Naadloze eenmalige aanmelding implementeren

  • 11 minuten

Het IT-team van Contoso wil een manier om gebruikers in staat te stellen eenmalige aanmelding te gebruiken voor toegang tot zowel on-premises resources als resources in Azure. Naadloze eenmalige aanmelding van Microsoft Entra is een technologie die werkt met wachtwoord-hashsynchronisatie of passthrough-verificatie.

Bovendien hoeven gebruikers, wanneer naadloze eenmalige aanmelding is ingeschakeld, zelden hun gebruikersnamen te typen en nooit hun wachtwoord om zich aan te melden bij Microsoft Entra-id. Deze functie biedt gebruikers van Contoso eenvoudige toegang tot hun cloudtoepassingen zonder dat er extra on-premises onderdelen nodig zijn.

Ondersteunde scenario's voor passthrough-verificatie

Met Microsoft Entra-passthrough-verificatie kunt u ervoor zorgen dat services die afhankelijk zijn van Microsoft Entra ID, wachtwoorden altijd valideren voor een on-premises AD DS-exemplaar.

U kunt passthrough-verificatie van Microsoft Entra configureren met behulp van Microsoft Entra Connect, dat gebruikmaakt van een on-premises agent die luistert naar externe wachtwoordvalidatieaanvragen. U kunt deze agent implementeren op een of meer servers om hoge beschikbaarheid te bieden. Het is niet nodig om deze server te implementeren in een perimeternetwerk, omdat alle communicatie alleen uitgaand is.

U moet een server met de passthrough-verificatieagent toevoegen aan het AD DS-domein waar gebruikers zich bevinden. Voordat u Pass Through-verificatie van Microsoft Entra implementeert, moet u weten welke verificatiescenario's worden ondersteund en welke niet.

U kunt passthrough-verificatie gebruiken voor de volgende verificatiescenario's:

  • Gebruikersaanmelding bij alle webbrowsertoepassingen die worden ondersteund door Microsoft Entra ID.
  • Gebruikersaanmelding bij Office-app licenties die moderne verificatie ondersteunen.
  • Gebruikersaanmelding bij Microsoft Outlook-clients met behulp van verouderde protocollen, zoals Exchange ActiveSync, Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP) en IMAP (Internet Message Access Protocol).
  • Gebruikersaanmelding bij Skype voor Bedrijven toepassing die moderne verificatie ondersteunt, inclusief online- en hybride topologieën.
  • Microsoft Entra-domein wordt toegevoegd voor Windows 10-apparaten.
  • App-wachtwoorden voor meervoudige verificatie.

Niet-ondersteunde scenario's voor passthrough-verificatie

Hoewel passthrough-verificatie de meest voorkomende verificatiescenario's ondersteunt, zijn er nog steeds enkele scenario's waarin u deze methode niet kunt gebruiken. Deze scenario's omvatten:

  • Gebruikersaanmelding bij verouderde Office-clienttoepassingen, met uitzondering van Outlook.

    Notitie

    Deze verouderde client-apps omvatten Office 2010 en Office 2013 zonder moderne verificatie.

  • Alleen toegang tot agenda delen en beschikbaarheidsinfo in hybride Exchange-omgevingen in Office 2010.

  • Gebruikersaanmelding bij Skype voor Bedrijven clienttoepassingen zonder moderne verificatie.

  • Gebruikersaanmelding bij Windows PowerShell versie 1.0.

  • Detectie van gebruikers met gelekte referenties.

  • Scenario's waarvoor Microsoft Entra Domain Services is vereist. Microsoft Entra Domain Services vereist dat tenants wachtwoord-hashsynchronisatie hebben ingeschakeld, zodat tenants die alleen passthrough-verificatie gebruiken, niet werken in deze scenario's.

  • Scenario's waarvoor Microsoft Entra Connect Health is vereist. Pass-through-verificatie is niet geïntegreerd met Microsoft Entra Connect Health.

  • Als u het Apple Device Enrollment Program (Apple DEP) gebruikt dat gebruikmaakt van de iOS-configuratieassistent, kunt u moderne verificatie niet gebruiken omdat dit niet wordt ondersteund. Apple DEP-apparaten kunnen niet worden ingeschreven bij Intune voor beheerde domeinen die gebruikmaken van passthrough-verificatie. Overweeg het gebruik van de Intune-bedrijfsportal-app als alternatief.

Hoe pass-through-verificatie werkt

Voordat u passthrough-verificatie implementeert, moet u begrijpen hoe het werkt en hoe deze verificatiemethode verschilt van AD FS. Passthrough-verificatie is niet alleen een eenvoudigere vorm van AD FS-verificatie. Beide methoden gebruiken de on-premises infrastructuur om gebruikers te verifiëren bij het openen van resources zoals Microsoft 365, maar niet op dezelfde manier.

PassThrough-verificatie maakt gebruik van een onderdeel met de naam Verificatieagent om gebruikers te verifiëren. Microsoft Entra Connect installeert de verificatieagent tijdens de configuratie.

Na de installatie registreert de verificatieagent zich in de Microsoft Entra-id van uw Microsoft 365-tenant. Tijdens de registratie wijst Microsoft Entra ID de verificatieagent een uniek certificaat voor digitale identiteit toe. Dit certificaat (met een sleutelpaar) maakt beveiligde communicatie met Microsoft Entra-id mogelijk. De registratieprocedure verbindt de verificatieagent ook met uw Microsoft Entra-tenant.

Notitie

Verificatieaanvragen worden niet naar de verificatieagent gepusht. In plaats daarvan maakt de verificatieagent tijdens de initialisatie verbinding met Microsoft Entra-id via poort 443, een HTTPS-kanaal dat wordt beveiligd met behulp van wederzijdse verificatie. Nadat de verbinding tot stand is gebracht, biedt Microsoft Entra-id de verificatieagent toegang tot de Azure Service Bus-wachtrij. In deze wachtrij haalt de verificatieagent aanvragen voor wachtwoordvalidatie op en beheert deze. Daarom is er geen inkomend verkeer, dus het is niet nodig om de verificatieagent in het perimeternetwerk te installeren.

Opmerking

Wanneer Contoso IT-medewerkers passthrough-verificatie inschakelen op hun Microsoft 365-tenant en een gebruiker probeert te verifiëren in Outlook Web App, worden de volgende stappen uitgevoerd:

  1. Als deze nog niet is aangemeld, wordt de gebruiker omgeleid naar de aanmeldingspagina van de Microsoft Entra-gebruiker . Op deze pagina meldt de gebruiker zich aan met een gebruikersnaam en wachtwoord. Microsoft Entra ID ontvangt de aanvraag om u aan te melden en de gebruikersnaam en het wachtwoord in een wachtrij te plaatsen. Een Microsoft Entra-beveiligingstokenservice (STS) gebruikt de openbare sleutel van de verificatieagent om deze referenties te versleutelen. De STS-service haalt deze openbare sleutel op uit het certificaat dat de verificatieagent ontvangt tijdens het registratieproces.

    Notitie

    Hoewel Microsoft Entra ID tijdelijk gebruikersreferenties in de Azure Service Bus-wachtrij plaatst, worden ze nooit opgeslagen in de cloud.

  2. De verificatieagent, die permanent is verbonden met de Azure Service Bus-wachtrij, ziet de wijziging in de wachtrij en haalt de versleutelde referenties op uit de wachtrij. Omdat de referenties zijn versleuteld met de openbare sleutel van de verificatieagent, gebruikt de agent de persoonlijke sleutel om de gegevens te ontsleutelen.

  3. De verificatieagent valideert de gebruikersnaam en het wachtwoord voor de lokale AD DS met behulp van standaard Windows-API's. Op dit moment is dit mechanisme vergelijkbaar met wat AD FS gebruikt. Een gebruikersnaam kan de on-premises standaardgebruikersnaam zijn, meestal userPrincipalNameof een ander kenmerk dat is geconfigureerd in Microsoft Entra Connect, ook wel alternatieve id genoemd.

  4. De on-premises AD DS evalueert de aanvraag en retourneert het juiste antwoord op de verificatieagent: geslaagd, mislukt, verlopen wachtwoord of vergrendelde gebruiker.

  5. Nadat het antwoord van AD DS is ontvangen, retourneert de verificatieagent dit antwoord naar de Microsoft Entra-id.

  6. Microsoft Entra-id evalueert het antwoord en reageert naar wens op de gebruiker. Microsoft Entra-id meldt zich bijvoorbeeld onmiddellijk aan bij de gebruiker of vraagt meervoudige verificatie aan. Als de gebruiker zich met succes heeft aangemeld, heeft deze toegang tot de toepassing.

Notitie

U kunt overwegen om naadloze eenmalige aanmelding van Microsoft Entra samen met passthrough-verificatie te implementeren om de gebruikerservaring nog beter te maken bij het openen van cloudresources vanaf computers die lid zijn van een domein. Wanneer u deze functie implementeert, hebben uw gebruikers toegang tot cloudresources zonder zich aan te melden als ze al zijn aangemeld op hun bedrijfscomputers met hun domeinreferenties.

Meer artikelen

Raadpleeg de volgende documenten voor meer informatie.