Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące uwierzytelniania przekazywanego przez firmę Microsoft. Zachowaj kontrolę nad zaktualizowaną zawartością.
Które z metod logowania się do usługi Microsoft Entra ID, uwierzytelniania przekazywanego, synchronizacji skrótów haseł i usług Active Directory Federation Services (AD FS) należy wybrać?
Zapoznaj się z tym przewodnikiem , aby zapoznać się z porównaniem różnych metod logowania firmy Microsoft Entra i sposobu wybierania właściwej metody logowania dla organizacji.
Czy uwierzytelnianie przekazywane jest bezpłatną funkcją?
Uwierzytelnianie przekazywane to bezpłatna funkcja. Do korzystania z niej nie są potrzebne żadne płatne wersje identyfikatora Microsoft Entra ID.
Czy dostęp warunkowy działa z uwierzytelnianiem przekazywanym?
Tak. Wszystkie funkcje dostępu warunkowego, w tym uwierzytelnianie wieloskładnikowe firmy Microsoft, współpracują z uwierzytelnianiem z przekazywaniem.
Czy uwierzytelnianie przekazywane obsługuje wartość "Identyfikator alternatywny" jako nazwę użytkownika zamiast "userPrincipalName"?
Tak, zarówno uwierzytelnianie przekazywane (PTA) i synchronizacja skrótów haseł (PHS) obsługują logowanie przy użyciu wartości innej niż UPN, na przykład alternatywnej wiadomości e-mail. Aby uzyskać więcej informacji o identyfikatorze logowania alternatywnego .
Czy synchronizacja skrótów haseł działa jako powrót do uwierzytelniania przekazywanego?
L.p. Uwierzytelnianie przekazywane nie powoduje automatycznego przejścia w tryb failover do synchronizacji skrótów haseł. Aby uniknąć niepowodzeń logowania użytkowników, należy skonfigurować uwierzytelnianie przekazywane pod kątem wysokiej dostępności.
Co się stanie, gdy przełączę się z synchronizacji skrótów haseł na uwierzytelnianie przekazywane?
Gdy używasz programu Microsoft Entra Connect do przełączania metody logowania z synchronizacji skrótów haseł na uwierzytelnianie przekazywane, uwierzytelnianie przekazywane staje się podstawową metodą logowania użytkowników w domenach zarządzanych. Skróty haseł wszystkich użytkowników, które zostały wcześniej zsynchronizowane przez synchronizację skrótów haseł, pozostają przechowywane w identyfikatorze Entra firmy Microsoft.
Czy mogę zainstalować łącznik sieci prywatnej firmy Microsoft na tym samym serwerze co agent uwierzytelniania z przekazywaniem?
Tak. Zmienione wersje agenta uwierzytelniania przekazywanego w wersji 1.5.193.0 lub nowszej obsługują tę konfigurację.
Jakich wersji programu Microsoft Entra Connect i agenta uwierzytelniania przekazywanego potrzebujesz?
Aby ta funkcja działała, potrzebujesz wersji 1.1.750.0 lub nowszej dla programu Microsoft Entra Connect i wersji 1.5.193.0 lub nowszej dla agenta uwierzytelniania z przekazywaniem. Zainstaluj wszystkie oprogramowanie na serwerach z systemem Windows Server 2012 R2 lub nowszym.
Dlaczego mój łącznik nadal używa starszej wersji i nie jest automatycznie uaktualniany do najnowszej wersji?
Może to być spowodowane tym, że usługa aktualizatora nie działa poprawnie lub jeśli nie ma dostępnych nowych aktualizacji, które usługa może zainstalować. Usługa aktualizatora jest w dobrej kondycji, jeśli jest uruchomiona i nie ma żadnych błędów zarejestrowanych w dzienniku zdarzeń (dzienniki aplikacji i usług —> Microsoft —> AzureADConnect-Agent — Aktualizator —>> Administrator).
Tylko wersje główne są wydawane na potrzeby automatycznego uaktualniania. Zalecamy ręczne aktualizowanie agenta tylko wtedy, gdy jest to konieczne. Na przykład nie można poczekać na wydanie główne, ponieważ musisz rozwiązać znany problem lub użyć nowej funkcji. Aby uzyskać więcej informacji na temat nowych wersji, typu wydania (pobieranie, automatyczne uaktualnianie), poprawki błędów i nowe funkcje, zobacz Microsoft Entra pass-through authentication agent: Historia wersji.
Aby ręcznie uaktualnić łącznik:
- Pobierz najnowszą wersję agenta. (Znajdziesz go w obszarze Microsoft Entra Connect Uwierzytelnianie przekazywane w usłudze Centrum administracyjne firmy Microsoft Entra. Link można również znaleźć w sekcji Uwierzytelnianie przekazywane firmy Microsoft: Historia wersji.
- Instalator ponownie uruchamia usługi microsoft Entra Connect Authentication Agent. W niektórych przypadkach ponowne uruchomienie serwera jest wymagane, jeśli instalator nie może zastąpić wszystkich plików. Zalecamy zamknięcie wszystkich aplikacji przed rozpoczęciem uaktualniania.
- Uruchom instalatora. Proces uaktualniania jest szybki i nie wymaga podania poświadczeń, a agent nie jest ponownie zarejestrowany.
Co się stanie, jeśli hasło użytkownika wygasło i spróbuje zalogować się przy użyciu uwierzytelniania z przekazywaniem?
Jeśli skonfigurowano zapisywania zwrotnego haseł dla określonego użytkownika, a jeśli użytkownik loguje się przy użyciu uwierzytelniania przekazywanego, może zmienić lub zresetować swoje hasła. Hasła są zapisywane z powrotem do lokalna usługa Active Directory zgodnie z oczekiwaniami.
Jeśli nie skonfigurowano zapisywania zwrotnego haseł dla określonego użytkownika lub jeśli użytkownik nie ma przypisanej prawidłowej licencji Microsoft Entra ID, użytkownik nie może zaktualizować swojego hasła w chmurze. Nie mogą zaktualizować hasła, nawet jeśli hasło wygasło. Użytkownik widzi ten komunikat: "Twoja organizacja nie zezwala na aktualizowanie hasła w tej witrynie. Zaktualizuj ją zgodnie z metodą zalecaną przez organizację lub poproś administratora o pomoc. Użytkownik lub administrator musi zresetować swoje hasło w lokalna usługa Active Directory.
Użytkownik loguje się do identyfikatora Entra firmy Microsoft przy użyciu poświadczeń (nazwa użytkownika, hasło). W międzyczasie hasło użytkownika wygasa, ale użytkownik nadal może uzyskać dostęp do zasobów firmy Microsoft Entra. Dlaczego tak się dzieje?
Wygaśnięcie hasła nie powoduje wyzwolenia odwołania tokenów uwierzytelniania ani plików cookie. Dopóki tokeny lub pliki cookie nie będą prawidłowe, użytkownik będzie mógł ich używać. Dotyczy to niezależnie od typu uwierzytelniania (PTA, PHS i scenariuszy federacyjnych).
Aby uzyskać więcej informacji, zapoznaj się z następującą dokumentacją:
Platforma tożsamości Microsoft tokeny dostępu — Platforma tożsamości Microsoft | Microsoft Docs
Jak uwierzytelnianie przekazywane chroni przed atakami siłowymi?
Co agenci uwierzytelniania przekazywanego komunikują się za pośrednictwem portów 80 i 443?
Agenci uwierzytelniania wysyłają żądania HTTPS przez port 443 dla wszystkich operacji funkcji.
Agenci uwierzytelniania wysyłają żądania HTTP przez port 80 w celu pobrania list odwołania certyfikatów TLS/SSL (CRL).
Uwaga
Najnowsze aktualizacje zmniejszyły liczbę portów, których wymaga funkcja. Jeśli masz starsze wersje programu Microsoft Entra Connect lub agenta uwierzytelniania, zachowaj te porty otwarte, jak również: 5671, 8080, 9090, 9091, 9350, 9352 i 10100-10120.
Czy agenci uwierzytelniania z przekazywaniem mogą komunikować się za pośrednictwem wychodzącego serwera proxy sieci Web?
Tak. Jeśli automatyczne odnajdywanie serwera proxy sieci Web (WPAD) jest włączone w środowisku lokalnym, agenci uwierzytelniania automatycznie próbują zlokalizować i użyć serwera proxy sieci Web w sieci. Aby uzyskać więcej informacji na temat korzystania z serwera proxy ruchu wychodzącego, zobacz Praca z istniejącymi lokalnymi serwerami proxy.
Jeśli w środowisku nie masz WPAD, możesz dodać informacje o serwerze proxy, aby umożliwić agentowi uwierzytelniania z przekazywaniem komunikację z identyfikatorem Entra firmy Microsoft:
- Skonfiguruj informacje o serwerze proxy w programie Internet Explorer przed zainstalowaniem agenta uwierzytelniania z przekazywaniem na serwerze. Dzięki temu można ukończyć instalację agenta uwierzytelniania, ale nadal jest on wyświetlany jako Nieaktywny w portalu administracyjnym.
- Na serwerze przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
- Edytuj plik konfiguracji "AzureADConnectAuthenticationAgentService" i dodaj następujące wiersze (zastąp ciąg "http://contosoproxy.com:8080" z rzeczywistym adresem serwera proxy):
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://contosoproxy.com:8080"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Czy mogę zainstalować co najmniej dwóch agentów uwierzytelniania z przekazywaniem na tym samym serwerze?
Nie. Na jednym serwerze można zainstalować tylko jednego agenta uwierzytelniania z przekazywaniem. Jeśli chcesz skonfigurować uwierzytelnianie przekazywane pod kątem wysokiej dostępności, postępuj zgodnie z instrukcjami dostępnymi tutaj.
Czy muszę ręcznie odnowić certyfikaty używane przez agentów uwierzytelniania z przekazywaniem?
Komunikacja między każdym agentem uwierzytelniania przekazywanego i identyfikatorem Entra firmy Microsoft jest zabezpieczona przy użyciu uwierzytelniania opartego na certyfikatach. Te certyfikaty są automatycznie odnawiane co kilka miesięcy przez identyfikator Entra firmy Microsoft. Nie ma potrzeby ręcznego odnawiania tych certyfikatów. Starsze wygasłe certyfikaty można wyczyścić zgodnie z potrzebami.
Jak mogę usunąć agenta uwierzytelniania z przekazywaniem?
Dopóki agent uwierzytelniania z przekazywaniem jest uruchomiony, pozostaje aktywny i stale obsługuje żądania logowania użytkownika. Jeśli chcesz odinstalować agenta uwierzytelniania, przejdź do Panelu sterowania — programy> — programy i funkcje>. Odinstaluj zarówno microsoft Entra Connect Authentication Agent, jak i programy Microsoft Entra Connect Agent Updater.
Jeśli sprawdzisz blok Uwierzytelnianie przekazywane w centrum administracyjnym firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej. Powinien zostać wyświetlony agent uwierzytelniania wyświetlany jako Nieaktywny. Jest to oczekiwane. Agent uwierzytelniania jest automatycznie usuwany z listy po 10 dniach.
Używam już AD FS do logowania się do Microsoft Entra ID. Jak przełączyć się na uwierzytelnianie z przekazywaniem?
Jeśli przeprowadzasz migrację z usług AD FS (lub innych technologii federacyjnych) do uwierzytelniania przekazywanego, zdecydowanie zalecamy zapoznanie się z naszym przewodnikiem Szybki start.
Czy mogę używać uwierzytelniania z przekazywaniem w środowisku usługi Active Directory z wieloma lasami?
Tak. Środowiska z wieloma lasami są obsługiwane, jeśli istnieją relacje zaufania lasu (dwukierunkowe) między lasami usługi Active Directory i jeśli trasowanie sufiksów nazw jest poprawnie skonfigurowane.
Czy uwierzytelnianie przekazywane zapewnia równoważenie obciążenia między wieloma agentami uwierzytelniania?
Nie, zainstalowanie wielu agentów uwierzytelniania z przekazywaniem zapewnia tylko wysoką dostępność. Nie zapewnia deterministycznego równoważenia obciążenia między agentami uwierzytelniania. Dowolny agent uwierzytelniania (losowo) może przetworzyć określone żądanie logowania użytkownika.
Ilu agentów uwierzytelniania z przekazywaniem muszę zainstalować?
Zainstalowanie wielu agentów uwierzytelniania z przekazywaniem zapewnia wysoką dostępność. Nie zapewnia jednak deterministycznego równoważenia obciążenia między agentami uwierzytelniania.
Rozważ szczytowe i średnie obciążenie żądań logowania, które oczekujesz w dzierżawie. W ramach testu porównawczego jeden agent uwierzytelniania może obsługiwać 300–400 uwierzytelnień na sekundę na standardowym 4-rdzeniowym procesorze, 16 GB pamięci RAM.
Aby oszacować ruch sieciowy, skorzystaj z następujących wskazówek dotyczących ustalania rozmiaru:
- Każde żądanie ma rozmiar ładunku (0,5K + 1K * num_of_agents) bajtów; oznacza to, że dane z identyfikatora Entra firmy Microsoft do agenta uwierzytelniania. W tym miejscu "num_of_agents" wskazuje liczbę agentów uwierzytelniania zarejestrowanych w dzierżawie.
- Każda odpowiedź ma rozmiar ładunku o rozmiarze 1K bajtów; oznacza to, że dane z agenta uwierzytelniania do identyfikatora Entra firmy Microsoft.
W przypadku większości klientów w sumie dwóch lub trzech agentów uwierzytelniania jest wystarczająca do wysokiej dostępności i pojemności. Jednak w środowiskach produkcyjnych zalecamy uruchomienie co najmniej 3 agentów uwierzytelniania w dzierżawie. Należy zainstalować agentów uwierzytelniania w pobliżu kontrolerów domeny, aby zwiększyć opóźnienie logowania.
Uwaga
Istnieje limit systemowy 40 agentów uwierzytelniania na dzierżawę.
Jaką rolę muszę włączyć uwierzytelnianie przekazywane?
Zaleca się włączenie lub wyłączenie uwierzytelniania przekazywanego przy użyciu konta administratora tożsamości hybrydowej. W ten sposób gwarantuje, że nie zostaniesz zablokowany z dzierżawy. ]
Jak wyłączyć uwierzytelnianie z przekazywaniem?
Uruchom ponownie kreatora Microsoft Entra Connect i zmień metodę logowania użytkownika z uwierzytelniania przekazywanego na inną metodę. Ta zmiana wyłącza uwierzytelnianie przekazywane w dzierżawie i odinstalowuje agenta uwierzytelniania z serwera. Należy ręcznie odinstalować agentów uwierzytelniania z innych serwerów.
Co się stanie po odinstalowaniu agenta uwierzytelniania z przekazywaniem?
Jeśli odinstalujesz agenta uwierzytelniania z przekazywaniem z serwera, serwer przestanie akceptować żądania logowania. Aby uniknąć odbierania użytkownikom możliwości logowania się w dzierżawie, przed odinstalowywaniem agenta uwierzytelniania z przekazywaniem upewnij się, że jest uruchomiony inny agent uwierzytelniania.
Mam starszą dzierżawę, która została pierwotnie skonfigurowana przy użyciu usług AD FS. Niedawno przeprowadziliśmy migrację do ptA, ale teraz nie widać zmian nazwy UPN synchronizowanych z identyfikatorem Entra firmy Microsoft. Dlaczego zmiany nazwy UPN nie są synchronizowane?
W następujących okolicznościach lokalne zmiany nazwy UPN mogą nie być zsynchronizowane, jeśli:
- Dzierżawa firmy Microsoft Entra została utworzona przed 15 czerwca 2015 r.
- Początkowo była federacyjna z dzierżawą firmy Microsoft Entra przy użyciu usług AD FS na potrzeby uwierzytelniania.
- Przełączono się na użytkowników zarządzanych przy użyciu uwierzytelniania PTA.
Dzieje się tak, ponieważ domyślne zachowanie dzierżaw utworzonych przed 15 czerwca 2015 r. miało na celu zablokowanie zmian nazwy UPN. Jeśli musisz anulować blokowanie zmian nazwy UPN, musisz uruchomić następujące polecenie cmdlet programu PowerShell. Pobierz identyfikator przy użyciu polecenia cmdlet Get-MgDirectoryOnPremiseSynchronization .
$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params
W przypadku dzierżawców utworzonych po 15 czerwca 2015 r. zmiany nazw UPN są domyślnie synchronizowane.
Jak mogę przechwycić identyfikator agenta PTA z dzienników logowania firmy Microsoft Entra i serwer PTA w celu sprawdzenia, który serwer PTA został użyty na potrzeby zdarzenia logowania?
Aby sprawdzić, który serwer lokalny lub agent uwierzytelniania został użyty dla określonego zdarzenia logowania:
W centrum administracyjnym firmy Microsoft Entra przejdź do zdarzenia logowania.
Wybierz pozycję Szczegóły uwierzytelniania. W kolumnie Szczegóły metody uwierzytelniania szczegóły identyfikatora agenta są wyświetlane w formacie "Uwierzytelnianie przekazywane; PTA AgentId: 0000111-aaaa-2222-bbbb-3333cc4444".
Aby uzyskać szczegóły identyfikatora agenta dla agenta zainstalowanego na serwerze lokalnym, zaloguj się do serwera lokalnego i uruchom następujące polecenie cmdlet:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*
Zwrócona wartość identyfikatora GUID to identyfikator agenta agenta uwierzytelniania zainstalowanego na tym określonym serwerze. Jeśli masz wielu agentów w swoim środowisku, możesz uruchomić to polecenie cmdlet na każdym serwerze agenta i przechwycić szczegóły identyfikatora agenta.
Skoreluj identyfikator agenta uzyskany z serwera lokalnego i dzienników logowania firmy Microsoft Entra, aby sprawdzić, który agent lub serwer potwierdził żądanie logowania.
Następne kroki
- Bieżące ograniczenia: poznaj obsługiwane scenariusze i te, które nie są obsługiwane.
- Szybki start: rozpoczynanie pracy w usłudze Microsoft Entra pass-through authentication.
- Migrowanie aplikacji do identyfikatora Entra firmy Microsoft: zasoby ułatwiające migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft.
- Blokada inteligentna: dowiedz się, jak skonfigurować funkcję inteligentnej blokady w dzierżawie w celu ochrony kont użytkowników.
- Szczegółowe informacje techniczne: dowiedz się, jak działa funkcja uwierzytelniania przekazywanego.
- Rozwiązywanie problemów: Dowiedz się, jak rozwiązywać typowe problemy z funkcją uwierzytelniania przekazywanego.
- Szczegółowe informacje na temat zabezpieczeń: uzyskaj szczegółowe informacje techniczne dotyczące funkcji uwierzytelniania przekazywanego.
- Dołączanie hybrydowe firmy Microsoft Entra: konfigurowanie funkcji dołączania hybrydowego firmy Microsoft w dzierżawie na potrzeby logowania jednokrotnego w chmurze i zasobach lokalnych.
- Bezproblemowe logowanie jednokrotne firmy Microsoft: dowiedz się więcej o tej uzupełniającej funkcji.
- UserVoice: użyj forum Microsoft Entra, aby zgłosić nowe żądania funkcji.