Выберите подходящий метод проверки подлинности для решения гибридной идентификации Microsoft Entra
Выбор правильного метода аутентификации является первой задачей для организаций, которые хотят переместить свои приложения в облако. Это решение не должно приниматься легкомысленно по следующим причинам.
Это первое решение, принимаемое организацией, желающей перейти в облако.
Метод аутентификации является критическим компонентом присутствия организации в облаке. Он позволяет управлять доступом ко всем облачным данным и ресурсам.
Это основа всех других функций расширенной безопасности и взаимодействия с пользователем в идентификаторе Microsoft Entra ID.
Удостоверение — это новая плоскость управления ИТ-безопасностью, поэтому проверка подлинности — это защита доступа организации к новому облачному миру. Организациям необходима платформа управления идентификацией, которая укрепляет их безопасность и защищает облачные приложения от злоумышленников.
Примечание.
Для изменения метода проверки подлинности требуется планирование, тестирование и потенциальное время простоя. Поэтапное развертывание — отличный способ тестирования миграции пользователей из федерации в облачную проверку подлинности.
Вне области
Организации, у которых нет локального каталога, в этой статье не рассматриваются. Как правило, эти предприятия создают идентичности только в облаке, что не требует гибридного идентификационного решения. Облачные удостоверения существуют исключительно в облаке и не связаны с соответствующими локальными удостоверениями.
методы проверки подлинности;
Когда решение гибридного удостоверения Microsoft Entra является новым уровнем управления, проверка подлинности является основой доступа к облаку. Выбор правильного метода проверки подлинности является важным первым решением при настройке решения гибридного удостоверения Microsoft Entra. Метод проверки подлинности, который вы выберете, настраивается с помощью Microsoft Entra Connect и также предоставляет пользователей в облаке.
Чтобы выбрать метод аутентификации, необходимо учитывать время, имеющуюся инфраструктуру, сложность и стоимость реализации решения. Эти факторы отличаются для каждой организации и могут изменяться с течением времени.
Идентификатор Microsoft Entra поддерживает следующие методы проверки подлинности для решений гибридных удостоверений.
Облачная аутентификация
При выборе этого метода проверки подлинности идентификатор Microsoft Entra обрабатывает процесс входа пользователей. В сочетании с единым входом пользователи могут входить в облачные приложения без повторного ввода учетных данных. При использовании облачной аутентификации вы можете выбрать один из двух вариантов:
Синхронизация хэша паролей Microsoft Entra. Самый простой способ включить проверку подлинности для локальных объектов каталога в идентификаторе Microsoft Entra. Пользователи могут использовать то же имя пользователя и пароль, что и в локальной среде, не развертывая любую другую инфраструктуру. Некоторые функции идентификатора Microsoft Entra ID, такие как Защита идентификации Microsoft Entra и доменные службы Microsoft Entra, требуют синхронизации хэша паролей независимо от выбранного метода проверки подлинности.
Примечание.
Пароли никогда не хранятся в чистом тексте или шифруются с помощью обратимого алгоритма в идентификаторе Microsoft Entra. Дополнительные сведения о фактическом процессе синхронизации хэша паролей см. в разделе "Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".
Microsoft Entra сквозная проверка подлинности. Предоставляет простую проверку пароля для служб проверки подлинности Microsoft Entra с помощью агента программного обеспечения, работающего на одном или нескольких локальных серверах. Серверы проверяют пользователей непосредственно в локальной службе Active Directory. Это гарантирует, что проверка пароля не выполняется в облаке.
Этот метод аутентификации следует использовать организациям с требованием безопасности, предписывающим немедленное применение состояний локальных учетных записей пользователей, политик паролей и времени входа. Дополнительные сведения о реальном процессе пассквозной аутентификации см. в статье «Вход пользователей с помощью пассквозной аутентификации Microsoft Entra».
Федеративная аутентификация
При выборе этого метода аутентификации Microsoft Entra ID передает процесс аутентификации отдельной доверенной системе, например, локальные службы федерации Active Directory (AD FS), чтобы проверить пароль пользователя.
Система проверки подлинности может предоставлять другие расширенные требования к проверке подлинности, например стороннюю многофакторную проверку подлинности.
В следующем разделе с помощью дерева принятия решений вы узнаете, какой метод аутентификации подходит вам. Он помогает определить, следует ли развертывать облачную или федеративную проверку подлинности для решения гибридного удостоверения Microsoft Entra.
Дерево принятия решений
Детали вопросов по принятию решений:
- Идентификатор Microsoft Entra может обрабатывать вход для пользователей без использования локальных компонентов для проверки паролей.
- Microsoft Entra ID может передать аутентификацию пользователя доверенному поставщику аутентификации, например, AD FS от Microsoft.
- Если вам нужно применить политики безопасности Active Directory уровня пользователя, такие как истечение срока действия аккаунта, отключение аккаунта, истечение срока действия пароля, блокировка аккаунта и временной режим доступа для каждого пользователя, Microsoft Entra ID требует некоторых локальных компонентов.
- Функции входа, которые изначально не поддерживаются идентификатором Microsoft Entra:
- вход с помощью стороннего решения проверки подлинности;
- многосайтовое локальное решение для аутентификации.
- Защита ID Microsoft Entra требует синхронизации хэша паролей независимо от выбранного метода входа, чтобы предоставить отчет о пользователях с утекшими учетными данными. Организации могут переключаться на синхронизацию хэшей паролей, если происходит сбой в их основном методе входа в систему и он был настроен до сбоя.
Примечание.
Для работы Защиты удостоверений Microsoft Entra требуются лицензии Microsoft Entra ID P2.
Подробные рекомендации
Облачная аутентификация: синхронизация хэша паролей
Трудозатраты. Синхронизация хэша паролей требует минимальных трудозатрат для развертывания, обслуживания и обеспечения инфраструктуры. Этот уровень усилий обычно применяется к организациям, которым нужно, чтобы их пользователи могли войти в Microsoft 365, приложения SaaS и другие ресурсы, основанные на Microsoft Entra ID. При включении синхронизация хэша паролей входит в процесс синхронизации Microsoft Entra Connect и выполняется каждые две минуты.
Взаимодействие с пользователем. Чтобы улучшить возможности входа пользователей, используйте устройства, присоединенные к Microsoft Entra, или гибридные устройства, присоединенные к Microsoft Entra. Если вы не можете присоединить устройства Windows к Microsoft Entra ID, рекомендуется развернуть бесшовный единый вход с синхронизацией хэша паролей. Бесшовный SSO исключает ненужные запросы, когда пользователи вошли в систему.
Сложные сценарии. Если организации пожелают, можно использовать сведения из удостоверений в отчетах защиты идентификаций Microsoft Entra с использованием Microsoft Entra ID P2. Например, в отчете об утечке учетных данных. Windows Hello для бизнеса включает в себя особые требования при использовании синхронизации хэша паролей. Доменные службы Microsoft Entra требуют синхронизации хэша паролей для предоставления пользователям их корпоративных учетных данных в управляемом домене.
Организации, требующие многофакторной проверки подлинности с синхронизацией хэша паролей, должны использовать многофакторную проверку подлинности Microsoft Entra или пользовательские элементы управления условного доступа. Эти организации не могут использовать методы многофакторной аутентификации сторонних производителей или локальные методы, которые зависят от федерации.
Примечание.
Для условного доступа Microsoft Entra требуются лицензии Microsoft Entra ID P1 .
Непрерывность бизнес-процессов. Использование синхронизации хэша паролей с облачной аутентификацией обеспечивает высокий уровень доступности в качестве облачной службы, которая охватывает все центры обработки данных Майкрософт. Чтобы убедиться, что синхронизация хэша паролей не завершается в течение длительных периодов, разверните второй сервер Microsoft Entra Connect в промежуточном режиме в резервной конфигурации.
Рекомендации. В настоящее время синхронизация хэша паролей не обеспечивает немедленное изменение состояния локальных учетных записей. В этой ситуации пользователь имеет доступ к облачным приложениям, пока состояние учетной записи пользователя не будет синхронизировано с идентификатором Microsoft Entra. Организации могут захотеть преодолеть это ограничение, запустив новый цикл синхронизации после того, как администраторы выполнят массовые обновления состояния локальных учетных записей пользователей. Примером может быть отключение учетных записей.
Примечание.
Срок действия пароля истек и состояния блокировки учетной записи в настоящее время не синхронизируются с идентификатором Microsoft Entra Connect. Когда вы изменяете пароль пользователя и устанавливаете флаг пользователь должен изменить пароль при следующем входе в систему, хэш пароля не будет синхронизирован с идентификатором Microsoft Entra ID через Microsoft Entra Connect, пока пользователь не изменит свой пароль.
Ознакомьтесь с реализацией синхронизации хэша паролей, чтобы получить указания по развертыванию.
Облачная аутентификация: сквозная аутентификация
Трудозатраты. Для сквозной аутентификации требуется один или несколько (рекомендуется три) упрощенных агентов, установленных на серверах. Эти агенты должны иметь доступ к вашим локальным доменным службам Active Directory, включая локальные контроллеры домена AD. Им необходим исходящий доступ к Интернету и доступ к контроллерам домена. По этой причине не поддерживается развертывание агентов в сети периметра.
Для сквозной аутентификации требуется неограниченный сетевой доступ к контроллерам домена. Весь сетевой трафик зашифрован и ограничен запросами аутентификации. Для получения дополнительных сведений об этом процессе см. подробное исследование по безопасности в контексте сквозной аутентификации.
Взаимодействие с пользователем. Чтобы улучшить возможности входа пользователей, используйте устройства, присоединенные к Microsoft Entra, или гибридные устройства, присоединенные к Microsoft Entra. Если вы не можете присоединить устройства Windows к Microsoft Entra ID, рекомендуется развернуть бесшовный единый вход с синхронизацией хэша паролей. Бесшовное SSO исключает ненужные запросы, когда пользователи вошли в систему.
Сложные сценарии. Сквозная аутентификация обеспечивает применение политики локальных учетных записей во время входа. Например, доступ запрещен, если состояние учетной записи локального пользователя отключено, заблокировано или срок действия пароля истекает или попытка входа выходит за пределы часов, когда пользователь может войти.
Организации, требующие многофакторной аутентификации со сквозной проверкой подлинности, должны использовать многофакторную аутентификацию Microsoft Entra или пользовательские элементы управления для условного доступа. Эти организации не могут использовать метод многофакторной аутентификации стороннего поставщика или локальный метод многофакторной аутентификации, зависящий от федерации. Для использования расширенных функций требуется, чтобы синхронизация хэша паролей была развернута независимо от того, реализуется ли сквозная аутентификация. Примером является обнаружение утечки учетных данных с помощью Microsoft Entra ID Protection.
Непрерывность бизнес-процессов. Рекомендуется развернуть два дополнительных агента сквозной аутентификации. Эти дополнительные компоненты дополняют первого агента на сервере Microsoft Entra Connect. Это другое развертывание обеспечивает высокий уровень доступности запросов проверки подлинности. Если развернуты три агента, один агент все еще может выйти из строя, если другой агент отключен для обслуживания.
Развертывание синхронизации хэша паролей в дополнение к сквозной аутентификации дает еще одно преимущество. Это обеспечивает резервный метод аутентификации на случай, если основной метод аутентификации станет недоступен.
Рекомендации. Синхронизацию хэша паролей можно использовать в качестве резервного метода аутентификации для сквозной аутентификации на случай, если агентам не удается проверить учетные данные пользователя из-за значительного сбоя в локальной среде. Переход на синхронизацию хэша паролей не происходит автоматически, и чтобы вручную переключить метод входа, необходимо использовать Microsoft Entra Connect.
Ознакомьтесь с часто задаваемыми вопросами и другими вопросами о сквозной аутентификации, включая поддержку альтернативного идентификатора.
Ознакомьтесь с реализацией сквозной аутентификации, чтобы узнать о шагах по развертыванию.
Федеративная аутентификация
Трудозатраты. Использование системы федеративной проверки подлинности зависит от внешней доверенной системы для аутентификации пользователей. Некоторые компании хотят повторно использовать свои инвестиции в существующие федеративные системы с решением гибридной идентификации Microsoft Entra. Обслуживание и управление федеративной системой выходит за пределы контроля идентификатора Microsoft Entra. Именно от организации, использующей федеративную систему, зависит ее безопасное развертывание и способность обрабатывать нагрузку аутентификации.
Взаимодействие с пользователем. Пользовательский опыт при использовании федеративной аутентификации зависит от реализации функций, топологии и конфигурации кластера федерации. Некоторым организациям требуется такая гибкость для адаптации и настройки доступа к ферме федерации в соответствии с их требованиями к безопасности. Например, можно настроить внутренне подключенных пользователей и устройства для автоматического входа в систему без запроса учетных данных. Такая конфигурация работает, так как пользователи уже выполнили вход на своих устройствах. При необходимости некоторые расширенные функции безопасности могут усложнить процесс входа пользователей.
Сложные сценарии. Федеративная система аутентификации требуется, когда у клиентов есть требование к аутентификации, которое не поддерживается Microsoft Entra ID на нативном уровне. Ознакомьтесь с подробными сведениями, чтобы выбрать подходящий вариант входа в систему. Рассмотрим наиболее распространенные требования:
- Сторонние поставщики многофакторной аутентификации, требующие федеративного удостоверяющего центра.
- Аутентификация с использованием решений сторонних производителей для аутентификации. См. список совместимости федерации Microsoft Entra.
- Для входа в систему требуется sAMAccountName, например, «ДОМЕН\имя пользователя», а не основное имя пользователя (UPN), например user@domain.com.
Непрерывность бизнес-процессов. Как правило, для федеративных систем требуется массив серверов с балансировкой нагрузки, называемый фермой. Эта ферма настроена в топологии с внутренней сетью и сетью периметра для обеспечения высокого уровня доступности запросов на аутентификацию.
Синхронизацию хэша паролей можно развернуть с федеративной проверкой подлинности в качестве резервного метода аутентификации на случай, когда основной метод аутентификации недоступен. Например, если недоступны локальные серверы. Некоторым крупным корпоративным организациям требуется решение федерации для поддержки нескольких точек доступа в Интернет, настроенных с использованием гео-DNS для запросов на аутентификацию с низкой задержкой.
Рекомендации. Федеративные системы обычно требуют более значительных инвестиций в локальную инфраструктуру. Большинство организаций выбирает этот вариант, если они уже вложили средства в локальную федерацию. И если действует жесткое бизнес-требование использовать единого поставщика удостоверений. Федерация более сложна в эксплуатации и устранении неполадок, чем облачные решения для аутентификации.
Для недоступного для маршрутизации домена, который не может быть проверен в Microsoft Entra ID, требуется дополнительная настройка для реализации входа пользователей с использованием идентификатора. Это требование называется поддержкой альтернативного имени для входа. Ознакомьтесь со статьей о настройке альтернативного имени для входа, чтобы узнать об ограничениях и требованиях. Если вы решили использовать стороннего поставщика многофакторной проверки подлинности с федерацией, убедитесь, что поставщик поддерживает WS-Trust, чтобы разрешить устройствам присоединиться к идентификатору Microsoft Entra.
Обратитесь к развертыванию серверов федерации для шагов развертывания.
Примечание.
При развертывании решения гибридного удостоверения Microsoft Entra необходимо реализовать одну из поддерживаемых топологий Microsoft Entra Connect. Дополнительные сведения о поддерживаемых и неподдерживаемых конфигурациях см. в топологиях Microsoft Entra Connect.
Схемы архитектуры
На следующих схемах описаны компоненты архитектуры высокого уровня, необходимые для каждого метода проверки подлинности, которые можно использовать с решением гибридного удостоверения Microsoft Entra. Она содержит обзор для сравнения различий между решениями.
Простота решения для синхронизации хеша паролей:
Требования агента к сквозной аутентификации с использованием двух агентов для обеспечения избыточности:
Компоненты, необходимые для федерации в периметре и внутренней сети вашей организации:
Сравнение методов
| Рассмотрение | Синхронизация хэша паролей | Сквозная проверка подлинности | Федерация с AD FS |
|---|---|---|---|
| Где происходит аутентификация? | В облаке | В облаке после безопасного обмена данными проверки пароля с локальным агентом аутентификации | Локально |
| Каковы требования к локальному серверу за пределами системы подготовки: Microsoft Entra Connect? | нет | Один сервер для каждого дополнительного агента аутентификации | Не менее двух серверов AD FS Два или более WAP-серверов в сети периметра/DMZ |
| Каковы требования к Интернету и сетевым подключениям на месте, помимо системы обеспечения? | нет | Исходящий доступ к Интернету с серверов, где работают агенты аутентификации |
Входящий доступ из Интернета к WAP-серверам в периметре Входящий сетевой доступ к серверам AD FS с WAP-серверов в пограничной сети Балансировка сетевой нагрузки |
| Существует ли требование к TLS/SSL-сертификату? | Нет | Нет | Да |
| Существует ли решение для мониторинга состояния здоровья? | Не требуется | Состояние агента, предоставленное Центром администрирования Microsoft Entra | Microsoft Entra Connect Health |
| Пользователи получают единый вход в облачные ресурсы с присоединенных к домену устройств в корпоративной сети? | Да, с устройствами, присоединенными к Microsoft Entra, гибридными устройствами, присоединенными к Microsoft Entra, плагином Microsoft Enterprise SSO для устройств Apple или бесшовным SSO | Да, с устройствами, присоединенными к Microsoft Entra, гибридными устройствами, присоединенными к Microsoft Entra, подключаемым модулем Microsoft Enterprise SSO для устройств Apple или бесшовным единым входом (Seamless SSO) | Да |
| Какие типы входа поддерживаются? | UserPrincipalName + пароль Встроенная проверка подлинности Windows с использованием Seamless SSO Альтернативный идентификатор входа Устройства, присоединенные к Microsoft Entra Устройства, гибридно подключенные к Microsoft Entra Аутентификация с использованием сертификатов и смарт-карт |
UserPrincipalName + пароль Встроенная проверка подлинности Windows с бесшовным SSO Альтернативный идентификатор входа Устройства, присоединенные к Microsoft Entra Гибридные устройства, присоединенные к Microsoft Entra Аутентификация с использованием сертификатов и смарт-карт |
UserPrincipalName и пароль sAMAccountName и пароль Встроенная проверка подлинности Windows Аутентификация с использованием сертификатов и смарт-карт Альтернативный идентификатор входа |
| Поддерживается ли Windows Hello для бизнеса? |
Модель доверия на основе ключей Гибридное доверие к облаку |
Модель доверия на основе ключей Гибридное доверие к облаку Для обоих требуется функциональный уровень домена Windows Server 2016 |
Модель доверия на основе ключей Гибридное доверие к облаку Модель доверия на основе сертификатов |
| Какие варианты многофакторной проверки подлинности существуют? |
Многофакторная проверка подлинности Microsoft Entra Пользовательские элементы управления с условным доступом* |
Многофакторная проверка подлинности Microsoft Entra Пользовательские элементы управления с условным доступом* |
Многофакторная проверка подлинности Microsoft Entra Сторонняя многофакторная аутентификация Пользовательские элементы управления с условным доступом* |
| Какие состояния учетной записи пользователя поддерживаются? | Отключенные учетные записи (до 30-минутной задержки) |
Отключенные учетные записи Учетная запись заблокирована Срок действия учетной записи истек Срок действия пароля истек Часы входа |
Отключенные учетные записи Учетная запись заблокирована Срок действия учетной записи истек Срок действия пароля истек Часы авторизации |
| Какие варианты условного доступа поддерживаются? | Условный доступ Microsoft Entra с идентификатором Microsoft Entra P1 или P2 | Условный доступ Microsoft Entra с идентификатором Microsoft Entra P1 или P2 | Условный доступ Microsoft Entra с идентификатором Microsoft Entra P1 или P2 |
| Поддерживается ли блокировка устаревших протоколов? | Да | Да | Да |
| Можно ли настроить логотип, изображение и описание на страницах входа? | Да, с идентификатором Microsoft Entra ID P1 или P2 | Да, с идентификатором Microsoft Entra ID P1 или P2 | Да |
| Какие дополнительные сценарии поддерживаются? |
Интеллектуальная блокировка паролей Отчеты об утечке учетных данных с идентификатором Microsoft Entra ID P2 |
Интеллектуальная блокировка паролей | Система аутентификации нескольких сайтов с низкой задержкой Блокировка экстрасети AD FS Интеграция со сторонними системами идентификации |
Примечание.
Пользовательские элементы управления в условном доступе Microsoft Entra в настоящее время не поддерживают регистрацию устройств.
Рекомендации
Система удостоверений обеспечивает доступ пользователей к приложениям, которые вы переносите и делаете доступными в облаке. Используйте или включите синхронизацию хэша паролей с любым используемым методом проверки подлинности по следующим причинам:
Высокий уровень доступности и аварийное восстановление. Сквозная аутентификация и федерация зависят от локальной инфраструктуры. Для сквозной аутентификации локальная инфраструктура охватывает серверное оборудование и возможности сетевого подключения, необходимые агентам сквозной аутентификации. Локальный охват для федерации даже больше, Поскольку требуется наличие серверов в сети периметра для проксирования запросов на аутентификацию, а также для работы с внутренними серверами федерации.
Чтобы избежать появления единых точек отказа, разверните избыточные серверы. Это обеспечит непрерывную обработку запросов на аутентификацию при сбое любого компонента. Сквозная аутентификация и федерация зависят также от контроллеров домена для реагирования на запросы на аутентификацию, сбой которых также возможен. Многие из этих компонентов требуют обслуживания для обеспечения работоспособности. Вероятность простоев повышается, если обслуживание не запланировано и реализовано неправильно.
Выживание при локальных сбоях. Последствия локальных сбоев из-за кибератаки или аварии могут быть существенными, начиная от ущерба репутации бренда до неспособности организации справиться с атакой. Недавно многие организации стали жертвами вредоносных атак, включая целевые программы-вымогатели, что привело к отключению внутренних серверов. Помогая клиентам справиться с такими видами атак, корпорация Майкрософт выделила две категории организаций:
Организации, которые ранее также включили синхронизацию хэша паролей поверх федеративной или сквозной аутентификации, изменили свой основной метод проверки подлинности для использования синхронизации хэша паролей. Они снова были онлайн через несколько часов. Используя доступ к электронной почте через Microsoft 365, они работали для устранения проблем и доступа к другим облачным рабочим нагрузкам.
Организациям, которые ранее не включили синхронизацию хэша паролей, пришлось прибегнуть к ненадежным внешним системам электронной почты потребителей для устранения проблем. В таких случаях восстановление размещённой локально инфраструктуры удостоверений заняло несколько недель, после чего пользователи смогли снова войти в облачные приложения.
Защита идентификаторов. Одним из лучших способов защиты пользователей в облаке является Защита идентификации Microsoft Entra с идентификатором Microsoft Entra ID P2. Корпорация Майкрософт постоянно ищет в Интернете списки пользователей и паролей, которые злоумышленники продают и предоставляют на теневых веб-сайтах. Идентификатор Microsoft Entra может использовать эти сведения для проверки того, скомпрометируются ли какие-либо имена пользователей и пароли в вашей организации. Поэтому очень важно включить синхронизацию хэша паролей независимо от используемого метода аутентификации, будь то федеративная или сквозная аутентификация. Сведения об утечке учетных данных представляются в виде отчета. Эти сведения можно использовать, чтобы блокировать пользователей или вынудить их сменить пароль при попытке выполнить вход с помощью скомпрометированного пароля.
Заключение
В этой статье описываются различные варианты аутентификации, которые организации могут настроить и развернуть для поддержки доступа в облачные приложения. Для удовлетворения различных бизнес-требований, технических требований и требований безопасности организации могут выбрать между синхронизацией хэша паролей, сквозной аутентификацией и федерацией.
Рассмотрите каждый метод аутентификации. Соответствуют ли вашим бизнес-требованиям трудозатраты, необходимые для развертывания решения, и взаимодействие с пользователем при входе в систему? Оцените, нужны ли вашей организации расширенные сценарии и возможности обеспечения непрерывности бизнес-процессов каждого метода аутентификации. Наконец, учтите рекомендации для каждого метода аутентификации. Препятствует ли какая-либо из них реализации вашего выбора?
Следующие шаги
В современном мире угрозы присутствуют 24 часа в день и приходят из разных стран. Внедрение правильного метода аутентификации поможет снизить риски для безопасности и защитить личности.
Начните работу с идентификатором Microsoft Entra и разверните подходящее решение проверки подлинности для вашей организации.
Если вы планируете перейти с федеративной аутентификации на облачную, узнайте больше об изменении метода входа. Чтобы спланировать и реализовать миграцию, используйте эти планы развертывания проекта или рассмотрите возможность использования новой функции поэтапного развертывания для переноса федеративных пользователей на использование облачной проверки подлинности в поэтапном подходе.