Azure Active Directory továbbításos hitelesítés: gyakori kérdések

Ez a cikk az Azure Active Directoryval (Azure AD) kapcsolatos gyakori kérdéseket ismerteti. Továbbra is ellenőrizze, hogy van-e frissített tartalom.

Melyik módszert válasszam a Azure AD, az átmenő hitelesítés, a jelszókivonat-szinkronizálás és a Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltatásba való bejelentkezéshez?

Tekintse át ezt az útmutatót a különböző Azure AD bejelentkezési módszerek összehasonlításához, valamint a szervezet számára megfelelő bejelentkezési módszer kiválasztásához.

Az átmenő hitelesítés ingyenes funkció?

Az átmenő hitelesítés egy ingyenes funkció. A használatához nincs szükség Azure AD fizetős kiadásaira.

Működik a feltételes hozzáférés az átmenő hitelesítéssel?

Igen. Minden feltételes hozzáférési képesség, beleértve a Azure AD Multi-Factor Authenticationt is, az átmenő hitelesítéssel működik.

Az átmenő hitelesítés felhasználónévként támogatja az "alternatív azonosítót" a "userPrincipalName" helyett?

Igen, a nem UPN-érték használatával történő bejelentkezés, például egy másodlagos e-mail esetében egyaránt támogatott az átmenő hitelesítés (PTA) és a jelszókivonat-szinkronizálás (PHS). További információ az alternatív bejelentkezési azonosítóról.

A jelszókivonat-szinkronizálás tartalékként szolgál az átmenő hitelesítéshez?

Nem. Az átmenő hitelesítés nem végzi el automatikusan a feladatátvételt a jelszókivonat-szinkronizálásba. A felhasználói bejelentkezési hibák elkerülése érdekében konfigurálja az átmenő hitelesítést a magas rendelkezésre állás érdekében.

Mi történik, ha a jelszókivonat-szinkronizálásról átmenő hitelesítésre váltok?

Ha a Azure AD Connect használatával vált a bejelentkezési módszerről a jelszókivonat-szinkronizálásról az átmenő hitelesítésre, az átmenő hitelesítés lesz az elsődleges bejelentkezési módszer a felügyelt tartományok felhasználói számára. Vegye figyelembe, hogy a jelszókivonat-szinkronizálással korábban szinkronizált összes felhasználó jelszókivonat-kivonata megmarad Azure AD.

Telepíthetek Azure AD alkalmazásproxy összekötőt ugyanarra a kiszolgálóra, mint egy átmenő hitelesítési ügynök?

Igen. Az átmenő hitelesítési ügynök 1.5.193.0-s vagy újabb verziói támogatják ezt a konfigurációt.

A Azure AD Connect és az átmenő hitelesítési ügynök mely verzióira van szüksége?

A funkció működéséhez a Azure AD Connect 1.1.750.0-s vagy újabb verziójára, az átmenő hitelesítési ügynökhöz pedig az 1.5.193.0-s vagy újabb verzióra van szükség. Telepítse az összes szoftvert az Windows Server 2012 R2 vagy újabb verziójú kiszolgálókra.

Miért használja az összekötőm a régebbi verziót, és miért nem frissíti automatikusan a legújabb verzióra?

Ennek az lehet az oka, hogy a frissítő szolgáltatás nem működik megfelelően, vagy nincsenek olyan új frissítések, amelyeket a szolgáltatás telepíthet. A frissítő szolgáltatás kifogástalan állapotban van, ha fut, és nincsenek hibák rögzítve az eseménynaplóban (Alkalmazások és szolgáltatások naplói –> Microsoft –> AzureADConnect-Agent –> Frissítő –> Rendszergazda).

Csak a főverziók jelennek meg az automatikus frissítéshez. Azt javasoljuk, hogy csak akkor frissítse manuálisan az ügynököt, ha szükséges. Nem várhat például egy nagyobb kiadásra, mert ki kell javítania egy ismert problémát, vagy új funkciót szeretne használni. Az új kiadásokkal, a kiadás típusával (letöltés, automatikus frissítés), hibajavításokkal és új funkciókkal kapcsolatos további információkért lásd: Azure AD átmenő hitelesítési ügynök: Verziókiadási előzmények.

Összekötő manuális frissítése:

  • Töltse le az ügynök legújabb verzióját. (Ezt a Azure AD csatlakozás Átmenő hitelesítés területen találja a Azure Portal. A hivatkozást az átmenő hitelesítés Azure AD: Verziókiadási előzmények | Microsoft Docs.
  • A telepítő újraindítja a Microsoft Azure AD Connect Authentication Agent-szolgáltatásokat. Bizonyos esetekben szükség lehet a kiszolgáló újraindítására, ha a telepítő nem tudja lecserélni az összes fájlt. Ezért javasoljuk, hogy a frissítés megkezdése előtt zárja be az összes alkalmazást (például eseménymegtekintő).
  • Indítsa el a telepítőt. A frissítési folyamat gyors, és nem igényel hitelesítő adatokat, és az ügynök nem lesz újra regisztrálva.

Mi történik, ha a felhasználó jelszava lejárt, és átmenő hitelesítéssel próbál bejelentkezni?

Ha jelszóvisszaírót konfigurált egy adott felhasználóhoz, és ha a felhasználó átmenő hitelesítéssel jelentkezik be, módosíthatja vagy alaphelyzetbe állíthatja a jelszavát. A jelszavakat a rendszer a várt módon írja vissza helyi Active Directory.

Ha nem konfigurálta a jelszóvisszaírót egy adott felhasználóhoz, vagy ha a felhasználó nem rendelkezik érvényes Azure AD licenccel, a felhasználó nem tudja frissíteni a jelszavát a felhőben. Nem tudják frissíteni a jelszavukat, még akkor sem, ha lejárt a jelszavuk. A felhasználó ehelyett a következő üzenetet látja: "A szervezet nem engedélyezi a jelszó frissítését ezen a webhelyen. Frissítse a szervezet által ajánlott módszer szerint, vagy kérjen segítséget a rendszergazdától." A felhasználónak vagy a rendszergazdának alaphelyzetbe kell állítania a jelszavát helyi Active Directory.

A felhasználó a hitelesítő adataival (felhasználónév, jelszó) jelentkezik be Azure AD. Addig is lejár a felhasználó jelszava, de a felhasználó továbbra is hozzáférhet Azure AD erőforrásokhoz. Miért történik ez?

A jelszó lejárata nem váltja ki a hitelesítési jogkivonatok vagy cookie-k visszavonását. Amíg a jogkivonatok vagy a cookie-k nem érvényesek, a felhasználó használhatja őket. Ez a hitelesítési típustól (PTA, PHS és összevont forgatókönyvek) függetlenül érvényes.

További részletekért tekintse meg az alábbi dokumentációt: Microsoft Identitásplatform hozzáférési jogkivonatok – Microsoft Identitásplatform | Microsoft Docs

Hogyan védi az átmenő hitelesítés a találgatásos jelszótámadásokkal szemben?

Mit kommunikálnak az átmenő hitelesítési ügynökök a 80-at és a 443-at?

  • A hitelesítési ügynökök HTTPS-kéréseket intéznek a 443-as porton keresztül minden funkcióművelethez.

  • A hitelesítési ügynökök HTTP-kéréseket intéznek a 80-as porton keresztül a TLS/SSL-tanúsítványok visszavonási listáinak (CRL-ek) letöltéséhez.

    Megjegyzés

    A legutóbbi frissítések csökkentették a szolgáltatás által igényelt portok számát. Ha a Azure AD Connect vagy a hitelesítési ügynök régebbi verzióival rendelkezik, tartsa nyitva ezeket a portokat is: 5671, 8080, 9090, 9091, 9350, 9352 és 10100-10120.

Kommunikálhatnak az átmenő hitelesítési ügynökök kimenő webproxy-kiszolgálón keresztül?

Igen. Ha a webes proxy automatikus felderítése (WPAD) engedélyezve van a helyszíni környezetben, a hitelesítési ügynökök automatikusan megkísérlik megkeresni és használni egy webproxy-kiszolgálót a hálózaton.

Ha nincs WPAD a környezetben, proxyadatokat adhat hozzá (az alább látható módon), hogy egy átmenő hitelesítési ügynök kommunikálhasson Azure AD:

  • Konfigurálja a proxyadatokat az Internet Explorerben, mielőtt telepíti az átmenő hitelesítési ügynököt a kiszolgálón. Ez lehetővé teszi a hitelesítési ügynök telepítésének befejezését, de továbbra is Inaktívként jelenik meg a Rendszergazda portálon.
  • A kiszolgálón lépjen a "C:\Program Files\Microsoft Azure AD Connect Authentication Agent" területre.
  • Szerkessze az "AzureADConnectAuthenticationAgentService" konfigurációs fájlt, és adja hozzá a következő sorokat (cserélje le a "http://contosoproxy.com:8080" a tényleges proxycímmel:
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Telepíthetek két vagy több átmenő hitelesítési ügynököt ugyanarra a kiszolgálóra?

Nem, csak egy átmenő hitelesítési ügynököt telepíthet egyetlen kiszolgálóra. Ha magas rendelkezésre álláshoz szeretné konfigurálni az átmenő hitelesítést, kövesse az itt található utasításokat.

Manuálisan kell megújítani az átmenő hitelesítési ügynökök által használt tanúsítványokat?

Az egyes átmenő hitelesítési ügynökök és Azure AD közötti kommunikációt tanúsítványalapú hitelesítés védi. Ezeket a tanúsítványokat a rendszer néhány havonta automatikusan megújítja Azure AD. Nem szükséges manuálisan megújítani ezeket a tanúsítványokat. Szükség szerint törölheti a régebbi lejárt tanúsítványokat.

Hogyan távolíthatok el egy továbbításos hitelesítési ügynököt?

Amíg az átmenő hitelesítési ügynök fut, aktív marad, és folyamatosan kezeli a felhasználói bejelentkezési kéréseket. Ha el szeretne távolítani egy hitelesítési ügynököt, lépjen a Vezérlőpult – Programok –>> Programok és szolgáltatások területre, és távolítsa el a Microsoft Azure AD Connect Authentication Agent és a Microsoft Azure AD Connect Agent Updater programokat.

Ha az előző lépés elvégzése után ellenőrzi az Átmenő hitelesítés panelt az Azure Active Directory felügyeleti központban , a hitelesítési ügynök inaktívként jelenik meg. Ez várható. A hitelesítési ügynök 10 nap után automatikusan törlődik a listáról.

Már az AD FS-t használom az Azure AD-be való bejelentkezéshez. Hogyan válthatok továbbításos hitelesítésre?

Ha az AD FS-ről (vagy más összevonási technológiákról) átmenő hitelesítésre migrál, javasoljuk, hogy kövesse az itt közzétett részletes üzembe helyezési útmutatót.

Használhatok továbbításos hitelesítést többerdős Active Directory-környezetben?

Igen. A többerdős környezetek akkor támogatottak, ha az Active Directory-erdők között erdőmegbízhatóságok (kétirányú) vannak, és ha a név utótag-útválasztása megfelelően van konfigurálva.

Az átmenő hitelesítés több hitelesítési ügynök terheléselosztását is biztosítja?

Nem, több átmenő hitelesítési ügynök telepítése csak a magas rendelkezésre állást biztosítja. Nem biztosít determinisztikus terheléselosztást a hitelesítési ügynökök között. Bármely hitelesítési ügynök (véletlenszerűen) feldolgozhat egy adott felhasználói bejelentkezési kérést.

Hány továbbításos hitelesítési ügynököt kell telepítenem?

Több átmenő hitelesítési ügynök telepítése biztosítja a magas rendelkezésre állást. Ez azonban nem biztosít determinisztikus terheléselosztást a hitelesítési ügynökök között.

Vegye figyelembe a bejelentkezési kérelmek várható csúcs- és átlagos terhelését a bérlőn. Teljesítménytesztként egyetlen hitelesítési ügynök másodpercenként 300–400 hitelesítést képes kezelni egy szabványos, 4 magos CPU- és 16 GB RAM-kiszolgálón.

A hálózati forgalom becsléséhez használja az alábbi méretezési útmutatót:

  • Minden kérelem hasznos adatmérete (0,5K + 1K * num_of_agents) bájt; azaz a Azure AD és a hitelesítési ügynök közötti adatokat. Itt a "num_of_agents" a bérlőn regisztrált hitelesítési ügynökök számát jelzi.
  • Minden válasz hasznos adatmérete 1K bájt; azaz a hitelesítési ügynöktől a Azure AD.

A legtöbb ügyfél esetében összesen két vagy három hitelesítési ügynök elegendő a magas rendelkezésre álláshoz és a kapacitáshoz. A bejelentkezési késés javítása érdekében telepítse a tartományvezérlőkhöz közel található hitelesítési ügynököket.

Megjegyzés

Bérlőnként 40 hitelesítési ügynök rendszerkorlátja van.

Miért van szükségem csak felhőalapú globális rendszergazdai fiókra az átmenő hitelesítés engedélyezéséhez?

Javasoljuk, hogy csak felhőalapú globális rendszergazdai fiókkal engedélyezze vagy tiltsa le az átmenő hitelesítést. Tudnivalók a csak felhőalapú globális rendszergazdai fiók hozzáadásáról. Így gondoskodhat arról, hogy ne zárják ki a bérlőből.

Hogyan tilthatom le a továbbításos hitelesítést?

Futtassa újra a Azure AD Csatlakozás varázslót, és módosítsa a felhasználói bejelentkezési módszert átmenő hitelesítésről másik metódusra. Ez a módosítás letiltja az átmenő hitelesítést a bérlőn, és eltávolítja a hitelesítési ügynököt a kiszolgálóról. Manuálisan kell eltávolítania a hitelesítési ügynököket a többi kiszolgálóról.

Mi történik, ha eltávolítok egy átmenő hitelesítési ügynököt?

Ha eltávolít egy átmenő hitelesítési ügynököt egy kiszolgálóról, az azt eredményezi, hogy a kiszolgáló nem fogadja el a bejelentkezési kéréseket. Az átmenő hitelesítési ügynök eltávolítása előtt győződjön meg arról, hogy fut egy másik hitelesítési ügynök, hogy a felhasználói bejelentkezési képesség megmaradjon a bérlőn.

Van egy régebbi bérlőm, amely eredetileg az AD FS használatával lett beállítva. Nemrég migráltunk a PTA-ba, de most nem jelennek meg az UPN-módosítások szinkronizálása Azure AD. Miért nem szinkronizálódnak az egyszerű felhasználónevek módosításai?

A következő körülmények között előfordulhat, hogy a helyszíni UPN-módosítások nem szinkronizálódnak, ha:

  • A Azure AD-bérlő 2015. június 15. előtt lett létrehozva.
  • Kezdetben összevonták a Azure AD-bérlővel az AD FS használatával a hitelesítéshez.
  • Átváltott arra, hogy a felügyelt felhasználók hitelesítésként használják a PTA-t.

Ennek az az oka, hogy a 2015. június 15. előtt létrehozott bérlők alapértelmezett viselkedése az UPN-módosítások blokkolása volt. Ha meg kell szüntetnie az UPN-módosítások blokkolását, futtassa a következő PowerShell-parancsmagot:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $True

A 2015. június 15. után létrehozott bérlők alapértelmezés szerint szinkronizálják az egyszerű felhasználónevek módosításait.

Hogyan rögzítse a PTA-ügynök azonosítóját Azure AD bejelentkezési naplókból és a PTA-kiszolgálóról annak ellenőrzéséhez, hogy melyik PTA-kiszolgálót használták a bejelentkezési eseményhez?

Annak ellenőrzése, hogy melyik helyi kiszolgálót vagy hitelesítési ügynököt használták egy adott bejelentkezési eseményhez:

  1. A Azure Portal lépjen a bejelentkezési eseményre.

  2. Válassza a Hitelesítési adatok lehetőséget. A Hitelesítési módszer részletei oszlopban az ügynökazonosító részletei "Átmenő hitelesítés; PTA-ügynökazonosító: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX".

  3. A helyi kiszolgálón telepített ügynök ügynökazonosítójának részleteinek lekéréséhez jelentkezzen be a helyi kiszolgálóra, és futtassa a következő parancsmagot:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    A visszaadott GUID érték az adott kiszolgálón telepített hitelesítési ügynök ügynökazonosítója. Ha több ügynöke van a környezetben, ezt a parancsmagot minden ügynökkiszolgálón futtathatja, és rögzítheti az ügynökazonosító részleteit.

  4. A helyi kiszolgálótól és a Azure AD bejelentkezési naplókból kapott ügynökazonosító korrelálása annak ellenőrzéséhez, hogy melyik ügynök vagy kiszolgáló nyugtázta a bejelentkezési kérést.

Következő lépések