Agentes de Microsoft Entra Connect Health para AD FS
En este artículo, obtendrá información sobre cómo instalar y configurar los agentes de Microsoft Entra Connect Health. La siguiente documentación es específica de la instalación y supervisión de la infraestructura de AD FS con Microsoft Entra Connect Health. Para información sobre la supervisión de Microsoft Entra Connect (sincronización) con Microsoft Entra Connect Health, consulte Uso de Microsoft Entra Connect Health para sincronización. Además, para información sobre la supervisión de Active Directory Domain Services con Microsoft Entra Connect Health, consulte Uso de Microsoft Entra Connect Health con AD DS.
Obtenga información sobre cómo descargar los agentes.
Nota:
Microsoft Entra Connect Health no está disponible en la nube soberana de China.
Requisitos
En la tabla siguiente aparece una lista de requisitos para utilizar Microsoft Entra Connect Health:
| Requisito | Descripción |
|---|---|
| Tiene una suscripción de Microsoft Entra ID P1 o P2. | Microsoft Entra Connect Health es una característica de Microsoft Entra ID P1 o P2. Para obtener más información, consulte Registrarse para Microsoft Entra ID P1 o P2. Para iniciar una prueba gratis de 30 días, consulte cómo iniciar una prueba. |
| Es administrador global en Microsoft Entra ID. | Actualmente, solo las cuentas de administrador global pueden instalar y configurar agentes de mantenimiento. Para más información, consulte Administración del directorio de Microsoft Entra. Con el control de acceso basado en rol de Azure (RBAC de Azure) puede permitir que otros usuarios de la organización accedan a Microsoft Entra Connect Health. Para más información, consulte Azure RBAC para Connect Health. Importante: Utilice una cuenta profesional o educativa para instalar los agentes. No puede usar una cuenta de Microsoft para instalar los agentes. Para más información, consulte Registro en Azure AD como organización. |
| El agente de Microsoft Entra Connect Health está instalado en cada servidor de destino. | Los agentes de mantenimiento se deben instalar y configurar en los servidores de destino para que puedan recibir datos y proporcionar las funcionalidades de supervisión y análisis. Por ejemplo, para obtener datos de la infraestructura de Servicios de federación de Active Directory (AD FS), debe instalar el agente en el servidor de AD FS y en el servidor de Proxy de aplicación web. Del mismo modo, para obtener datos de la infraestructura de AD Domain Services local, debe instalar el agente en los controladores de dominio. |
| Los puntos de conexión del servicio de Azure tienen una conectividad de salida. | Durante la instalación y el tiempo de ejecución, el agente requiere conectividad a los puntos de conexión del servicio de Microsoft Entra Connect Health. Si los firewalls bloquean la conectividad de salida, agregue los puntos de conexión de conectividad de salida a una lista de permitidos. |
| La conectividad de salida se basa en direcciones IP. | Para más información sobre el filtrado de firewall basado en direcciones IP, consulte los intervalos IP de Azure. |
| La inspección de TLS del tráfico de salida está filtrada o deshabilitada. | Las operaciones de carga de datos o de paso de registro de agente pueden generar un error si la inspección de TLS o la finalización del tráfico de salida se producen en el nivel de red. Para más información, consulte el artículo sobre la configuración de la inspección de TLS. |
| Los puertos del firewall en el servidor están ejecutando el agente. | El agente requiere que los siguientes puertos de firewall estén abiertos para que se pueda comunicar con los puntos de conexión del servicio de Microsoft Entra Connect Health: - Puerto TCP 443 - Puerto TCP 5671 La versión más reciente del agente no requiere el puerto 5671. Actualice a la versión más reciente, para que solo sea necesario el puerto 443. Para más información, consulte La identidad híbrida requería puertos y protocolos. |
| Si está habilitada la seguridad mejorada de Internet Explorer, permita los sitios web especificados. | Si está habilitada la seguridad mejorada de Internet Explorer, permita los siguientes sitios web en el servidor en el que instala el agente: - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://login.windows.net - https://aadcdn.msftauth.net - El servidor de federación de la organización de confianza para Microsoft Entra (por ejemplo, https://sts.contoso.com). Para más información, consulte el artículo sobre la configuración de Internet Explorer. Si tiene un proxy en la red, consulte la nota que aparece al final de esta tabla. |
| Está instalada la versión 5.0 o posterior de PowerShell. | Windows Server 2016 incluye la versión 5.0 de PowerShell. |
Importante
Windows Server Core no admite la instalación del agente de Microsoft Entra Connect Health.
Nota:
Si tiene un entorno muy bloqueado y restringido, debe agregar más direcciones URL que las que aparecen en la tabla para una seguridad mejorada de Internet Explorer. Agregue también las direcciones URL que aparecen en la tabla de la siguiente sección.
Nuevas versiones del agente y Actualización automática
Si se publica una nueva versión del agente de mantenimiento, los agentes instalados existentes se actualizan de forma automática.
Conectividad saliente a los extremos del servicio de Azure
Durante la instalación y el tiempo de ejecución, el agente necesita conectividad a los puntos de conexión del servicio de Microsoft Entra Connect Health. Si los firewalls bloquean la conectividad de salida, asegúrese de que las direcciones URL de la tabla siguiente no estén bloqueadas de forma predeterminada.
No deshabilite la supervisión de seguridad ni la inspección de estas direcciones URL. En su lugar, permítalas como lo haría con otro tipo de tráfico de Internet.
Estas direcciones URL permiten la comunicación con los puntos de conexión de servicio de Microsoft Entra Connect Health. Más adelante en este artículo, aprenderá a comprobar la conectividad de salida mediante Test-AzureADConnectHealthConnectivity.
| Entorno de dominio | Puntos de conexión del servicio de Azure necesarios |
|---|---|
| Público general | - *.blob.core.windows.net - *.aadconnecthealth.azure.com - **.servicebus.windows.net - Puerto: 5671 (si 5671 está bloqueado, el agente cambia a 443, pero se recomienda usar el puerto 5671. Este punto de conexión no es necesario en la versión más reciente del agente).- *.adhybridhealth.azure.com/- https://management.azure.com - https://policykeyservice.dc.ad.msft.net/ - https://login.windows.net - https://login.microsoftonline.com - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (este punto de conexión solo se utiliza para la detección durante el registro).- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.net - https://www.microsoft.com |
| Azure Government | - *.blob.core.usgovcloudapi.net - *.servicebus.usgovcloudapi.net - *.aadconnecthealth.microsoftazure.us - https://management.usgovcloudapi.net - https://policykeyservice.aadcdi.azure.us - https://login.microsoftonline.us - https://secure.aadcdn.microsoftonline-p.com - https://www.office.com (este punto de conexión solo se utiliza para la detección durante el registro).- https://aadcdn.msftauth.net - https://aadcdn.msauth.net - https://autoupdate.msappproxy.us - http://www.microsoft.com - https://www.microsoft.com |
Descargar los agentes
Para descargar e instalar el agente Microsoft Entra Connect Health:
- Asegúrese de cumplir los requisitos para instalar Microsoft Entra Connect Health.
- Introducción a Microsoft Entra Connect Health para AD FS:
- Introducción al uso de Microsoft Entra Connect Health para la sincronización:
- Descargue e instale la versión más reciente de Microsoft Entra Connect. El agente de mantenimiento para la sincronización se instala como parte de la instalación de Microsoft Entra Connect (versión 1.0.9125.0 o posterior).
- Introducción a Microsoft Entra Connect Health para AD Domain Services:
Instalación del agente para AD FS
Nota:
El servidor AD FS debe estar separado del servidor de sincronización. No instale el agente de AD FS en su servidor de sincronización.
Nota:
El agente de mantenimiento para la sincronización se instala como parte de la instalación de Microsoft Entra Connect (versión 1.0.9125.0 o posterior). Si intenta instalar una versión anterior del agente de mantenimiento para AD FS en el servidor de Microsoft Entra Connect, recibirá un error. Si necesita instalar el agente de mantenimiento para AD FS en el equipo, debe descargar la versión más reciente y, a continuación, desinstalar la versión que se instaló durante la instalación de Microsoft Entra Connect.
Antes de que instale el agente, asegúrese de que el nombre de host del servidor de AD FS sea único y no esté presente en el servicio de AD FS.
Para iniciar la instalación del agente, haga doble clic en el archivo .exe que ha descargado. En el primer diálogo, seleccione Instalar.
Cuando se le solicite, inicie sesión con una cuenta de Microsoft Entra que tenga permisos para registrar el agente. De forma predeterminada, la cuenta de administrador de identidad híbrida tiene permisos.
Después de iniciar sesión, el proceso de instalación se completará y podrá cerrar la ventana.
En este momento, los servicios del agente deben comenzar a permitir automáticamente que el agente cargue de forma segura los datos necesarios en el servicio en la nube.
Para comprobar que se ha instalado el agente, busque los siguientes servicios en el servidor. Si completó la configuración, estos servicios deben aparecer en ejecución. De lo contrario, estarán detenidos hasta que se complete la configuración.
- Actualizador del agente de Microsoft Entra Connect
- Agente de salud de Microsoft Entra Connect
Habilitación de la auditoría de AD FS
Nota:
Esta sección se aplica solo a los servidores de AD FS. No es necesario completar estos pasos en los servidores de Proxy de aplicación web.
La función Análisis de uso necesita recopilar y analizar datos, por lo que el agente de Microsoft Entra Connect Health necesita la información en los registros de auditoría de AD FS. Estos registros no están habilitados de forma predeterminada. Utilice los procedimientos siguientes para habilitar la auditoría de AD FS y localizar los registros de auditoría de AD FS en los servidores de AD FS.
Para habilitar la auditoría de AD FS
En la pantalla Inicio, abra Administrador del servidor y, a continuación, Directiva de seguridad local. O bien, en la barra de tareas, abra Administrador del servidor y seleccione Herramientas/Directiva de seguridad local.
Vaya a la carpeta Configuración de seguridad\Directivas locales\Configuración de seguridad\Asignación de derechos de usuario. Haga doble clic en Generar auditorías de seguridad.
En la pestaña Configuración de seguridad local , compruebe que aparezca la cuenta de servicio de AD FS. Si no aparece, seleccione Agregar usuario o grupo y agregue la cuenta de servicio de AD FS a la lista. Después, seleccione Aceptar.
Para habilitar la auditoría, abra una ventana del símbolo del sistema como administrador y luego ejecute el siguiente comando:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableCierre Directiva de seguridad local.
Importante
Los pasos restantes solo son necesarios en los servidores principales de AD FS.
Habilitación de las propiedades de auditoría en el servidor de AD FS
- Abra el complemento Administración de AD FS. (En Administrador del servidor, seleccione Herramientas>Administración de AD FS.)
- En el panel Acciones, seleccione Modificar las propiedades del Servicio de federación.
- En el diálogo Propiedades del servicio de federación, seleccione la pestaña Eventos.
- Active las casillas Auditorías de aciertos y Auditorías de errores y seleccione luego Aceptar. Las auditorías de aciertos y las auditorías de errores deberían estar habilitadas de forma predeterminada.
Habilitación de las propiedades de auditoría en el servidor de AD FS
Importante
Este paso solo es necesario en los servidores principales de AD FS.
Abra una ventana de PowerShell y ejecute el siguiente comando:
Set-AdfsProperties -AuditLevel Verbose
El nivel de auditoría "básico" está habilitado de forma predeterminada. Para más información, consulte Mejoras de auditorías de AD FS en Windows Server 2016.
Comprobación del registro detallado
Para comprobar que el registro detallado está habilitado, haga lo siguiente.
Abra una ventana de PowerShell y ejecute el siguiente comando:
Get-AdfsPropertiesCompruebe que Auditlevel está establecido en verbose
Comprobación de la configuración de auditoría de la cuenta de servicio de AD FS
- Vaya a la carpeta Configuración de seguridad\Directivas locales\Configuración de seguridad\Asignación de derechos de usuario. Haga doble clic en Generar auditorías de seguridad.
- En la pestaña Configuración de seguridad local, compruebe que aparezca la cuenta de servicio de AD FS. Si no aparece, seleccione Agregar usuario o grupo y agregue la cuenta de servicio de AD FS a la lista. Después, seleccione Aceptar.
- Cierre Directiva de seguridad local.
Revisión de los registros de auditoría de AD FS
Después de habilitar los registros de auditoría de AD FS, debería poder comprobar los registros de auditoría de AD FS mediante la Vista de eventos.
Abra Visor de eventos.
Vaya a Registros de Windows y seleccione Seguridad.
En el panel derecho, seleccione Filtrar registros actuales.
En Orígenes de eventos, seleccione AD FS Auditing(Auditoría de AD FS).
Puede obtener una lista completa de eventos de AD FS aquí.
Para más información acerca de los registros de auditoría, consulte Preguntas sobre operaciones.
Advertencia
Una directiva de grupo puede deshabilitar la auditoría de AD FS. Si se deshabilita la auditoría de AD FS, no estará disponible el análisis de uso sobre las actividades de inicio de sesión. Asegúrese de no tener ninguna directiva de grupo que deshabilite la auditoría de AD FS.
En las tablas siguientes se proporciona una lista de eventos comunes que corresponden a eventos de nivel de auditoría
Eventos básicos de nivel de auditoría
| ID | Nombre del evento | Descripción del evento |
|---|---|---|
| 1200 | AppTokenSuccessAudit | El servicio de federación emitió un token válido. |
| 1201 | AppTokenFailureAudit | El servicio de federación no pudo emitir un token válido. |
| 1202 | FreshCredentialSuccessAudit | El servicio de federación validó una nueva credencial. |
| 1203 | FreshCredentialFailureAudit | El servicio de federación no pudo validar una nueva credencial. |
Para más información, consulte la lista completa de eventos de AD FS aquí.
Eventos detallados de nivel de auditoría
| ID | Nombre del evento | Descripción del evento |
|---|---|---|
| 299 | TokenIssuanceSuccessAudit | Se emitió correctamente un token para el usuario de confianza. |
| 403 | RequestReceivedSuccessAudit | Se recibió una solicitud HTTP. Consulte la auditoría 510 con el mismo id. de instancia para los encabezados. |
| 410 | RequestContextHeadersSuccessAudit | Siguientes encabezados de contexto de solicitud presentes |
| 411 | SecurityTokenValidationFailureAudit | Error de validación de tokens. Vea la excepción interna para obtener más detalles. |
| 412 | AuthenticationSuccessAudit | Se ha autenticado correctamente un token de tipo '%3' para el usuario de confianza '%4'. Consulte la auditoría 501 con el mismo id. de instancia para conocer la identidad del autor de llamada. |
| 500 | IssuedIdentityClaims | Más información para la entrada del evento con el identificador de instancia %1. Puede haber más eventos con el mismo identificador de instancia con más información. |
| 501 | CallerIdentityClaims | Más información para la entrada del evento con el identificador de instancia %1. Puede haber más eventos con el mismo identificador de instancia con más información. |
Para más información, consulte la lista completa de eventos de AD FS aquí.
Prueba de la conectividad con el servicio de Microsoft Entra Connect Health
En ocasiones, el agente de Microsoft Entra Connect Health pierde la conectividad con el servicio Microsoft Entra Connect Health. Las causas de esta pérdida de conectividad pueden incluir problemas de red, problemas de permisos y otros problemas.
Si el agente no puede enviar datos al Servicio de mantenimiento de Microsoft Entra Connect durante más de dos horas, aparece la siguiente alerta en el portal: Los datos del servicio de salud no están actualizados.
Puede averiguar si el agente de Microsoft Entra Connect Health afectado puede cargar datos en el servicio Microsoft Entra Connect Health ejecutando el siguiente comando de PowerShell:
Test-AzureADConnectHealthConnectivity -Role ADFS
El parámetro de Role tiene actualmente los siguientes valores:
ADFSSyncADDS
Nota:
Para poder utilizar la herramienta de conectividad, primero debe registrar el agente. Si no puede completar el registro del agente, asegúrese de cumplir con todos los requisitos de Microsoft Entra Connect Health. La conectividad se prueba de forma predeterminada durante el registro del agente.
Supervisión de AD FS mediante Microsoft Entra Connect Health
Alertas de AD FS
La sección Alertas de Microsoft Entra Connect Health proporciona la lista de alertas activas. Cada alerta incluye información pertinente, pasos de resolución y vínculos a documentación relacionada.
Puede hacer doble clic en una alerta activa o una alerta resuelta para que se abra una hoja nueva con información adicional, pasos que puede seguir para resolver la alerta y vínculos a documentación relevante. También puede ver datos históricos sobre las alertas resueltas en el pasado.
Análisis de uso de AD FS
Análisis de uso de Microsoft Entra Connect Health analiza el tráfico de autenticación de los servidores de federación. Puede hacer doble clic en la casilla de análisis de uso para que se abra la hoja de análisis de uso, que le mostrará las métricas y las agrupaciones.
Nota
Para poder utilizar el análisis de uso con AD FS, debe asegurarse de que esté habilitada la auditoría de AD FS. Para obtener más información, consulte Habilitación de la auditoría para AD FS.
Para seleccionar otras métricas, especifique un intervalo de tiempo. Para cambiar la agrupación, haga clic con el botón derecho en el gráfico de análisis de uso y seleccione Editar gráfico. A continuación, puede especificar el intervalo de tiempo, seleccionar una métrica diferente y cambiar la agrupación. Puede ver la distribución del tráfico de autenticación según diferentes "métricas" y agrupar cada métrica con los correspondientes parámetros "Agrupar por" que se describen en la sección siguiente:
Métrica: número total de solicitudes: el número total de solicitudes procesadas por los servidores de AD FS.
| Agrupar por | ¿Qué significa la agrupación y por qué es útil? |
|---|---|
| All | Muestra el recuento del número total de solicitudes procesadas por todos los servidores de AD FS. |
| Application | Agrupa el número total de solicitudes en función del usuario de confianza de destino. Esta agrupación es útil para comprender qué aplicación está recibiendo tráfico y qué porcentaje del tráfico total recibe. |
| Server | Agrupa el número total de solicitudes según el servidor que procesó la solicitud. Esta agrupación es útil para comprender la distribución de la carga de tráfico total. |
| Unión al área de trabajo | Agrupa el número total de solicitudes en función de si las solicitudes proceden o no de dispositivos que están unidos al área de trabajo (conocidos). Esta agrupación es útil para comprender si el acceso a sus recursos se realiza con dispositivos que son desconocidos para la infraestructura de identidades. |
| Método de autenticación | Agrupa el número total de solicitudes en función del método de autenticación utilizado para la autenticación. Esta agrupación es útil para comprender el método de autenticación común que se utiliza para la autenticación. A continuación, se indican los métodos de autenticación posibles
Si los servidores de federación reciben la solicitud con una cookie de SSO, esa solicitud se considera como SSO (inicio de sesión único). En estos casos, si la cookie es válida, no se pide al usuario que proporcione credenciales y obtiene acceso a la aplicación sin problemas. Este comportamiento es habitual si tiene varios usuarios de confianza protegidos por los servidores de federación. |
| Ubicación de red | Agrupa el número total de solicitudes en función de la ubicación de red del usuario. Puede ser intranet o extranet. Esta agrupación es útil para saber qué porcentaje del tráfico es de intranet y cuál de extranet. |
Métrica: número total de solicitudes con error: el número total de solicitudes con error procesadas por el servicio de federación. (Esta métrica solo está disponible en AD FS para Windows Server 2012 R2)
| Agrupar por | ¿Qué significa la agrupación y por qué es útil? |
|---|---|
| Tipo de error | Muestra el número de errores en función de los tipos de error predefinidos. La agrupación es útil para comprender cuáles son los tipos de errores comunes.
|
| Server | Agrupa los errores en función del servidor. Esta agrupación es útil para comprender la distribución de errores entre servidores. Una distribución desigual podría indicar que un servidor presenta un estado defectuoso. |
| Ubicación de red | Agrupa los errores en función de la ubicación de red de las solicitudes (intranet frente a extranet). Esta agrupación es útil para comprender qué tipo de solicitud está fallando. |
| Application | Agrupa los errores en función de la aplicación de destino (usuario de confianza). Esta agrupación es útil para comprender qué aplicación de destino está experimentando una mayor cantidad de errores. |
Métrica: recuento de usuarios: el número medio de usuarios únicos que se autentican activamente mediante AD FS
| Agrupar por | ¿Qué significa la agrupación y por qué es útil? |
|---|---|
| All | Esta métrica proporciona un recuento del número medio de usuarios mediante el servicio de federación en el intervalo de tiempo seleccionado. Los usuarios no están agrupados. El promedio depende del intervalo de tiempo seleccionado. |
| Application | Agrupa el número medio de usuarios en función de la aplicación de destino (usuario de confianza). Esta agrupación es útil para comprender cuántos usuarios utilizan una aplicación y determinar qué aplicación. |
Supervisión del rendimiento de AD FS
Supervisión de rendimiento de Microsoft Entra Connect Health proporciona información de supervisión sobre métricas. Si selecciona la casilla Supervisión, se abrirá una hoja nueva con información detallada sobre las métricas.
Al seleccionar la opción Filtro en la parte superior de la hoja, puede filtrar por servidor para ver las métricas de un servidor individual. Para cambiar las métricas, haga clic con el botón derecho en el diagrama de supervisión en la hoja de supervisión y seleccione Editar gráfico (o seleccione el botón del mismo nombre). En la nueva hoja que se abre, puede seleccionar métricas adicionales en la lista desplegable y especificar un intervalo de tiempo para la visualización de los datos de rendimiento.
Primeros 50 usuarios con errores de inicio de sesión por nombre de usuario y contraseña no válidos
Una de las causas comunes de los errores de solicitud de autenticación en un servidor de AD FS es una solicitud con credenciales no válidas, es decir, un nombre de usuario o una contraseña incorrectos. Esto le suele pasar a los usuarios debido a contraseñas olvidadas o complejas, o a errores tipográficos.
Pero hay otros motivos que pueden provocar que los servidores de AD FS tengan que controlar una número inesperado de solicitudes: Una aplicación que almacena en caché las credenciales de usuario y estas expiran, o un usuario malintencionado que intenta iniciar sesión en una cuenta con una serie de contraseñas conocidas. Estos dos ejemplos son motivos válidos que podrían dar lugar a un aumento repentino de las solicitudes.
Microsoft Entra Connect Health para ADFS proporciona un informe con los primeros 50 usuarios con errores de intento de inicio de sesión por nombre de usuario o una contraseña no válidos. Este informe se logra mediante el procesamiento de los eventos de auditoría generados por todos los servidores de AD FS en las granjas.
En este informe, tiene un acceso sencillo a los elementos de información siguientes:
- Nº total de solicitudes con error por nombre de usuario o contraseña incorrectos en los últimos 30 días
- Número promedio de usuarios con error de inicio de sesión por nombre de usuario o contraseña incorrectos por día.
Al hacer clic en esta parte, se abre la hoja del informe principal que proporciona información adicional. Esta hoja incluye un gráfico con información de tendencias para ayudar a establecer una línea base sobre las solicitudes con contraseña o nombre de usuario incorrecto. Además, proporciona la lista de los 50 usuarios qué más intentos fallidos realizaron en la semana anterior. Observe que la lista de los 50 usuarios desde la última semana podría ayudar a identificar los picos de contraseñas incorrectas.
El gráfico ofrece la siguiente información:
- El número total diario de inicios de sesión erróneos debido a un nombre de usuario o una contraseña incorrectos.
- El número total diario de usuarios únicos con errores de inicio de sesión.
- Dirección IP del cliente de la última solicitud
El informe ofrece la siguiente información:
| Elemento de informe | Descripción |
|---|---|
| Id. de usuario | Muestra el identificador de usuario que se usó. Este valor es lo que el usuario escribió, que en algunos casos es el identificador de usuario equivocado que se va a utilizar. |
| Intentos con error | Muestra el número total de intentos con error para ese identificador de usuario específico. La tabla está ordenada por el mayor número de intentos con error en orden descendente. |
| Último error | Muestra la marca de tiempo del momento en que se produjo el último error. |
| Última IP con error | Muestra la dirección IP del cliente de la última solicitud incorrecta. Si ve más de una dirección IP en este valor, se puede deber a que incluye la dirección IP de reenvío del cliente junto con la dirección IP del último intento del usuario. |
Nota
Este informe se actualiza automáticamente cada 12 horas con la información recopilada durante este período. Como resultado, puede que el informe no incluya los intentos de inicio de sesión de las últimas 12 horas.