Поделиться через


Сквозная аутентификация Microsoft Entra: краткое руководство

Развертывание сквозной проверки подлинности Microsoft Entra

Сквозная проверка подлинности Microsoft Entra позволяет пользователям входить как в локальные, так и облачные приложения с помощью одинаковых паролей. В случае ее применения при входе пользователей в систему их пароли проверяются непосредственно в локальной службе Active Directory.

Внимание

При миграции с AD FS (или других технологий федерации) на сквозную проверку подлинности просмотрите ресурсы для переноса приложений в идентификатор Microsoft Entra.

Примечание.

При развертывании Сквозной проверки подлинности в облаке Azure для государственных организаций см. раздел Рекомендации по гибридной идентификации в Azure для государственных организаций.

Чтобы развернуть сквозную аутентификацию на клиенте, необходимо выполнить приведенные ниже инструкции.

Шаг 1. Проверка соблюдения предварительных требований

Выполните указанные ниже предварительные требования.

Внимание

С точки зрения безопасности администраторы должны рассматривать сервер, на котором работает агент PTA, как контроллер домена. Серверы агента PTA должны быть защищены на тех линиях, как это описано в статье Защита контроллеров доменов от атак

В Центре администрирования Microsoft Entra

  1. Создайте учетную запись администратора гибридного удостоверения только для облака или учетную запись администратора гибридного удостоверения в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте о добавлении учетной записи администратора гибридного удостоверения только для облака. Этот шаг очень важен, чтобы не потерять доступ к клиенту.
  2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В локальной среде

  1. Определите сервер под управлением Windows Server 2016 или более поздней версии для запуска Microsoft Entra Connect. Включите протокол TLS 1.2 на сервере, если еще не сделали это. Добавьте этот сервер в тот же лес AD, что и пользователей, пароли которых требуется проверить. Необходимо отметить, что установка агента Сквозной проверки подлинности на версиях Windows Server Core не поддерживается.

  2. Установите последнюю версию Microsoft Entra Connect на сервере, определенном на предыдущем шаге. Если у вас уже запущена Microsoft Entra Connect, убедитесь, что версия поддерживается.

    Примечание.

    Microsoft Entra Connect версии 1.1.557.0, 1.1.558.0, 1.1.561.0 и 1.1.614.0 связаны с синхронизацией хэша паролей. Если вы не планируете использовать синхронизацию хэша паролей в сочетании с сквозной проверкой подлинности, ознакомьтесь с заметками о выпуске Microsoft Entra Connect.

  3. Укажите один или несколько дополнительных серверов (под управлением Windows Server 2016 или более поздней версии с включенным протоколом TLS 1.2), на которых необходимо запустить изолированные агенты аутентификации. Эти дополнительные серверы нужны для обеспечения высокого уровня доступности запросов на вход. Добавьте эти серверы в лес Active Directory, в котором размещены пользователи, пароли которых требуется проверить.

    Внимание

    В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).

  4. Если между серверами и идентификатором Microsoft Entra существует брандмауэр, настройте следующие элементы:

    • Убедитесь, что агенты проверки подлинности могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

      Номер порта Как он используется
      80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
      443 Обработка всего исходящего трафика для службы.
      8080 (необязательно) Агенты аутентификации передают данные о своем состоянии каждые десять минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra. Порт 8080 не используется для входа пользователей в систему.

      Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

    • Если ваш брандмауэр или прокси-сервер позволяет добавлять записи DNS в список разрешений, добавьте подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.

    • Избегайте всех форм встроенной проверки и завершения исходящих соединений TLS между агентом Сквозной проверки и конечной точкой Azure.

    • При наличии исходящего прокси-сервера HTTP убедитесь, что URL-адрес autologon.microsoftazuread-sso.com находится в списке разрешенных. Этот URL-адрес следует указать явно, потому что подстановочный знак может быть не принят.

    • Агентам аутентификации требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.

    • Для проверки сертификата разблокируйте следующие URL-адреса: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 и ocsp.msocsp.com:80. Так как эти URL-адреса используются для проверки сертификатов в других продуктах Майкрософт, они уже могут быть разблокированы.

Предварительные требования для использования с облака Azure для государственных организаций

Прежде чем включить сквозную проверку подлинности через Microsoft Entra Connect с шагом 2, скачайте последний выпуск агента PTA из Центра администрирования Microsoft Entra. Убедитесь, что версия агента — 1.5.1742.0. или выше. Чтобы проверить агент, см. статью Обновление агентов проверки подлинности

После скачивания последнего выпуска агента перейдите к приведенным ниже инструкциям по настройке сквозной проверки подлинности через Microsoft Entra Connect.

Шаг 2. Включение компонента

Включите сквозную проверку подлинности через Microsoft Entra Connect.

Внимание

Вы можете включить сквозную проверку подлинности на основном или промежуточном сервере Microsoft Entra Connect. Мы настоятельно рекомендуем включить ее на сервере-источнике. Если вы настраиваете промежуточный сервер Microsoft Entra Connect в будущем, необходимо продолжить выбор сквозной проверки подлинности в качестве параметра входа. При выборе другого параметра будет отключена сквозная проверка подлинности на клиенте и переопределить параметр на основном сервере.

Если вы впервые устанавливаете Microsoft Entra Connect, выберите путь к пользовательской установке. На странице Вход пользователя в качестве метода единого входа выберите Сквозная проверка подлинности. При успешном завершении агент сквозной проверки подлинности устанавливается на том же сервере, что и Microsoft Entra Connect. Кроме того, будет включена функция сквозной проверки подлинности на клиенте.

Microsoft Entra Connect: вход пользователя

Если вы уже установили Microsoft Entra Connect с помощью экспресс-установки или пользовательского пути установки, выберите задачу "Изменить пользователя" в Microsoft Entra Connect и нажмите кнопку "Далее". Затем выберите Сквозная проверка подлинности в качестве метода входа. При успешном завершении агент сквозной проверки подлинности устанавливается на том же сервере, что и Microsoft Entra Connect, и эта функция включена в клиенте.

Microsoft Entra Connect: изменение входа пользователя

Внимание

Сквозная проверка подлинности — это функция уровня клиента. При включении она влияет на вход пользователей во всех управляемых доменах в клиенте. При переходе со служб федерации Active Directory (AD FS) на сквозную аутентификацию нужно подождать по крайней мере 12 часов, прежде чем завершать работу инфраструктуры AD FS. Это необходимо, чтобы пользователи могли входить в Exchange ActiveSync во время перехода. Дополнительные сведения о миграции с AD FS на сквозную проверку подлинности см. в наших планах развертывания, опубликованных здесь.

Шаг 3. Тестирование функции

Выполните следующие инструкции, чтобы проверить, правильно ли включена сквозная аутентификация:

  1. Войдите в Центр администрирования Microsoft Entra с учетными данными администратора гибридных удостоверений для вашего клиента.

  2. Выберите Microsoft Entra ID.

  3. Выберите Microsoft Entra Connect.

  4. Убедитесь, что для функции Сквозная проверка подлинности отображается значение Включено.

  5. Выберите Сквозная проверка подлинности. Откроется область Сквозная проверка подлинности со списком серверов, на которых установлены агенты аутентификации.

    Screenhot отображает Центр администрирования Microsoft Entra: область Microsoft Entra Connect.

    Снимок экрана: Центр администрирования Microsoft Entra: панель сквозной проверки подлинности.

На этом этапе пользователи из всех управляемых доменов клиента смогут выполнять вход с помощью сквозной аутентификации. Тем не менее пользователи из федеративных доменов будут по-прежнему входить с помощью AD FS или любого другого поставщика служб федерации, настроенного ранее. При преобразовании федеративного домена в управляемый домен все пользователи из этого домена автоматически начинают использовать вход с помощью сквозной проверки подлинности. Функция сквозной аутентификации пользователей не затрагивает облачных пользователей.

Шаг 4. Обеспечение высокого уровня доступности

Если планируется развернуть сквозную аутентификацию в рабочей среде, следует установить дополнительные изолированные агенты аутентификации. Установите эти агенты проверки подлинности на серверах , отличных от одного из запущенных Microsoft Entra Connect. Эта конфигурация обеспечит высокий уровень доступности для запросов пользователей на вход.

Внимание

В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).

Установка нескольких агентов Сквозной проверки подлинности обеспечивает высокий уровень доступности, при этом детерминированная балансировка нагрузки между агентами проверки подлинности не поддерживается. Чтобы определить, сколько агентов проверки подлинности требуется для вашего клиента, рассмотрите ожидаемые для клиента пиковую и среднюю нагрузку запросов на вход. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.

Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:

  • Каждый запрос имеет полезные данные (0,5K + 1K * num_of_agents) байтов, то есть данные из идентификатора Microsoft Entra в агент проверки подлинности. Здесь "число_агентов" указывает количество агентов аутентификации, зарегистрированных в клиенте.
  • Каждый ответ имеет полезные данные размером 1 КБ, то есть данные агента проверки подлинности до идентификатора Microsoft Entra.

Для большинства клиентов достаточно трех агентов проверки подлинности, чтобы обеспечить высокий уровень доступности и производительности. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.

Прежде всего, выполните приведенные ниже инструкции, чтобы скачать программное обеспечение агента проверки подлинности.

  1. Чтобы скачать последнюю версию агента проверки подлинности (версии 1.5.193.0 или более поздней), войдите в Центр администрирования Microsoft Entra с учетными данными администратора гибридного удостоверения клиента.

  2. Выберите Microsoft Entra ID.

  3. Выберите Microsoft Entra Connect, выберите сквозную проверку подлинности и выберите "Скачать агент".

  4. Нажмите кнопку Принять условия и скачать.

    Снимок экрана: Центр администрирования Microsoft Entra: кнопка

Примечание.

Можно также напрямую скачать программное обеспечение агента аутентификации. Проверьте и примите условия обслуживания агента проверки подлинности перед установкой.

Развернуть изолированный агент аутентификации можно двумя способами.

Во-первых, вы можете сделать это в интерактивном режиме, просто выполнив скачанный исполняемый файл агента проверки подлинности и предоставив учетные данные администратора гибридного удостоверения клиента при появлении запроса.

Во-вторых, можно создать и запустить сценарий автоматического развертывания. Это удобно, если вы хотите одновременно развернуть несколько агентов аутентификации или установить агенты аутентификации на серверах Windows, на которых не включен пользовательский интерфейс или к которым невозможно получить доступ с помощью подключения к удаленному рабочему столу. Ниже приведены инструкции по этому способу.

  1. Выполните следующую команду, чтобы установить агент аутентификации: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Вы можете зарегистрировать агент проверки подлинности в нашей службе с помощью PowerShell. Создайте объект $cred Учетных данных PowerShell, содержащий имя пользователя и пароль гибридного администратора удостоверений для клиента. Выполните следующую команду, заменив <username> и <password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Перейдите в каталог C:\Program Files\Microsoft Azure AD Connect Authentication Agent и запустите следующий сценарий с использованием созданного объекта $cred.
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Внимание

Если агент проверки подлинности установлен на виртуальной машине, вы не сможете клонировать виртуальную машину для настройки другого агента проверки подлинности. Этот способ не поддерживается.

Шаг 5. Настройка возможностей интеллектуальной блокировки

Эта функция помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора пароля для входа. Настроив параметры Smart Lockout в идентификаторе Microsoft Entra ID и (или) соответствующие параметры блокировки в локальная служба Active Directory, атаки можно отфильтровать до того, как они достигают Active Directory. Ознакомьтесь с этой статьей, чтобы узнать больше о настройке параметров интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.

Следующие шаги