Uwierzytelnianie przekazywane przez Microsoft Entra: Szybki start

Wdrażaj uwierzytelnianie przekazywane Microsoft Entra

Uwierzytelnianie jednokrotne Microsoft Entra pozwala użytkownikom na logowanie się do aplikacji lokalnych i tych w chmurze przy użyciu tych samych haseł. Uwierzytelnianie przekazywane loguje użytkowników, weryfikując ich hasła bezpośrednio w stosunku do lokalnego Active Directory.

Ważne

Jeśli przeprowadzasz migrację z usług AD FS (lub innych technologii federacyjnych) do uwierzytelniania przekazywanego, zobacz Zasoby do migracji aplikacji do Microsoft Entra ID.

Uwaga

Jeśli wdrażasz uwierzytelnianie przekazywane za pomocą chmury Azure Government, zobacz Zagadnienia dotyczące tożsamości hybrydowej dla platformy Azure Government.

Postępuj zgodnie z tymi instrukcjami, aby wdrożyć uwierzytelnianie przekazywane w dzierżawie:

Krok 1. Sprawdzanie wymagań wstępnych

Upewnij się, że obowiązują następujące wymagania wstępne.

Ważne

Z punktu widzenia zabezpieczeń administratorzy powinni traktować serwer z uruchomionym agentem PTA tak, jakby był kontrolerem domeny. Serwery agenta PTA powinny być wzmacniane w taki sam sposób, jak opisano w temacie Zabezpieczanie kontrolerów domeny przed atakiem

W centrum administracyjnym Microsoft Entra

1. Utwórz konto administratora hybrydowej tożsamości wyłącznie w chmurze lub konto administratora hybrydowej tożsamości w dzierżawie Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy w przypadku, gdy usługi lokalne zawiodą lub staną się niedostępne. Dowiedz się więcej o dodawaniu konta administratora tożsamości hybrydowej tylko w chmurze. Wykonanie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie zostałeś zablokowany w swoim środowisku.
2. Dodaj jedną lub więcej niestandardowych nazw domen do dzierżawy platformy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W twoim środowisku lokalnym

1. Zidentyfikuj serwer z systemem Windows Server 2016 lub nowszym, aby uruchomić program Microsoft Entra Connect. Jeśli jeszcze nie włączono, włącz protokół TLS 1.2 na serwerze. Dodaj serwer do tego samego lasu Active Directory co użytkowników, których hasła musisz zweryfikować. Instalacja agenta uwierzytelniania pośredniego na wersjach Windows Server Core nie jest obsługiwana.

2. Zainstaluj najnowszą wersję programu Microsoft Entra Connect na serwerze zidentyfikowanym w poprzednim kroku. Jeśli masz już uruchomioną aplikację Microsoft Entra Connect, upewnij się, że wersja jest obsługiwana.

   Uwaga

   Program Microsoft Entra Connect w wersji 1.1.557.0, 1.1.558.0, 1.561.0 i 1.1.614.0 ma problem związany z synchronizacją skrótów haseł. Jeśli nie zamierzasz używać synchronizacji skrótów haseł razem z uwierzytelnianiem za pomocą przekazywania, przeczytaj uwagi do wydania Microsoft Entra Connect.

3. Zidentyfikuj co najmniej jeden dodatkowy serwer (z systemem Windows Server 2016 lub nowszym z włączonym protokołem TLS 1.2), na którym można uruchamiać autonomicznych agentów uwierzytelniania. Te dodatkowe serwery są potrzebne, aby zapewnić wysoką dostępność żądań logowania. Dodaj serwery do tego samego lasu usługi Active Directory co użytkownicy, których hasła należy zweryfikować.

   Ważne

   W środowiskach produkcyjnych zalecamy uruchamianie co najmniej 3 agentów uwierzytelniania w ramach dzierżawy. Istnieje limit systemowy 40 agentów uwierzytelniania na klienta. Najlepszym rozwiązaniem jest traktowanie wszystkich serwerów z uruchomionymi agentami uwierzytelniania jako systemów warstwy 0 (zobacz dokumentację).

4. Jeśli między serwerami a Microsoft Entra ID istnieje zapora sieciowa, skonfiguruj następujące elementy:

   • Upewnij się, że agenci uwierzytelniania mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

     Numer portu	Zastosowanie
     80	Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL
     443	Zarządza całą komunikacją wychodzącą z usługą
     8080 (opcjonalnie)	Agenci uwierzytelniania zgłaszają stan co dziesięć minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w centrum administracyjnym firmy Microsoft Entra. Port 8080 nie jest używany do logowania się użytkowników.

     Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

   • Jeśli zapora lub serwer proxy umożliwia dodawanie wpisów DNS do listy dozwolonych, dodaj połączenia do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

   • Unikaj wszystkich form wbudowanej inspekcji i przerywania wychodzącej komunikacji TLS między Agentem Przekazu Azure a Punktem Końcowym Azure.

   • Jeśli masz wychodzący serwer proxy HTTP, upewnij się, że ten adres URL, autologon.microsoftazuread-sso.com, znajduje się na liście dozwolonych. Należy jawnie określić ten adres URL, ponieważ symbol wieloznaczny może nie zostać zaakceptowany.

   • Agenci uwierzytelniania muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.

   • W celu weryfikacji certyfikatu odblokuj następujące adresy URL: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 i ocsp.msocsp.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.

Wymagania wstępne dotyczące chmury platformy Azure Government

Przed włączeniem uwierzytelniania przekazywanego w kroku 2 za pośrednictwem Microsoft Entra Connect pobierz najnowszą wersję agenta PTA z centrum administracyjnego Microsoft Entra. Upewnij się, że wersja Twojego agenta to 1.5.1742.0 lub nowsza. Aby zweryfikować agenta, zobacz Uaktualnianie agentów uwierzytelniania

Po pobraniu najnowszej wersji agenta postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować uwierzytelnianie przekazywane za pośrednictwem programu Microsoft Entra Connect.

Krok 2. Włączanie funkcji

Włącz uwierzytelnianie przekazywane za pośrednictwem programu Microsoft Entra Connect.

Ważne

Uwierzytelnianie przekazywane można włączyć na podstawowym lub przejściowym serwerze Microsoft Entra Connect. Zdecydowanie zaleca się włączenie go z serwera podstawowego. Jeśli konfigurujesz w przyszłości serwer przejściowy Microsoft Entra Connect, musisz nadal wybrać opcję Uwierzytelnianie przekazywane jako opcję logowania. Wybranie innej opcji spowoduje wyłączenie uwierzytelniania przekazywanego w dzierżawie i zastąpienie ustawienia na serwerze podstawowym.

Jeśli instalujesz program Microsoft Entra Connect po raz pierwszy, wybierz niestandardową ścieżkę instalacji. Na stronie Logowania użytkownika wybierz Uwierzytelnianie przekazywane jako metodę Logowania. Po pomyślnym zakończeniu agent uwierzytelniania przekazującego zostaje zainstalowany na tym samym serwerze, na którym znajduje się Microsoft Entra Connect. Ponadto funkcja uwierzytelniania typu Pass-through jest włączona na Twoim dzierżawie.

Jeśli program Microsoft Entra Connect został już zainstalowany przy użyciu instalacji ekspresowej lub niestandardowej ścieżki instalacji, wybierz zadanie Zmień logowanie użytkownika w programie Microsoft Entra Connect, a następnie wybierz przycisk Dalej. Następnie wybierz Uwierzytelnianie przepustowe jako metodę logowania. Po pomyślnym zakończeniu Agent uwierzytelniania przesyłanego dalej jest instalowany na tym samym serwerze co program Microsoft Entra Connect, a funkcja jest włączona dla Twojego dzierżawcy.

Ważne

Uwierzytelnianie przekazywane to funkcja na poziomie dzierżawy. Włączenie tej opcji wpływa na logowanie użytkowników we wszystkich domenach zarządzanych w dzierżawie. Jeśli przełączasz się z usług Active Directory Federation Services (AD FS) na uwierzytelnianie przekazywane, przed zamknięciem infrastruktury usług AD FS należy poczekać co najmniej 12 godzin. Ten czas oczekiwania polega na upewnieniu się, że użytkownicy mogą nadal logować się do programu Exchange ActiveSync podczas przejścia. Aby uzyskać więcej informacji na temat migracji z usług AD FS do uwierzytelniania przekazywanego, zapoznaj się z naszymi planami wdrażania opublikowanymi tutaj.

Krok 3. Testowanie funkcji

Postępuj zgodnie z tymi instrukcjami, aby sprawdzić, czy prawidłowo włączono uwierzytelnianie jednokrotne:

1. Zaloguj się do centrum administracyjnego Microsoft Entra przy użyciu poświadczeń administratora tożsamości hybrydowej dla dzierżawy.

2. Wybierz Microsoft Entra ID.

3. Wybierz pozycję Microsoft Entra Connect.

4. Sprawdź, czy funkcja Uwierzytelnianie przelotowe jest wyświetlana jako Włączona.

5. Wybierz Uwierzytelnianie przepustowe. Panel uwierzytelnianie przekazywane zawiera listę serwerów, na których zainstalowani są agenci uwierzytelnienia.

   

   

Na tym etapie użytkownicy ze wszystkich domen zarządzanych w ramach dzierżawy mogą się logować za pomocą uwierzytelniania przelotowego. Jednak użytkownicy z domen federacyjnych nadal logują się przy użyciu usług AD FS lub innego skonfigurowanego wcześniej dostawcy federacyjnego. W przypadku konwersji domeny z federacyjnej na zarządzaną wszyscy użytkownicy z tej domeny automatycznie rozpoczynają logowanie przy użyciu uwierzytelniania przekazywanego. Funkcja uwierzytelniania przekazywanego nie ma wpływu na użytkowników korzystających tylko z chmury.

Krok 4. Zapewnienie wysokiej dostępności

Jeśli planujesz wdrożyć uwierzytelnianie przepustowe w środowisku produkcyjnym, powinieneś zainstalować dodatkowych autonomicznych agentów uwierzytelniania. Zainstaluj tych agentów uwierzytelniania na serwerach innych niż na serwerze z uruchomionym programem Microsoft Entra Connect. Ta konfiguracja zapewnia wysoką dostępność żądań logowania użytkowników.

Ważne

W środowiskach produkcyjnych zalecamy posiadanie co najmniej 3 agentów uwierzytelniania działających w ramach Twojego dzierżawcy. Istnieje ograniczenie systemowe do 40 agentów uwierzytelniania na dzierżawę. Najlepszym rozwiązaniem jest traktowanie wszystkich serwerów z uruchomionymi agentami uwierzytelniania jako systemów warstwy 0 (zobacz dokumentację).

Zainstalowanie wielu agentów uwierzytelniania z przekazywaniem zapewnia wysoką dostępność, ale nie deterministyczne równoważenie obciążenia między agentami uwierzytelniania. Aby określić liczbę agentów uwierzytelniania potrzebnych dla dzierżawy, rozważ szczytowe i średnie obciążenie żądań logowania, które można spodziewać się przy dzierżawie. W ramach testu porównawczego jeden agent uwierzytelniania może obsługiwać 300–400 uwierzytelnień na sekundę na standardowym 4-rdzeniowym procesorze, 16 GB pamięci RAM.

Aby oszacować ruch sieciowy, skorzystaj z następujących wskazówek dotyczących ustalania rozmiaru:

• Każde żądanie ma rozmiar ładunku (0,5K + 1K * num_of_agents) bajtów, czyli dane z identyfikatora Entra firmy Microsoft do agenta uwierzytelniania. Tutaj "num_of_agents" wskazuje liczbę agentów uwierzytelniania zarejestrowanych w wynajmującym.
• Każda odpowiedź ma rozmiar ładunku 1K bajtów, czyli dane z agenta uwierzytelniania do identyfikatora Entra firmy Microsoft.

W przypadku większości klientów trzy agenty uwierzytelniania w sumie są wystarczające dla wysokiej dostępności i pojemności. Należy zainstalować agentów uwierzytelniania w pobliżu kontrolerów domeny, aby zwiększyć opóźnienie logowania.

Aby rozpocząć, wykonaj następujące instrukcje, aby pobrać oprogramowanie agenta uwierzytelniania:

1. Aby pobrać najnowszą wersję agenta uwierzytelniania (wersja 1.5.193.0 lub nowsza), zaloguj się do Microsoft Entra admin center przy użyciu poświadczeń Administratora Tożsamości Hybrydowej dzierżawcy.

2. Wybierz Microsoft Entra ID.

3. Wybierz pozycję Microsoft Entra Connect, wybierz pozycję Uwierzytelnianie przekazywane, a następnie wybierz pozycję Pobierz agenta.

4. Wybierz przycisk Akceptuj warunki i pobierz.

   

Uwaga

Możesz również pobrać bezpośrednio oprogramowanie agenta uwierzytelniania. Przed zainstalowaniem agenta uwierzytelniania przejrzyj i zaakceptuj warunki użytkowania usługiagenta uwierzytelniania.

Istnieją dwa sposoby wdrażania autonomicznego agenta uwierzytelniania:

Najpierw możesz to zrobić interaktywnie, uruchamiając pobrany plik wykonywalny aplikacji agenta uwierzytelniania i podając poświadczenia administratora tożsamości hybrydowej dzierżawy, gdy zostanie wyświetlony monit.

Po drugie możesz utworzyć i uruchomić nienadzorowany skrypt wdrożenia. Jest to przydatne, gdy chcesz jednocześnie wdrożyć wielu agentów uwierzytelniania lub zainstalować agentów uwierzytelniania na serwerach z systemem Windows, które nie mają włączonego interfejsu użytkownika lub że nie można uzyskać dostępu za pomocą pulpitu zdalnego. Poniżej przedstawiono instrukcje dotyczące korzystania z tego podejścia:

1. Uruchom następujące polecenie, aby zainstalować agenta uwierzytelniania: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
2. Agenta uwierzytelniania można zarejestrować w naszej usłudze za pomocą programu PowerShell. Utwórz obiekt Poświadczenia PowerShell $cred zawierający nazwę użytkownika i hasło administratora tożsamości hybrydowej dla dzierżawy. Uruchom następujące polecenie, zastępując <username> i <password>:

$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword

3. Przejdź do katalogu C:\Program Files\Microsoft Azure AD Connect Authentication Agent i uruchom następujący skrypt przy użyciu utworzonego $cred obiektu:

RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Ważne

Jeśli agent uwierzytelniania jest zainstalowany na maszynie wirtualnej, nie można sklonować maszyny wirtualnej, aby skonfigurować innego agenta uwierzytelniania. Ta metoda nie jest obsługiwana.

Krok 5. Konfigurowanie funkcji inteligentnej blokady

Inteligentna blokada pomaga w blokowaniu osób, które próbują odgadnąć hasła użytkowników lub stosują metody siłowe, aby się dostać. Konfigurując ustawienia Smart Lockout w Microsoft Entra ID i/lub odpowiednie ustawienia blokady w lokalnym Active Directory, ataki można filtrować przed dotarciem do Active Directory. Przeczytaj ten artykuł , aby dowiedzieć się więcej na temat konfigurowania ustawień blokady inteligentnej w dzierżawie w celu ochrony kont użytkowników.

Następne kroki

• Migrowanie aplikacji do identyfikatora Entra firmy Microsoft: zasoby ułatwiające migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft.
• Blokada inteligentna: dowiedz się, jak skonfigurować funkcję inteligentnej blokady w dzierżawie w celu ochrony kont użytkowników.
• Bieżące ograniczenia: dowiedz się, które scenariusze są obsługiwane przy użyciu uwierzytelniania przepustowego, a które nie są.
• Dogłębna analiza techniczna: dowiedz się, jak działa funkcja uwierzytelniania przekazywanego.
• Często zadawane pytania: Znajdź odpowiedzi na często zadawane pytania.
• Rozwiązywanie problemów: Dowiedz się, jak rozwiązywać typowe problemy związane z funkcją uwierzytelniania przepuszczającego.
• Dogłębna analiza zabezpieczeń: uzyskaj informacje techniczne dotyczące funkcji przekazywanego uwierzytelniania.
• Hybrydowe dołączanie Microsoft Entra: Skonfiguruj możliwość hybrydowego dołączania Microsoft Entra w swojej dzierżawie, aby umożliwić logowanie jednokrotne do zasobów w chmurze i lokalnych.
• Bezproblemowe SSO Microsoft Entra: Dowiedz się więcej o tej uzupełniającej funkcji.
• UserVoice: użyj forum Microsoft Entra, aby zgłosić nowe żądania funkcji.