Microsoft Entra áthaladó hitelesítés: Gyakran ismételt kérdések

Tekintse át ezt az útmutatót a Microsoft Entra különböző bejelentkezési módszereinek összehasonlításához, valamint a megfelelő bejelentkezési módszer kiválasztásához a szervezet számára.

Az átmenő hitelesítés ingyenes szolgáltatás. A használatához nincs szükség a Microsoft Entra ID fizetős kiadásaira.

Igen. Minden feltételes hozzáférési képesség, beleértve a Többtényezős Microsoft Entra hitelesítést is, az átmenő hitelesítéssel működik.

Igen, az átmenő hitelesítés (PTA) és a jelszókivonat-szinkronizálás (PHS) egyaránt támogatja a bejelentkezést nem UPN-érték, például másodlagos e-mail használatával. További információ az alternatív bejelentkezési azonosítóról.

Szám Az átmenő hitelesítés nem végzi el automatikusan a feladatátvételt a jelszókivonat-szinkronizálásra. A felhasználói bejelentkezési hibák elkerülése érdekében konfigurálnia kell az átmenő hitelesítést a magas rendelkezésre állás érdekében.

Ha a Microsoft Entra Csatlakozás használatával vált a bejelentkezési módszerről a jelszókivonat-szinkronizálásról az átmenő hitelesítésre, az átmenő hitelesítés lesz az elsődleges bejelentkezési módszer a felügyelt tartományok felhasználói számára. A jelszókivonat-szinkronizálással korábban szinkronizált felhasználói jelszókivonatok a Microsoft Entra-azonosítón maradnak tárolva.

Igen. Az átmenő hitelesítési ügynök 1.5.193.0-s vagy újabb verziói támogatják ezt a konfigurációt.

A funkció működéséhez a Microsoft Entra Csatlakozás 1.1.750.0-s vagy újabb verziójára, az átmenő hitelesítési ügynökhöz pedig az 1.5.193.0-s vagy újabb verzióra van szükség. Telepítse az összes szoftvert a Windows Server 2012 R2 vagy újabb rendszerű kiszolgálókra.

Ennek oka lehet, hogy a frissítő szolgáltatás nem működik megfelelően, vagy ha a szolgáltatás nem tud új frissítéseket telepíteni. A frissítő szolgáltatás kifogástalan állapotban van, ha fut, és nincsenek az eseménynaplóban rögzített hibák (Alkalmazások és szolgáltatások naplói –> Microsoft –> AzureAD Csatlakozás-Agent –> Updater –> Rendszergazda).

Csak a főverziók jelennek meg az automatikus frissítéshez. Azt javasoljuk, hogy csak akkor frissítse manuálisan az ügynököt, ha szükséges. Nem várhat például egy nagyobb kiadásra, mert ki kell javítania egy ismert problémát, vagy új funkciót kell használnia. Az új kiadásokról, a kiadás típusáról (letöltés, automatikus frissítés), a hibajavításokról és az új funkciókról további információt a Microsoft Entra átmenő hitelesítési ügynöke, a verzió kiadási előzményei című témakörben talál.

Összekötő manuális frissítése:

• Töltse le az ügynök legújabb verzióját. (Ezt a Microsoft Entra Csatlakozás Átmenő hitelesítés alatt találja a Microsoft Entra felügyeleti központban. A Hivatkozás a Microsoft Entra átmenő hitelesítésénél is megtalálható: Verziókiadási előzmények.
• A telepítő újraindítja a Microsoft Entra Csatlakozás Hitelesítési ügynök szolgáltatásait. Bizonyos esetekben a kiszolgáló újraindítására van szükség, ha a telepítő nem tudja lecserélni az összes fájlt. Ezért javasoljuk, hogy zárja be az összes alkalmazást, amely Eseménynapló a frissítés megkezdése előtt.
• Indítsa el a telepítőt. A frissítési folyamat gyors, és nem igényel hitelesítő adatokat, és az ügynök nem lesz újra regisztrálva.

Ha jelszóvisszaírást konfigurált egy adott felhasználóhoz, és ha a felhasználó átmenő hitelesítéssel jelentkezik be, módosíthatja vagy alaphelyzetbe állíthatja a jelszavát. A jelszavakat a rendszer a várt módon írja vissza helyi Active Directory.

Ha nem konfigurálta a jelszóvisszaírást egy adott felhasználóhoz, vagy ha a felhasználóhoz nincs hozzárendelve érvényes Microsoft Entra-azonosító licenc, a felhasználó nem tudja frissíteni a jelszót a felhőben. Nem tudják frissíteni a jelszavukat, még akkor sem, ha lejárt a jelszójuk. A felhasználó ehelyett a következő üzenetet látja: "A szervezet nem engedélyezi a jelszó frissítését ezen a webhelyen. Frissítse a szervezet által javasolt módszer szerint, vagy kérje meg a rendszergazdát, hogy segítségre van-e szüksége." A felhasználónak vagy a rendszergazdának alaphelyzetbe kell állítania a jelszavát helyi Active Directory.

A jelszó lejárata nem váltja ki a hitelesítési jogkivonatok vagy a cookie-k visszavonását. Amíg a jogkivonatok vagy a cookie-k nem érvényesek, a felhasználó használhatja őket. Ez a hitelesítési típustól (PTA, PHS és összevont forgatókönyvek) függetlenül érvényes.

További részletekért tekintse meg az alábbi dokumentációt:

Microsoft Identitásplatform hozzáférési jogkivonatok – Microsoft Identitásplatform | Microsoft Docs

Információk az intelligens zárolásról.

• A hitelesítési ügynökök HTTPS-kéréseket hajtanak végre a 443-as porton az összes funkcióművelethez.

• A hitelesítési ügynökök HTTP-kéréseket intéznek a 80-as porton keresztül a TLS/SSL-tanúsítványok visszavonási listáinak (CRL-ek) letöltéséhez.

  Feljegyzés

  A legutóbbi frissítések csökkentették a szolgáltatás által igényelt portok számát. Ha a Microsoft Entra Csatlakozás vagy a hitelesítési ügynök régebbi verzióival rendelkezik, tartsa nyitva ezeket a portokat is: 5671, 8080, 9090, 9091, 9350, 9352 és 10100-10120.

Igen. Ha a webes proxy automatikus felderítése (WPAD) engedélyezve van a helyszíni környezetben, a hitelesítési ügynökök automatikusan megkísérlik megkeresni és használni egy webproxy-kiszolgálót a hálózaton. A kimenő proxykiszolgáló használatáról további információt a meglévő helyszíni proxykiszolgálók használata című témakörben talál.

Ha nincs WPAD a környezetében, proxyadatokat adhat hozzá (az alább látható módon), hogy egy átmenő hitelesítési ügynök kommunikálhasson a Microsoft Entra-azonosítóval:

• Konfigurálja a proxyadatokat az Internet Explorerben, mielőtt telepíti az átmenő hitelesítési ügynököt a kiszolgálón. Ez lehetővé teszi a hitelesítési ügynök telepítésének befejezését, de továbbra is inaktívként jelenik meg a Rendszergazda portálon.
• A kiszolgálón lépjen a "C:\Program Files\Microsoft Azure AD Csatlakozás Authentication Agent" (C:\Program Files\Microsoft Azure AD Csatlakozás Authentication Agent) elemre.
• Szerkessze az "AzureAD Csatlakozás AuthenticationAgentService" konfigurációs fájlt, és adja hozzá a következő sorokat (cserélje le a "http://contosoproxy.com:8080" a tényleges proxycímmel):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Nem, csak egy átmenő hitelesítési ügynököt telepíthet egyetlen kiszolgálón. Ha magas rendelkezésre állású átmenő hitelesítést szeretne konfigurálni, kövesse az itt található utasításokat.

Az egyes átmenő hitelesítési ügynökök és a Microsoft Entra-azonosítók közötti kommunikáció tanúsítványalapú hitelesítéssel van biztosítva. Ezeket a tanúsítványokat a Microsoft Entra ID néhány havonta automatikusan megújítja. Nem szükséges manuálisan megújítani ezeket a tanúsítványokat. Szükség szerint törölheti a régebbi lejárt tanúsítványokat.

Amíg az átmenő hitelesítési ügynök fut, aktív marad, és folyamatosan kezeli a felhasználói bejelentkezési kérelmeket. Ha el szeretne távolítani egy hitelesítési ügynököt, lépjen a Vezérlőpult – Programok –>> Programok és szolgáltatások elemre, és távolítsa el a Microsoft Entra Csatlakozás hitelesítési ügynököt és a Microsoft Entra Csatlakozás ügynök frissítőprogramokat.

Ha a Microsoft Entra felügyeleti központban az Átmenő hitelesítés panelt legalább hibrid identitásként Rendszergazda istratorként ellenőrzi. Az előző lépés elvégzése után a hitelesítési ügynök inaktívként jelenik meg. Ez várható. A hitelesítési ügynök 10 nap után automatikusan törlődik a listáról.

Ha az AD FS-ről (vagy más összevonási technológiákról) átmenő hitelesítésre migrál, javasoljuk, hogy kövesse a rövid útmutatót.

Igen. A többerdős környezetek akkor támogatottak, ha erdőmegbízhatóságok (kétirányú) vannak az Active Directory-erdők között, és ha a név utótag-útválasztás helyesen van konfigurálva.

Nem, több átmenő hitelesítési ügynök telepítése csak magas rendelkezésre állást biztosít. Nem biztosít determinisztikus terheléselosztást a hitelesítési ügynökök között. Bármely hitelesítési ügynök (véletlenszerűen) feldolgozhat egy adott felhasználói bejelentkezési kérést.

Több átmenő hitelesítési ügynök telepítése biztosítja a magas rendelkezésre állást. Ez azonban nem biztosít determinisztikus terheléselosztást a hitelesítési ügynökök között.

Vegye figyelembe a bejelentkezési kérelmek várható maximális és átlagos terhelését a bérlőn. Teljesítménytesztként egyetlen hitelesítési ügynök másodpercenként 300–400 hitelesítést képes kezelni egy szabványos 4 magos CPU-n, 16 GB RAM-kiszolgálón.

A hálózati forgalom becsléséhez használja az alábbi méretezési útmutatót:

• Minden kérelem hasznos adatmérete (0,5K + 1K * num_of_agents) bájt; vagyis a Microsoft Entra-azonosítótól a hitelesítési ügynökig. Itt a "num_of_agents" a bérlőn regisztrált hitelesítési ügynökök számát jelzi.
• Minden válasz hasznos adatmérete 1K bájt; vagyis a hitelesítési ügynöktől a Microsoft Entra-azonosítóig.

A legtöbb ügyfél esetében összesen két vagy három hitelesítési ügynök elegendő a magas rendelkezésre álláshoz és a kapacitáshoz. Éles környezetekben azonban azt javasoljuk, hogy legalább 3 hitelesítési ügynökkel rendelkezzen, amelyek a bérlőn futnak. A bejelentkezési késés javítása érdekében telepítse a tartományvezérlőkhöz közeli hitelesítési ügynököket.

Javasoljuk, hogy csak felhőalapú globális Rendszergazda istrator-fiókkal engedélyezze vagy tiltsa le az átmenő hitelesítést. Megtudhatja, hogyan adhat hozzá csak felhőalapú globális Rendszergazda istrator-fiókot. Így gondoskodhat arról, hogy ne zárják ki a bérlőből.

Futtassa újra a Microsoft Entra Csatlakozás varázslót, és módosítsa a felhasználói bejelentkezési módszert átmenő hitelesítésről másik metódusra. Ez a módosítás letiltja az átmenő hitelesítést a bérlőn, és eltávolítja a hitelesítési ügynököt a kiszolgálóról. Manuálisan kell eltávolítania a hitelesítési ügynököket a többi kiszolgálóról.

Ha eltávolít egy átmenő hitelesítési ügynököt egy kiszolgálóról, az azt eredményezi, hogy a kiszolgáló nem fogadja el a bejelentkezési kérelmeket. Az átmenő hitelesítési ügynök eltávolítása előtt győződjön meg arról, hogy fut egy másik hitelesítési ügynök, hogy a felhasználói bejelentkezési képesség megmaradjon a bérlőn.

A következő körülmények között előfordulhat, hogy a helyszíni UPN-módosítások nem szinkronizálódnak, ha:

• A Microsoft Entra-bérlő 2015. június 15-e előtt lett létrehozva.
• Kezdetben összevonták a Microsoft Entra-bérlővel az AD FS használatával a hitelesítéshez.
• Átváltott arra, hogy a felügyelt felhasználók hitelesítésként használják a PTA-t.

Ennek az az oka, hogy a 2015. június 15. előtt létrehozott bérlők alapértelmezett viselkedése az UPN-módosítások blokkolása volt. Ha meg kell szüntetnie az UPN-módosítások blokkolását, a következő PowerShell-parancsmagot kell futtatnia. Kérje le az azonosítót a Get-MgDirectoryOnPremiseSynchronization parancsmaggal.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

A 2015. június 15. után létrehozott bérlők alapértelmezés szerint szinkronizálják az egyszerű felhasználónevek módosításait.

Annak ellenőrzése, hogy melyik helyi kiszolgálót vagy hitelesítési ügynököt használták egy adott bejelentkezési eseményhez:

1. A Microsoft Entra Felügyeleti központban nyissa meg a bejelentkezési eseményt.

2. Válassza a Hitelesítés részletei lehetőséget. A Hitelesítési módszer részletei oszlopban az ügynökazonosító adatai az "Átmenő hitelesítés; PTA-ügynökazonosító: XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. A helyi kiszolgálón telepített ügynök azonosítójának adatainak lekéréséhez jelentkezzen be a helyi kiszolgálóra, és futtassa a következő parancsmagot:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   A visszaadott GUID-érték az adott kiszolgálón telepített hitelesítési ügynök ügynökazonosítója. Ha a környezetében több ügynök van, akkor ezt a parancsmagot minden ügynökkiszolgálón futtathatja, és rögzítheti az ügynökazonosító részleteit.

4. A helyi kiszolgálóról és a Microsoft Entra bejelentkezési naplóiból kapott ügynökazonosítót korrelálja annak ellenőrzéséhez, hogy melyik ügynök vagy kiszolgáló nyugtázta a bejelentkezési kérelmet.

Következő lépések

• Jelenlegi korlátozások: Ismerje meg a támogatott és a nem támogatott forgatókönyveket.
• Rövid útmutató: Ismerkedés a Microsoft Entra átmenő hitelesítésével.
• Alkalmazások migrálása a Microsoft Entra-azonosítóba: Erőforrások az alkalmazáshozzáférés és a hitelesítés Microsoft Entra-azonosítóba való migrálásához.
• Intelligens zárolás: Megtudhatja, hogyan konfigurálhatja az intelligens zárolási képességet a bérlőn a felhasználói fiókok védelme érdekében.
• Technikai mélybe merülés: Az átmenő hitelesítés funkció működésének ismertetése.
• Hibaelhárítás: Megtudhatja, hogyan háríthatja el az átmenő hitelesítés funkcióval kapcsolatos gyakori problémákat.
• Biztonsági részletes elemzés: Részletes technikai információk az átmenő hitelesítés funkcióról.
• Microsoft Entra hibrid illesztés: Konfigurálja a Microsoft Entra hibrid csatlakoztatási képességét a bérlőn az egyszeri bejelentkezéshez a felhőben és a helyszíni erőforrásokban.
• Microsoft Entra közvetlen egyszeri bejelentkezés: További információ erről a kiegészítő funkcióról.
• UserVoice: A Microsoft Entra fórum használatával küldjön új funkciókéréseket.