Questo articolo risponde alle domande frequenti sull'autenticazione pass-through di Microsoft Entra. Visitare questa pagina regolarmente per eventuali aggiornamenti.
Quale metodo di accesso a Microsoft Entra ID è preferibile usare tra autenticazione pass-through, sincronizzazione dell'hash delle password e Active Directory Federation Services (AD FS)?
Consultare questa guida per scoprire come confrontare i vari metodi di accesso di Microsoft Entra e come scegliere il migliore per l'organizzazione.
L'autenticazione pass-through è una funzionalità gratuita?
L'autenticazione pass-through è una funzionalità gratuita. Non serve alcuna delle edizioni a pagamento di Microsoft Entra ID per utilizzarla.
L'Accesso condizionale funziona con l'autenticazione pass-through?
Sì. Tutte le funzionalità di Accesso condizionale, inclusa l'autorizzazione a più fattori di Microsoft Entra, funzionano con l'autenticazione pass-through.
L'autenticazione pass-through supporta "ID alternativo" come nome utente, al posto di "userPrincipalName"?
Sì, sia l'autenticazione pass-through (PTA) che la sincronizzazione dell'hash delle password (PHS) supportano l'accesso usando un valore non UPN, ad esempio un indirizzo email alternativo. Per altre informazioni sull'ID di accesso alternativo.
La sincronizzazione dell'hash delle password agisce da fallback per l'autenticazione pass-through?
No. L'autenticazione pass-through non esegue automaticamente il failover sulla sincronizzazione dell'hash delle password. Per evitare errori di accesso dell'utente, è consigliabile configurare l'autenticazione pass-through per la disponibilità elevata.
Cosa accade quando si passa dalla sincronizzazione dell'hash delle password all'autenticazione pass-through?
Quando si usa Microsoft Entra Connect per cambiare il metodo di accesso dalla sincronizzazione dell'hash delle password all'autenticazione pass-through, l'autenticazione pass-through diventa il metodo di accesso principale per gli utenti nei domini gestiti. Tutti gli hash delle password degli utenti sincronizzati in precedenza dalla sincronizzazione dell'hash delle password rimangono archiviati in Microsoft Entra ID.
È possibile installare un connettore di rete privata di Microsoft Entra nello stesso server in cui è presente un agente di autenticazione pass-through?
Sì. Questa configurazione è supportata nelle versioni ridenominate dell'agente di autenticazione pass-through (versione 1.5.193.0 o successive).
Quali versioni di Microsoft Entra Connect e dell'agente di autenticazione pass-through sono necessarie?
Per il corretto funzionamento di questa funzionalità è necessario disporre della versione 1.1.750.0 di Microsoft Entra Connect (o versioni successive) e della versione 1.5.193.0 dell'agente di autenticazione pass-through (o versioni successive). Installare tutto il software in server Windows Server 2012 R2 o versioni successive.
Perché il connettore usa ancora una versione precedente e non viene aggiornato automaticamente all'ultima versione?
Ciò può essere dovuto al fatto che il servizio di aggiornamento non funziona correttamente oppure che non sono disponibili nuovi aggiornamenti da installare. Il servizio di aggiornamento è integro se è in esecuzione e non vengono registrati errori nel registro eventi (Registri applicazioni e servizi -> Microsoft -> AzureADConnect-Agent -> Updater -> Amministratore).
Per l'aggiornamento automatico vengono rilasciate solo le versioni principali. È consigliabile aggiornare manualmente l'agente solo se necessario. Ad esempio quando non è possibile attendere una versione principale perché è necessario risolvere un problema noto o si vuole usare una nuova funzionalità. Per altre informazioni sulle nuove versioni, sul tipo di versione (download, aggiornamento automatico), sulle correzioni di bug e sulle nuove funzionalità, vedere Agente di autenticazione pass-through di Microsoft Entra: Cronologia delle versioni.
Per aggiornare manualmente un connettore:
- Scaricare l'ultima versione dell’agente. È disponibile in Microsoft Entra Connect Autenticazione pass-through nell'Interfaccia di amministrazione di Microsoft Entra. È anche possibile trovare il collegamento in Autenticazione pass-through di Microsoft Entra: Cronologia delle versioni.
- Il programma di installazione riavvia i servizi dell'agente di autenticazione di Microsoft Entra Connect. In alcuni casi, può essere necessario un riavvio del server se il programma di installazione non riesce a sostituire tutti i file. È consigliabile chiudere tutte le applicazioni prima di avviare l'aggiornamento.
- Eseguire il programma di installazione. Il processo di aggiornamento è rapido, non richiede l'immissione di credenziali e non comporta una nuova registrazione del connettore.
Cosa accade se la password dell'utente è scaduta e l'utente prova ad accedere usando l'autenticazione pass-through?
Se è stato configurato il writeback delle password per un utente specifico e se l'utente esegue l'accesso usando l'autenticazione pass-through, la password può essere modificata o reimpostata. Le password vengono riscritte in Active Directory locale come previsto.
Se non è stato configurato il writeback delle password per un utente specifico o se l'utente non dispone di una licenza di Microsoft Entra ID valida, la password non può essere aggiornata nel cloud. Non è possibile aggiornare la password, neanche se fosse scaduta. L'utente vedrà questo messaggio: "L'organizzazione non consente l'aggiornamento della password in questo sito. Aggiornarla in base al metodo consigliato dall'organizzazione o chiedere all'amministratore se è necessaria assistenza". L'utente o l'amministratore deve reimpostare la password in Active Directory locale.
L'utente accede a Microsoft Entra ID con credenziali (nome utente, password). Nel frattempo la password dell'utente scade, ma l'utente può comunque accedere alle risorse di Microsoft Entra. Com'è possibile?
La scadenza della password non attiva la revoca dei token di autenticazione o dei cookie. Finché i token o i cookie sono validi, l'utente può usarli. Questo vale indipendentemente dal tipo di autenticazione (scenari PTA, PHS e federati).
Per altre informazioni, vedere la documentazione di seguito:
In che modo l'autenticazione pass-through protegge dagli attacchi di forza bruta contro le password?
Cosa comunicano gli agenti di autenticazione pass-through sulle porte 80 e 443?
Gli agenti di autenticazione inviano le richieste HTTP sulla porta 443 per tutte le operazioni di funzionalità.
Gli agenti di autenticazione inviano richieste HTTP sulla porta 80 per scaricare gli elenchi di revoche di certificati (CRL) TLS/SSL.
Nota
In aggiornamenti recenti è stato ridotto il numero di porte necessarie per la funzionalità. Se si dispone di versioni precedenti di Microsoft Entra Connect o dell'agente di autenticazione, tenere aperte anche le porte seguenti: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.
Gli agenti di autenticazione pass-through possono comunicare su un server proxy Web in uscita?
Sì. Se Web Proxy Auto-Discovery (WPAD) è abilitato nell'ambiente locale, gli agenti di autenticazione provano automaticamente a individuare e usare un server proxy Web della rete. Per altre informazioni sull'uso di server proxy per traffico in uscita, vedere Uso di server proxy locali esistenti.
Se nell'ambiente in uso non è disponibile il protocollo WPAD, è possibile aggiungere informazioni sul proxy (come illustrato di seguito) per consentire all'agente di autenticazione pass-through di comunicare con Microsoft Entra ID:
- Configurare le informazioni sul proxy in Internet Explorer prima di installare l'agente di autenticazione pass-through sul server. Ciò permetterà di completare l'installazione dell'agente di autenticazione, ma tale agente verrà visualizzato come Inattivo nel portale di amministrazione.
- Nel server passare a "C:\Program Files\Agente di autenticazione Microsoft Azure AD Connect".
- Modificare il file di configurazione "AzureADConnectAuthenticationAgentService" e aggiungere le righe seguenti (sostituire "http://contosoproxy.com:8080"" con l'indirizzo proxy in uso):
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://contosoproxy.com:8080"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
È possibile installare due o più agenti di autenticazione pass-through nello stesso server?
No, è possibile installare solo un agente di autenticazione pass-through in un singolo server. Se si intende configurare l'autenticazione pass-through per la disponibilità elevata, seguire le istruzioni qui.
È necessario rinnovare manualmente i certificati utilizzati dagli agenti di autenticazione pass-through?
La comunicazione tra ciascun agente di autenticazione pass-through e Microsoft Entra ID è protetta tramite l'autenticazione basata su certificato. Questi certificati vengono rinnovati automaticamente e periodicamente a distanza di pochi mesi da Microsoft Entra ID. Non è necessario rinnovarli manualmente. È possibile eliminare i vecchi certificati scaduti in base alle esigenze.
Come si rimuove un agente di autenticazione pass-through?
Finché l'agente di autenticazione pass-through è in esecuzione, rimane attivo e continua a gestire le richieste di accesso degli utenti. Per disinstallare un agente di autenticazione, andare a Pannello di controllo -> Programmi -> Programmi e funzionalità e disinstallare i programmi Agente di autenticazione di Microsoft Entra Connect e Aggiornamento dell'agente di Microsoft Entra Connect.
Se si seleziona il pannello di Autenticazione pass-through nell'interfaccia di amministrazione di Microsoft Entra almeno come amministratore di identità ibrida. L'agente di autenticazione verrà visualizzato come Inattivo. Si tratta di un comportamento previsto. L'agente di autenticazione viene eliminato automaticamente dall'elenco dopo 10 giorni.
AD FS è già in uso per accedere a Microsoft Entra ID. Come si passa all'autenticazione pass-through?
Se si esegue la migrazione da AD FS (o da altre tecnologie di federazione) all'autenticazione pass-through, si consiglia vivamente di seguire la guida di avvio rapido.
È possibile usare l'autenticazione pass-through in un ambiente Active Directory a più foreste?
Sì. Gli ambienti a più foreste sono supportati se sono presenti relazioni di trust tra le foreste di Active Directory e se il routing del suffisso del nome è configurato correttamente.
L'autenticazione pass-through fornisce bilanciamento del carico su più agenti di autenticazione?
No, l'installazione di più agenti di autenticazione pass-through garantisce solo la disponibilità elevata, ma non offre un bilanciamento del carico deterministico tra gli agenti di autenticazione. Qualsiasi agente di autenticazione (in modo casuale) può elaborare una richiesta di accesso utente specifica.
Quanti agenti di autenticazione pass-through è necessario installare?
L'installazione di più agenti di autenticazione pass-through garantisce la disponibilità elevata, ma non offre un bilanciamento del carico deterministico tra gli agenti di autenticazione.
Considerare il carico massimo e medio di richieste di accesso previsto nel tenant. Come benchmark, un singolo agente di autenticazione può gestire da 300 a 400 autenticazioni al secondo in un server standard con CPU a 4 core e 16 GB di RAM.
Per stimare il traffico di rete, usare le indicazioni seguenti relative al dimensionamento:
- Ogni richiesta ha una dimensione di payload di (0.5K + 1K × num_of_agents) byte. Ad esempio, i dati da Microsoft Entra ID all'agente di autenticazione. In questo caso, "num_of_agents" indica il numero di agenti di autenticazione registrati nel tenant.
- Ogni risposta ha una dimensione del payload di 1K byte; ovvero, i dati dall'agente di autenticazione a Microsoft Entra ID.
Per la maggior parte dei clienti, un totale di due o tre agenti di autenticazione è sufficiente ai fini della capacità e della disponibilità elevata. Tuttavia, negli ambienti di produzione è consigliabile disporre di almeno 3 agenti di autenticazione in esecuzione nel proprio tenant. È consigliabile installare gli agenti di autenticazione vicino ai controller di dominio per migliorare la latenza di accesso.
Nota
Esiste un limite di sistema di 40 agenti di autenticazione per ogni tenant.
Quale ruolo è necessario per abilitare l'autenticazione pass-through?
È consigliabile abilitare o disabilitare l'autenticazione pass-through con un account Amministratore di identità ibrida. Questa procedura è fondamentale per evitare di rimanere bloccati fuori dal tenant. ]
Come si disabilita l'autenticazione pass-through?
Eseguire nuovamente la procedura guidata di Microsoft Entra Connect e scegliere un metodo di accesso utente diverso da Autenticazione pass-through. Questa modifica disabilita l'autenticazione pass-through nel tenant e disinstalla l'agente di autenticazione nel server. Gli agenti di autenticazione degli altri server devono essere disinstallati manualmente.
Cosa accade quando si disinstalla un agente di autenticazione pass-through?
Se si disinstalla un agente di autenticazione pass-through in un server, il server non accetta più richieste di accesso. Per evitare l'interruzione della funzionalità di accesso utente al tenant, verificare che sia in esecuzione un altro agente di autenticazione prima di disinstallare un agente di autenticazione pass-through.
Ho un tenant non recente che è stato originariamente configurato usando AD FS. Abbiamo recentemente eseguito la migrazione a PTA ma ora non vengono visualizzate le modifiche UPN sincronizzate in Microsoft Entra ID. Perché le modifiche UPN non vengono sincronizzate?
Nelle circostanze seguenti, le modifiche UPN locali potrebbero non venire sincronizzate se:
- Il tenant di Microsoft Entra è stato creato prima del 15 giugno 2015.
- La federazione iniziale con il tenant di Microsoft Entra è stata creata usando AD FS per l'autenticazione.
- Si è passati alla gestione degli utenti usando PTA come autenticazione
Ciò avviene perché il comportamento predefinito dei tenant creati prima del 15 giugno 2015 prevedeva il blocco delle modifiche UPN. Se fosse necessario eliminare il blocco alle modifiche UPN, eseguire il seguente cmdlet di PowerShell. Ottenere l'ID usando il cmdlet Get-MgDirectoryOnPremiseSynchronization.
$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params
I tenant creati dopo il 15 giugno 2015 prevedono come comportamento predefinito la sincronizzazione delle modifiche UPN.
Come faccio ad acquisire l'ID agente PTA dai log di accesso di Microsoft Entra e dal server PTA per verificare quale server PTA è stato usato per un evento di accesso?
Per convalidare quale server locale o agente di autenticazione è stato usato per un evento di accesso specifico:
Nell'interfaccia di amministrazione di Microsoft Entra, andare all'evento di accesso.
Selezionare Dettagli di autenticazione. Nella colonna Dettagli metodo di autenticazione i dettagli dell'ID agente vengono visualizzati nel formato "Autenticazione pass-through; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".
Per ottenere i dettagli dell'ID agente per l'agente installato nel server locale, accedere al server locale ed eseguire il seguente cmdlet:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*
Il valore GUID restituito è l'ID agente dell'agente di autenticazione installato in tale server specifico. Se nell'ambiente sono presenti più agenti, è possibile eseguire questo cmdlet in ogni server agente e acquisire i dettagli dell'ID agente.
Correlare l'ID agente ottenuto dal server locale e dai log di accesso di Microsoft Entra per convalidare quale agente o server ha riconosciuto la richiesta di firma.
Passaggi successivi
- Limitazioni correnti: informazioni sugli scenari supportati e quelli che non lo sono.
- Avvio rapido: iniziare a usare l'autenticazione pass-through di Microsoft Entra.
- Eseguire la migrazione delle app a Microsoft Entra ID: risorse che consentono di eseguire la migrazione dell'accesso e dell'autenticazione dell'applicazione a Microsoft Entra ID.
- Blocco intelligente: apprendere come configurare la funzionalità di Blocco intelligente nel tenant per proteggere gli account utente.
- Approfondimento tecnico: comprendere come funziona l'autenticazione pass-through.
- Risoluzione dei problemi: apprendere come risolvere i problemi comuni relativi alla funzionalità di autenticazione pass-through.
- Approfondimento sulla sicurezza: ottenere informazioni tecniche approfondite sulla funzionalità di autenticazione pass-through.
- Aggiunta ibrida a Microsoft Entra: configurare la funzionalità di aggiunta ibrida di Microsoft Entra nel tenant per l'accesso SSO tra le risorse cloud e locali.
- Accesso SSO facile di Microsoft Entra: altre informazioni su questa funzionalità complementare.
- UserVoice: usare il forum di Microsoft Entra per inviare nuove richieste di funzionalità.