Inloggningsalternativ för Microsoft Entra Connect-användare
Med Microsoft Entra Connect kan användarna logga in på både molnresurser och lokala resurser med samma lösenord. Den här artikeln beskriver viktiga begrepp för varje identitetsmodell som hjälper dig att välja den identitet som du vill använda för att logga in på Microsoft Entra-ID.
Om du redan är bekant med Microsoft Entra-identitetsmodellen och vill veta mer om en specifik metod kan du läsa lämplig länk:
- synkronisering av lösenordshash med sömlös enkel inloggning (SSO)
- direktautentisering med sömlös enkel inloggning (SSO)
- federerad enkel inloggning (med Active Directory Federation Services (AD FS))
- federation med PingFederate
Notera
Det är viktigt att komma ihåg att du genom att konfigurera federation för Microsoft Entra-ID upprättar förtroende mellan din Microsoft Entra-klientorganisation och dina federerade domäner. Med den här betrodda federerade domänen kommer användare att ha åtkomst till Microsoft Entra-molnresurser i klientorganisationen.
Välja användarinloggningsmetod för din organisation
Det första beslutet att implementera Microsoft Entra Connect är att välja vilken autentiseringsmetod som användarna ska använda för att logga in. Det är viktigt att du väljer rätt metod som uppfyller organisationens säkerhet och avancerade krav. Autentiseringen är kritisk eftersom den validerar användarens identiteter för åtkomst till appar och data i molnet. Om du vill välja rätt autentiseringsmetod måste du tänka på tiden, den befintliga infrastrukturen, komplexiteten och kostnaden för att implementera ditt val. Dessa faktorer skiljer sig åt för varje organisation och kan ändras över tid.
Microsoft Entra ID stöder följande autentiseringsmetoder:
-
Cloud Authentication – När du väljer den här autentiseringsmetoden hanterar Microsoft Entra-ID autentiseringsprocessen för användarens inloggning. Med molnautentisering kan du välja mellan två alternativ:
- Synkronisering av lösenordshash (PHS) – Med Synkronisering av lösenordshash kan användarna använda samma användarnamn och lösenord som de använder lokalt utan att behöva distribuera någon ytterligare infrastruktur förutom Microsoft Entra Connect.
- Direktautentisering (PTA) – Det här alternativet liknar synkronisering av lösenordshash, men ger en enkel lösenordsverifiering med lokala programvaruagenter för organisationer med starka säkerhets- och efterlevnadsprinciper.
- Federerad autentisering – När du väljer den här autentiseringsmetoden lämnar Microsoft Entra-ID över autentiseringsprocessen till ett separat betrott autentiseringssystem, till exempel AD FS eller ett federationssystem från tredje part, för att verifiera användarens inloggning.
För de flesta organisationer som bara vill aktivera användarinloggning till Microsoft 365, SaaS-program och andra Microsoft Entra-ID-baserade resurser rekommenderar vi standardalternativet för synkronisering av lösenordshash.
Detaljerad information om hur du väljer en autentiseringsmetod finns i Välj rätt autentiseringsmetod för din Microsoft Entra-hybrididentitetslösning
Synkronisering av lösenordshash
Med synkronisering av lösenordshash synkroniseras hashar för användarlösenord från lokal Active Directory till Microsoft Entra-ID. När lösenord ändras eller återställs lokalt synkroniseras de nya lösenordshasherna till Microsoft Entra-ID omedelbart så att användarna alltid kan använda samma lösenord för molnresurser och lokala resurser. Lösenorden skickas aldrig till Microsoft Entra-ID eller lagras i Microsoft Entra-ID i klartext. Du kan använda synkronisering av lösenordshash tillsammans med tillbakaskrivning av lösenord för att aktivera självbetjäning av lösenordsåterställning i Microsoft Entra-ID.
Dessutom kan du aktivera sömlös SSO- för användare på domänanslutna datorer som finns i företagsnätverket. Med enkel inloggning behöver aktiverade användare bara ange ett användarnamn för att hjälpa dem att komma åt molnresurser på ett säkert sätt.
Mer information finns i artikeln synkronisering av lösenordshash.
Direktautentisering
Med direktautentisering verifieras användarens lösenord mot den lokala Active Directory-kontrollanten. Lösenordet behöver inte finnas i Microsoft Entra-ID i någon form. Detta gör att lokala principer, till exempel begränsningar för inloggningstid, kan utvärderas under autentisering till molntjänster.
Direktautentisering använder en enkel agent på en domänansluten Windows Server-dator i den lokala miljön. Den här agenten lyssnar efter begäranden om lösenordsverifiering. Det kräver inte att några inkommande portar är öppna för Internet.
Dessutom kan du aktivera enkel inloggning för användare på domänanslutna datorer som finns i företagsnätverket. Med enkel inloggning behöver aktiverade användare bara ange ett användarnamn för att hjälpa dem att komma åt molnresurser på ett säkert sätt.
Mer information finns i:
Federation som använder en ny eller befintlig servergrupp med AD FS i Windows Server
Med federerad inloggning kan användarna logga in på Microsoft Entra-ID-baserade tjänster med sina lokala lösenord. När de är i företagsnätverket behöver de inte ens ange sina lösenord. Genom att använda federationsalternativet med AD FS kan du distribuera en ny eller befintlig servergrupp med AD FS i Windows Server 2022. Om du väljer att ange en befintlig servergrupp konfigurerar Microsoft Entra Connect förtroendet mellan din servergrupp och Microsoft Entra-ID så att användarna kan logga in.
Distribuera federation med AD FS i Windows Server 2022
Om du distribuerar en ny serverfarm behöver du:
En Windows Server 2022-server för federationsservern.
En Windows Server 2022-server för webbprogramproxyn.
En .pfx-fil med ett TLS/SSL-certifikat för ditt avsedda federationstjänstnamn. Till exempel: fs.contoso.com.
Om du distribuerar en ny servergrupp eller använder en befintlig servergrupp behöver du:
- Autentiseringsuppgifter för lokal administratör på federationsservrarna.
- Autentiseringsuppgifter för lokal administratör på alla arbetsgruppsservrar (inte domänanslutna) som du tänker distribuera rollen webbprogramproxy på.
- Den dator som du kör guiden på för att kunna ansluta till andra datorer som du vill installera AD FS eller webbprogramproxy på med hjälp av Windows Fjärrhantering.
För mer information, se Konfigurering av SSO med AD FS.
Federation med PingFederate
Med federerad inloggning kan användarna logga in på Microsoft Entra-ID-baserade tjänster med sina lokala lösenord. När de är i företagsnätverket behöver de inte ens ange sina lösenord.
Mer information om hur du konfigurerar PingFederate för användning med Microsoft Entra-ID finns i Ping Identity Support.
Information om hur du konfigurerar Microsoft Entra Connect med PingFederate finns i anpassad installation av Microsoft Entra Connect
Logga in med hjälp av en tidigare version av AD FS eller en lösning från tredje part
Om du redan har konfigurerat molninloggning med hjälp av en tidigare version av AD FS (till exempel AD FS 2.0) eller en federationsprovider från tredje part kan du välja att hoppa över konfigurationen av användarinloggning via Microsoft Entra Connect. På så sätt kan du hämta den senaste synkroniseringen och andra funktioner i Microsoft Entra Connect medan du fortfarande använder din befintliga lösning för inloggning.
Mer information finns i Microsoft Entras kompatibilitetslista för tredjepartsfederationer.
Användarinloggning och UserPrincipalName
Förstå användarens huvudnamn (UserPrincipalName)
I Active Directory är standardsuffixet UserPrincipalName (UPN) DNS-namnet för domänen där användarkontot skapades. I de flesta fall är det här domännamnet som är registrerat som företagsdomän på Internet. Du kan dock lägga till fler UPN-suffix med hjälp av Active Directory-domäner och förtroenden.
UPN för användaren har formatet username@domain. För en Active Directory-domän med namnet "contoso.com" kan en användare med namnet John till exempel ha UPN "john@contoso.com". UPN för användaren baseras på RFC 822. Även om UPN och e-post har det samma formatet, kan värdet på UPN för en användare vara detsamma eller skilja sig från användarens e-postadress.
UserPrincipalName i Microsoft Entra-ID
Microsoft Entra Connect-guiden använder attributet userPrincipalName eller låter dig ange attributet (i en anpassad installation) som ska användas lokalt som UserPrincipalName i Microsoft Entra-ID. Det här är värdet som används för att logga in på Microsoft Entra-ID. Om värdet för attributet userPrincipalName inte motsvarar en verifierad domän i Microsoft Entra-ID ersätter Microsoft Entra-ID det med ett standardvärde för .onmicrosoft.com.
Varje katalog i Microsoft Entra-ID levereras med ett inbyggt domännamn, med formatet contoso.onmicrosoft.com, som gör att du kan komma igång med Microsoft Entra eller andra Microsoft-onlinetjänster. Du kan förbättra och förenkla inloggningen med hjälp av anpassade domäner. Information om anpassade domännamn i Microsoft Entra-ID och hur du verifierar en domän finns i Lägg till ditt anpassade domännamn i Microsoft Entra ID.
Microsoft Entra-inloggningskonfiguration
Microsoft Entra-inloggningskonfiguration med Microsoft Entra Connect
Microsoft Entra-inloggningsupplevelsen beror på om Microsoft Entra-ID kan matcha suffixet UserPrincipalName för en användare som synkroniseras till en av de anpassade domäner som verifieras i Microsoft Entra-katalogen. Microsoft Entra Connect ger hjälp när du konfigurerar inloggningsinställningar för Microsoft Entra, så att användarinloggningsupplevelsen i molnet liknar den lokala upplevelsen.
Microsoft Entra Connect visar de UPN-suffix som har definierats för domänerna och försöker matcha dem med en anpassad domän i Microsoft Entra-ID. Sedan hjälper det dig med lämpliga åtgärder som måste vidtas. Microsoft Entra-inloggningssidan visar de UPN-suffix som har definierats för lokal Active Directory och visar motsvarande status mot varje suffix. Statusvärdena kan vara något av följande:
| Stat | Beskrivning | Åtgärd krävs |
|---|---|---|
| Verifierat | Microsoft Entra Connect hittade en matchande verifierad domän i Microsoft Entra-ID. Alla användare för den här domänen kan logga in med sina lokala autentiseringsuppgifter. | Ingen åtgärd krävs. |
| Inte verifierad | Microsoft Entra Connect hittade en matchande anpassad domän i Microsoft Entra-ID, men den är inte verifierad. UPN-suffixet för användare av den här domänen ändras till standardsuffixet .onmicrosoft.com efter synkroniseringen om domänen inte har verifierats. | Verifiera den anpassade domänen i Microsoft Entra-ID. |
| Har inte lagts till | Microsoft Entra Connect hittade ingen anpassad domän som motsvarade UPN-suffixet. UPN-suffixet för användare av den här domänen ändras till standardsuffixet .onmicrosoft.com om domänen inte läggs till och verifieras i Entra-ID. | Lägg till och verifiera en anpassad domän som motsvarar UPN-suffixet. |
Microsoft Entra-inloggningssidan visar de UPN-suffix som har definierats för lokal Active Directory och motsvarande anpassade domän i Microsoft Entra-ID med aktuell verifieringsstatus. I en anpassad installation kan du nu välja attributet för UserPrincipalName på sidan Microsoft Entra-inloggning.
Du kan klicka på uppdateringsknappen för att hämta den senaste statusen för de anpassade domänerna från Microsoft Entra-ID.
Välja attributet för UserPrincipalName i Microsoft Entra-ID
Attributet userPrincipalName är det attribut som användarna använder när de loggar in på Microsoft Entra ID och Microsoft 365. Du bör kontrollera de domäner (även kallade UPN-suffix) som används i Microsoft Entra-ID innan användarna synkroniseras.
Vi rekommenderar starkt att du behåller standardattributet userPrincipalName. Om det här attributet inte kan dirigeras och inte kan verifieras kan du välja ett annat attribut (t.ex. e-post) som det attribut som innehåller inloggnings-ID:t. Detta kallas alternativt ID. Attributet Alternativt ID måste följa RFC 822-standarden. Du kan använda ett alternativt ID med både lösenords-SSO och federations-SSO som inloggningslösning.
Notera
Att använda ett alternativt ID är inte kompatibelt med alla Microsoft 365-arbetsbelastningar. Mer information finns i Konfigurera alternativt inloggnings-ID.
Olika anpassade domäntillstånd och deras effekt på inloggningsupplevelsen för Entra-ID
Det är mycket viktigt att förstå relationen mellan de anpassade domäntillstånden i din Microsoft Entra-katalog och de UPN-suffix som definieras på plats. Nu ska vi gå igenom de olika möjliga inloggningsfunktionerna för Entra-ID när du konfigurerar synkronisering med hjälp av Microsoft Entra Connect.
För följande information antar vi att vi bryr oss om UPN-suffixet contoso.com, som används i den lokala katalogen som en del av UPN– till exempel user@contoso.com.
Expressinställningar/Synkronisering av lösenordshash
| Stat | Effekt på inloggningsupplevelsen för användarens Entra-ID |
|---|---|
| Har inte lagts till | I det här fallet har ingen anpassad domän för contoso.com lagts till i Microsoft Entra-katalogen. Användare som har UPN lokalt med suffixet @contoso.com kan inte använda sitt lokala UPN för att logga in på Entra-ID. De måste istället använda ett nytt UPN som tillhandahålls av Microsoft Entra ID genom att lägga till suffixet för standardkatalogen för Microsoft Entra. Om du till exempel synkroniserar användare till Microsoft Entra-katalogen contoso.onmicrosoft.com får den lokala användaren user@contoso.com ett UPN med user@contoso.onmicrosoft.com. |
| Inte verifierad | I det här fallet har vi en anpassad domän contoso.com som läggs till i Microsoft Entra-katalogen. Det är dock inte verifierat ännu. Om du fortsätter med att synkronisera användare utan att verifiera domänen tilldelas användarna ett nytt UPN av Microsoft Entra-ID, precis som i scenariot "Inte tillagda". |
| Verifierat | I det här fallet har vi en anpassad domän contoso.com som redan har lagts till och verifierats i Microsoft Entra-ID för UPN-suffixet. Användarna kommer att kunna använda sina lokala UserPrincipalName, till exempel user@contoso.com, för att logga in på Entra när de har synkroniserats med Microsoft Entra-ID. |
AD FS-federation
Du kan inte skapa en federation med standarddomänen .onmicrosoft.com i Microsoft Entra-ID eller en overifierad anpassad domän i Microsoft Entra-ID. När du kör Microsoft Entra Connect-guiden, om du väljer en overifierad domän att skapa en federation med, visar Microsoft Entra Connect dig de nödvändiga posterna som ska skapas där domänens DNS är värd. Mer information finns i Verifiera den Microsoft Entra-domän som valts för federation.
Om du har valt alternativet för användarinloggning federation med AD FSmåste du ha en anpassad domän för att fortsätta skapa en federation i Microsoft Entra-ID. För vår diskussion innebär det att vi bör ha en anpassad domän contoso.com läggas till i Microsoft Entra-katalogen.
| Stat | Effekt på inloggningsupplevelsen för användarens Entra-ID |
|---|---|
| Har inte lagts till | I det här fallet hittade Inte Microsoft Entra Connect någon matchande anpassad domän för UPN-suffixet contoso.com i Microsoft Entra-katalogen. Du måste lägga till en anpassad domän contoso.com om du behöver användare för att logga in med hjälp av AD FS med deras lokala UPN (till exempel user@contoso.com). |
| Inte verifierad | I det här fallet uppmanar Microsoft Entra Connect dig med lämplig information om hur du kan verifiera din domän i ett senare skede. |
| Verifierat | I det här fallet kan du gå vidare med konfigurationen utan ytterligare åtgärder. |
Ändra användarinloggningsmetoden
Du kan ändra metoden för användarinloggning från federation, synkronisering av lösenordshash eller pass-through-autentisering genom de verktyg som är tillgängliga i Microsoft Entra Connect efter den första konfigurationen av Microsoft Entra Connect med guiden. Kör guiden Microsoft Entra Connect igen så visas en lista över uppgifter som du kan utföra. Välj Ändra användarens inloggning i listan över uppgifter.
På nästa sida uppmanas du att ange autentiseringsuppgifterna för Microsoft Entra-ID.
På sidan Användarinloggning väljer du önskad användarinloggning.
Not
Om du bara gör en tillfällig växling till synkronisering av lösenordshash markerar du kryssrutan Konvertera inte användarkonton. Om du inte kontrollerar alternativet konverteras varje användare till federerad, och det kan ta flera timmar.
Nästa steg
- Läs mer om integrera dina lokala identiteter med Microsoft Entra ID.
- Läs mer om designkoncept för Microsoft Entra Connect.