В этой статье рассматриваются часто задаваемые вопросы о сквозной проверке подлинности Microsoft Entra. Следите за обновлениями содержимого.
Какой из методов входа в Microsoft Entra ID, Сквозная проверка подлинности, синхронизация хэша паролей и службы федерации Active Directory (AD FS) (AD FS) следует выбрать?
Ознакомьтесь с этим руководством , чтобы сравнить различные методы входа Microsoft Entra и как выбрать правильный метод входа в вашу организацию.
Функция сквозной проверки подлинности является бесплатной?
Функция сквозной аутентификации предоставляется бесплатно. Вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.
Работает ли условный доступ со сквозной проверкой подлинности?
Да. Все возможности условного доступа , включая многофакторную проверку подлинности Microsoft Entra, работают с сквозной проверкой подлинности.
Поддерживает ли сквозная проверка подлинности в качестве имени пользователя "Alternate ID", а не "userPrincipalName"?
Да, как сквозная проверка подлинности (PTA), так и синхронизация хэша паролей (PHS) поддерживают вход с использованием значения, отличного от имени участника-пользователя, например альтернативного сообщения электронной почты. Дополнительные сведения об альтернативном идентификаторе входа.
Действует ли синхронизация хэша паролей как переход на резервный ресурс при сквозной аутентификации?
№ Сквозная проверка подлинности не выполняет автоматическую отработку отказа на синхронизацию хэша паролей. Чтобы избежать ошибок входа пользователей, следует настроить высокий уровень доступности сквозной проверки подлинности.
Что происходит при переходе с синхронизации хэша паролей на сквозную проверку подлинности?
При использовании Microsoft Entra Connect для переключения метода входа с синхронизации хэша паролей на сквозную проверку подлинности сквозная проверка подлинности становится основным методом входа для пользователей в управляемых доменах. Хэши паролей всех пользователей, ранее синхронизированные синхронизацией хэша паролей, сохраняются в идентификаторе Microsoft Entra.
Можно ли установить соединитель частной сети Microsoft Entra на том же сервере, что и агент сквозной проверки подлинности?
Да. Эта конфигурация поддерживается в переработанной версии агента сквозной аутентификации (версия 1.5.193.0 или более поздняя).
Какие версии microsoft Entra Connect и агента сквозной проверки подлинности требуются?
Для работы этой функции требуется версия 1.1.750.0 или более поздней для Microsoft Entra Connect и 1.5.193.0 или более поздней версии для агента сквозной проверки подлинности. Все программное обеспечение следует устанавливать на серверы Windows Server 2012 R2 или более поздней версии.
Почему мой соединитель по-прежнему использует старую версию без автоматического обновления до последней версии?
Это может быть вызвано неправильной работой службы обновления или отсутствием новых обновлений, которые может установить служба. Служба обновления находится в работоспособном состоянии, если она запущена и в журнале событий не записаны ошибки ("Журналы приложений и служб" > Microsoft > AzureADConnect-Agent > Обновления > Администратор).
Автоматическое обновление применяется только для основных версий. Рекомендуется обновлять агент вручную, только если это необходимо. Например, вы не можете ждать основного выпуска, так как необходимо устранить известную проблему или использовать новую функцию. Дополнительные сведения о новых выпусках, тип выпуска (скачивание, автоматическое обновление), исправления ошибок и новые функции см. в разделе агента сквозной проверки подлинности Microsoft Entra: журнал выпусков версий.
Чтобы вручную обновить соединитель, выполните следующие действия.
- Скачайте последнюю версию агента. (Вы найдете его в разделе Microsoft Entra Connect Сквозная проверка подлинности на портале Microsoft Entra ConnectЦентр администрирования Microsoft Entra. Вы также можете найти ссылку на сквозную проверку подлинности Microsoft Entra: журнал выпуска версий.
- Установщик перезапускает службы агента проверки подлинности Microsoft Entra Connect. В некоторых случаях перезагрузка сервера требуется, если установщик не может заменить все файлы. Перед началом обновления рекомендуется закрыть все приложения.
- Запустите установщик. Процесс обновления быстро и не требует предоставления учетных данных, а агент не будет повторно зарегистрирован.
Что произойдет, если срок действия паролей истек и пользователи пытаются выполнить вход с использованием сквозной аутентификации?
Если вы настроили обратную запись паролей для конкретного пользователя, то когда пользователь будет выполнять вход с использованием сквозной аутентификации, он сможет изменить или сбросить пароль. Пароли будут записаны обратно в локальный каталог Active Directory, как ожидается.
Если вы не настроили обратную запись паролей для определенного пользователя или если у пользователя нет допустимой лицензии на идентификатор Microsoft Entra ID, пользователь не сможет обновить свой пароль в облаке. Он не сможет обносить свой пароль, даже если истек срок его действия. Пользователь увидит следующее сообщение: "Ваша организация запрещает обновлять пароль на этом сайте. Обновите пароль рекомендованным организацией способом или обратитесь за помощью к администратору." Пользователь или администратор должен сбросить свой пароль в локальной службе Active Directory.
Пользователь входит в идентификатор Microsoft Entra с учетными данными (имя пользователя, пароль). В то же время срок действия пароля пользователя истекает, но пользователь по-прежнему может получить доступ к ресурсам Microsoft Entra. Почему это происходит?
Срок действия пароля не запускает отзыв маркеров проверки подлинности или файлов cookie. Пока маркеры или файлы cookie не будут действительны, пользователь сможет использовать их. Это применимо независимо от типа проверки подлинности (PTA, PHS и федеративные сценарии).
Дополнительные сведения см. в следующей документации:
Каким образом сквозная аутентификация обеспечивает защиту от атак методом подбора пароля?
Какие данные передают агенты сквозной проверки подлинности через порты 80 и 443?
Агенты аутентификации выполняют HTTPS-запросы через порт 443 для всех операций этой функции.
Агенты аутентификации выполняют HTTP-запросы через порт 80 для скачивания списков отзыва TLS/SSL-сертификатов (CLR).
Примечание.
В последних обновлениях было сокращено количество портов, необходимых для работы этой функции. Если у вас есть более старые версии Microsoft Entra Connect или агента проверки подлинности, сохраните эти порты открытыми, а также: 5671, 8080, 9090, 9350, 9352 и 10100-10120.
Могут ли агенты сквозной проверки подлинности взаимодействовать через сервер веб-прокси для исходящего трафика?
Да. Если в локальной среде включена служба WPAD (автоматическое обнаружение веб-прокси), агенты аутентификации автоматически пытаются обнаружить и использовать сервер веб-прокси в сети. Дополнительные сведения об использовании исходящего прокси-сервера см. в статье "Работа с существующими локальными прокси-серверами".
Если у вас нет WPAD в вашей среде, можно добавить сведения о прокси-сервере (как показано ниже), чтобы разрешить агенту сквозной проверки подлинности взаимодействовать с идентификатором Microsoft Entra:
- Укажите сведения о прокси-сервере в Internet Explorer, прежде чем устанавливать агент сквозной проверки подлинности на сервере. Это позволяет завершить установку агента проверки подлинности, но она по-прежнему будет отображаться как неактивная на портале администрирования.
- На сервере перейдите в каталог "C:\Program Files\Агент проверки подлинности Microsoft Azure AD Connect".
- Измените файл конфигурации "AzureADConnectAuthenticationAgentService" и добавьте такие строки (замените http://contosoproxy.com:8080" фактическим адресом своего прокси-сервера):
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://contosoproxy.com:8080"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Можно ли установить два или более агентов сквозной проверки подлинности на одном сервере?
Нет, на одном сервере можно установить только один агент сквозной проверки подлинности. Если вы хотите настроить сквозную аутентификацию для обеспечения высокой доступности, следуйте этим инструкциям.
Нужно ли вручную продлевать сертификаты, используемые агентами сквозной проверки подлинности?
Обмен данными между каждым агентом сквозной проверки подлинности и идентификатором Microsoft Entra обеспечивается с помощью проверки подлинности на основе сертификатов. Эти сертификаты автоматически обновляются каждые несколько месяцев идентификатором Microsoft Entra. Не нужно вручную обновлять эти сертификаты. Старые просроченные сертификаты при необходимости можно удалить.
Ка удалить агент сквозной аутентификации?
Если агент сквозной аутентификации выполняется, он остается активным и постоянно обрабатывает запросы на вход пользователей. Если вы хотите удалить агент проверки подлинности, перейдите к панель управления —>> программы и компоненты, а также удалите агент проверки подлинности Microsoft Entra Connect и программы обновления агента Microsoft Entra Connect.
Если вы проверьте колонку сквозной проверки подлинности в Центре администрирования Microsoft Entra по крайней мере гибридным администратором удостоверений. Агент проверки подлинности должен отображаться как неактивный. Это ожидаемое поведение. Агент аутентификации будет автоматически удален из списка через 10 дней.
Я уже использую AD FS для входа в Microsoft Entra ID. Как изменить этот метод на сквозную проверку подлинности?
Если вы переносите AD FS (или другие технологии федерации) на сквозную проверку подлинности, настоятельно рекомендуем выполнить наше краткое руководство.
Можно ли использовать сквозную аутентификацию в среде с несколькими лесами Active Directory?
Да. Среды с несколькими лесами поддерживаются, если между лесами Active Directory существуют отношения доверия (двусторонние) и правильно настроена маршрутизация по суффиксу имени.
Обеспечивает ли сквозная проверка подлинности балансировку нагрузки в нескольких агентах проверки подлинности?
Нет, установка нескольких агентов сквозной проверки подлинности обеспечивает высокий уровень доступности. Она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности. Любой агент проверки подлинности (в произвольном порядке) может обработать запрос на вход в систему от определенного пользователя.
Сколько агентов сквозной аутентификации следует установить?
Установка нескольких агентов сквозной аутентификации обеспечивает высокий уровень доступности. Но она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности.
Рассмотрим ожидаемую пиковую и среднюю нагрузку запросов на вход для клиента. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.
Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:
- Каждый запрос имеет размер полезных данных (0,5K + 1K * num_of_agents) байт; то есть данные из идентификатора Microsoft Entra в агент проверки подлинности. Здесь "число_агентов" указывает количество агентов аутентификации, зарегистрированных в клиенте.
- Каждый ответ имеет полезные данные размером 1 КБ; То есть данные агента проверки подлинности до идентификатора Microsoft Entra.
Для большинства клиентов двух или трех агентов аутентификации будет достаточно, чтобы обеспечить высокий уровень доступности и емкость. Однако в рабочих средах рекомендуется использовать не менее 3 агентов проверки подлинности, работающих в клиенте. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.
Примечание.
Существует ограничение в системе 40 агентов проверки подлинности для каждого клиента.
Какая роль необходима для включения сквозной проверки подлинности?
Рекомендуется включить или отключить сквозную проверку подлинности с помощью учетной записи администратора гибридных удостоверений. Выполните эти инструкции, чтобы не потерять доступ к клиенту. ]
Как можно отключить сквозную проверку подлинности?
Повторно запустите мастер Microsoft Entra Connect и измените метод входа пользователя с сквозной проверки подлинности на другой метод. Это позволит отключить сквозную проверку подлинности на клиенте и удалить агент проверки подлинности с сервера. Необходимо вручную удалить агенты аутентификации с других серверов.
Что происходит при удалении агента сквозной проверки подлинности?
Если удалить агент сквозной аутентификации с сервера, то этот сервер прекратит принимать запросы на вход. Чтобы избежать нарушения функции входа пользователей в клиенте, перед удалением агента сквозной аутентификации убедитесь, что запущен другой агент аутентификации.
У меня есть старый клиент, изначально настроенный с помощью AD FS. Недавно мы перешли на PTA, но теперь не видят изменения имени участника-пользователя, синхронизирующиеся с идентификатором Microsoft Entra. Почему так происходит?
Изменения локального имени субъекта-пользователя могут не синхронизироваться при следующих условиях:
- Клиент Microsoft Entra был создан до 15 июня 2015 г.
- Изначально вы были федеративны с клиентом Microsoft Entra с помощью AD FS для проверки подлинности.
- вы перешли на управляемых пользователей, используя PTA в качестве механизма проверки подлинности.
Это обусловлено тем, что по умолчанию в клиентах, созданных до 15 июня 15, 2015 г., блокируются изменения имени субъекта-пользователя. Если вам нужно отменить блокировку изменений имени участника-службы, необходимо выполнить следующий командлет PowerShell. Получите идентификатор с помощью командлета Get-MgDirectoryOnPremiseSynchronization .
$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params
Клиенты, созданные после 15 июня 2015 г., синхронизируют изменения имени участника-пользователя по умолчанию.
Разделы справки записать идентификатор агента PTA из журналов входа Microsoft Entra и сервера PTA, чтобы проверить, какой PTA-сервер использовался для события входа?
Чтобы проверить, какой локальный сервер или агент проверки подлинности использовался для конкретного события входа в систему, сделайте следующее:
В Центре администрирования Microsoft Entra перейдите к событию входа.
Выберите Сведения о проверке подлинности. В столбце сведений о методе проверки подлинности сведения об идентификаторе агента отображаются в формате "Сквозная проверка подлинности; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".
Чтобы получить сведения об идентификаторе агента, установленного на локальном сервере, войдите на локальный сервер и выполните следующий командлет:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*
Возвращаемое значение GUID — это идентификатор агента проверки подлинности, установленного на данном сервере. Если в вашей среде имеется несколько агентов, можно выполнить этот командлет на каждом сервере агента и получить сведения об идентификаторах агента.
Сопоставляйте идентификатор агента, полученный с локального сервера, и из журналов входа Microsoft Entra, чтобы проверить, какой агент или сервер признал запрос на вход.
Следующие шаги
- Текущие ограничения: узнайте о поддерживаемых сценариях и тех, которые не поддерживаются.
- Краткое руководство. Получение и запуск сквозной проверки подлинности Microsoft Entra.
- Перенос приложений на идентификатор Microsoft Entra: ресурсы, которые помогут перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
- Интеллектуальная блокировка. Узнайте, как настроить возможность интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.
- Подробное техническое руководство. Поймите, как работает функция сквозной аутентификации.
- Устранение неполадок. Узнайте, как устранять распространенные проблемы со сквозной аутентификации.
- Руководство по безопасности. Получите дополнительные технические сведения о сквозной аутентификации.
- Гибридное присоединение к Microsoft Entra: настройте возможность гибридного соединения Microsoft Entra в клиенте для единого входа в облаке и локальных ресурсах.
- Microsoft Entra простой единый вход: узнайте больше об этой дополнительной функции.
- UserVoice: используйте форум Microsoft Entra для отправки новых запросов функций.