Configuración de Acceso privado de Microsoft Entra para controladores de dominio de Active Directory

Visión general

En esta guía se describe cómo configurar Acceso privado de Microsoft Entra para controladores de dominio (DCs) de Active Directory. Esta funcionalidad ayuda a reforzar el acceso seguro para los usuarios locales aplicando el acceso condicional o MFA a las aplicaciones locales que usan la autenticación Kerberos con los controladores de dominio.

Prerrequisitos

Para configurar Acceso privado de Microsoft Entra para controladores de dominio de Active Directory, debe tener lo siguiente:

  • El rol Administrador global de acceso seguro en Microsoft Entra ID.
  • El producto requiere licencias. Para obtener más información, consulte la sección de licencias de ¿Qué es el acceso seguro global? Si es necesario, puedes comprar una licencia u obtener licencias de prueba.
  • Una máquina cliente que ejecuta al menos Windows 10 y es un dispositivo unido a Microsoft Entra o híbrido. La máquina cliente también debe poder acceder directamente a los recursos privados y al controlador de dominio (DC), ya que el usuario se encuentra en una red corporativa y está accediendo a recursos internos. La identidad de usuario que se usa para unir el dispositivo y acceder a estos recursos debe crearse en Active Directory (AD) y sincronizarse con el identificador de Microsoft Entra mediante Microsoft Entra Connect.
  • El conector de red privada más reciente de Microsoft Entra está instalado y tiene una línea de visión al controlador de dominio (DC).
  • Abra el puerto 1337 del Protocolo de Control de Transmisión (TCP) de entrada en el firewall de Windows en los DC.
  • Permita la conectividad de red saliente requerida por el sensor de acceso privado. Para ver las direcciones URL y puertos necesarios, consulte Requisitos de red.
  • Los nombres principales de servicio (SPN) de las aplicaciones privadas que desea proteger. Estos SPN se agregan en la política para los Sensores de Acceso Privado instalados en los DC.

Nota:

Los SPNs no distinguen mayúsculas de minúsculas y deben ser una coincidencia exacta o un carácter comodín en el formato <serviceclass>/* como cifs/*.

  • Instale el sensor de acceso privado más reciente en el controlador de dominio. Para obtener detalles sobre la versión, consulte las notas de la versión de Private Access Sensor. Solo se puede instalar un sensor de acceso privado en un controlador de dominio. La instalación silenciosa se admite con la versión 2.2.0 o posterior del sensor de acceso privado y powerShell versión 5.x.
  • Para probar esta funcionalidad, puede instalar sensores en algunos controladores de dominio de un sitio que emita vales de Kerberos para los SPN que desea proteger. De forma predeterminada, se instala un sensor en modo Audit y debe cambiarlo al modo enforce.
  • Como procedimiento recomendado, pruebe primero esta funcionalidad con las aplicaciones privadas. Puede imponer MFA al propio controlador de dominio utilizando su SPN. Sin embargo, considere la posibilidad de probarlo en una fase posterior para evitar problemas de bloqueo de administrador.
  • Si usa NT LAN Manager (NTLM) v1/v2 en su entorno, es posible que tenga que restringir NTLM y usar la autenticación Kerberos en el dominio.

Nota:

Establecer la directiva Restringir la autenticación NTLM: NTLM en este dominio sin realizar una evaluación de impacto en primer lugar podría provocar una interrupción del servicio para esas aplicaciones y usuarios que siguen usando la autenticación NTLM.

Guía de auditoría y restricción del uso de NTLM | Microsoft LearnUso de directivas de seguridad para restringir el tráfico NTLM | Microsoft Learn

Requisitos de red

El sensor de acceso privado se comunica con el mismo servicio en la nube Microsoft Entra que el conector de red privada Microsoft Entra, por lo que requiere la misma conectividad de red saliente. Permitir el acceso saliente a las siguientes direcciones URL:

URL Puerto Cómo se usa
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicación entre el sensor y el servicio en la nube Microsoft Entra.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com		 80/HTTP El sensor usa estas direcciones URL para comprobar los certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS El sensor usa estas direcciones URL durante y más allá del proceso de registro.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP El sensor usa estas direcciones URL durante y más allá del proceso de registro.

Si el firewall o el proxy le permiten configurar reglas de acceso basadas en sufijos de dominio, puede permitir conexiones a *.msappproxy.net, *.servicebus.windows.nety las otras direcciones URL de la tabla. Si no es así, permita el acceso a los intervalos IP Azure y etiquetas de servicio: nube pública, que se actualizan semanalmente.

Estos requisitos coinciden con el conector de red privada Microsoft Entra. Para las tablas de origen, consulte Permitir el acceso a direcciones URL y Puertos abiertos.

Importante

Evite cualquier forma de inspección insertada y terminación en comunicaciones TLS salientes entre el sensor de acceso privado y el servicio en la nube de Microsoft Entra.

Compatibilidad con proxy de salida

Si el entorno enruta el tráfico saliente a través de un servidor proxy, el sensor de acceso privado puede comunicarse con el servicio en la nube de Microsoft Entra a través de un proxy de salida, igual que el conector de red privada de Microsoft Entra.

Para enrutar el tráfico del sensor a través de un proxy de salida:

  1. En el controlador de dominio, abra el C:\Program Files\Private Access Sensor\bin\PaSensorServices.exe.config archivo.

  2. Dentro del <configuration> elemento , agregue la sección siguiente system.net . Reemplace por proxyserver:8080 el nombre del servidor proxy o la dirección IP y el puerto. Incluya el http:// prefijo incluso cuando use una dirección IP.

    <system.net>
  <defaultProxy>
    <proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True" />
  </defaultProxy>
</system.net>

  3. Guarde el archivo y reinicie el servicio Private Access Sensor.

No se admite la autenticación de proxy, por lo que permite el acceso anónimo del sensor a los destinos necesarios. Para más información sobre los escenarios de proxy de salida, consulte Trabajar con servidores proxy locales existentes.

Pasos de configuración

Siga estos pasos para configurar Acceso privado de Microsoft Entra para controladores de dominio de Active Directory.

1. Descargar e instalar el conector de red privada de Microsoft Entra

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Acceso Seguro Global>Conectar>Conectores y sensores>Conectores de red privada.
  3. Descargue la versión más reciente del conector de red privada.
  4. Instale el conector en una instancia de Windows Server que tenga acceso directo al controlador de dominio.
  5. Después de la instalación, compruebe que el estado del conector es Activo en el Centro de administración de Microsoft Entra.

Sugerencia

Anote las direcciones IP privadas de los conectores (por ejemplo, 10.5.0.7). Necesita las direcciones IP al configurar la directiva de sensor de acceso privado.

2. Creación de una aplicación de acceso seguro global

Cree una nueva aplicación empresarial o use acceso rápido para publicar los controladores de dominio mediante sus direcciones IP o nombre de dominio completo (FQDN). La publicación de los DC permite a los clientes de acceso seguro global obtener vales Kerberos. Además, use el acceso rápido para configurar los SPN. En este ejemplo, se usa acceso rápido para configurar ambos.

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Global Secure Access>Applications>Quick Access>Application segment, y luego seleccione Añadir segmento de aplicación de acceso rápido. Use el puerto 88 y seleccione TCP.
  3. A continuación, vaya a Nombre principal de servicio y luego seleccione Agregar Nombre principal de servicio para agregar los SPN para los recursos que desea proteger. El sistema entrega automáticamente estos SPN a los sensores de acceso privado instalados en los controladores de dominio.

Diagrama que muestra la configuración de acceso rápido al configurar la integración de Acceso privado de Microsoft Entra con controladores de dominio de Active Directory.

3. Asignar usuarios y configurar el acceso condicional

  1. En la página de configuración de la aplicación, Acceso rápido en este ejemplo, seleccione Usuarios y grupos.
  2. Seleccione Agregar usuario o grupo para asignar los usuarios que se sincronizan desde Active Directory en la aplicación Microsoft Entra donde configuró los controladores de dominio.
  3. Cree una directiva de acceso condicional que requiera autenticación resistente a la suplantación de identidad para estos usuarios.

4. Habilitar el perfil de acceso privado

  1. Inicie sesión en el centro de administración de Microsoft Entra.
  2. Vaya a Global Secure Access>Connect>Reenvío de tráfico>Perfil de Acceso Privado.
  3. Habilite el perfil de acceso privado.

Captura de pantalla que muestra el perfil de reenvío de tráfico de Acceso privado activado en el Centro de administración de Microsoft Entra.

5. Instalación del cliente de acceso seguro global

  1. Descargue el cliente de Windows de Acceso seguro global>Conectar>Descarga del cliente>Windows 10/11.
  2. Instale el cliente en un dispositivo Windows 10/11 unido a Microsoft Entra o unión híbrida.
  3. Asegúrese de que el dispositivo cliente tenga línea de visión a las aplicaciones privadas y al controlador de dominio.
  4. Después de la instalación, pause (deshabilite) el cliente.

6. Instalar el sensor de acceso privado en el controlador de dominio

  1. Descargue el sensor de acceso privado para el controlador de dominio desde el centro de administración de Microsoft Entra en Acceso seguro global>Conectar>Conectores y sensores>Sensores de acceso privado>Descargar sensor de acceso privado.
  2. Para instalar el sensor, seleccione el Instalador del sensor de acceso privado y siga los pasos.
  3. Durante la instalación, inicie sesión con un usuario de Microsoft Entra ID cuando se le solicite.
  4. Después de la instalación, en el Centro de administración de Microsoft Entra, vaya a Global Secure Access>Connect>Conectores y sensores>Sensores de acceso privado y compruebe que el estado del sensor es Activo.

Captura de pantalla que muestra el sensor de acceso privado como activado en el Centro de administración de Microsoft Entra.

Importante

Para actualizar al sensor de acceso privado versión 2.1.31, desinstale el sensor anterior y, a continuación, instale el nuevo sensor. Puede actualizar localmente desde las versiones 2.1.31 y posteriores del sensor.

7. Instalación silenciosa del sensor (sin autenticación interactiva)

En el caso de los entornos empresariales que implementan sensores en varios controladores de dominio, la instalación silenciosa permite la implementación automatizada sin necesidad de inicio de sesión interactivo en cada controlador de dominio. Este enfoque es útil al implementar en servidores que no tienen una GUI, se encuentran en ubicaciones remotas o cuando se usan herramientas de automatización de implementación como directiva de grupo, Microsoft Endpoint Configuration Manager o scripts. Al generar un token sin conexión en una estación de trabajo con acceso al explorador, puede registrar sensores en varios controladores de dominio sin necesidad de autenticarse de forma interactiva en cada servidor. La instalación silenciosa se admite con la versión 2.2.0 o posterior del sensor de acceso privado y powerShell versión 5.x.

  1. Descargue el sensor en el servidor controlador de dominio (DC) y ejecute este comando en una ventana de comandos o PowerShell con privilegios de administrador para instalarse silenciosamente.
.\PrivateAccessSensor.exe /quiet SKIPREGISTRATION="true"

  1. Registro de sensor

    a) Genere un token sin conexión mediante este script de PowerShell. Este script debe abrir un elemento emergente interactivo del explorador para autenticarse con sus credenciales, por lo que se recomienda hacerlo en un equipo con una GUI, acceso a Internet y un explorador.

    # Microsoft Private Access / Global Secure Access – Token acquisition script
# Works silently on any Windows machine with PowerShell 5.x (GUI + browser required)

if (-not (Get-PSRepository -Name PSGallery -ErrorAction SilentlyContinue)) { Register-PSRepository -Default }
Set-PSRepository -Name PSGallery -InstallationPolicy Trusted

if (-not (Get-PackageProvider -Name NuGet -ErrorAction SilentlyContinue)) {
     Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force -Scope CurrentUser
}

if (-not (Get-PackageSource -Name "nuget.org" -ProviderName NuGet -ErrorAction SilentlyContinue)) {
     Register-PackageSource -Name "nuget.org" -Location "https://www.nuget.org/api/v2" -ProviderName NuGet -Trusted -Force
}

$abstractionsVersion = "6.22.0"
if (-not (Get-Package Microsoft.IdentityModel.Abstractions -ProviderName NuGet -RequiredVersion $abstractionsVersion -ErrorAction SilentlyContinue)) {
     Install-Package Microsoft.IdentityModel.Abstractions -ProviderName NuGet -RequiredVersion $abstractionsVersion -Force -Scope CurrentUser
}

$msalVersion = "4.53.0"
if (-not (Get-Module -ListAvailable Microsoft.Identity.Client | Where-Object Version -eq $msalVersion)) {
     Install-Module Microsoft.Identity.Client -RequiredVersion $msalVersion -Force -Scope CurrentUser -AllowClobber
}

# Load Abstractions DLL
$pkg = Get-Package Microsoft.IdentityModel.Abstractions -ProviderName NuGet -RequiredVersion $abstractionsVersion
$folder = if ($pkg.Source -like "*.nupkg") { Split-Path $pkg.Source -Parent } else { $pkg.Source }
Add-Type -Path (Join-Path $folder "lib\net461\Microsoft.IdentityModel.Abstractions.dll")

# Load MSAL DLL
$msal = Get-Module -ListAvailable Microsoft.Identity.Client | Where-Object Version -eq $msalVersion | Select-Object -First 1
Add-Type -Path (Join-Path $msal.ModuleBase "Microsoft.Identity.Client.dll")

# -------------------------- Authentication --------------------------
$connectorAppId             = "55747057-9b5d-4bd4-b387-abf52a8bd489" # This is the standard Application (Principal) ID for Azure AD Application Proxy in Microsoft Entra ID
$registrationServiceAppIdUri = "https://proxy.cloudwebappproxy.net/registerapp/user_impersonation"

$scopes = [System.Collections.ObjectModel.Collection[string]]::new()
$scopes.Add($registrationServiceAppIdUri)

$app = [Microsoft.Identity.Client.PublicClientApplicationBuilder]::Create($connectorAppId).WithAuthority("https://login.microsoftonline.com/common/oauth2/v2.0/authorize").WithDefaultRedirectUri().Build()

$authResult = $app.AcquireTokenInteractive($scopes).ExecuteAsync().GetAwaiter().GetResult()

if ($authResult.AccessToken) {
     $token    = $authResult.AccessToken   
     $tenantId = $authResult.TenantId   
     Write-Host "`nSuccess: Token acquired successfully. You can access the value by typing $token in your PowerShell" -ForegroundColor Green
}
else {
     Write-Warning "Authentication failed or no token was returned"
}

    Puede acceder al valor escribiendo $token y $tenantId respectivamente en PowerShell. Copie el valor de estos como texto sin formato y establézcalo manualmente como $token y $tenantId respectivamente en su máquina servidor DC.

    b. En el equipo servidor, convierta su $token que copió en una cadena segura.

    $SecureToken = $Token | ConvertTo-SecureString -AsPlainText -Force

    c. Registre el sensor mediante el $SecureToken creado en el último paso y $tenantId. El RegisterConnector.ps1 script debe estar en C:\Program Files\Private Access Sensor\bin.

    .\RegisterConnector.ps1 -modulePath "C:\Program Files\Private Access Sensor\bin" -moduleName "MicrosoftEntraPrivateNetworkConnectorPSModule" -Authenticationmode Token -Token $SecureToken -TenantId $tenantId -Feature PrivateAccess

Si ya tiene otro sensor registrado, es posible que tenga que ejecutar .\CleanRegistrationCmd.bat primero.

8. Configurar los archivos de directiva del sensor de acceso privado

La instalación del sensor crea dos archivos de directiva JSON (cloudpolicy y localpolicy) en la ruta de instalación del sensor. No modifique el cloudpolicy archivo.

  1. Confirme que los SPN configurados anteriormente están presentes en el cloudpolicy archivo.
  2. En el archivo localpolicy, agregue las direcciones IP privadas del conector al SourceIPAllowList y guárdelo. Solo se permiten solicitudes Kerberos de estas direcciones IP del conector; otras están bloqueadas.
  3. Si agrega o actualiza SPN o direcciones IP del conector, los cambios pueden tardar unos minutos en surtir efecto. No es necesario reiniciar los sensores.

Importante

El sensor de acceso privado se instala en modo auditoría (solo informe) de forma predeterminada. Para aplicar MFA, establezca el SensorMode para PrivateAccessSensor en EnforceMode en Acceso seguro global>Conectar>Conectores y sensores>Sensores de acceso privado. Puede tardar unos minutos en actualizar el modo de sensor. En el caso de las versiones 2.1.31 y posteriores del sensor de acceso privado, solo puede actualizar este modo desde el Centro de administración de Microsoft Entra y no la clave del Registro desde el sensor de acceso privado.

Exclusiones e inclusiones para SPNs

Al configurar Nombres Principal de Servicio (SPN) en la política del sensor de acceso privado, es posible que tenga usuarios o máquinas en su entorno que no tengan instalado el cliente de acceso seguro global. Para permitir que estos usuarios o máquinas accedan a los SPN especificados después de implementar el sensor de acceso privado, puede configurar exclusiones o inclusiones para cada SPN desde el Centro de administración de Microsoft Entra o en el localpolicy archivo. Las exclusiones o inclusiones configuradas desde el Centro de administración de Microsoft Entra están presentes en el cloudpolicy archivo.

Nota:

Tanto cloudpolicy como localpolicy se evalúan para comprobar el acceso.

Si no define una exclusión para un SPN determinado, el comportamiento predeterminado bloquea todo el acceso directo a ese SPN, excepto los dispositivos con el cliente de acceso seguro global instalado.

Exclusiones

Las exclusiones permiten que usuarios o máquinas específicos accedan a los SPN configurados sin necesidad de que el cliente de acceso seguro global. Puede agregar exclusiones por:

  • Dirección IP de cliente
  • Intervalos de direcciones IP
  • Nombre principal de usuario (UPN) local, como username@domain. UPN es compatible con la versión 2.1.31 o superior del sensor de acceso privado y no distingue entre mayúsculas y minúsculas. Nombre de usuario, que es la primera parte del UPN, se admite con las versiones anteriores del sensor y solo se puede agregar en el archivo localpolicy. Use UPN en lugar de nombres de usuario. Los UPN para usuarios locales se pueden agregar desde el Centro de administración de Microsoft Entra. Estos pueden ser UPN para los usuarios locales que están sincronizados con Microsoft Entra ID, o locales en Active Directory y no sincronizados con Microsoft Entra ID.

Nota:

Los UPN de usuarios locales que son locales en Active Directory y no están sincronizados con Microsoft Entra ID solo se pueden agregar al archivo localpolicy en las versiones del sensor de acceso privado anteriores a la 2.2.0.

Puede configurar varias direcciones IP, varios intervalos IP o ambos para un único SPN. Del mismo modo, puede excluir varios nombres de usuario para un SPN.

Inclusiones

Si necesita permitir el acceso a muchos usuarios, puede especificar en su lugar una lista de inclusión de UPN para cada SPN. Al configurar usuarios incluidos para un SPN, solo es necesario que los usuarios tengan el cliente de Acceso seguro global. Los usuarios no incluidos en la lista pueden acceder al SPN sin el cliente.

Importante

Un SPN puede tener una lista de inclusión de UPN o una lista de exclusión de UPN, pero no ambas.

Combinación de exclusiones e inclusiones

  • Puede configurar tanto la inclusión de UPN como la exclusión de IP para un SPN determinado.
  • Puede configurar la exclusión de UPN y la exclusión de IP para un SPN determinado.
  • Si existe una coincidencia en la política tanto para la inclusión de UPN como para la exclusión de IP, se permite el acceso al SPN.
  • Si una directiva coincide con más de una regla (como, por ejemplo, un comodín), se permite el acceso al SPN si coincide con al menos una de las reglas de exclusión.

Sugerencia

Use exclusiones e inclusiones para ajustar el acceso a los usuarios y dispositivos que no tienen el cliente de acceso seguro global, lo que garantiza la continuidad empresarial al tiempo que mantiene los controles de seguridad.

Ejemplo de cómo configurar exclusiones e inclusiones de nombre de usuario de SPN desde el Centro de administración de Microsoft Entra:

Captura de pantalla que muestra el archivo localpolicy que muestra cómo configurar el archivo para exclusiones e inclusiones de nombre de usuario de SPN.

Modo de cuenta de emergencia

  • El sensor de acceso privado admite un modo de cuenta de emergencia para permitir todo el tráfico en situaciones de emergencia.
  • Para habilitar el modo de emergencia desde el centro de administración de Microsoft Entra:
    1. Vaya a Global Secure Access>Connect>Conectores y sensores.
    2. En la pestaña Sensores de acceso privado , seleccione un nombre en la lista de sensores de acceso privado.
    3. En Configuración, seleccione Habilitar modo de emergencia. Los cambios pueden tardar unos minutos en propagarse.
  • También puede habilitar el modo de emergencia cambiando la clave del registro TmpBreakglass (DWORD) en HKLM\SOFTWARE\Microsoft\PrivateAccessSensor de 0 a 1 en el controlador de dominio en el que está instalado el Sensor de acceso privado. Debe reiniciar los sensores para aplicar actualizaciones a la clave del Registro.

9. Prueba de Acceso privado de Microsoft Entra para controladores de dominio

  1. Mantenga desactivado el cliente de acceso seguro global y los sensores de acceso privado.
  2. Confirme que los FQDN/DC IP configurados en la aplicación de acceso rápido están presentes en la política de cliente de acceso seguro global. Compruebe a través del icono de la bandeja del sistema de Acceso Seguro Global: Diagnósticos Avanzados>Perfil de reenvío de tráfico.
  3. (Opcional) Ejecute nltest desde la máquina cliente para enumerar los controladores de dominio.
  4. Ejecute klist purge para borrar todos los vales de Kerberos.
  5. Use klist tgt get cifs/SPN o acceda al recurso compartido del Bloque de Mensajes del Servidor (SMB) para comprobar el acceso al recurso de destino.
  6. Active el servicio De sensor de acceso privado (mantenga desactivado el cliente de acceso seguro global).
  7. Intentar acceder al recurso compartido de archivos SMB; el sensor debe bloquear la solicitud.
  8. Active el cliente de acceso seguro global e intente acceder de nuevo al SPN. Debe recibir tickets de Kerberos y es posible que se requiera MFA si la directiva de acceso condicional lo exige.
  9. Para comprobar que el tráfico Kerberos se tuneliza a través de Acceso Seguro Global, use Diagnósticos avanzados en el cliente de Acceso Seguro Global.

10. Investigación y solución de problemas

  • Use el Visor de eventos de Registros de aplicaciones y servicios>Microsoft>Windows>Private Access Sensor para revisar los registros del Private Access Sensor. Captura de pantalla que muestra la página Visor de eventos.
  • Para recopilar registros del sensor de acceso privado, ejecute PrivateAccessSensorLogsCollector desde la ruta de instalación del sensor y comparta el archivo ZIP generado con soporte técnico de Microsoft.
  • Para los registros del cliente de Global Secure Access:
    1. Haga clic con el botón derecho en el icono de la bandeja de acceso seguro global.
    2. Seleccione Diagnósticos Avanzados>Recopile registros avanzados>.
    3. Reproduzca el problema y, a continuación, detenga la recopilación de registros y envíe los registros al soporte técnico de Microsoft.

Sugerencia

Si tiene problemas, proporcione capturas de pantalla, salidas de comandos y registros recopilados al soporte técnico de Microsoft para obtener más ayuda.

Contenido relacionado

  • Last updated on