura di identità ibrida.
  • Report dettagliati: genera report sugli errori di sincronizzazione, sulle attività di autenticazione e sull'utilizzo di ADFS, facilitando il controllo e la conformità.
  • Risoluzione dei problemi semplificata: aiuta a diagnosticare e risolvere rapidamente i problemi di sincronizzazione e autenticazione, riducendo i tempi di inattività.
  • Sicurezza avanzata: identifica configurazioni errate e modelli di utilizzo sospetti che potrebbero indicare rischi per la sicurezza.

Prerequisiti

Per utilizzare Azure AD Connect Health, saranno necessari i seguenti elementi:

  1. Licenza: una licenza Microsoft Entra ID gratuita, Premium P1 o Premium P2. Azure AD Connect Health è incluso in tutte queste licenze [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale" in Microsoft. Inserisci l'ID per configurare il servizio.
  3. Azure AD Connect: è necessario installare e configurare un'istanza di Azure AD Connect per sincronizzare le identità tra Active Directory locale e Microsoft Entra ID.
  4. Connettività di rete: il server Azure AD Connect e/o i server AD FS devono disporre di connettività in uscita agli endpoint Azure AD Connect Health (porte TCP 443).

Passo dopo passo: configurazione e utilizzo di Azure AD Connect Health

Tratteremo l'installazione degli agenti e il monitoraggio della sincronizzazione delle identità.

1. Accesso al portale Microsoft Accedere all'interfaccia di amministrazione

  1. Apri il browser e vai a "https://entra.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel riquadro di spostamento sinistro, seleziona Protezione > Azure AD Connect.

2. Installazione degli agenti Azure AD Connect Health

Gli agenti vengono installati automaticamente durante l'installazione di Azure AD Connect. Tuttavia, se è necessario reinstallarli o installarli sui server AD FS o sui controller di dominio, attenersi alla seguente procedura:

  1. Nella pagina Azure AD Connect, fare clic su Azure AD Connect Health.
  2. Nel riquadro di spostamento sinistro di Azure AD Connect Health selezionare Sincronizzazione connessione.

  3. Se l'agente non è installato o non è aggiornato, verrà visualizzato un avviso. Fare clic su Installar agente o Scarica agente.

  4. Eseguire il programma di installazione dell'agente (AdHealthAgentSetup.exe) sul server in cui è installato Azure AD Connect (o sul server AD FS/controller di dominio).

  5. Seguire le istruzioni della procedura guidata. Durante l'installazione, ti verrà richiesto di accedere con un account "Amministratore globale" con ID Microsoft Entra per registrare l'agente.

  6. Al termine dell'installazione, l'agente inizierà a raccogliere e inviare dati al servizio Azure AD Connect Health.

3. Monitoraggio della sincronizzazione delle identità

Il dashboard di Azure AD Connect Health fornisce una visualizzazione dettagliata dello stato di sincronizzazione.

  1. Nel dashboard di Azure AD Connect Health selezionare Sincronizzazione connessione.
  2. Verrà visualizzato un elenco di servizi di sincronizzazione. Fai clic sul servizio di sincronizzazione (in genere il nome del server Azure AD Connect).
  3. Il pannello panoramica visualizzerà:
    • Stato sincronizzazione: indica se la sincronizzazione funziona correttamente.
    • Errori di sincronizzazione: un grafico e un elenco di errori di sincronizzazione che devono essere risolti.
    • Latenza di sincronizzazione: il tempo necessario per la sincronizzazione delle modifiche.
    • Modifiche esportate: il numero di oggetti esportati nell'ID Microsoft Entra.

4. Analisi degli errori di sincronizzazione

Azure AD Connect Health ti aiuta a identificare e diagnosticare gli errori di sincronizzazione.

  1. Nella panoramica del servizio di sincronizzazione, fai clic sulla sezione Errori di sincronizzazione.
  2. Verrà visualizzato un elenco di errori, classificati per tipo (ad esempio "AttributeConflitto", "DuplicateValue").
  3. Fare clic su un errore specifico per visualizzare i dettagli, tra cui:
    • Oggetti interessati: un elenco degli oggetti che causano l'errore.
    • Dettagli errore: una descrizione dell'errore e la soluzione suggerita.
    • Attributi in conflitto: se si tratta di un conflitto di attributi, quali attributi causano il problema.

5. Monitoraggio di ADFS (se applicabile)

Se usi AD FS per la federazione, Azure AD Connect Health può monitorare l'integrità e le prestazioni dei server AD FS.

  1. Nel dashboard di Azure AD Connect Health selezionare Federation Services.
  2. Verrà visualizzata una panoramica del tuo ambiente AD FS, tra cui:
    • Stato server: integrità dei server ADFS e proxy applicazione Web.
    • Errori di autenticazione: riporta i tentativi di autenticazione non riusciti.
    • Prestazioni: metriche delle prestazioni per le richieste di autenticazione.

6. Monitoraggio dei controller di dominio (se applicabile)

Azure AD Connect Health può anche monitorare l'integrità dei controller di dominio locali.

  1. Nel dashboard di Azure AD Connect Health selezionare Servizi di dominio Active Directory.
  2. Verrà visualizzata una panoramica dei controller di dominio, tra cui:
    • Stato del server: integrità dei controller di dominio.
    • Avvisi: avvisi relativi a replica, prestazioni o altri problemi.

Convalida e test

La convalida dell'implementazione di Azure AD Connect Health è fondamentale per garantire che venga monitorata correttamente e fornita informazioni accurate.

1. Verifica dello stato dell'agente

  1. Nel portale Azure AD Connect Health verificare che lo stato dell'agente sia "Attivo" per tutti i server pertinenti (Azure AD Connect, AD FS, controller di dominio).

2. Simulazione di un errore di sincronizzazione

  1. In un ambiente di test, creare un utente nell'Active Directory locale con un attributo che potrebbe causare un conflitto di sincronizzazione (ad esempio: "proxyAddresses" duplicato con un utente esistente nell'ID Microsoft Entra).
  2. Forzare un ciclo di sincronizzazione di Azure AD Connect: "PowerShell". ADSync del modulo di importazione Start-ADSyncSyncCycle -PolicyType Delta ```
  3. Attendi qualche minuto e controlla il dashboard di Azure AD Connect Health per verificare se l'errore di sincronizzazione è stato rilevato e segnalato.

3. Controllo degli avvisi e delle notifiche

  1. Assicurarsi che le notifiche tramite posta elettronica siano configurate per gli avvisi critici in Azure AD Connect Health.
  2. Controlla la tua casella di posta per vedere se hai ricevuto avvisi sull'errore di sincronizzazione simulato.

Suggerimenti e best practice per la sicurezza

  • Installazione completa: installa gli agenti Azure AD Connect Health su tutti i server rilevanti (Azure AD Connect, AD FS, controller di dominio) per ottenere una visione completa della tua infrastrutturastruttura identitaria.
  • Configurazione avvisi: configura avvisi per eventi critici di sincronizzazione, prestazioni e disponibilità per essere avvisato in modo proattivo sui problemi.
  • Revisione regolare degli errori: monitora e risolvi regolarmente gli errori di sincronizzazione per mantenere l'integrità dei dati di identità e prevenire problemi di accesso.
  • Manutenzione di Azure AD Connect: mantieni aggiornato il software Azure AD Connect per assicurarti di disporre delle funzionalità e delle correzioni di sicurezza più recenti.
  • Backup e ripristino: disporre di un piano di backup e ripristino per il server Azure AD Connect e il database Active Directory locale.
  • Principio del privilegio minimo: assicurarsi che l'account del servizio Azure AD Connect e gli account utilizzati dagli agenti Connect Health dispongano solo delle autorizzazioni necessarie.
  • Sicurezza del server: proteggi il tuo server Azure AD Connect e i server AD FS con le migliori pratiche di sicurezza (patch, antivirus, firewall e così via) poiché sono componenti critici della tua infrastruttura di identità.

Risoluzione dei problemi comuni

  • L'agente non si connette: controllare la connettività di rete dal server agli endpoint Azure AD Connect Health. Verificare che il firewall consenta il traffico in uscita sulla porta 443. Controllare i registri eventi sul server per eventuali errori relativi all'agente.
  • Dati obsoleti sul dashboard: potrebbe verificarsi un ritardo nella sincronizzazione dei dati dell'agente con il servizio. Verificare che l'agente sia in esecuzione sul server. Se necessario, riavviare il servizio dell'agente.
  • Errori di sincronizzazione persistenti: esaminare i dettagli dell'errore nel dashboard Azure AD Connect Health. Utilizzare gli strumenti di risoluzione dei problemi di Azure AD Connect (ad esempio "Synchronization Service Manager") per indagare sulla causa principale. I conflitti di attributi sono comuni e spesso richiedono la correzione dei dati in Active Directory locale.
  • Falsi avvisi: esamina le impostazioni e le soglie degli avvisi. Modificali se generano troppi avvisi irrilevanti.
  • Problemi di prestazioni di AD FS: utilizzare Azure AD Connect Health per monitorare i parametri delle prestazioni di AD FS e identificare i colli di bottiglia. Controlla i registri eventi sui server AD FS.

Conclusione

Azure AD Connect Health è uno strumento indispensabile per le organizzazioni che gestiscono ambienti di identità ibridi. Fornendo monitoraggio proattivo, visibilità centralizzata e funzionalità di risoluzione dei problemi, consente ai team IT e di sicurezza di mantenere l'integrità, le prestazioni e la sicurezza della propria infrastruttura di identità. L'implementazione e la gestione efficaci di Azure AD Connect Health garantiscono che la sincronizzazione e l'autenticazione delle identità funzionino in modo affidabile, riducendo al minimo le interruzioni e proteggendo dalle minacce alla sicurezza. Con questa guida pratica i professionisti della sicurezza potranno rafforzare la protezione delle identità ibride, garantendo un accesso continuo e sicuro alle risorse dell'organizzazione.

Riferimenti:

[1]Microsoft Learn. Che cos'è Microsoft Entra Connect Health?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2]Microsoft Learn. Utilizzando Microsoft Entra Connect Health con sincronizzazione. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3]Microsoft Learn. Requisiti di licenza per Microsoft Entra Connect Health. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements