Implementar o logon único contínuo

  • 11 minutos

A equipe de TI da Contoso deseja ter uma forma de permitir que os usuários usem SSO para acessar recursos locais e recursos no Azure. O SSO contínuo do Microsoft Entra é uma tecnologia que funciona com Sincronização de hash de senha ou autenticação de passagem.

Além disso, quando o SSO Contínuo está habilitado, os usuários raramente precisam digitar seus nomes de usuário e nunca suas senhas para entrar no Microsoft Entra ID. Esse recurso fornece aos usuários da Contoso acesso fácil aos aplicativos baseados em nuvem sem a necessidade de componentes locais extras.

Cenários com suporte para autenticação de passagem

A autenticação de passagem do Microsoft Entra ajuda a garantir que os serviços que dependem do Microsoft Entra ID sempre validem senhas em uma instância do AD DS local.

Captura de tela do Assistente de Configuração do Microsoft Entra Connect, página de entrada do usuário. O administrador selecionou a autenticação de passagem e a caixa de seleção Habilitar logon único.

Você pode configurar a autenticação de passagem do Microsoft Entra usando o Microsoft Entra Connect, que usa um agente local que escuta solicitações de validação de senha externas. Você pode implantar esse agente em um ou mais servidores para fornecer alta disponibilidade. Não é necessário implantar esse servidor em uma rede de perímetro porque toda a comunicação é somente de saída.

Você deve ingressar em um servidor que executa o agente de autenticação de passagem para o domínio do AD DS no qual os usuários estão localizados. Antes de implantar a autenticação de passagem do Microsoft Entra, você deve saber quais cenários de autenticação têm suporte e quais não têm.

Você pode usar a autenticação de passagem para os seguintes cenários de autenticação:

  • Entradas do usuário em todos os aplicativos baseados em navegador da Web com suporte pelo Microsoft Entra ID.

  • Entradas do usuário a aplicativos do Office que dão suporte para autenticação moderna.

    Observação

    Esses aplicativos do Office incluem o Office 2019, o Office 2016 e o Office 2013 com autenticação moderna.

  • Entradas de usuário para clientes do Microsoft Outlook usando protocolos herdados, como o Exchange ActiveSync, SMTP (Simple Mail Transfer Protocol), POP (Post Office Protocol) e IMAP (Internet Message Access Protocol).

  • Entradas do usuário no aplicativo Skype for Business que dão suporte à autenticação moderna, incluindo topologias online e híbrida.

  • Ingressos no domínio do Microsoft Entra para dispositivos Windows 10.

  • Senhas de aplicativo para autenticação multifator.

Cenários sem suporte para autenticação de passagem

Embora a autenticação de passagem dê suporte aos cenários de autenticação mais comuns, ainda há alguns cenários em que você não pode usar esse método. Esses cenários incluem:

  • Credenciais de usuário para aplicativos cliente herdados do Office, exceto o Outlook.

    Observação

    Esses aplicativos cliente herdados incluem o Office 2010 e o Office 2013 sem autenticação moderna.

  • Acesso ao compartilhamento de calendário e informações livres/ocupadas nos ambientes híbridos do Exchange somente no Office 2010.

  • O usuário entra em aplicativos cliente do Skype for Business, sem autenticação moderna.

  • Entradas do usuário para o Windows PowerShell versão 1.0.

  • Detecção de usuários com credenciais vazadas.

  • Cenários que exigem o Microsoft Entra Domain Services. O Microsoft Entra Domain Services exige que os locatários tenham a sincronização de hash de senha habilitada; portanto, os locatários que usam apenas a autenticação de passagem não funcionarão nesses cenários.

  • Cenários que exigem o Microsoft Entra Connect Health. A autenticação de passagem não está integrada ao Microsoft Entra Connect Health.

  • Se você usar o DEP da Apple (Programa de registro de dispositivos da Apple) que usa o assistente de configuração do iOS, não poderá usar a autenticação moderna, pois não há suporte para ela. Ela não conseguirá registrar dispositivos do DEP da Apple no Intune para domínios gerenciados que usam autenticação de passagem. Considere o uso do aplicativo Portal da Empresa do Intune como uma alternativa.

Como funciona a autenticação de passagem

Antes de implantar a autenticação de passagem, você deve entender como ela funciona e como esse método de autenticação difere do AD FS. A autenticação de passagem não é apenas uma forma mais simples de autenticação do AD FS. Ambos os métodos usam a infraestrutura local para autenticar usuários ao acessar recursos como Microsoft 365, mas não da mesma maneira.

Uma captura de tela do Assistente de Configuração do Microsoft Entra Connect, página Configurar. O assistente está pronto para definir as seguintes configurações: instalar o agente de autenticação do Microsoft Entra Connect para autenticação de passagem, habilitar a autenticação de passagem, habilitar a autenticação gerenciada no Azure, habilitar o SSO e habilitar a sincronização de hash de senha. O administrador marcou a caixa de seleção Iniciar o processo de sincronização quando a configuração for concluída.

A autenticação de passagem usa um componente chamado Agente de Autenticação para autenticar usuários. O Microsoft Entra Connect instala o Agente de Autenticação durante a configuração.

Após a instalação, o Agente de Autenticação se registra no Microsoft Entra ID do locatário do Microsoft 365. Durante o registro, o Microsoft Entra ID atribui ao Agente de Autenticação um certificado de identidade digital exclusivo. Esse certificado (com um par de chaves) permite a comunicação segura com o Microsoft Entra ID. O procedimento de registro também associa o Agente de Autenticação ao locatário do Microsoft Entra.

Observação

As solicitações de autenticação não são enviadas por push para o agente de autenticação. Em vez disso, durante sua inicialização, o Agente de Autenticação se conecta ao Microsoft Entra ID pela porta 443, um canal HTTPS protegido usando autenticação mútua. Depois de estabelecer a conexão, o Microsoft Entra ID fornece ao Agente de Autenticação acesso à fila do Barramento de Serviço do Azure. Nessa fila, o agente de autenticação recupera e gerencia solicitações de validação de senha. Por isso, não há tráfego de entrada, de modo que não é necessário instalar o agente de autenticação na rede de perímetro.

Exemplo

Quando a equipe de TI da Contoso habilita a autenticação de passagem em seu locatário do Microsoft 365 e um usuário tenta autenticar no aplicativo Web do Outlook, ocorrem as seguintes etapas:

  1. Se ainda não estiver conectado, o usuário será redirecionado para a página de entrada do usuário do Microsoft Entra. Nessa página, o usuário entra com um nome de usuário e senha. O Microsoft Entra ID recebe a solicitação para entrar e coloca o nome de usuário e a senha em uma fila. Um serviço de token de segurança (STS) do Microsoft Entra usa a chave pública do Agente de Autenticação para criptografar essas credenciais. O serviço STS recupera essa chave pública do certificado que o agente de autenticação recebe durante o processo de registro.

    Observação

    Embora o Microsoft Entra ID coloque temporariamente as credenciais do usuário na fila do Barramento de Serviço do Azure, elas nunca são armazenadas na nuvem.

  2. O agente de autenticação, que é conectado de modo persistente à fila do Barramento de Serviço do Azure, observa a alteração na fila e recupera as credenciais criptografadas da fila. Como as credenciais são criptografadas com a chave pública do agente de autenticação, o agente usa a chave privada para descriptografar os dados.

  3. O agente de autenticação valida o nome de usuário e a senha em relação ao AD DS local usando APIs padrão do Windows. Neste ponto, esse mecanismo é semelhante ao que AD FS usa. Um nome de usuário pode ser o nome de usuário padrão local, geralmente userPrincipalName, ou outro atributo configurado no Microsoft Entra Connect, conhecido como ID Alternativa.

  4. O AD DS local avalia a solicitação e retorna a resposta apropriada para o Agente de Autenticação: sucesso, falha, senha expirada ou usuário bloqueado.

  5. Depois de receber a resposta do AD DS, o Agente de Autenticação retornará essa resposta ao Microsoft Entra ID.

  6. A ID do Microsoft Entra avalia a resposta e responde ao usuário, conforme apropriado. Por exemplo, o Microsoft Entra ID conecta o usuário imediatamente ou solicita a autenticação multifator. Se a entrada do usuário for bem-sucedida, ele será capaz de acessar o aplicativo.

Observação

Você pode considerar a implantação do SSO contínuo do Microsoft Entra junto com a autenticação de passagem para tornar a experiência do usuário ainda melhor ao acessar recursos baseados em nuvem de computadores ingressados no domínio. Ao implantar esse recurso, os usuários poderão acessar recursos de nuvem sem entrar se já estiverem conectados em seus computadores conectados ao domínio corporativo com suas credenciais de domínio.

Leituras adicionais

Para saber mais, examine os documentos a seguir.