为 Microsoft Entra 混合标识解决方案选择正确的身份验证方法

对于希望将应用移动到云的组织来说,应首先考虑选择正确的身份验证方式。 请不要轻易做出此决策,原因如下:

  1. 这是希望移动到云的组织做的第一个决定。

  2. 身份验证方法是组织在云中存在的关键组成部分。 它控制着对所有云数据和资源的访问。

  3. 它是 Microsoft Entra ID 中所有其他高级安全和用户体验功能的基础。

标识是 IT 安全的新控制平面,因此身份验证是组织对新的云世界的访问防护。 组织需要一个标识控制平面,以便增强其安全性并使其云应用免受入侵者攻击。

注意

更改身份验证方法需要进行规划、测试并可能会有停机时间。 分阶段推出是测试用户从联合身份验证迁移到云身份验证的一种好方法。

超出范围

没有现有本地目录占用的组织不是本文的重点。 通常,那些仅在云中创建标识的企业不需要混合标识解决方案。 “仅限云”标识单独存在于云中,不与相应本地标识相关联。

身份验证方法

当 Microsoft Entra 混合标识解决方案成为你的新控制平面时,身份验证会是云访问的基础。 选择正确的身份验证方法是设置 Microsoft Entra 混合标识解决方案至关重要的第一个决定。 你所选择的身份验证方法是使用 Microsoft Entra Connect(还可在云中预配用户)配置的。

若要选择身份验证方法,需要考虑时间、现有基础结构、复杂性和实现所选内容的成本。 这些因素对每个组织都不同,并可能随时间变化。

Microsoft Entra ID 支持以下适用于混合标识解决方案的身份验证方法。

云身份验证

选择此身份验证方法时,Microsoft Entra ID 会处理用户的登录过程。 结合使用单一登录 (SSO),用户可以在无需重新输入凭据的情况下登录到云应用。 如果使用的是云身份验证,可以从以下两个选项中选择:

Microsoft Entra 密码哈希同步。 这是在 Microsoft Entra ID 中为本地目录对象启用身份验证的最简单方法。 用户可以使用他们在本地使用的同一用户名和密码,而不必部署任何其他基础结构。 某些 Microsoft Entra ID 高级功能(如 Microsoft Entra ID 保护和 Microsoft Entra 域服务)需要密码哈希同步,无论选择哪种身份验证方法均是如此。

注意

请勿以明文形式存储密码,或者使用 Microsoft Entra ID 不可逆算法加密。 有关密码哈希同步实际过程的详细信息,请参阅使用 Microsoft Entra Connect 同步实现密码哈希同步

Microsoft Entra 直通身份验证。 通过使用在一个或多个本地服务器上运行的软件代理,为 Microsoft Entra 身份验证服务提供简单密码验证。 服务器直接使用本地 Active Directory 验证用户,这将确保云中不发生密码验证。

具有即时强制本地用户帐户状态、密码策略和登录小时数生效的安全要求的公司可能会使用此身份验证方法。 有关实际直通身份验证过程的详细信息,请参阅使用 Microsoft Entra 直通身份验证的用户登录

联合身份验证

选择此身份验证方法时,Microsoft Entra ID 将身份验证过程移交给单独的受信任身份验证系统(例如本地 Active Directory 联合身份验证服务 (AD FS))来验证用户的密码。

身份验证系统可以提供其他的高级身份验证要求,例如第三方多重身份验证。

以下部分使用决策树帮助你决定哪种身份验证方法适合自己。 该决策树帮助你确定为 Microsoft Entra 混合标识解决方案部署云身份验证还是联合身份验证。

决策树

Microsoft Entra 身份验证决策树

有关决策问题的详细信息:

  1. Microsoft Entra ID 可以处理不依赖于本地组件来验证密码的用户的登录。
  2. Microsoft Entra ID 可以将用户登录移交给受信任的身份验证提供 程序,例如 Microsoft 的 AD FS。
  3. 如果需要在用户每次登录时应用用户级 Active Directory 安全策略(例如帐户过期、帐户禁用、密码过期、帐户锁定和登录小时数),则 Microsoft Entra ID 需要一些本地组件。
  4. Microsoft Entra ID 本身不支持的登录功能:
    • 使用第三方身份验证解决方案进行登录。
    • 多站点本地身份验证解决方案。
  5. 无论你选择了哪种登录方法,Microsoft Entra ID 标识保护都需要使用“密码哈希同步”来提供“凭据泄漏的用户”报告。 如果组织的主要登录方法失败,并且该方法是在发生故障事件之前配置的,则组织可以故障转移到密码哈希同步。

注意

Microsoft Entra ID 保护需要 Microsoft Entra ID P2 许可证。

详细的注意事项

云身份验证:密码哈希同步

  • 工作量。 密码哈希同步所需的有关部署、维护和基础结构的工作量最少。 此级别的工作量通常适用于只需用户登录到 Microsoft 365、SaaS 应用以及其他基于 Microsoft Entra ID 的资源的组织。 启用后,密码哈希同步即是 Microsoft Entra Connect 同步过程的一部分,并且每两分钟运行一次。

  • 用户体验。 若要改善用户登录体验,请使用 Microsoft Entra 联接设备Microsoft Entra 混合联接设备。 如果无法建立你的 Windows 设备与 Microsoft Entra ID 的联接,建议部署具有密码哈希同步的无缝 SSO。 在用户登录时,无缝 SSO 将消除不必要的提示。

  • 高级方案。 如果组织选择,可以使用具有 Microsoft Entra ID P2 的 Microsoft Entra ID 保护报表的标识中的见解。 例如已泄漏凭据报告。 Windows Hello for Business 在使用密码哈希同步时有特定要求Microsoft Entra 域服务需要密码哈希同步才能在托管域中为用户预配公司凭据。

    需要多重身份验证以及密码哈希同步的组织必须使用 Microsoft Entra 多重身份验证或条件访问自定义控件。 这些组织不能使用依赖于联合身份验证的第三方或本地多重身份验证方法。

注意

Microsoft Entra 条件访问需要 Microsoft Entra ID P1 许可证。

  • 业务连续性。 密码哈希同步与云身份验证结合在一起完全可以作为云服务使用,适合所有 Microsoft 数据中心。 若要确保密码哈希同步不会在长时间内无法工作,请在备用配置中部署另一个处于暂存模式的 Microsoft Entra Connect 服务器。

  • 注意事项。 目前,密码哈希同步不会即时强制本地帐户状态更改生效。 在此情况下,除非用户帐户状态已同步到 Microsoft Entra ID,否则用户有权访问云应用。 组织可能希望在管理员对本地用户帐户状态执行批量更新后运行新的同步循环来克服此限制。 例如禁用帐户。

注意

目前通过 Microsoft Entra Connect,不会将密码已过期和帐户已锁定状态同步到 Microsoft Entra ID。 如果更改用户的密码并设置“用户下次登录时须更改密码”标志,则除非用户更改其密码,否则密码哈希不会通过 Microsoft Entra Connect 同步到 Microsoft Entra ID。

请参阅实现密码哈希同步了解相关部署步骤。

云身份验证:直通身份验证

  • 工作量。 对于直通身份验证,需要有一个或多个(我们建议三个)轻量代理安装在现有服务器上。 这些代理必须有权访问本地 Active Directory 域服务,包括本地 AD 域控制器。 它们需要具有对 Internet 的出站访问权限以及对域控制器的访问权限。 因此,不支持将这些代理部署在外围网络中。

    直通身份验证需要对域控制器进行不受约束的网络访问。 所有流量都已进行加密并受限于身份验证请求。 有关此过程的详细信息,请参阅传递身份验证的安全性深入研究

  • 用户体验。 若要改善用户登录体验,请使用 Microsoft Entra 联接设备Microsoft Entra 混合联接设备。 如果无法建立你的 Windows 设备与 Microsoft Entra ID 的联接,建议部署具有密码哈希同步的无缝 SSO。 在用户登录时,无缝 SSO 将消除不必要的提示。

  • 高级方案。 直通身份验证在登录时强制实施本地帐户策略。 例如,当本地用户的帐户状态为禁用、锁定,或他们的密码过期,或者登录尝试不在用户被允许登录的时间段内,则访问会被拒绝。

    需要通过直通身份验证进行多重身份验证的组织必须使用 Microsoft Entra 多重身份验证或条件访问自定义控件。 这些组织不能使用依赖于联合身份验证的第三方或本地多重身份验证方法。 高级功能都需要密码哈希同步已部署,无论你是否选择直通身份验证。 例如Microsoft Entra ID 保护的凭据泄露检测功能。

  • 业务连续性。 我们建议部署两个额外的直通身份验证代理。 这些额外的代理是 Microsoft Entra Connect 服务器上第一个代理之外的代理。 此额外的部署可确保身份验证请求的高可用性。 如果部署了三个代理,关闭一个代理进行维护时另一个仍然可能失败。

    在除了部署直通身份验证之外还部署密码哈希同步有另一个好处。 它将在主要身份验证方法不再可用时充当备份身份验证方法。

  • 注意事项。 当代理由于明显的本地故障而无法验证用户的凭据时,可以使用密码哈希同步作为直通身份验证的备份身份验证方法。 故障转移到密码哈希同步不会自动发生,并且必须使用 Microsoft Entra Connect 手动切换登录方法。

    有关直通身份验证的其他注意事项(包括备用 ID 支持),请参阅常见问题

请参阅实现传递身份验证了解部署步骤。

联合身份验证

  • 工作量。 联合身份验证系统依赖于外部受信任系统对用户进行身份验证。 某些公司想要借助 Microsoft Entra 混合标识解决方案重复使用现有联合系统投资。 联合系统的维护和管理超出 Microsoft Entra ID 控制。 这由组织负责,组织可通过使用联合系统确保它已安全部署并可处理身份验证负载。

  • 用户体验。 联合身份验证的用户体验依赖于联合服务器场功能、拓扑和配置的实现。 某些组织需要这种灵活性来调整和配置对联合服务器场的访问权限,以满足其安全要求。 例如,可以配置内部连接用户和设备以使用户自动登录,不会提示其输入凭据。 因为他们已登录到其设备,所以此配置将发挥作用。 必要时,某些高级安全功能将使用户的登录过程更加困难。

  • 高级方案。 客户有 Microsoft Entra ID 本机不支持的身份验证要求时,需要联合身份验证解决方案。 请参阅详细信息以帮助你选择正确的登录选项。 请考虑以下常见要求:

    • 需要联合标识提供程序的第三方多重身份验证提供程序。
    • 使用第三方身份验证解决方案的身份验证。 请参阅 Microsoft Entra 联合身份验证兼容性一览
    • 需要 sAMAccountName(例如,DOMAIN\username)而不是用户主体名称 (UPN)(例如,user@domain.com)的登录。
  • 业务连续性。 联合身份验证系统通常需要负载均衡的服务器阵列(称为场)。 此场在内部网络和外围网络拓扑中配置,以便为身份验证请求确保高可用性。

    请将密码哈希同步以及联合身份验证部署为当主要身份验证方法不再可用时使用的备份身份验证方法。 例如,当本地服务器不可用时。 某些大型企业组织需要联合解决方案,以支持针对低延迟身份验证请求配置了异地 DNS 的多个 Internet 入口点。

  • 注意事项。 联合系统通常在本地基础结构方面需要更可观的投资。 大多数组织会选择此选项,前提是它们已有本地联合身份验证投资, 并且使用单标识提供者是非常强烈的业务需求。 与云身份验证解决方案相比,联合的操作和故障排除更加复杂。

对于无法在 Microsoft Entra ID 中验证的不可路由域,需要进行额外配置才能实现用户 ID 登录。 此要求被称为“备用登录 ID 支持”。 相关限制和要求,请参阅配置备用登录 ID。 如果选择将第三方多重身份验证提供程序与联合身份验证配合使用,请确保该提供程序支持 WS-Trust,以允许设备加入 Microsoft Entra ID。

有关部署步骤,请参阅部署联合服务器

注意

部署 Microsoft Entra 混合标识解决方案时,必须实现 Microsoft Entra Connect 的某一个受支持拓扑。 有关受支持和不受支持的配置详细信息,请参阅 Microsoft Entra Connect 拓扑

体系结构关系图

下图扼要地绘出了每个可用于 Microsoft Entra 混合标识解决方案的身份验证方法所需的高级体系结构组件。 此外还提供了概述,以便帮助你比较解决方案之间的差异。

  • 密码哈希同步解决方案的简单性:

    使用密码哈希同步的 Microsoft Entra 混合标识

  • 直通身份验证的代理要求,使用两个代理提供冗余:

    使用直通身份验证的 Microsoft Entra 混合标识

  • 组织的外围和内部网络中联合身份验证所需的组件:

    使用联合身份验证的 Microsoft Entra 混合标识

比较方法

注意事项 密码哈希同步 直通身份验证 使用 AD FS 进行联合身份验证
身份验证在何处发生? 在云中 在云中,在使用本地身份验证代理进行安全密码验证交换后 本地
除预配系统外的本地服务器要求是什么:Microsoft Entra Connect? 为额外的每个身份验证代理提供一台服务器 两台或更多 AD FS 服务器

外围网络中的两台或更多 WAP 服务器
除预配系统外的本地 Internet 和网络的要求是什么? 从运行身份验证代理的服务器进行出站 Internet 访问 对外围网络中的 WAP 服务器进行入站 Internet 访问

从外围网络中的 WAP 服务器对 AD FS 服务器进行入站网络访问

网络负载均衡
是否有 TLS/SSL 证书要求? No
是否有运行状况监视解决方案? 不是必需 Microsoft Entra 管理中心提供的代理状态 Microsoft Entra Connect Health
用户是否可在公司网络内从加入域的设备单一登录到云资源? 是,在使用已建立 Microsoft Entra 联接的设备已建立 Microsoft Entra 混合联接的设备适用于 Apple 设备的 Microsoft 企业 SSO 插件无缝 SSO 的情况下 是,在使用已建立 Microsoft Entra 联接的设备已建立 Microsoft Entra 混合联接的设备适用于 Apple 设备的 Microsoft 企业 SSO 插件无缝 SSO 的情况下
支持哪些登录类型? UserPrincipalName + 密码

通过使用无缝 SSO 进行的 Windows 集成身份验证

备用登录 ID

Microsoft Entra 联接设备

Microsoft Entra 混合联接设备

证书和智能卡身份验证
UserPrincipalName + 密码

通过使用无缝 SSO 进行的 Windows 集成身份验证

备用登录 ID

Microsoft Entra 联接设备

Microsoft Entra 混合联接设备

证书和智能卡身份验证
UserPrincipalName + 密码

sAMAccountName + 密码

Windows 集成身份验证

证书和智能卡身份验证

备用登录 ID
是否支持 Windows Hello 企业版? 密钥信任模型

混合云信任
密钥信任模型

混合云信任

两者都需要 Windows Server 2016 域功能级别
密钥信任模型

混合云信任

证书信任模型
有哪些多重身份验证选项? Microsoft Entra 多重身份验证

带条件访问的自定义控件*
Microsoft Entra 多重身份验证

带条件访问的自定义控件*
Microsoft Entra 多重身份验证

第三方 MFA

带条件访问的自定义控件*
支持哪些用户帐户状态? 已禁用帐户
(最多 30 分钟延迟)
已禁用帐户

帐户已锁定

帐户已过期

密码已过期

登录小时数
已禁用帐户

帐户已锁定

帐户已过期

密码已过期

登录小时数
有哪些条件访问选项? 具有 Microsoft Entra ID P1 或 P2 的 Microsoft Entra 条件访问 具有 Microsoft Entra ID P1 或 P2 的 Microsoft Entra 条件访问 具有 Microsoft Entra ID P1 或 P2 的 Microsoft Entra 条件访问

AD FS 声明规则
是否支持阻止旧协议?
是否可以自定义登录页面的徽标、图像和说明? 是的,具有 Microsoft Entra ID P1 或 P2 是的,具有 Microsoft Entra ID P1 或 P2
支持哪些高级方案? 智能密码锁定

凭据泄露报告,具有 Microsoft Entra ID P2
智能密码锁定 多站点低延迟身份验证系统

AD FS Extranet 锁定

与第三方标识系统集成

注意

Microsoft Entra 条件访问中的自定义控件目前不支持设备注册。

建议

你的标识系统可确保你的用户有权访问你迁移到云中以及在云中提供的应用。 无论选择了哪种身份验证方法,请使用或启用密码哈希同步,原因如下:

  1. 高可用性和灾难恢复。 直通身份验证和联合身份验证依赖于本地基础结构。 对于直通身份验证,本地占用的设备包括直通身份验证代理所需的服务器硬件和网络。 对于联合身份验证,本地占用的设备更多。 它需要外围网络中的服务器来代理身份验证请求,并且还需要内部联合服务器。

    若要避免单一故障点,请部署冗余服务器。 这样,如果任何组件出现故障,系统均会始终为身份验证请求提供服务。 直通身份验证和联合身份验证都也依赖于域控制器来响应身份验证请求(也可能会失败)。 这些组件中的许多组件都需要维护以保持正常运行。 如果未正确计划并实施维护,很有可能会发生服务中断。

  2. 本地服务中断生存。 网络攻击或灾难造成的本地服务中断可能导致从品牌信誉损失到瘫痪的组织无法处理攻击等一系列的严重后果。 最近,许多组织都受到恶意软件(包括有针对性的勒索软件)的攻击,导致其本地服务器停机。 Microsoft 在帮助客户处理这些类型的攻击时发现两种类型的组织:

    • 先前在联合或直通身份验证之上已启用密码哈希同步的组织将其主要身份验证方法更改为使用密码哈希同步。 它们在数小时内即可重新联机。 通过使用 Microsoft 365 访问电子邮件,他们致力于解决问题并访问其他基于云的工作负载。

    • 先前未启用密码哈希同步的组织必须依靠不受信任的外部使用者电子邮件系统进行通信来解决问题。 在这些情况下,他们花费了数周时间来还原其本地标识基础结构,然后用户才能再次登录到基于云的应用。

  3. ID 保护 在云端保护用户安全的最佳方式之一是具有 Microsoft Entra ID P2 的 Microsoft Entra ID 保护。 Microsoft 不断扫描 Internet 以查找歹徒在暗网上销售和提供的用户和密码列表。 Microsoft Entra 可以用此信息验证组织的任意用户名和密码是否泄漏。 因此,无论使用哪种身份验证方法(无论其是联合身份验证还是直通身份验证),启用密码哈希同步都至关重要。 泄漏的凭据将以报表形式提供。 使用此信息可阻止或强制用户在尝试使用泄漏的密码登录时更改其密码。

结束语

本文概述了多种身份验证选项,组织可以配置和部署它们以支持对云应用的访问。 为了满足各种业务、安全和技术要求,组织可以在密码哈希同步、直通身份验证和联合身份验证之间进行选择。

请考虑每一种身份验证方法。 部署解决方案的工作量以及登录过程的用户体验是否满足你的业务要求? 请评估组织是否需要每种身份验证方法的高级方案和业务连续性功能。 最后,请评估每种身份验证方法的注意事项。 其中是否有任何注意事项会阻止你实现你的选择?

后续步骤

当今世界中,一天 24 小时都存在着威胁,并且可能无处不在。 请实现正确的身份验证方法,它将减轻安全风险并保护标识。

开始使用 Microsoft Entra ID 并为组织部署正确的身份验证解决方案。

如果你正在考虑从联合身份验证迁移到云身份验证,请了解有关更改登录方法的详细信息。 若要帮助计划和实现迁移,请使用这些项目部署计划,或考虑使用新的分阶段推出功能通过分阶段方法将联合身份验证用户迁移到使用云身份验证。