Upravit

Sdílet prostřednictvím


Předávací ověřování Microsoft Entra: Nejčastější dotazy

Tento článek se zabývá nejčastějšími dotazy k předávacímu ověřování Microsoft Entra. Pokračujte v kontrole aktualizovaného obsahu.

Kterou z metod přihlášení k Microsoft Entra ID, předávacímu ověřování, synchronizaci hodnot hash hesel a Active Directory Federation Services (AD FS) (AD FS) mám zvolit?

Projděte si tuto příručku , kde najdete porovnání různých metod přihlašování Microsoft Entra a způsobu výběru správné metody přihlašování pro vaši organizaci.

Je předávací ověřování bezplatnou funkcí?

Předávací ověřování je bezplatná funkce. K jeho použití nepotřebujete žádné placené edice Microsoft Entra ID.

Funguje podmíněný přístup s předávacím ověřováním?

Ano. Všechny možnosti podmíněného přístupu , včetně vícefaktorového ověřování Microsoft Entra, fungují s předávacím ověřováním.

Podporuje předávací ověřování jako uživatelské jméno alternativní ID místo userPrincipalName?

Ano, předávací ověřování (PTA) i synchronizace hodnot hash hesel (PHS) podporují přihlášení pomocí jiné hodnoty než UPN, jako je alternativní e-mail. Další informace o alternativním přihlašovacím ID.

Funguje synchronizace hodnot hash hesel jako záložní pro předávací ověřování?

Ne. Předávací ověřování neprovádí automatické převzetí služeb při selhání synchronizace hodnot hash hesel. Abyste se vyhnuli chybám přihlašování uživatelů, měli byste nakonfigurovat předávací ověřování pro zajištění vysoké dostupnosti.

Co se stane, když přepnu ze synchronizace hodnot hash hesel na předávací ověřování?

Když použijete Microsoft Entra Connect k přepnutí přihlašovací metody ze synchronizace hodnot hash hesel na předávací ověřování, předávací ověřování se stane primární metodou přihlašování pro uživatele ve spravovaných doménách. Hodnoty hash hesel všech uživatelů, které byly dříve synchronizovány synchronizací hodnot hash hesel, zůstanou uloženy v Microsoft Entra ID.

Můžu nainstalovat privátní síťový konektor Microsoft Entra na stejný server jako předávací ověřovací agent?

Ano. Tuto konfiguraci podporují verze předávacího ověřovacího agenta verze 1.5.193.0 nebo novější.

Jaké verze microsoft Entra Connect a předávacího ověřovacího agenta potřebujete?

Aby tato funkce fungovala, potřebujete pro agenta předávacího ověřování verzi 1.1.750.0 nebo novější pro Microsoft Entra Connect a 1.5.193.0 nebo novější. Nainstalujte veškerý software na servery s Windows Serverem 2012 R2 nebo novějším.

Proč můj konektor stále používá starší verzi a neupgraduje se automaticky na nejnovější verzi?

Příčinou může být to, že služba aktualizátoru nefunguje správně nebo pokud nejsou k dispozici žádné nové aktualizace, které může služba nainstalovat. Služba aktualizátoru je v pořádku, pokud je spuštěná a v protokolu událostí nejsou zaznamenány žádné chyby (protokoly aplikací a služeb –> Microsoft –> AzureADConnect-Agent –> Updater –> Admin).

Pro automatický upgrade se vydávají pouze hlavní verze. Agenta doporučujeme aktualizovat ručně jenom v případě potřeby. Například nemůžete čekat na hlavní verzi, protože musíte opravit známý problém nebo chcete použít novou funkci. Další informace o nových verzích, typ vydané verze (stažení, automatický upgrade), opravy chyb a nové funkce najdete v tématu předávacího agenta Microsoft Entra: historie verzí.

Ruční upgrade konektoru:

  • Stáhněte si nejnovější verzi agenta. (Najdete ho v části Microsoft Entra Connect Předávací ověřování na stránce Centrum pro správu Microsoft Entra Odkaz najdete také na předávacím ověřování Microsoft Entra: Historie verzí.
  • Instalační program restartuje služby agenta Microsoft Entra Connect Authentication Agent. V některých případech se vyžaduje restartování serveru, pokud instalační program nemůže nahradit všechny soubory. Před zahájením upgradu doporučujeme zavřít všechny aplikace.
  • Spusťte instalační program. Proces upgradu je rychlý a nevyžaduje zadání přihlašovacích údajů a agent není znovu zaregistrovaný.

Co se stane, když vypršela platnost hesla uživatele a pokusí se přihlásit pomocí předávacího ověřování?

Pokud jste nakonfigurovali zpětný zápis hesla pro konkrétního uživatele a pokud se uživatel přihlásí pomocí předávacího ověřování, může změnit nebo resetovat hesla. Hesla se zapisují zpět do místní Active Directory podle očekávání.

Pokud jste pro konkrétního uživatele nenakonfigurovali zpětný zápis hesla nebo pokud uživatel nemá přiřazenou platnou licenci Microsoft Entra ID, nemůže uživatel aktualizovat heslo v cloudu. Nemůžou aktualizovat svoje heslo, ani když vypršela platnost hesla. Místo toho se uživateli zobrazí tato zpráva: "Vaše organizace neumožňuje aktualizovat heslo na tomto webu. Aktualizujte ji podle metody doporučené vaší organizací nebo se zeptejte správce, jestli potřebujete pomoct." Uživatel nebo správce musí resetovat heslo v místní Active Directory.

Uživatel se přihlásí k Microsoft Entra ID pomocí přihlašovacích údajů (uživatelské jméno, heslo). Do té doby vyprší platnost hesla uživatele, ale uživatel bude mít přístup k prostředkům Microsoft Entra. Proč tomu tak je?

Vypršení platnosti hesla neaktivuje odvolání ověřovacích tokenů ani souborů cookie. Dokud nebudou tokeny nebo soubory cookie platné, uživatel je bude moct používat. To platí bez ohledu na typ ověřování (PTA, PHS a federované scénáře).

Další podrobnosti najdete v následující dokumentaci:

Přístupové tokeny platformy Microsoft Identity Platform – Microsoft Identity Platform | Microsoft Docs

Jak vás předávací ověřování chrání před útoky hrubou silou na hesla?

Co komunikují předávací ověřovací agenti přes porty 80 a 443?

  • Agenti ověřování pro všechny operace funkcí zpřístupní požadavky HTTPS přes port 443.

  • Ověřovací agenti zasílali požadavky HTTP přes port 80, aby si stáhli seznamy odvolaných certifikátů TLS/SSL (CRLs).

    Poznámka:

    Nedávné aktualizace snížily počet portů, které funkce vyžaduje. Pokud máte starší verze microsoft Entra Connect nebo ověřovacího agenta, nechte tyto porty otevřené i: 5671, 8080, 9090, 9091, 9350, 9352 a 10100-10120.

Můžou předávací ověřovací agenti komunikovat přes odchozí webový proxy server?

Ano. Pokud je ve vašem místním prostředí povolené automatické zjišťování webového proxy serveru (WPAD), ověřovací agenti se automaticky pokusí vyhledat a použít webový proxy server v síti. Další informace o používání odchozího proxy serveru najdete v tématu Práce se stávajícími místními proxy servery.

Pokud ve svém prostředí nemáte WPAD, můžete přidat informace o proxy serveru, abyste umožnili předávacímu ověřovacímu agentovi komunikovat s Microsoft Entra ID:

  • Před instalací předávacího ověřovacího agenta na server nakonfigurujte informace o proxy serveru v Internet Exploreru. To vám umožní dokončit instalaci ověřovacího agenta, ale stále se zobrazuje jako Neaktivní na portálu pro správu.
  • Na serveru přejděte na C:\Program Files\Microsoft Azure AD Connect Authentication Agent.
  • Upravte konfigurační soubor AzureADConnectAuthenticationAgentService a přidejte následující řádky (nahraďte "http://contosoproxy.com:8080" se skutečnou adresou proxy serveru):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Můžu na stejný server nainstalovat dva nebo více agentů předávacího ověřování?

Ne, na jeden server můžete nainstalovat pouze jednoho předávacího ověřovacího agenta. Pokud chcete nakonfigurovat předávací ověřování pro vysokou dostupnost, postupujte podle zde uvedených pokynů.

Musím ručně obnovit certifikáty používané agenty předávacího ověřování?

Komunikace mezi každým předávacím ověřovacím agentem a ID Microsoft Entra je zabezpečená pomocí ověřování na základě certifikátů. Tyto certifikáty se automaticky obnovují každých několik měsíců pomocí ID Microsoft Entra. Tyto certifikáty není nutné obnovovat ručně. Starší certifikáty s vypršenou platností můžete vyčistit podle potřeby.

Jak můžu odebrat agenta předávacího ověřování?

Pokud je spuštěný předávací ověřovací agent, zůstane aktivní a průběžně zpracovává žádosti o přihlášení uživatelů. Pokud chcete odinstalovat ověřovacího agenta, přejděte do Ovládacích panelů –> Programy –> Programy a funkce. Odinstalujte agenta Microsoft Entra Connect Authentication i aplikace Microsoft Entra Connect Agent Updater.

Pokud zkontrolujete okno Předávací ověřování v Centru pro správu Microsoft Entra jako alespoň správce hybridní identity. Měl by se zobrazit ověřovací agent, který se zobrazuje jako neaktivní. Očekává se to. Agent ověřování je ze seznamu po 10 dnech automaticky vyřazen.

K přihlášení k Microsoft Entra ID již používám službu AD FS. Jak můžu přejít na předávací ověřování?

Pokud migrujete ze služby AD FS (nebo jiných federačních technologií) na předávací ověřování, důrazně doporučujeme postupovat podle našeho průvodce rychlým startem.

Můžu předávací ověřování používat v prostředí Active Directory s více doménovými strukturami?

Ano. Prostředí s více doménovými strukturami se podporují, pokud mezi doménovými strukturami služby Active Directory existují vztahy důvěryhodnosti (obousměrně) a pokud je správně nakonfigurované směrování přípon názvů.

Poskytuje předávací ověřování vyrovnávání zatížení napříč několika agenty ověřování?

Ne, instalace několika předávaných ověřovacích agentů zajišťuje pouze vysokou dostupnost. Neposkytuje deterministické vyrovnávání zatížení mezi agenty ověřování. Jakýkoli ověřovací agent (náhodně) může zpracovat konkrétní žádost o přihlášení uživatele.

Kolik agentů předávacího ověřování musím nainstalovat?

Instalace několika předávaných ověřovacích agentů zajišťuje vysokou dostupnost. Neposkytuje ale deterministické vyrovnávání zatížení mezi ověřovacími agenty.

Zvažte špičku a průměrné zatížení žádostí o přihlášení, které očekáváte ve vašem tenantovi. Jako srovnávací test může jeden ověřovací agent zpracovat 300 až 400 ověřování za sekundu na standardním 4jádrovým procesoru, 16GB serveru RAM.

K odhadu síťového provozu použijte následující pokyny k určení velikosti:

  • Každý požadavek má velikost datové části (0,5K + 1K * num_of_agents) bajtů; to znamená, že data z Microsoft Entra ID do ověřovacího agenta. V této části "num_of_agents" označuje počet agentů ověřování zaregistrovaných ve vašem tenantovi.
  • Každá odpověď má velikost datové části 1K bajtů; to znamená, že data z ověřovacího agenta do Microsoft Entra ID.

Pro většinu zákazníků jsou celkem dostatečná dvě nebo tři agenty ověřování pro vysokou dostupnost a kapacitu. V produkčních prostředích ale doporučujeme mít ve svém tenantovi spuštěné minimálně 3 ověřovací agenty. Agenty ověřování byste měli nainstalovat blízko řadičů domény, aby se zlepšila latence přihlašování.

Poznámka:

Pro tenanta platí limit systému 40 agentů ověřování.

Jakou roli potřebuji k povolení předávacího ověřování?

Doporučujeme povolit nebo zakázat předávací ověřování pomocí účtu správce hybridní identity. Tímto způsobem zajistíte, že se z tenanta nezamknete. ]

Jak můžu předávací ověřování zakázat?

Znovu spusťte průvodce Microsoft Entra Connect a změňte metodu přihlašování uživatele z předávacího ověřování na jinou metodu. Tato změna zakáže předávací ověřování v tenantovi a odinstaluje ověřovacího agenta ze serveru. Agenty ověřování musíte odinstalovat ručně z ostatních serverů.

Co se stane při odinstalaci předávacího ověřovacího agenta?

Pokud odinstalujete předávacího ověřovacího agenta ze serveru, způsobí to, že server přestane přijímat žádosti o přihlášení. Abyste se vyhnuli narušení funkce přihlašování uživatelů ve vašem tenantovi, ujistěte se, že máte spuštěného dalšího agenta ověřování, než odinstalujete agenta předávacího ověřování.

Mám staršího tenanta, který byl původně nastaven pomocí služby AD FS. Nedávno jsme migrovali na PTA, ale teď se nezobrazují změny hlavního názvu uživatele (UPN) synchronizované s Microsoft Entra ID. Proč se změny hlavních názvů uživatelů (UPN) nesynchronizují?

Za následujících okolností se vaše místní změny hlavního názvu uživatele (UPN) nemusí synchronizovat, pokud:

  • Tenant Microsoft Entra byl vytvořen před 15. červnem 2015.
  • Původně jste byli federováni s vaším tenantem Microsoft Entra pomocí služby AD FS pro ověřování.
  • Přepnuli jste na uživatele, kteří jako ověřování používají spravované uživatele.

Důvodem je to, že výchozí chování tenantů vytvořených před 15. červnem 2015 bylo blokovat změny hlavního názvu uživatele (UPN). Pokud potřebujete zrušit blokování změn hlavního názvu uživatele (UPN), musíte spustit následující rutinu PowerShellu. Získejte ID pomocí rutiny Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Tenanti vytvoření po 15. červnu 2015 ve výchozím nastavení synchronizují změny hlavních názvů uživatelů (UPN).

Návody zaznamenání ID agenta PTA z protokolů přihlášení Microsoft Entra a serveru PTA k ověření, který server PTA byl použit pro událost přihlášení?

Ověření, který místní server nebo ověřovací agent se použil pro konkrétní událost přihlášení:

  1. V Centru pro správu Microsoft Entra přejděte na přihlašovací událost.

  2. Vyberte Podrobnosti o ověřování. Ve sloupci Podrobnosti metody ověřování se podrobnosti ID agenta zobrazují ve formátu Předávací ověřování; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

  3. Pokud chcete získat podrobnosti ID agenta pro agenta, který je nainstalovaný na místním serveru, přihlaste se k místnímu serveru a spusťte následující rutinu:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    Vrácená hodnota GUID je ID agenta ověřovacího agenta nainstalovaného na daném serveru. Pokud máte ve svém prostředí více agentů, můžete tuto rutinu spustit na každém serveru agenta a zaznamenat podrobnosti ID agenta.

  4. Korelujte ID agenta, které získáte z místního serveru a z protokolů přihlašování Microsoft Entra, a ověřte, který agent nebo server potvrdily žádost o podepsání.

Další kroky

  • Aktuální omezení: Seznamte se se scénáři, které jsou podporované, a ty, které nejsou podporované.
  • Rychlý start: Zprovoznění předávacího ověřování Microsoft Entra
  • Migrace aplikací do Microsoft Entra ID: Prostředky, které vám pomůžou migrovat přístup k aplikacím a ověřování na Microsoft Entra ID.
  • Inteligentní uzamčení: Zjistěte, jak nakonfigurovat funkci inteligentního uzamčení ve vašem tenantovi za účelem ochrany uživatelských účtů.
  • Podrobné technické informace: Seznamte se s fungováním funkce předávacího ověřování.
  • Řešení potíží: Zjistěte, jak vyřešit běžné problémy s funkcí předávacího ověřování.
  • Podrobné informace o zabezpečení: Získejte podrobné technické informace o funkci předávacího ověřování.
  • Hybridní připojení Microsoft Entra: Nakonfigurujte v tenantovi možnost hybridního připojení Microsoft Entra pro jednotné přihlašování napříč cloudovými a místními prostředky.
  • Bezproblémové jednotné přihlašování microsoftu Entra: Přečtěte si další informace o této doplňkové funkci.
  • UserVoice: K vytvoření nových žádostí o funkce použijte fórum Microsoft Entra.