Předávací ověřování Microsoft Entra: Nejčastější dotazy

Projděte si tuto příručku , kde najdete porovnání různých metod přihlašování Microsoft Entra a způsobu výběru správné metody přihlašování pro vaši organizaci.

Předávací ověřování je bezplatná funkce. K jeho použití nepotřebujete žádné placené edice Microsoft Entra ID.

Ano. Všechny možnosti podmíněného přístupu , včetně vícefaktorového ověřování Microsoft Entra, fungují s předávacím ověřováním.

Ano, předávací ověřování (PTA) i synchronizace hodnot hash hesel (PHS) podporují přihlášení pomocí jiné hodnoty než UPN, jako je alternativní e-mail. Další informace o alternativním přihlašovacím ID.

Ne. Předávací ověřování neprovádí automatické převzetí služeb při selhání synchronizace hodnot hash hesel. Abyste se vyhnuli chybám přihlašování uživatelů, měli byste nakonfigurovat předávací ověřování pro zajištění vysoké dostupnosti.

Když použijete Microsoft Entra Připojení k přepnutí přihlašovací metody ze synchronizace hodnot hash hesel na předávací ověřování, předávací ověřování se stane primární metodou přihlašování pro uživatele ve spravovaných doménách. Hodnoty hash hesel všech uživatelů, které byly dříve synchronizovány synchronizací hodnot hash hesel, zůstanou uloženy v Microsoft Entra ID.

Ano. Tuto konfiguraci podporují verze předávacího ověřovacího agenta verze 1.5.193.0 nebo novější.

Aby tato funkce fungovala, potřebujete verzi 1.1.750.0 nebo novější pro Microsoft Entra Připojení a 1.5.193.0 nebo novější pro předávací ověřovací agent. Nainstalujte veškerý software na servery s Windows Serverem 2012 R2 nebo novějším.

Příčinou může být to, že služba aktualizátoru nefunguje správně nebo pokud nejsou k dispozici žádné nové aktualizace, které může služba nainstalovat. Služba aktualizátoru je v pořádku, pokud je spuštěná a v protokolu událostí (protokoly aplikací a služeb –> Microsoft –> AzureAD Připojení-Agent –> Updater –> Správa).

Pro automatický upgrade se vydávají pouze hlavní verze. Agenta doporučujeme aktualizovat ručně jenom v případě potřeby. Například nemůžete čekat na hlavní verzi, protože musíte opravit známý problém nebo chcete použít novou funkci. Další informace o nových verzích, typ vydané verze (stažení, automatický upgrade), opravy chyb a nové funkce naleznete v tématu Microsoft Entra předávací ověřovací agent: Historie verzí.

Ruční upgrade konektoru:

• Stáhněte si nejnovější verzi agenta. (Najdete ho v části Microsoft Entra Připojení Předávací ověřování v Centru pro správu Microsoft Entra. Odkaz najdete také na předávacím ověřování Microsoft Entra: Historie verzí.
• Instalační program restartuje služby Microsoft Entra Připojení Authentication Agent. V některých případech se vyžaduje restartování serveru, pokud instalační program nemůže nahradit všechny soubory. Proto doporučujeme zavřít všechny aplikace, Prohlížeč událostí před zahájením upgradu.
• Spusťte instalační program. Proces upgradu je rychlý a nevyžaduje zadání přihlašovacích údajů a agent se znovu nezaregistruje.

Pokud jste pro konkrétního uživatele nakonfigurovali zpětný zápis hesla a pokud se uživatel přihlásí pomocí předávacího ověřování, může změnit nebo resetovat svá hesla. Hesla se zapisují zpět do místní Active Directory podle očekávání.

Pokud jste pro konkrétního uživatele nenakonfigurovali zpětný zápis hesla nebo pokud uživatel nemá přiřazenou platnou licenci Microsoft Entra ID, nemůže uživatel aktualizovat heslo v cloudu. Nemůžou aktualizovat heslo, i když vypršela jeho platnost. Místo toho se uživateli zobrazí tato zpráva: "Vaše organizace neumožňuje aktualizovat heslo na tomto webu. Aktualizujte ji podle metody doporučené vaší organizací nebo se zeptejte správce, jestli potřebujete pomoct." Uživatel nebo správce musí resetovat heslo v místní Active Directory.

Vypršení platnosti hesla neaktivuje odvolání ověřovacích tokenů ani souborů cookie. Dokud nebudou tokeny nebo soubory cookie platné, uživatel je bude moct používat. To platí bez ohledu na typ ověřování (PTA, PHS a federované scénáře).

Další podrobnosti najdete v následující dokumentaci:

Přístupové tokeny platformy Microsoft Identity Platform – Microsoft Identity Platform | Microsoft Docs

Přečtěte si informace o inteligentním uzamčení.

• Agenti ověřování pro všechny operace funkcí zpřístupní požadavky HTTPS přes port 443.

• Ověřovací agenti zasílali požadavky HTTP přes port 80, aby si stáhli seznamy odvolaných certifikátů TLS/SSL (CRLs).

  Poznámka:

  Nedávné aktualizace snížily počet portů, které funkce vyžaduje. Pokud máte starší verze Microsoft Entra Připojení nebo ověřovacího agenta, nechte tyto porty otevřené i: 5671, 8080, 9090, 9091, 9350, 9352 a 10100-10120.

Ano. Pokud je ve vašem místním prostředí povolené automatické zjišťování webového proxy serveru (WPAD), ověřovací agenti se automaticky pokusí vyhledat a použít webový proxy server v síti. Další informace o používání odchozího proxy serveru najdete v tématu Práce se stávajícími místními proxy servery.

Pokud ve svém prostředí nemáte WPAD, můžete přidat informace o proxy serveru (jak je znázorněno níže), aby předávací ověřovací agent mohl komunikovat s ID Microsoft Entra:

• Před instalací předávacího ověřovacího agenta na server nakonfigurujte informace o proxy serveru v Internet Exploreru. To vám umožní dokončit instalaci ověřovacího agenta, ale na portálu Správa se bude stále zobrazovat jako Neaktivní.
• Na serveru přejděte na C:\Program Files\Microsoft Azure AD Připojení Authentication Agent.
• Upravte konfigurační soubor AzureAD Připojení AuthenticationAgentService a přidejte následující řádky (nahraďte "http://contosoproxy.com:8080" se skutečnou adresou proxy serveru):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Ne, na jeden server můžete nainstalovat pouze jednoho předávacího ověřovacího agenta. Pokud chcete nakonfigurovat předávací ověřování pro vysokou dostupnost, postupujte podle zde uvedených pokynů.

Komunikace mezi každým předávacím ověřovacím agentem a ID Microsoft Entra je zabezpečená pomocí ověřování na základě certifikátů. Tyto certifikáty se automaticky obnovují každých několik měsíců pomocí ID Microsoft Entra. Tyto certifikáty není nutné obnovovat ručně. Starší certifikáty s vypršenou platností můžete vyčistit podle potřeby.

Pokud je spuštěný předávací ověřovací agent, zůstane aktivní a průběžně zpracovává žádosti o přihlášení uživatelů. Pokud chcete odinstalovat ověřovacího agenta, přejděte na Ovládací panely – Programy –> Programy a> funkce a odinstalujte agenta Microsoft Entra Připojení Authentication Agent a programy Microsoft Entra Připojení Agent Updater.

Pokud zkontrolujete okno Předávací ověřování v Centru pro správu Microsoft Entra jako alespoň hybridní identita Správa istrator. po dokončení předchozího kroku se ověřovací agent zobrazí jako Neaktivní. Očekává se to. Agent ověřování je ze seznamu po 10 dnech automaticky vyřazen.

Pokud migrujete ze služby AD FS (nebo jiných federačních technologií) na předávací ověřování, důrazně doporučujeme postupovat podle našeho průvodce rychlým startem.

Ano. Prostředí s více doménovými strukturami se podporují, pokud mezi doménovými strukturami služby Active Directory existují vztahy důvěryhodnosti (obousměrně) a pokud je správně nakonfigurované směrování přípon názvů.

Ne, instalace několika předávaných ověřovacích agentů zajišťuje pouze vysokou dostupnost. Neposkytuje deterministické vyrovnávání zatížení mezi agenty ověřování. Jakýkoli ověřovací agent (náhodně) může zpracovat konkrétní žádost o přihlášení uživatele.

Instalace několika předávaných ověřovacích agentů zajišťuje vysokou dostupnost. Neposkytuje ale deterministické vyrovnávání zatížení mezi ověřovacími agenty.

Zvažte špičku a průměrné zatížení žádostí o přihlášení, které očekáváte ve vašem tenantovi. Jako srovnávací test může jeden ověřovací agent zpracovat 300 až 400 ověřování za sekundu na standardním 4jádrovým procesoru, 16GB serveru RAM.

K odhadu síťového provozu použijte následující pokyny k určení velikosti:

• Každý požadavek má velikost datové části (0,5K + 1K * num_of_agents) bajtů; to znamená, že data z Microsoft Entra ID do ověřovacího agenta. V této části "num_of_agents" označuje počet agentů ověřování zaregistrovaných ve vašem tenantovi.
• Každá odpověď má velikost datové části 1K bajtů; to znamená, že data z ověřovacího agenta do Microsoft Entra ID.

Pro většinu zákazníků jsou celkem dostatečná dvě nebo tři agenty ověřování pro vysokou dostupnost a kapacitu. V produkčních prostředích ale doporučujeme mít ve svém tenantovi spuštěné minimálně 3 ověřovací agenty. Agenty ověřování byste měli nainstalovat blízko řadičů domény, aby se zlepšila latence přihlašování.

Doporučujeme povolit nebo zakázat předávací ověřování pomocí globálního cloudového Správa istratoru. Přečtěte si o přidání globálního účtu globálního Správa istratoru jen pro cloud. Tímto způsobem zajistíte, že se z tenanta nezamknete.

Znovu spusťte průvodce Microsoft Entra Připojení a změňte metodu přihlašování uživatele z předávacího ověřování na jinou metodu. Tato změna zakáže předávací ověřování v tenantovi a odinstaluje ověřovacího agenta ze serveru. Agenty ověřování musíte odinstalovat ručně z ostatních serverů.

Pokud odinstalujete předávacího ověřovacího agenta ze serveru, způsobí to, že server přestane přijímat žádosti o přihlášení. Abyste se vyhnuli narušení funkce přihlašování uživatelů ve vašem tenantovi, ujistěte se, že máte spuštěného dalšího agenta ověřování, než odinstalujete agenta předávacího ověřování.

Za následujících okolností se vaše místní změny hlavního názvu uživatele (UPN) nemusí synchronizovat, pokud:

• Tenant Microsoft Entra byl vytvořen před 15. červnem 2015.
• Původně jste byli federováni s vaším tenantem Microsoft Entra pomocí služby AD FS pro ověřování.
• Přepnuli jste na uživatele, kteří jako ověřování používají spravované uživatele.

Důvodem je to, že výchozí chování tenantů vytvořených před 15. červnem 2015 bylo blokovat změny hlavního názvu uživatele (UPN). Pokud potřebujete zrušit blokování změn hlavního názvu uživatele (UPN), musíte spustit následující rutinu PowerShellu. Získejte ID pomocí rutiny Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Tenanti vytvoření po 15. červnu 2015 ve výchozím nastavení synchronizují změny hlavních názvů uživatelů (UPN).

Ověření, který místní server nebo ověřovací agent se použil pro konkrétní událost přihlášení:

1. V Centru pro správu Microsoft Entra přejděte na přihlašovací událost.

2. Vyberte Podrobnosti o ověřování. Ve sloupci Podrobnosti metody ověřování se podrobnosti ID agenta zobrazují ve formátu Předávací ověřování; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Pokud chcete získat podrobnosti ID agenta pro agenta, který je nainstalovaný na místním serveru, přihlaste se k místnímu serveru a spusťte následující rutinu:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Vrácená hodnota GUID je ID agenta ověřovacího agenta nainstalovaného na daném serveru. Pokud máte ve svém prostředí více agentů, můžete tuto rutinu spustit na každém serveru agenta a zaznamenat podrobnosti ID agenta.

4. Korelujte ID agenta, které získáte z místního serveru a z protokolů přihlašování Microsoft Entra, a ověřte, který agent nebo server potvrdily žádost o podepsání.

Další kroky

• Aktuální omezení: Seznamte se se scénáři, které jsou podporované, a ty, které nejsou podporované.
• Rychlý start: Zprovoznění předávacího ověřování Microsoft Entra
• Migrace aplikací do Microsoft Entra ID: Prostředky, které vám pomůžou migrovat přístup k aplikacím a ověřování na Microsoft Entra ID.
• Inteligentní uzamčení: Zjistěte, jak nakonfigurovat funkci inteligentního uzamčení ve vašem tenantovi za účelem ochrany uživatelských účtů.
• Podrobné technické informace: Seznamte se s fungováním funkce předávacího ověřování.
• Řešení potíží: Zjistěte, jak vyřešit běžné problémy s funkcí předávacího ověřování.
• Podrobné informace o zabezpečení: Získejte podrobné technické informace o funkci předávacího ověřování.
• Hybridní připojení Microsoft Entra: Nakonfigurujte v tenantovi možnost hybridního připojení Microsoft Entra pro jednotné přihlašování napříč cloudovými a místními prostředky.
• Bezproblémové jednotné přihlašování microsoftu Entra: Přečtěte si další informace o této doplňkové funkci.
• UserVoice: K vytvoření nových žádostí o funkce použijte fórum Microsoft Entra.