Este artigo aborda perguntas frequentes sobre a autenticação de passagem do Microsoft Entra. Continue verificando se há conteúdo atualizado.
Qual dos métodos para entrar no Microsoft Entra ID, Autenticação de Passagem, sincronização de hash de senha e Serviços de Federação do Ative Directory (AD FS) devo escolher?
Reveja este guia para obter uma comparação dos vários métodos de início de sessão do Microsoft Entra e como escolher o método de início de sessão certo para a sua organização.
A autenticação de passagem é um recurso gratuito?
A autenticação de passagem é um recurso gratuito. Você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
O Acesso Condicional funciona com a Autenticação de Passagem?
Sim. Todos os recursos de Acesso Condicional, incluindo a autenticação multifator Microsoft Entra, funcionam com a Autenticação de Passagem.
A Autenticação de Passagem suporta "ID Alternativa" como nome de usuário, em vez de "userPrincipalName"?
Sim, tanto a autenticação de passagem (PTA) quanto a sincronização de hash de senha (PHS) suportam o login usando um valor não UPN, como um e-mail alternativo. Para obter mais informações sobre ID de entrada alternativo.
A sincronização do hash de palavras-passe funciona como uma contingência para a Autenticação Pass-through?
N.º A Autenticação de Passagem não faz failover automático para a sincronização de hash de senha. Para evitar falhas de entrada do usuário, você deve configurar a Autenticação de Passagem para alta disponibilidade.
O que acontece quando mudo da sincronização do hash de palavras-passe para a Autenticação Pass-through?
Quando você usa o Microsoft Entra Connect para alternar o método de entrada da sincronização de hash de senha para a Autenticação de Passagem, a Autenticação de Passagem se torna o principal método de entrada para seus usuários em domínios gerenciados. Todos os hashes de senha dos usuários que são sincronizados anteriormente pela sincronização de hash de senha permanecem armazenados no Microsoft Entra ID.
Posso instalar um conector de rede privada Microsoft Entra no mesmo servidor que um Agente de Autenticação de Passagem?
Sim. As versões renomeadas do Agente de Autenticação de Passagem, versão 1.5.193.0 ou posterior, suportam essa configuração.
Quais versões do Microsoft Entra Connect e do Agente de Autenticação de Passagem são necessárias?
Para que esse recurso funcione, você precisa da versão 1.1.750.0 ou posterior para o Microsoft Entra Connect e 1.5.193.0 ou posterior para o Agente de Autenticação de Passagem. Instale todo o software em servidores com Windows Server 2012 R2 ou posterior.
Por que meu conector ainda está usando uma versão mais antiga e não é atualizado automaticamente para a versão mais recente?
Isso pode ser devido ao serviço atualizador não funcionar corretamente ou se não houver novas atualizações disponíveis que o serviço possa instalar. O serviço atualizador estará íntegro se estiver em execução e não houver erros registrados no log de eventos (logs de Aplicativos e Serviços -> Microsoft -> AzureADConnect-Agent -> Updater -> Admin).
Apenas as versões principais são lançadas para atualização automática. Recomendamos atualizar seu agente manualmente somente se for necessário. Por exemplo, você não pode esperar por uma versão principal, porque você deve corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo de versão (download, atualização automática), correções de bugs e novos recursos, consulte Microsoft Entra pass-through authentication agent: Version release history.
Para atualizar manualmente um conector:
- Faça o download da versão mais recente do Agente. (Você o encontra em Autenticação do Microsoft Entra Connect Pass-through no Centro de administração do Microsoft Entra. Você também pode encontrar o link em Microsoft Entra pass-through authentication: Version release history.
- O instalador reinicia os serviços do Agente de Autenticação do Microsoft Entra Connect. Em alguns casos, uma reinicialização do servidor é necessária se o instalador não puder substituir todos os arquivos. Recomendamos fechar todos os aplicativos antes de iniciar a atualização.
- Execute o instalador. O processo de atualização é rápido e não requer o fornecimento de credenciais e o Agente não é registrado novamente.
O que acontece se a senha do meu usuário expirou e ele tentar entrar usando a Autenticação de Passagem?
Se você configurou de write-back de senha para um usuário específico e se o usuário entrar usando a Autenticação de Passagem, ele poderá alterar ou redefinir suas senhas. As senhas são gravadas novamente no Ative Directory local, conforme o esperado.
Se você não configurou o write-back de senha para um usuário específico ou se o usuário não tiver uma licença válida do Microsoft Entra ID atribuída, o usuário não poderá atualizar sua senha na nuvem. Eles não podem atualizar sua senha, mesmo que a senha tenha expirado. Em vez disso, o usuário vê esta mensagem: "Sua organização não permite que você atualize sua senha neste site. Atualize-o de acordo com o método recomendado pela sua organização ou pergunte ao seu administrador se precisa de ajuda." O usuário ou o administrador deve redefinir sua senha no Ative Directory local.
O usuário entra no Microsoft Entra ID com credenciais (nome de usuário, senha). Enquanto isso, a senha do usuário expira, mas o usuário ainda pode acessar os recursos do Microsoft Entra. Por que isso acontece?
A expiração da senha não aciona a revogação de tokens de autenticação ou cookies. Até que os tokens ou cookies sejam válidos, o usuário pode usá-los. Isso se aplica independentemente do tipo de autenticação (PTA, PHS e cenários federados).
Para mais detalhes, consulte a seguinte documentação:
Como a Autenticação de Passagem protege você contra ataques de senha de força bruta?
O que os agentes de autenticação de passagem comunicam pelas portas 80 e 443?
Os Agentes de Autenticação fazem solicitações HTTPS pela porta 443 para todas as operações de recursos.
Os Agentes de Autenticação fazem solicitações HTTP pela porta 80 para baixar as listas de revogação de certificados TLS/SSL (CRLs).
Nota
As atualizações recentes reduziram o número de portas exigidas pelo recurso. Se você tiver versões mais antigas do Microsoft Entra Connect ou do Agente de Autenticação, mantenha essas portas abertas também: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.
Os Agentes de Autenticação de Passagem podem se comunicar por meio de um servidor proxy da Web de saída?
Sim. Se a Descoberta Automática de Proxy da Web (WPAD) estiver habilitada em seu ambiente local, os Agentes de Autenticação tentarão localizar e usar automaticamente um servidor proxy da Web na rede. Para obter mais informações sobre como usar o servidor proxy de saída, consulte Trabalhar com servidores proxy locais existentes.
Se você não tiver WPAD em seu ambiente, poderá adicionar informações de proxy para permitir que um Agente de Autenticação de Passagem se comunique com o ID do Microsoft Entra:
- Configure as informações de proxy no Internet Explorer antes de instalar o Agente de Autenticação de Passagem no servidor. Isso permite que você conclua a instalação do Agente de Autenticação, mas ele ainda aparece como Inativo no Portal de administração.
- No servidor, navegue até "C:\Arquivos de Programas\Microsoft Azure AD Connect Authentication Agent".
- Edite o arquivo de configuração "AzureADConnectAuthenticationAgentService" e adicione as seguintes linhas (substitua "http://contosoproxy.com:8080" com o seu endereço de procuração real):
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://contosoproxy.com:8080"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Posso instalar dois ou mais Agentes de Autenticação de Passagem no mesmo servidor?
Não, você só pode instalar um Agente de Autenticação de Passagem em um único servidor. Se você quiser configurar a Autenticação de Passagem para alta disponibilidade, siga as instruções aqui.
Tenho que renovar manualmente os certificados usados pelos Agentes de Autenticação de Passagem?
A comunicação entre cada Agente de Autenticação de Passagem e o ID do Microsoft Entra é protegida usando autenticação baseada em certificado. Esses certificados são renovados automaticamente a cada poucos meses pelo Microsoft Entra ID. Não há necessidade de renovar manualmente esses certificados. Você pode limpar certificados expirados mais antigos conforme necessário.
Como posso remover um Agente de Autenticação Pass-through?
Enquanto um Agente de Autenticação de Passagem estiver em execução, ele permanecerá ativo e processará continuamente as solicitações de entrada do usuário. Se você quiser desinstalar um agente de autenticação, vá para Painel de controle -> programas -> programas e recursos. Desinstale o
Se você verificar a folha Autenticação de Passagem no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida. Você deve ver o Agente de Autenticação mostrando como Inativo. Isso é esperado. O Agente de Autenticação é automaticamente removido da lista após 10 dias.
Já utilizo o AD FS para iniciar sessão no Microsoft Entra ID. Como posso mudar para a Autenticação Pass-through?
Se estiver a migrar do AD FS (ou de outras tecnologias de federação) para a Autenticação de Passagem, recomendamos vivamente que siga o nosso guia de início rápido.
Posso utilizar a Autenticação Pass-through num ambiente multifloresta do Active Directory?
Sim. São suportados ambientes com várias florestas se houver confianças de floresta (bidirecionais) entre as florestas do Active Directory e se o encaminhamento do sufixo do nome estiver configurado corretamente.
A Autenticação de Passagem fornece balanceamento de carga entre vários Agentes de Autenticação?
Não, a instalação de vários Agentes de Autenticação de Passagem garante apenas alta disponibilidade. Ele não fornece balanceamento de carga determinístico entre os agentes de autenticação. Qualquer agente de autenticação (aleatoriamente) pode processar uma solicitação de login de usuário específica.
Quantos Agentes de Autenticação Pass-through tenho de instalar?
A instalação de vários agentes de autenticação de passagem garante alta disponibilidade. Mas, ele não fornece balanceamento de carga determinístico entre os agentes de autenticação.
Considere o pico e a carga média de solicitações de entrada que você espera ver em seu locatário. Como referência, um único Agente de Autenticação pode lidar com 300 a 400 autenticações por segundo em uma CPU padrão de 4 núcleos, servidor de 16 GB de RAM.
Para estimar o tráfego de rede, use as seguintes diretrizes de dimensionamento:
- Cada solicitação tem um tamanho de carga útil de (0,5K + 1K * num_of_agents) bytes; ou seja, dados do Microsoft Entra ID para o Agente de Autenticação. Aqui, "num_of_agents" indica o número de Agentes de Autenticação registados no seu inquilino.
- Cada resposta tem um tamanho de carga útil de 1K bytes; ou seja, dados do Agente de Autenticação para o ID do Microsoft Entra.
Para a maioria dos clientes, dois ou três agentes de autenticação no total são suficientes para alta disponibilidade e capacidade. No entanto, em ambientes de produção, recomendamos que você tenha um mínimo de 3 agentes de autenticação em execução em seu locatário. Você deve instalar os Agentes de Autenticação próximos aos controladores de domínio para melhorar a latência de entrada.
Nota
Há um limite de sistema de 40 agentes de autenticação por locatário.
De que função necessito para ativar a Autenticação de Passagem?
É recomendável habilitar ou desabilitar a Autenticação de Passagem usando uma conta de Administrador de Identidade Híbrida. Fazê-lo desta forma garante que não fica bloqueado fora do seu inquilino. ]
Como posso desativar a Autenticação Pass-through?
Execute novamente o assistente do Microsoft Entra Connect e altere o método de entrada do usuário de Autenticação de Passagem para outro método. Essa alteração desabilita a Autenticação de Passagem no locatário e desinstala o Agente de Autenticação do servidor. Você deve desinstalar manualmente os Agentes de Autenticação dos outros servidores.
O que acontece quando desinstalo um Agente de Autenticação de Passagem?
Se você desinstalar um Agente de Autenticação de Passagem de um servidor, isso fará com que o servidor pare de aceitar solicitações de entrada. Para evitar interromper a capacidade de início de sessão do utilizador no inquilino, garanta que tem outro Agente de Autenticação em execução antes de desinstalar um Agente de Autenticação Pass-through.
Tenho um locatário mais antigo que foi originalmente configurado usando o AD FS. Migramos recentemente para o PTA, mas agora não estamos vendo nossas alterações UPN sincronizando com o ID do Microsoft Entra. Por que motivo as nossas alterações ao UPN não estão a ser sincronizadas?
Nas seguintes circunstâncias, as alterações de UPN local podem não ser sincronizadas se:
- Seu locatário do Microsoft Entra foi criado antes de 15 de junho de 2015.
- Inicialmente, você foi federado com seu locatário do Microsoft Entra usando o AD FS para autenticação.
- Você passou a ter usuários gerenciados usando PTA como autenticação.
Isso ocorre porque o comportamento padrão dos locatários criados antes de 15 de junho de 2015 era bloquear as alterações do UPN. Se você precisar desbloquear alterações de UPN, precisará executar o seguinte cmdlet do PowerShell. Obtenha a ID usando o cmdlet Get-MgDirectoryOnPremiseSynchronization .
$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params
Os inquilinos criados após 15 de junho de 2015 têm o comportamento predefinido de sincronizar as alterações ao UPN.
Como faço para capturar a ID do Agente PTA dos logs de entrada do Microsoft Entra e do servidor PTA para validar qual servidor PTA foi usado para um evento de entrada?
Para validar qual servidor local ou agente de autenticação foi usado para um evento de entrada específico:
No centro de administração do Microsoft Entra, vá para o evento de entrada.
Selecione Detalhes de autenticação. Na coluna Detalhes do Método de Autenticação , os detalhes da ID do Agente são mostrados no formato "Autenticação de passagem; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".
Para obter detalhes da ID do agente instalado no servidor local, entre no servidor local e execute o seguinte cmdlet:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*
O valor GUID retornado é o ID do agente de autenticação instalado nesse servidor específico. Se você tiver vários agentes em seu ambiente, poderá executar esse cmdlet em cada servidor de agente e capturar os detalhes da ID do agente.
Correlacione a ID do agente que você obtém do servidor local e dos logs de entrada do Microsoft Entra para validar qual agente ou servidor reconheceu a solicitação de assinatura.
Próximos passos
- Limitações atuais: conheça os cenários suportados e os que não são.
- Início rápido: comece a usar a autenticação de passagem do Microsoft Entra.
- Migrar seus aplicativos para o Microsoft Entra ID: recursos para ajudá-lo a migrar o acesso e a autenticação do aplicativo para o Microsoft Entra ID.
- Bloqueio Inteligente: Saiba como configurar a funcionalidade de Bloqueio Inteligente no seu inquilino para proteger as contas de utilizador.
- Aprofundamento técnico: entenda como funciona o recurso de autenticação de passagem.
- Solução de problemas: saiba como resolver problemas comuns com o recurso de autenticação de passagem.
- Aprofundamento de segurança: obtenha informações técnicas detalhadas sobre o recurso de autenticação de passagem.
- Ingresso híbrido do Microsoft Entra: configure o recurso de associação híbrida do Microsoft Entra em seu locatário para SSO em seus recursos locais e na nuvem.
- Microsoft Entra seamless SSO: Saiba mais sobre este recurso complementar.
- UserVoice: Use o fórum do Microsoft Entra para arquivar novas solicitações de recursos.