使用 Azure AD Connect Health 保护混合身份

使用 Azure AD Connect Health 保护混合身份

2024年6月1日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft Entra Connect Health(以前称为 Azure AD Connect Health)来监视和保护混合身份。 Azure AD Connect Health 是一项监视服务,可提供本地身份基础结构的整合视图,包括 Azure AD Connect、Active Directory 联合身份验证服务 (AD FS) 和 Active Directory 域控制器,帮助确保身份同步和身份验证可靠且安全地工作 [1]。

简介

对于许多组织来说,身份管理是一项复杂的挑战,尤其是在身份同时存在于本地 Active Directory 和云中的 Microsoft Entra ID 中的混合环境中。同步和验证这些身份对于访问资源和服务至关重要。同步失败或性能问题可能会导致服务中断、安全问题和用户沮丧。 Azure AD Connect Health 提供监控和报告工具,使您能够主动识别和解决混合身份问题,确保环境的健康和安全 [2]。

本实用指南将涵盖安装 Azure AD Connect Health 代理、配置监视、分析同步报告、识别常见错误并对其进行故障排除,以及维护健康且安全的混合身份环境的最佳实践。将提供分步说明、界面使用示例和验证方法,以便读者能够有效地实施和管理 Azure AD Connect Health,保护其混合身份并确保业务连续性。

为什么 Azure AD Connect Health 至关重要?

  • 主动监控:在同步、性能和可用性问题影响用户之前提供有关同步、性能和可用性问题的警报和通知。
  • 集中可见性:提供单一管理平台来监控混合身份基础架构所有组件的运行状况。
  • 详细报告:生成有关同步错误、身份验证活动和 AD FS 使用情况的报告,促进审核和合规性。
  • 简化故障排除:帮助快速诊断和解决同步和身份验证问题,减少停机时间。
  • 增强安全性:识别可能表明安全风险的错误配置和可疑使用模式。

先决条件

要使用 Azure AD Connect Health,您将需要以下项目:

  1. 许可:Microsoft Entra ID Free、Premium P1 或 Premium P2 许可证。所有这些许可证都包含 Azure AD Connect Health [3]。
  2. 管理访问权限:在 Microsoft 中具有“全局管理员”角色的帐户 输入 ID 以配置服务。
  3. Azure AD Connect:必须安装并配置 Azure AD Connect 实例才能同步本地 Active Directory 和 Microsoft Entra ID 之间的身份。
  4. 网络连接:Azure AD Connect 服务器和/或 AD FS 服务器必须具有到 Azure AD Connect Health 终结点(TCP 端口 443)的出站连接。

分步:配置和使用 Azure AD Connect Health

我们将介绍安装代理和监控身份同步。

1. 访问Microsoft Portal 进入管理中心

  1. 打开浏览器并导航至“https://entra.microsoft.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在左侧导航窗格中,选择“保护”>“Azure AD Connect”。

2. 安装 Azure AD Connect Health 代理

代理会在 Azure AD Connect 安装过程中自动安装。但是,如果您需要重新安装它们或将它们安装在 AD FS 服务器或域控制器上,请按照以下步骤操作:

  1. Azure AD Connect 页面上,单击 Azure AD Connect Health
  2. 在 Azure AD Connect Health 左侧导航窗格中,选择“连接同步”。

  3. 如果代理未安装或已过期,您将看到警告。单击安装r 代理下载代理

  4. 在安装了 Azure AD Connect 的服务器(或 AD FS/域控制器服务器)上运行代理安装程序 (AdHealthAgentSetup.exe)。

  5. 按照向导的说明进行操作。安装过程中,系统将提示您使用 Microsoft Entra ID“全局管理员”帐户登录以注册代理。

  6. 成功安装后,代理将开始收集数据并将数据发送到 Azure AD Connect Health 服务。

3. 监控身份同步

Azure AD Connect Health 仪表板提供同步状态的详细视图。

  1. 在 Azure AD Connect Health 仪表板中,选择“连接同步”。
  2. 您将看到同步服务列表。单击同步服务(通常是 Azure AD Connect 服务器的名称)。
  3. 概览面板将显示:
    • 同步状态:指示同步是否正常工作。
    • 同步错误:需要解决的同步错误的图表和列表。
    • 同步延迟:同步更改所需的时间。
    • 导出的更改:导出到 Microsoft Entra ID 的对象数量。

4. 分析同步错误

Azure AD Connect Health 可帮助您识别和诊断同步错误。

  1. 在同步服务概述中,单击 同步错误 部分。
  2. 您将看到按类型分类的错误列表(例如“AttributeConflict”、“DuplicateValue”)。
  3. 点击具体错误可查看详细信息,包括:
    • 受影响的对象:导致错误的对象的列表。
    • 错误详细信息:错误描述和建议的解决方案。
    • 冲突属性:如果是属性冲突,哪些属性导致了问题。

5. 监控 AD FS(如果适用)

如果使用 AD FS 进行联合,Azure AD Connect Health 可以监视 AD FS 服务器的运行状况和性能。

  1. 在 Azure AD Connect Health 仪表板中,选择 联合身份验证服务
  2. 您将看到 AD FS 环境的概述,包括:
    • 服务器状态:AD FS 和 Web 应用程序代理服务器的运行状况。
    • 身份验证错误:报告失败的身份验证尝试。
    • 性能:身份验证请求的性能指标。

6. 监控域控制器(如果适用)

Azure AD Connect Health 还可以监视本地域控制器的运行状况。

  1. 在 Azure AD Connect Health 仪表板中,选择 Active Directory 域服务
  2. 您将看到域控制器的概述,包括:
    • 服务器状态:域控制器的运行状况。
    • 警报:有关复制、性能或其他问题的警告。

验证和测试

验证 Azure AD Connect Health 实施对于确保其正确监控并提供准确信息至关重要。

1. 检查代理状态

  1. 在 Azure AD Connect Health 门户中,验证所有相关服务器(Azure AD Connect、AD FS、域控制器)的代理状态是否为“活动”。

2. 模拟同步错误

  1. 在测试环境中,在本地 Active Directory 中创建一个用户,其属性可能会导致同步冲突(例如:“proxyAddresses”与 Microsoft Entra ID 中的现有用户重复)。
  2. 强制执行 Azure AD Connect 同步周期: powershell 导入模块 ADSync 开始-ADSyncSyncCycle -PolicyType Delta
  3. 等待几分钟,然后检查 Azure AD Connect Health 仪表板以查看是否检测到并报告同步错误。

3. 检查警报和通知

  1. 确保在 Azure AD Connect Health 中为关键警报配置电子邮件通知。
  2. 检查您的收件箱,查看是否收到有关模拟同步错误的警报。

安全提示和最佳实践

  • 全面安装:在所有相关服务器(Azure AD Connect、AD FS、域控制器)上安装 Azure AD Connect Health 代理,以获得基础结构的完整视图身份结构。
  • 警报配置:配置关键同步、性能和可用性事件的警报,以便主动收到有关问题的通知。
  • 定期错误审查:定期监控和解决同步错误,以维护身份数据完整性并防止访问问题。
  • Azure AD Connect 维护:使您的 Azure AD Connect 软件保持最新,以确保您拥有最新的功能和安全修复程序。
  • 备份和恢复:为 Azure AD Connect 服务器和本地 Active Directory 数据库制定备份和恢复计划。
  • 最小权限原则:确保 Azure AD Connect 服务帐户和 Connect Health 代理使用的帐户仅具有必要的权限。
  • 服务器安全:使用最佳安全实践(修补、防病毒、防火墙等)保护您的 Azure AD Connect 服务器和 AD FS 服务器,因为它们是您的身份基础结构的关键组件。

常见故障排除

  • 代理无法连接:检查从服务器到 Azure AD Connect Health 终结点的网络连接。验证防火墙是否允许端口 443 上的出站流量。检查服务器上的事件日志是否有与代理相关的错误。
  • 仪表板上的数据过时:将代理数据同步到服务可能会出现延迟。验证代理是否正在服务器上运行。如有必要,重新启动代理服务。
  • 持续同步错误:查看 Azure AD Connect Health 仪表板中的错误详细信息。使用 Azure AD Connect 故障排除工具(例如“同步服务管理器”)来调查根本原因。属性冲突很常见,通常需要在本地 Active Directory 中进行数据更正。
  • 错误警报:检查警报设置和阈值。如果它们生成太多不相关的警报,请对其进行调整。
  • AD FS 性能问题:使用 Azure AD Connect Health 监视 AD FS 性能指标并识别瓶颈。检查 AD FS 服务器上的事件日志。

结论

Azure AD Connect Health 是运营混合身份环境的组织不可或缺的工具。通过提供主动监控、集中可见性和故障排除功能,它使 IT 和安全团队能够维护其身份基础设施的运行状况、性能和安全性。 Azure AD Connect Health 的有效实施和管理可确保身份同步和身份验证可靠运行,最大限度地减少中断并防范安全威胁。通过这份实用指南,安全专业人员将能够加强对混合身份的保护,确保持续、安全地访问组织的资源。

参考资料:

[1] 微软学习。 什么是 Microsoft Entra Connect Health?。网址:https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] 微软学习。 使用带有同步功能的 Microsoft Entra Connect Health。网址:https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] 微软学习。 Microsoft Entra Connect Health 许可要求。网址:https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements