Сквозная аутентификация Microsoft Entra: быстрое начало работы

Развертывание сквозной аутентификации Microsoft Entra

Сквозная проверка подлинности Microsoft Entra позволяет пользователям входить как в локальные, так и облачные приложения с помощью одинаковых паролей. Pass-through Authentication выполняет вход пользователей, проверяя их пароли непосредственно через локальный Active Directory.

Внимание

Если вы мигрируете с AD FS (или других технологий федерации) на сквозную проверку подлинности, просмотрите ресурсы для миграции приложений в Microsoft Entra ID.

Примечание.

При развертывании Сквозной проверки подлинности в облаке Azure для государственных организаций см. раздел Рекомендации по гибридной идентификации в Azure для государственных организаций.

Чтобы развернуть сквозную аутентификацию на клиенте, необходимо выполнить приведенные ниже инструкции.

Шаг 1. Проверка соблюдения предварительных требований

Выполните указанные ниже предварительные требования.

Внимание

С точки зрения безопасности администраторы должны рассматривать сервер, на котором работает агент PTA, как контроллер домена. Серверы агента PTA должны быть защищены на тех линиях, как это описано в статье Защита контроллеров доменов от атак

В Центре администрирования Microsoft Entra

1. Создайте учетную запись администратора гибридного удостоверения только для облака или учетную запись администратора гибридного удостоверения в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте о добавлении облачной учетной записи администратора для управления гибридными удостоверениями. Выполнение этого шага критически важно, чтобы вы не были заблокированы из своей учетной записи.
2. Добавьте одно или несколько имен пользовательских доменов в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В локальной среде

1. Определите сервер под управлением Windows Server 2016 или более поздней версии для запуска Microsoft Entra Connect. Включите протокол TLS 1.2 на сервере, если еще не сделали это. Добавьте сервер в тот же лес Active Directory, что и пользователей, пароли которых нужно проверить. Необходимо отметить, что установка агента Сквозной проверки подлинности на версиях Windows Server Core не поддерживается.

2. Установите последнюю версию Microsoft Entra Connect на сервере, определенном на предыдущем шаге. Если у вас уже запущена Microsoft Entra Connect, убедитесь, что версия поддерживается.

   Примечание.

   Microsoft Entra Connect версии 1.1.557.0, 1.1.558.0, 1.1.561.0 и 1.1.614.0 имеют проблему, связанную с синхронизацией хэша паролей. Если вы не планируете использовать синхронизацию хэша паролей в сочетании с сквозной проверкой подлинности, ознакомьтесь с заметками о выпуске Microsoft Entra Connect.

3. Укажите один или несколько дополнительных серверов (под управлением Windows Server 2016 или более поздней версии с включенным протоколом TLS 1.2), на которых необходимо запустить изолированные агенты аутентификации. Эти дополнительные серверы нужны для обеспечения высокого уровня доступности запросов на вход. Добавьте эти серверы в лес Active Directory, в котором размещены пользователи, пароли которых требуется проверить.

   Внимание

   В производственных средах рекомендуется поддерживать как минимум 3 агентов аутентификации в вашем арендаторе. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).

4. Если между серверами и идентификатором Microsoft Entra существует брандмауэр, настройте следующие элементы:

   • Убедитесь, что агенты проверки подлинности могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

     Номер порта	Как он используется
     80	Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
     443	Обработка всей исходящей коммуникации со службой.
     8080 (необязательно)	Агенты аутентификации передают данные о своем состоянии каждые десять минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra. Порт 8080 не используется для входа пользователей в систему.

     Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

   • Если ваш брандмауэр или прокси-сервер позволяет добавлять записи DNS в список разрешений, добавьте подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.

   • Избегайте всех форм встроенной инспекции и прерывания исходящих соединений TLS между агентом Azure Passthrough и конечной точкой Azure.

   • При наличии исходящего прокси-сервера HTTP убедитесь, что URL-адрес autologon.microsoftazuread-sso.com находится в списке разрешенных. Этот URL-адрес следует указать явно, так как подстановочные знаки могут не приниматься.

   • Агентам аутентификации требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.

   • Для проверки сертификата разблокируйте следующие URL-адреса: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 и ocsp.msocsp.com:80. Так как эти URL-адреса используются для проверки сертификатов в других продуктах Майкрософт, они уже могут быть разблокированы.

Предварительные требования для использования облака Azure Government

Прежде чем включить сквозную аутентификацию через Microsoft Entra Connect с шагом 2, загрузите последнюю версию агента PTA из Центра администрирования Microsoft Entra. Вам необходимо убедиться, что версия вашего агента — 1.5.1742.0. или выше. Чтобы проверить вашего агента, см. Обновление агентов проверки подлинности

После скачивания последнего выпуска агента перейдите к приведенным ниже инструкциям по настройке сквозной проверки подлинности через Microsoft Entra Connect.

Шаг 2. Включение компонента

Включите сквозную проверку подлинности через Microsoft Entra Connect.

Внимание

Вы можете включить сквозную проверку подлинности на основном или промежуточном сервере Microsoft Entra Connect. Мы настоятельно рекомендуем включить ее на сервере-источнике. Если вы будете в будущем настраивать промежуточный сервер Microsoft Entra Connect, вы по-прежнему должны выбирать сквозную проверку подлинности в качестве параметра входа; выбор другого параметра приведет к отключению сквозной проверки подлинности на клиенте и к замене настройки на основном сервере.

Если вы впервые устанавливаете Microsoft Entra Connect, выберите путь к пользовательской установке. На странице Вход пользователя выберите Сквозная проверка подлинности в качестве метода входа. При успешном завершении агент сквозной проверки подлинности устанавливается на том же сервере, что и Microsoft Entra Connect. Кроме того, функция сквозной проверки подлинности включена в вашей клиентской среде.

Если вы уже установили Microsoft Entra Connect с помощью экспресс-установки или пользовательского пути установки, выберите задачу "Изменить пользователя" в Microsoft Entra Connect и нажмите кнопку "Далее". Затем выберите Сквозная проверка подлинности в качестве метода входа. При успешном завершении Агент сквозной аутентификации устанавливается на том же сервере, что и Microsoft Entra Connect, и эта функция активирована у вашего арендатора.

Внимание

Сквозная проверка подлинности — это функция уровня клиента. При включении этот параметр влияет на процесс входа пользователей во всех управляемых доменах в клиенте. При переходе со служб федерации Active Directory (AD FS) на сквозную аутентификацию нужно подождать по крайней мере 12 часов, прежде чем завершать работу инфраструктуры AD FS. Это время ожидания необходимо, чтобы пользователи могли продолжать входить в Exchange ActiveSync во время перехода. Дополнительные сведения о миграции с AD FS на сквозную проверку подлинности см. в наших планах развертывания, опубликованных здесь.

Шаг 3. Тестирование функции

Выполните следующие инструкции, чтобы проверить, правильно ли включена сквозная аутентификация:

1. Войдите в Центр администрирования Microsoft Entra с учетными данными администратора гибридных удостоверений для вашего арендатора.

2. Выберите Microsoft Entra ID.

3. Выберите Microsoft Entra Connect.

4. Убедитесь, что для функции Сквозная проверка подлинности отображается значение Включено.

5. Выберите Сквозная проверка подлинности. Откроется область Сквозная проверка подлинности со списком серверов, на которых установлены агенты аутентификации.

   

   

На этом этапе пользователи из всех управляемых доменов клиента смогут выполнять вход с помощью сквозной аутентификации. Тем не менее пользователи из федеративных доменов будут по-прежнему входить с помощью AD FS или любого другого поставщика служб федерации, настроенного ранее. При преобразовании федеративного домена в управляемый домен все пользователи из этого домена автоматически начинают использовать вход с помощью сквозной проверки подлинности. Функция сквозной аутентификации пользователей не затрагивает облачных пользователей.

Шаг 4. Обеспечение высокого уровня доступности

Если планируется развернуть сквозную аутентификацию в рабочей среде, следует установить дополнительные изолированные агенты аутентификации. Установите этих агентов проверки подлинности на других серверах, чем тот, на котором работает Microsoft Entra Connect. Эта конфигурация обеспечит высокий уровень доступности для запросов пользователей на вход.

Внимание

В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).

Установка нескольких агентов Сквозной проверки подлинности обеспечивает высокую доступность, но не детерминированную балансировку нагрузки между агентами. Чтобы определить, сколько агентов проверки подлинности требуется для вашего клиента, рассмотрите ожидаемые для клиента пиковую и среднюю нагрузку запросов на вход. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.

Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:

• Каждый запрос имеет размер полезной нагрузки (0,5K + 1K * num_of_agents) байтов, то есть данные из Microsoft Entra ID в агент аутентификации. Здесь "num_of_agents" указывает количество агентов аутентификации, зарегистрированных в вашем арендодателе.
• Каждый ответ имеет полезную нагрузку размером 1 КБ, то есть данные от агента проверки подлинности к Microsoft Entra ID.

Для большинства клиентов достаточно трех агентов проверки подлинности, чтобы обеспечить высокий уровень доступности и производительности. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.

Прежде всего, выполните приведенные ниже инструкции, чтобы скачать программное обеспечение агента проверки подлинности.

1. Чтобы скачать последнюю версию агента проверки подлинности (версии 1.5.193.0 или более поздней), войдите в Центр администрирования Microsoft Entra с учетными данными администратора гибридного удостоверения клиента.

2. Выберите Microsoft Entra ID.

3. Выберите Microsoft Entra Connect, выберите сквозную проверку подлинности и выберите "Скачать агент".

4. Нажмите кнопку Принять условия и скачать.

   

Примечание.

Можно также напрямую скачать программное обеспечение агента аутентификации. Проверьте и примите условия обслуживанияагента проверки подлинности перед установкой.

Развернуть автономный агент аутентификации можно двумя способами.

Во-первых, вы можете сделать это в интерактивном режиме, просто выполнив скачанный исполняемый файл агента проверки подлинности и предоставив учетные данные администратора гибридной идентификации арендатора при появлении запроса.

Во-вторых, можно создать и запустить сценарий автоматического развертывания. Это удобно, если вы хотите одновременно развернуть несколько агентов аутентификации или установить агенты аутентификации на серверах Windows, на которых не включен пользовательский интерфейс или к которым невозможно получить доступ с помощью подключения к удаленному рабочему столу. Ниже приведены инструкции по этому способу.

1. Выполните следующую команду, чтобы установить агент аутентификации: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
2. Вы можете зарегистрировать агент проверки подлинности в нашей службе с помощью PowerShell. Создайте объект $cred учетных данных PowerShell, содержащий имя пользователя и пароль администратора удостоверений Hybrid Identity для вашего арендатора. Выполните следующую команду, заменив <username> и <password>:

$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword

3. Перейдите в каталог C:\Program Files\Microsoft Azure AD Connect Authentication Agent и запустите следующий сценарий с использованием созданного объекта $cred.

RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Внимание

Если агент проверки подлинности установлен на виртуальной машине, вы не сможете клонировать виртуальную машину для настройки другого агента проверки подлинности. Этот способ не поддерживается.

Шаг 5. Настройка возможностей интеллектуальной блокировки

Функция Smart Lockout помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или используют методы грубой силы для получения доступа. Настроив параметры Smart Lockout в Microsoft Entra ID или соответствующие параметры блокировки в локальном Active Directory, атаки можно отфильтровать до того, как они достигнут Active Directory. Ознакомьтесь с этой статьей, чтобы узнать больше о настройке параметров интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.

Следующие шаги

• Перенос приложений на идентификатор Microsoft Entra: ресурсы, которые помогут перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
• Интеллектуальная блокировка. Узнайте, как настроить возможность интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.
• Текущие ограничения. Узнайте о том, какие сценарии поддерживаются для сквозной аутентификации, а какие нет.
• Подробное техническое руководство. Поймите, как работает функция сквозной аутентификации.
• Часто задаваемые вопросы. Найдите ответы на часто задаваемые вопросы.
• Устранение неполадок: Узнайте, как решать распространенные проблемы с функцией сквозной аутентификации.
• Подробный анализ безопасности: Получите дополнительные технические сведения о пропускной аутентификации.
• Гибридное присоединение к Microsoft Entra: настройте возможность гибридного присоединения Microsoft Entra на арендаторе для единого входа в ваши облачные и локальные ресурсы.
• Microsoft Entra бесшовная единая аутентификация: Узнайте больше об этой дополнительной возможности.
• UserVoice: используйте форум Microsoft Entra для отправки новых запросов функций.