Microsoft Entra pass-through authentication: Quickstart

  • Cikk

A Microsoft Entra átmenő hitelesítésének üzembe helyezése

A Microsoft Entra átmenő hitelesítése lehetővé teszi a felhasználók számára, hogy ugyanazokkal a jelszavakkal jelentkezzenek be a helyszíni és a felhőalapú alkalmazásokba is. Az átmenő hitelesítés úgy jelentkezik be, hogy közvetlenül a helyi Active Directory érvényesíti a jelszavait.

Fontos

Ha az AD FS-ről (vagy más összevonási technológiákról) átmenő hitelesítésre migrál, tekintse meg az alkalmazások Microsoft Entra-azonosítóba való migrálásához szükséges erőforrásokat.

Megjegyzés:

Ha a Pass Through Authenticationt az Azure Government-felhővel helyezi üzembe, tekintse meg az Azure Government hibrid identitással kapcsolatos szempontjait.

Kövesse az alábbi utasításokat az átmenő hitelesítés bérlőn való üzembe helyezéséhez:

1. lépés: Az előfeltételek ellenőrzése

Győződjön meg arról, hogy a következő előfeltételek teljesülnek.

Fontos

Biztonsági szempontból a rendszergazdáknak úgy kell kezelnie a PTA-ügynököt futtató kiszolgálót, mintha tartományvezérlő lenne. A PTA-ügynökkiszolgálókat a támadás elleni tartományvezérlők biztonságossá tételében leírtak szerint kell megkötni

A Microsoft Entra Felügyeleti központban

  1. Hozzon létre egy kizárólag felhőalapú hibrid identitást Rendszergazda istrator-fiókot vagy hibrid identitás-rendszergazdai fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan adhat hozzá csak felhőalapú hibrid identitást Rendszergazda istrator-fiókhoz. A lépés végrehajtása kritikus fontosságú annak biztosításához, hogy ne zárják ki a bérlőből.
  2. Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.

A helyszíni környezetben

  1. Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató kiszolgálót a Microsoft Entra Csatlakozás futtatásához. Ha még nincs engedélyezve, engedélyezze a TLS 1.2-t a kiszolgálón. Adja hozzá a kiszolgálót ugyanahhoz az Active Directory-erdőhöz, mint azok a felhasználók, akiknek a jelszavát ellenőriznie kell. Meg kell jegyezni, hogy az átmenő hitelesítési ügynök telepítése a Windows Server Core-verziókon nem támogatott.

  2. Telepítse a Microsoft Entra Csatlakozás legújabb verzióját az előző lépésben azonosított kiszolgálóra. Ha már fut a Microsoft Entra Csatlakozás, győződjön meg arról, hogy a verzió támogatott.

    Megjegyzés:

    A Microsoft Entra Csatlakozás 1.1.557.0-s, 1.1.558.0-s, 1.1.561.0-s és 1.1.614.0-s verziói a jelszókivonat-szinkronizálással kapcsolatos problémákat tapasztalnak. Ha nem kíván jelszókivonat-szinkronizálást használni az átmenő hitelesítéssel együtt, olvassa el a Microsoft Entra Csatlakozás kibocsátási megjegyzéseit.

  3. Azonosítsa egy vagy több további kiszolgálót (Windows Server 2016 vagy újabb verzió, TLS 1.2-vel engedélyezve), ahol önálló hitelesítési ügynököket futtathat. Ezekre a további kiszolgálókra szükség van a bejelentkezésre irányuló kérések magas rendelkezésre állásának biztosításához. Adja hozzá a kiszolgálókat ugyanahhoz az Active Directory-erdőhöz, mint azok a felhasználók, akiknek a jelszavát ellenőriznie kell.

    Fontos

    Éles környezetekben azt javasoljuk, hogy legalább 3 hitelesítési ügynökkel rendelkezzen, amelyek a bérlőn futnak. Bérlőnként 40 hitelesítési ügynök van rendszerkorlátozással. Ajánlott eljárásként a hitelesítési ügynököket futtató összes kiszolgálót 0. rétegbeli rendszerként kezelje (lásd a hivatkozást).

  4. Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, konfigurálja a következő elemeket:

    • Győződjön meg arról, hogy a hitelesítési ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz a következő portokon keresztül:

      Portszám Használat célja
      80 Letölti a visszavont tanúsítványok listáját (CRLs) a TLS/SSL-tanúsítvány érvényesítése közben
      443 Kezeli a szolgáltatással folytatott összes kimenő kommunikációt
      8080 (nem kötelező) A hitelesítési ügynökök tíz percenként jelentik az állapotukat a 8080-es porton keresztül, ha a 443-as port nem érhető el. Ez az állapot a Microsoft Entra felügyeleti központban jelenik meg. A 8080-as port nem használható a felhasználói bejelentkezésekhez.

      If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Ha a tűzfal vagy a proxy lehetővé teszi DNS-bejegyzések hozzáadását egy engedélyezési listához, adjon hozzá kapcsolatokat a *.msappproxy.net és a *.servicebus.windows.net. Ha nem, engedélyezze a hozzáférést az Azure adatközpont hetente frissített IP-tartományaihoz.

    • Kerülje az Azure Passthrough Agent és az Azure Endpoint közötti kimenő TLS-kommunikáció beágyazott ellenőrzésének és leállításának minden formáját.

    • Ha kimenő HTTP-proxyval rendelkezik, győződjön meg arról, hogy ez az URL-cím (autologon.microsoftazuread-sso.com) szerepel az engedélyezett listában. Ezt az URL-címet kifejezetten meg kell adnia, mivel lehetséges, hogy a helyettesítő karakterek nem fogadhatók el.

    • A hitelesítési ügynököknek hozzáférésre van szükségük a kezdeti regisztrációhoz login.windows.net és login.microsoftonline.com. Open your firewall for those URLs as well.

    • A tanúsítványérvényesítéshez oldja fel a következő URL-címek letiltását: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 és ocsp.msocsp.com:80. Mivel ezeket az URL-címeket más Microsoft-termékekkel való tanúsítványérvényesítéshez használják, előfordulhat, hogy már feloldotta ezeket az URL-címeket.

Az Azure Government-felhő előfeltétele

Mielőtt engedélyezi az átmenő hitelesítést a Microsoft Entra Csatlakozás a 2. lépéssel, töltse le a PTA-ügynök legújabb kiadását a Microsoft Entra felügyeleti központból. Győződjön meg arról, hogy az ügynök 1.5.1742.0-s vagy újabb verziójú. Az ügynök ellenőrzéséhez tekintse meg a hitelesítési ügynökök frissítését

Az ügynök legújabb kiadásának letöltése után kövesse az alábbi utasításokat az átmenő hitelesítés Microsoft Entra Csatlakozás keresztüli konfigurálásához.

2. lépés: A funkció engedélyezése

Az átmenő hitelesítés engedélyezése a Microsoft Entra Csatlakozás keresztül.

Fontos

Engedélyezheti az átmenő hitelesítést a Microsoft Entra Csatlakozás elsődleges vagy átmeneti kiszolgálón. Erősen ajánlott engedélyezni az elsődleges kiszolgálóról. Ha a jövőben beállít egy Microsoft Entra Csatlakozás átmeneti kiszolgálót, továbbra is az átmenő hitelesítést kell választania bejelentkezési lehetőségként; egy másik lehetőség választásával letilthatja az átmenő hitelesítést a bérlőn, és felül kell bírálnia a beállítást az elsődleges kiszolgálón.

Ha először telepíti a Microsoft Entra Csatlakozás, válassza ki az egyéni telepítési útvonalat. A Felhasználói bejelentkezési lapon válassza az Átmenő hitelesítés lehetőséget bejelentkezési módszerként. A sikeres befejezés után egy átmenő hitelesítési ügynök van telepítve ugyanazon a kiszolgálón, mint a Microsoft Entra Csatlakozás. Emellett az átmenő hitelesítés funkció engedélyezve van a bérlőn.

Microsoft Entra Connect: User sign-in

Ha már telepítette a Microsoft Entra Csatlakozás az expressz telepítéssel vagy az egyéni telepítési útvonallal, válassza a Felhasználói bejelentkezési feladat módosítása a Microsoft Entra Csatlakozás, majd a Tovább lehetőséget. Ezután válassza az átmenő hitelesítést bejelentkezési módszerként. A sikeres befejezés után a rendszer egy átmenő hitelesítési ügynököt telepít a Microsoft Entra Csatlakozás kiszolgálóra, és a szolgáltatás engedélyezve van a bérlőn.

Microsoft Entra Connect: Change user sign-in

Fontos

Az átmenő hitelesítés bérlőszintű szolgáltatás. A bekapcsolása hatással van a felhasználók bejelentkezésére a bérlő összes felügyelt tartományában. Ha Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltatásról átmenő hitelesítésre vált, legalább 12 órát kell várnia az AD FS-infrastruktúra leállítása előtt. Ez a várakozási idő annak biztosítása, hogy a felhasználók továbbra is bejelentkezhessenek Exchange ActiveSync protokoll az átmenet során. Az AD FS-ről az átmenő hitelesítésre való migrálással kapcsolatos további segítségért tekintse meg az itt közzétett üzembehelyezési terveket.

3. lépés: A funkció tesztelése

Kövesse az alábbi utasításokat annak ellenőrzéséhez, hogy helyesen engedélyezte-e az átmenő hitelesítést:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba a bérlő hibrid identitás Rendszergazda istrator hitelesítő adataival.

  2. Select Microsoft Entra ID.

  3. Válassza a Microsoft Entra Csatlakozás lehetőséget.

  4. Ellenőrizze, hogy az átmenő hitelesítési funkció engedélyezve van-e.

  5. Válassza az Átmenő hitelesítés lehetőséget. Az átmenő hitelesítés panel felsorolja azokat a kiszolgálókat, amelyeken a hitelesítési ügynökök telepítve vannak.

    Screenhot shows Microsoft Entra admin center: Microsoft Entra Connect pane.

    Screenshot shows Microsoft Entra admin center: Pass-through Authentication pane.

Ebben a szakaszban a bérlő összes felügyelt tartományának felhasználói átmenő hitelesítéssel jelentkezhetnek be. Az összevont tartományok felhasználói azonban továbbra is bejelentkeznek az AD FS vagy más, korábban konfigurált összevonási szolgáltató használatával. Ha egy tartományt összevontról felügyeltre konvertál, a tartomány összes felhasználója automatikusan elkezd bejelentkezni az átmenő hitelesítés használatával. Az átmenő hitelesítés funkció nem érinti a csak felhőalapú felhasználókat.

4. lépés: Magas rendelkezésre állás biztosítása

Ha éles környezetben szeretné üzembe helyezni az átmenő hitelesítést, további különálló hitelesítési ügynököket kell telepítenie. Telepítse ezeket a hitelesítési ügynök(ek)et a Microsoft Entra Csatlakozás futtató kiszolgálótól eltérő kiszolgáló(ok)ra. Ez a beállítás magas rendelkezésre állást biztosít a felhasználói bejelentkezési kérelmekhez.

Fontos

Éles környezetekben azt javasoljuk, hogy legalább 3 hitelesítési ügynökkel rendelkezzen, amelyek a bérlőn futnak. Bérlőnként 40 hitelesítési ügynök van rendszerkorlátozással. Ajánlott eljárásként a hitelesítési ügynököket futtató összes kiszolgálót 0. rétegbeli rendszerként kezelje (lásd a hivatkozást).

Több átmenő hitelesítési ügynök telepítése biztosítja a magas rendelkezésre állást, de nem determinisztikus terheléselosztást a hitelesítési ügynökök között. Annak megállapításához, hogy hány hitelesítési ügynökre van szüksége a bérlőhöz, vegye figyelembe a bejelentkezési kérelmek várható maximális és átlagos terhelését a bérlőn. Teljesítménytesztként egyetlen hitelesítési ügynök másodpercenként 300–400 hitelesítést képes kezelni egy szabványos 4 magos CPU-n, 16 GB RAM-kiszolgálón.

A hálózati forgalom becsléséhez használja az alábbi méretezési útmutatót:

  • Minden kérelem hasznos adatmérete (0,5K + 1K * num_of_agents) bájt, azaz a Microsoft Entra-azonosító és a hitelesítési ügynök adatai. Itt a "num_of_agents" a bérlőn regisztrált hitelesítési ügynökök számát jelzi.
  • Minden válasz hasznos adatmérete 1K bájt, azaz a hitelesítési ügynöktől a Microsoft Entra-azonosítóig.

A legtöbb ügyfél esetében összesen három hitelesítési ügynök elegendő a magas rendelkezésre álláshoz és a kapacitáshoz. A bejelentkezési késés javítása érdekében telepítse a tartományvezérlőkhöz közeli hitelesítési ügynököket.

Első lépésként kövesse az alábbi utasításokat a hitelesítési ügynök szoftverének letöltéséhez:

  1. A hitelesítési ügynök legújabb verziójának letöltéséhez (1.5.193.0-s vagy újabb verzió) jelentkezzen be a Microsoft Entra felügyeleti központba a bérlő hibrid identitásának Rendszergazda istrator hitelesítő adataival.

  2. Select Microsoft Entra ID.

  3. Válassza a Microsoft Entra Csatlakozás lehetőséget, válassza az Átmenő hitelesítés lehetőséget, majd az Ügynök letöltése lehetőséget.

  4. Válassza a Feltételek elfogadása > letöltés gombot.

    Screenshot shows Microsoft Entra admin center: Download Authentication Agent button.

Megjegyzés:

A hitelesítési ügynök szoftverét közvetlenül is letöltheti. A telepítés előtt tekintse át és fogadja el a hitelesítési ügynök szolgáltatásifeltételeit.

Az önálló hitelesítési ügynök üzembe helyezésének két módja van:

Először is interaktív módon teheti meg, ha csak futtatja a letöltött hitelesítési ügynök végrehajtható, és megadja a bérlő globális rendszergazdai hitelesítő adatait, amikor a rendszer kéri.

Másodszor létrehozhat és futtathat felügyelet nélküli üzembehelyezési szkriptet. Ez akkor hasznos, ha egyszerre több hitelesítési ügynököt szeretne üzembe helyezni, vagy olyan Windows-kiszolgálókra telepíti a hitelesítési ügynököket, amelyeken nincs engedélyezve a felhasználói felület, vagy ha nem fér hozzá a távoli asztalhoz. A következő útmutatást követve használhatja ezt a megközelítést:

  1. A hitelesítési ügynök telepítéséhez futtassa a következő parancsot: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. A hitelesítési ügynököt a PowerShell-lel regisztrálhatja szolgáltatásunkban. Hozzon létre egy PowerShell hitelesítő adatokat tartalmazó objektumot $cred , amely globális rendszergazdai felhasználónevet és jelszót tartalmaz a bérlő számára. Futtassa a következő parancsot, cserélje le <username> és <password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Nyissa meg a C:\Program Files\Microsoft Azure AD Csatlakozás Hitelesítési ügynököt, és futtassa a következő szkriptet a $cred létrehozott objektummal:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Fontos

Ha egy hitelesítési ügynök telepítve van egy virtuális gépen, nem klónozhat egy másik hitelesítési ügynököt a virtuális gép klónozásához. Ez a módszer nem támogatott.

5. lépés: Intelligens zárolási képesség konfigurálása

Az intelligens zárolás segít kizárni a rossz szereplőket, akik megpróbálják kitalálni a felhasználók jelszavát, vagy találgatásos módszerekkel próbálnak bejutni. Az intelligens zárolási beállítások Microsoft Entra-azonosítóban való konfigurálásával és /vagy a helyi Active Directory megfelelő zárolási beállításaival a támadások kiszűrhetők, mielőtt elérnék az Active Directoryt. Ebből a cikkből megtudhatja, hogyan konfigurálhat intelligens zárolási beállításokat a bérlőn a felhasználói fiókok védelme érdekében.

További lépések