Možnosti přihlášení uživatele Azure AD Connect

Azure Active Directory (Azure AD) Připojení umožňuje uživatelům přihlásit se ke cloudovým i místním prostředkům pomocí stejných hesel. Tento článek popisuje klíčové koncepty pro každý model identit, které vám pomůžou zvolit identitu, kterou chcete použít pro přihlášení ke službě Azure AD.

Pokud už znáte model identity Azure AD a chcete se dozvědět více o konkrétní metodě, přečtěte si příslušný odkaz:

Poznámka

Je důležité si uvědomit, že konfigurací federace pro Azure AD vytvoříte vztah důvěryhodnosti mezi tenantem Azure AD a federovanými doménami. S tímto vztahem důvěryhodnosti budou mít uživatelé federované domény přístup ke cloudovým prostředkům Azure AD v rámci tenanta.

Volba metody přihlašování uživatele pro vaši organizaci

Prvním rozhodnutím implementace služby Azure AD Připojení je volba metody ověřování, kterou uživatelé budou používat k přihlášení. Je důležité, abyste zvolili správnou metodu, která splňuje požadavky vaší organizace na zabezpečení a pokročilé požadavky. Ověřování je důležité, protože ověří identity uživatelů pro přístup k aplikacím a datům v cloudu. Pokud chcete zvolit správnou metodu ověřování, musíte zvážit čas, existující infrastrukturu, složitost a náklady na implementaci podle vašeho výběru. Tyto faktory se liší pro každou organizaci a můžou se v průběhu času měnit.

Azure AD podporuje následující metody ověřování:

  • Cloudové ověřování – Když zvolíte tuto metodu ověřování, Azure AD zpracovává proces ověřování pro přihlášení uživatele. S cloudovým ověřováním si můžete vybrat ze dvou možností:
    • Synchronizace hodnot hash hesel (PHS) – Synchronizace hodnot hash hesel umožňuje uživatelům používat stejné uživatelské jméno a heslo, které používají místně, aniž by museli nasazovat další infrastrukturu kromě azure AD Připojení.
    • Předávací ověřování (PTA) – Tato možnost se podobá synchronizaci hodnot hash hesel, ale poskytuje jednoduché ověřování hesel pomocí místních softwarových agentů pro organizace se silnými zásadami zabezpečení a dodržování předpisů.
  • Federované ověřování – Když zvolíte tuto metodu ověřování, služba Azure AD předá proces ověřování do samostatného důvěryhodného ověřovacího systému, jako je AD FS nebo federační systém třetí strany, a ověří přihlášení uživatele.

Pro většinu organizací, které chtějí povolit přihlášení uživatelů k Microsoft 365, aplikacím SaaS a dalším prostředkům založeným na Azure AD, doporučujeme výchozí možnost synchronizace hodnot hash hesel.

Podrobné informace o výběru metody ověřování najdete v tématu Volba správné metody ověřování pro řešení hybridní identity Azure Active Directory

Synchronizace hodnot hash hesel

Při synchronizaci hodnot hash hesel se hodnoty hash uživatelských hesel synchronizují z místní Active Directory do Azure AD. Když se hesla změní nebo resetují místně, nové hodnoty hash hesel se okamžitě synchronizují do Azure AD, aby uživatelé mohli vždy používat stejné heslo pro cloudové prostředky a místní prostředky. Hesla se nikdy neodesílají do Azure AD ani neukládají ve službě Azure AD ve formátu prostého textu. Synchronizaci hodnot hash hesel můžete použít společně se zpětným zápisem hesla k povolení samoobslužného resetování hesla v Azure AD.

Kromě toho můžete povolit bezproblémové jednotné přihlašování pro uživatele na počítačích připojených k doméně, které jsou v podnikové síti. S jednotným přihlašováním musí uživatelé povolit jenom uživatelské jméno, aby jim pomohli bezpečně přistupovat ke cloudovým prostředkům.

Password hash synchronization

Další informace najdete v článku synchronizace hodnot hash hesel .

Předávací ověřování

Pomocí předávacího ověřování se heslo uživatele ověří na řadiči místní Active Directory. Heslo nemusí být v Azure AD v žádném formátu. To umožňuje vyhodnotit místní zásady, jako jsou omezení hodin přihlášení, během ověřování ke cloudovým službám.

Předávací ověřování používá v místním prostředí jednoduchý agent na počítači připojeném k doméně R2 Windows Server 2012 R2. Tento agent naslouchá žádostem o ověření hesla. Nevyžaduje, aby byly otevřené žádné příchozí porty pro internet.

Kromě toho můžete také povolit jednotné přihlašování pro uživatele na počítačích připojených k doméně, které jsou v podnikové síti. S jednotným přihlašováním musí uživatelé povolit jenom uživatelské jméno, aby jim pomohli bezpečně přistupovat ke cloudovým prostředkům. Pass-through authentication

Další informace naleznete v tématu:

Federace, která používá novou nebo existující farmu se službou AD FS v Windows Server 2012 R2

S federovaným přihlašováním se uživatelé můžou přihlásit ke službám založeným na Azure AD pomocí místních hesel. I když jsou v podnikové síti, nemusí ani zadávat svá hesla. Pomocí možnosti federace se službou AD FS můžete nasadit novou nebo existující farmu se službou AD FS v Windows Server 2012 R2. Pokud se rozhodnete zadat existující farmu, azure AD Připojení nakonfiguruje vztah důvěryhodnosti mezi vaší farmou a Službou Azure AD, aby se vaši uživatelé mohli přihlásit.

Federation with AD FS in Windows Server 2012 R2

Nasazení federace se službou AD FS v Windows Server 2012 R2

Pokud nasazujete novou farmu, potřebujete:

  • Server Windows Server 2012 R2 pro federační server.
  • Server Windows Server 2012 R2 pro webovou proxy aplikací.
  • Soubor .pfx s jedním certifikátem TLS/SSL pro zamýšlený název federační služby Například: fs.contoso.com.

Pokud nasazujete novou farmu nebo používáte existující farmu, potřebujete:

  • Přihlašovací údaje místního správce na federačních serverech
  • Přihlašovací údaje místního správce na všech serverech pracovní skupiny (nejsou připojené k doméně), na které chcete nasadit roli webového proxy aplikací.
  • Počítač, na který spustíte průvodce, aby se mohl připojit k jakýmkoli jiným počítačům, na které chcete nainstalovat službu AD FS nebo webovou proxy aplikací pomocí vzdálené správy Windows.

Další informace najdete v tématu Konfigurace jednotného přihlašování se službou AD FS.

Federace s PingFederate

S federovaným přihlašováním se uživatelé můžou přihlásit ke službám založeným na Azure AD pomocí místních hesel. I když jsou v podnikové síti, nemusí ani zadávat svá hesla.

Další informace o konfiguraci PingFederate pro použití s Azure Active Directory najdete v tématu Integrace PingFederate s Azure Active Directory a Office 365

Informace o nastavení služby Azure AD Připojení pomocí PingFederate najdete v tématu Vlastní instalace služby Azure AD Připojení

Přihlášení pomocí starší verze služby AD FS nebo řešení třetích stran

Pokud jste už nakonfigurovali cloudové přihlašování pomocí starší verze služby AD FS (například AD FS 2.0) nebo poskytovatele federace třetí strany, můžete přeskočit konfiguraci přihlašování uživatelů prostřednictvím služby Azure AD Připojení. To vám umožní získat nejnovější možnosti synchronizace a dalších funkcí služby Azure AD Připojení, zatímco stále používáte stávající řešení pro přihlášení.

Další informace najdete v seznamu kompatibility federace třetích stran Azure AD.

Přihlašovací jméno uživatele a hlavní název uživatele

Principy hlavního názvu uživatele

Ve službě Active Directory je výchozí přípona hlavního názvu uživatele (UPN) název DNS domény, ve které byl vytvořen uživatelský účet. Ve většině případů se jedná o název domény, který je zaregistrovaný jako podniková doména na internetu. Přípony hlavního názvu uživatele (UPN) ale můžete přidat pomocí domén a vztahů důvěryhodnosti služby Active Directory.

Hlavní název uživatele má formát username@domain. Například pro doménu služby Active Directory s názvem "contoso.com", může mít uživatel s názvem John hlavní název uživatele (UPN).john@contoso.com Hlavní název uživatele je založený na dokumentu RFC 822. I když hlavní název uživatele (UPN) a e-mail sdílejí stejný formát, může nebo nemusí být hodnota hlavního názvu uživatele (UPN) stejná jako e-mailová adresa uživatele.

Hlavní název uživatele v Azure AD

Průvodce Připojení Azure AD používá atribut userPrincipalName nebo umožňuje zadat atribut (v vlastní instalaci), který se má použít z místního prostředí jako hlavní název uživatele v Azure AD. Jedná se o hodnotu, která se používá pro přihlášení ke službě Azure AD. Pokud hodnota atributu userPrincipalName neodpovídá ověřené doméně v Azure AD, azure AD ji nahradí výchozí hodnotou .onmicrosoft.com.

Každý adresář v Azure Active Directory má integrovaný název domény s formátem contoso.onmicrosoft.com, který vám umožní začít používat Azure nebo jiné služby Microsoft. Přihlašovací prostředí můžete vylepšit a zjednodušit pomocí vlastních domén. Informace o vlastních názvech domén v Azure AD a o tom, jak ověřit doménu, najdete v tématu Přidání vlastního názvu domény do Azure Active Directory.

Konfigurace přihlášení k Azure AD

Konfigurace přihlášení ke službě Azure AD pomocí služby Azure AD Připojení

Přihlašovací prostředí Azure AD závisí na tom, jestli může Azure AD odpovídat příponě hlavního názvu uživatele, který se synchronizuje s jednou z vlastních domén ověřených v adresáři Azure AD. Azure AD Připojení poskytuje nápovědu při konfiguraci nastavení přihlašování k Azure AD, aby se prostředí přihlašování uživatelů v cloudu podobaly místnímu prostředí.

Azure AD Připojení uvádí přípony hlavního názvu uživatele (UPN), které jsou definované pro domény, a pokusí se je spárovat s vlastní doménou v Azure AD. Pak vám pomůže s příslušnou akcí, kterou je potřeba provést. Přihlašovací stránka Azure AD uvádí přípony UPN definované pro místní Active Directory a zobrazují odpovídající stav pro každou příponu. Hodnoty stavu můžou být následující:

State Popis Potřeba akce
Ověřené Azure AD Připojení našla odpovídající ověřenou doménu v Azure AD. Všichni uživatelé této domény se můžou přihlásit pomocí svých místních přihlašovacích údajů. Není nutná žádná akce.
Neověřuje se Azure AD Připojení našla odpovídající vlastní doménu v Azure AD, ale není ověřená. Pokud doména není ověřená, přípona hlavního názvu uživatele této domény se po synchronizaci změní na výchozí příponu .onmicrosoft.com. Ověřte vlastní doménu v Azure AD.
Nepřidá se Azure AD Připojení nenašla vlastní doménu, která odpovídá příponě UPN. Přípona hlavního názvu uživatele této domény se změní na výchozí příponu .onmicrosoft.com, pokud se doména nepřidá a neověřuje v Azure. Přidejte a ověřte vlastní doménu, která odpovídá příponě hlavního názvu uživatele (UPN).

Přihlašovací stránka Azure AD obsahuje přípony UPN definované pro místní Active Directory a odpovídající vlastní doménu v Azure AD s aktuálním stavem ověření. Ve vlastní instalaci teď můžete na přihlašovací stránce Azure AD vybrat atribut hlavního názvu uživatele.

Azure AD sign-in page

Kliknutím na tlačítko aktualizovat můžete znovu načíst nejnovější stav vlastních domén z Azure AD.

Výběr atributu pro hlavní název uživatele v Azure AD

Atribut userPrincipalName je atribut, který uživatelé používají při přihlašování k Azure AD a Microsoft 365. Před synchronizací uživatelů byste měli ověřit domény (označované také jako přípony UPN), které se používají v Azure AD.

Důrazně doporučujeme zachovat výchozí atribut userPrincipalName. Pokud je tento atribut nesměrovatelný a nejde ho ověřit, je možné jako atribut, který obsahuje ID přihlášení, vybrat jiný atribut (například e-mail). Označuje se jako alternativní ID. Hodnota atributu Alternativní ID musí odpovídat standardu RFC 822. Jako řešení přihlašování můžete použít alternativní ID s jednotným přihlašováním pomocí hesla i jednotného přihlašování k federaci.

Poznámka

Použití alternativního ID není kompatibilní se všemi úlohami Microsoft 365. Další informace najdete v článku Konfigurace alternativního přihlašovacího ID.

Různé stavy vlastních domén a jejich vliv na přihlašovací prostředí Azure

Je velmi důležité pochopit vztah mezi vlastními stavy domény v adresáři Azure AD a příponami UPN, které jsou definované místně. Pojďme si projít různé možné přihlašovací prostředí Azure při nastavování synchronizace pomocí azure AD Připojení.

Pro následující informace předpokládejme, že se zabýváme příponou UPN contoso.com, která se používá v místním adresáři jako součást hlavního názvu uživatele (UPN), například user@contoso.com.

Expresní nastavení / Synchronizace hodnot hash hesel
Stav Vliv na přihlašovací prostředí Azure uživatele
Nepřidá se V tomto případě se v adresáři Azure AD nepřidá žádná vlastní doména pro contoso.com. Uživatelé, kteří mají místní hlavní název uživatele (UPN) s příponou @contoso.com , nebudou moct k přihlášení k Azure používat místní hlavní název uživatele (UPN). Místo toho budou muset použít nový hlavní název uživatele (UPN), který jim poskytuje Azure AD, přidáním přípony pro výchozí adresář Azure AD. Pokud například synchronizujete uživatele s adresářem Azure AD azurecontoso.onmicrosoft.com, místní uživatel user@contoso.com bude mít hlavní název uživatele ( UPN).user@azurecontoso.onmicrosoft.com
Neověřuje se V tomto případě máme vlastní doménu contoso.com, která je přidaná v adresáři Azure AD. Zatím se ale neověřuje. Pokud provedete synchronizaci uživatelů bez ověření domény, přiřadí se uživatelům nový hlavní název uživatele (UPN) službou Azure AD stejně jako ve scénáři Nepřidaných.
Ověřené V tomto případě máme vlastní doménu contoso.com, která je už přidaná a ověřená v Azure AD pro příponu UPN. Uživatelé budou moct po synchronizaci se službou Azure AD používat místní hlavní název uživatele, například user@contoso.compřihlásit se k Azure.
Federace služby AD FS

Federaci s výchozí doménou .onmicrosoft.com v Azure AD nebo neověřenou vlastní doménou v Azure AD nemůžete vytvořit. Pokud při spuštění průvodce Připojení Azure AD vyberete neověřenou doménu pro vytvoření federace, azure AD Připojení vás vyzve k vytvoření potřebného záznamu, ve kterém je váš DNS hostovaný pro doménu. Další informace najdete v tématu Ověření domény Azure AD vybrané pro federaci.

Pokud jste vybrali federaci možností přihlášení uživatele se službou AD FS, musíte mít vlastní doménu, abyste mohli pokračovat ve vytváření federace ve službě Azure AD. Pro naši diskuzi to znamená, že bychom měli mít vlastní doménu, contoso.com přidána do adresáře Azure AD.

Stav Vliv na přihlašovací prostředí Azure uživatele
Nepřidá se V tomto případě služba Azure AD Připojení nenašla odpovídající vlastní doménu pro příponu hlavního názvu uživatele (UPN) contoso.com v adresáři Azure AD. Pokud potřebujete, aby se uživatelé přihlásili pomocí služby AD FS s místním upN (například user@contoso.com), musíte přidat vlastní doménu contoso.com.
Neověřuje se V takovém případě vás Azure AD Připojení vyzve k zadání odpovídajících podrobností o tom, jak můžete doménu ověřit v pozdější fázi.
Ověřené V tomto případě můžete pokračovat s konfigurací bez jakékoli další akce.

Změna metody přihlašování uživatelů

Metodu přihlášení uživatele můžete změnit z federace, synchronizace hodnot hash hesel nebo předávacího ověřování pomocí úloh dostupných v Azure AD Připojení po počáteční konfiguraci azure AD Připojení pomocí průvodce. Spusťte průvodce Připojení Azure AD znovu a zobrazí se seznam úloh, které můžete provést. V seznamu úkolů vyberte Změnit přihlášení uživatele .

Change user sign-in

Na další stránce se zobrazí výzva k zadání přihlašovacích údajů pro Azure AD.

Screenshot that shows where you should type the credentials for Azure AD.

Na přihlašovací stránce uživatele vyberte požadované přihlášení uživatele.

Connect to Azure AD

Poznámka

Pokud provádíte dočasné přepnutí na synchronizaci hodnot hash hesel, zaškrtněte políčko Nepřevést uživatelské účty . Nekontroluje se, že se tato možnost převede na federovaného uživatele a může to trvat několik hodin.

Další kroky