Autentikasi pass-through Microsoft Entra: Tanya jawab umum

Tinjau panduan ini untuk perbandingan berbagai metode masuk Microsoft Entra dan cara memilih metode masuk yang tepat untuk organisasi Anda.

Autentikasi Pass-through adalah fitur gratis. Anda tidak memerlukan ID Microsoft Entra edisi berbayar untuk menggunakannya.

Ya. Semua kemampuan Akses Bersyar, termasuk autentikasi multifaktor Microsoft Entra, berfungsi dengan Autentikasi Pass-through.

Ya, baik autentikasi pass-through (PTA) maupun sinkronisasi hash kata sandi (PHS) mendukung masuk menggunakan nilai non-UPN, seperti email alternatif. Untuk informasi selengkapnya tentang ID Masuk Alternatif.

Tidak. Autentikasi Pass-through tidak secara otomatis gagal untuk sinkronisasi hash kata sandi. Untuk menghindari kegagalan proses masuk pengguna, Anda harus mengonfigurasi Autentikasi Pass-through untuk ketersediaan tinggi.

Saat Anda menggunakan Microsoft Entra Koneksi untuk mengalihkan metode masuk dari sinkronisasi hash kata sandi ke Autentikasi Pass-through, Autentikasi Pass-through menjadi metode masuk utama bagi pengguna Anda di domain terkelola. Semua hash kata sandi pengguna yang sebelumnya disinkronkan oleh sinkronisasi hash kata sandi tetap disimpan di ID Microsoft Entra.

Ya. Versi baru dari Agen Autentikasi Pass-through, versi 1.5.193.0 atau yang lebih baru, mendukung konfigurasi ini.

Agar fitur ini berfungsi, Anda memerlukan versi 1.1.750.0 atau yang lebih baru untuk Microsoft Entra Koneksi dan 1.5.193.0 atau yang lebih baru untuk Agen Autentikasi Pass-through. Pasang semua perangkat lunak di server dengan Windows Server 2012 R2 atau yang lebih baru.

Hal ini dapat disebabkan oleh layanan updater tidak berfungsi dengan benar atau jika tidak ada pembaruan baru yang tersedia yang dapat diinstal oleh layanan. Layanan updater dianggap sehat jika berjalan serta tidak ada kesalahan yang terekam di log peristiwa (Log Aplikasi dan Layanan -> Microsoft -> AzureADConnect-Agent -> Updater -> Admin).

Hanya versi utama yang dirilis untuk peningkatan otomatis. Sebaiknya perbarui Agen Anda secara manual hanya jika diperlukan. Misalnya, Anda tidak dapat menunggu rilis utama, karena Anda harus memperbaiki masalah yang diketahui atau Anda ingin menggunakan fitur baru. Untuk informasi selengkapnya tentang rilis baru, jenis rilis (unduh, peningkatan otomatis), perbaikan bug, dan fitur baru lihat, agen autentikasi pass-through Microsoft Entra: Riwayat rilis versi.

Untuk meningkatkan konektor secara manual:

• Mengunduh Agen versi terbaru. (Anda menemukannya di bawah Microsoft Entra Koneksi Autentikasi Pass-through di pusat admin Microsoft Entra. Anda juga dapat menemukan tautan di autentikasi pass-through Microsoft Entra: Riwayat rilis versi.
• Alat penginstal memulai ulang layanan Microsoft Entra Koneksi Authentication Agent. Dalam beberapa kasus, reboot server diperlukan jika alat penginstal tidak dapat menggantikan semua file. Oleh karena itu, sebaiknya tutup semua aplikasi yaitu, Pemantau Peristiwa sebelum Anda memulai peningkatan.
• Jalankan alat penginstal. Proses peningkatan cepat dan tidak memerlukan penyediaan kredensial apa pun dan Agen tidak akan didaftarkan ulang.

Jika Anda telah mengonfigurasi penulisan balik kata sandi untuk pengguna tertentu, dan jika pengguna masuk menggunakan Autentikasi Pass-through, mereka dapat mengubah atau mengatur ulang sandi mereka. Kata sandi ditulis kembali ke Active Directory lokal seperti yang diharapkan.

Jika Anda belum mengonfigurasi tulis balik kata sandi untuk pengguna tertentu atau jika pengguna tidak memiliki lisensi ID Microsoft Entra yang valid yang ditetapkan, pengguna tidak dapat memperbarui kata sandi mereka di cloud. Mereka tidak dapat memperbarui kata sandi mereka, bahkan jika kata sandi mereka telah kedaluwarsa. Pengguna melihat pesan ini: "Organisasi Anda tidak memperbolehkan Anda memperbarui kata sandi di situs ini. Perbarui sesuai dengan metode yang direkomendasikan oleh organisasi Anda, atau tanyakan kepada admin Anda apakah Anda memerlukan bantuan. Pengguna atau administrator harus mengatur ulang kata sandi mereka di Active Directory lokal.

Kedaluwarsa kata sandi tidak memicu pencabutan token autentikasi atau cookie. Hingga token atau cookie valid, pengguna dapat menggunakannya. Ini berlaku terlepas dari jenis autentikasi (PTA, PHS, dan skenario federasi).

Untuk detail selengkapnya, silakan periksa dokumentasi di bawah ini:

platform identitas Microsoft token akses - platform identitas Microsoft | Microsoft Docs

Baca informasi tentang Smart Lockout.

• Agen Autentikasi membuat permintaan HTTPS melalui port 443 untuk semua operasi fitur.

• Agen Autentikasi membuat permintaan HTTP melalui port 80 untuk mengunduh daftar pencabutan sertifikat TLS/SSL (CRL).

  Catatan

  Pembaruan terbaru mengurangi jumlah port yang diperlukan fitur. Jika Anda memiliki versi Microsoft Entra Koneksi atau Agen Autentikasi yang lebih lama, buka juga port ini: 5671, 8080, 9090, 9091, 9350, 9352, dan 10100-10120.

Ya. Jika Web Proxy Auto-Discovery (WPAD) diaktifkan di lingkungan lokal Anda, Agen Autentikasi secara otomatis mencoba menemukan dan menggunakan server proksi web di jaringan. Untuk informasi selengkapnya tentang menggunakan server proksi keluar, lihat Bekerja dengan server proksi lokal yang sudah ada.

Jika Anda tidak memiliki WPAD di lingkungan, Anda dapat menambahkan informasi proksi (seperti yang ditunjukkan di bawah) untuk mengizinkan Agen Autentikasi Pass-through berkomunikasi dengan ID Microsoft Entra:

• Konfigurasikan informasi proksi di Internet Explorer sebelum Anda memasang Agen Autentikasi Pass-through di server. Ini memungkinkan Anda menyelesaikan penginstalan Agen Autentikasi, tetapi masih akan muncul sebagai Tidak Aktif di portal Admin.
• Di server, navigasikan ke "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
• Edit file konfigurasi "AzureADConnectAuthenticationAgentService" dan tambahkan baris berikut (ganti http://contosoproxy.com:8080" dengan alamat proksi Anda yang sebenarnya):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Tidak, Anda hanya dapat memasang satu Agen Autentikasi Pass-through pada satu server. Jika Anda ingin mengonfigurasi Autentikasi Pass-through untuk ketersediaan tinggi, ikuti instruksi di sini.

Komunikasi antara setiap Agen Autentikasi Pass-through dan ID Microsoft Entra diamankan menggunakan autentikasi berbasis sertifikat. Sertifikat ini diperpanjang secara otomatis setiap beberapa bulan oleh ID Microsoft Entra. Tidak perlu memperbarui sertifikat ini secara manual. Anda dapat membersihkan sertifikat kedaluwarsa yang lebih lama sesuai kebutuhan.

Selama Agen Autentikasi Pass-through berjalan, Agen Autentikasi tetap aktif dan terus menangani permintaan masuk pengguna. Jika Anda ingin menghapus instalasi Agen Autentikasi, buka Panel Kontrol - Program ->> Program dan Fitur dan hapus instalan Microsoft Entra Koneksi Authentication Agent dan program Microsoft Entra Koneksi Agent Updater.

Jika Anda memeriksa bilah Autentikasi Pass-through di pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid. setelah menyelesaikan langkah sebelumnya, Anda akan melihat Agen Autentikasi ditampilkan sebagai Tidak Aktif. Hal ini diharapkan. Agen Autentikasi secara otomatis diturunkan dari daftar setelah 10 hari.

Jika Anda bermigrasi dari Layanan Federasi Direktori Aktif (atau teknologi federasi lainnya) ke Autentikasi Pass-through, kami sangat menyarankan Anda mengikuti panduan mulai cepat kami.

Ya. Lingkungan multi-forest didukung jika ada kepercayaan forest (dua arah) antara forest Direktori Aktif Anda dan jika perutean akhiran nama dikonfigurasi dengan benar.

Tidak, memasang beberapa Agen Autentikasi Pass-through memastikan hanya ketersediaan tinggi. Ini tidak memberikan penyeimbangan beban deterministik antara Agen Autentikasi. Setiap Agen Autentikasi (secara acak) dapat memproses permintaan masuk pengguna tertentu.

Memasang beberapa Agen Autentikasi Pass-through memastikan ketersediaan tinggi. Tetapi, itu tidak memberikan penyeimbangan beban deterministik antara Agen Autentikasi.

Pertimbangkan puncak dan beban rata-rata permintaan masuk yang ingin Anda lihat di tenant Anda. Sebagai tolok ukur, Agen Autentikasi tunggal dapat menangani 300 hingga 400 autentikasi per detik pada CPU 4-core standar, server RAM 16-GB.

Untuk memperkirakan lalu lintas jaringan, gunakan panduan ukuran berikut:

• Setiap permintaan memiliki ukuran payload (0,5K + 1K * num_of_agents) byte; yaitu, data dari ID Microsoft Entra ke Agen Autentikasi. Di sini, "num_of_agents" menunjukkan jumlah Agen Autentikasi yang terdaftar di tenant Anda.
• Setiap respons memiliki ukuran payload 1K byte; yaitu, data dari Agen Autentikasi ke ID Microsoft Entra.

Bagi sebagian besar pelanggan, dua atau tiga Agen Autentikasi secara total cukup untuk ketersediaan dan kapasitas tinggi. Namun, di lingkungan produksi, kami sarankan Anda memiliki minimal 3 Agen Autentikasi yang berjalan di penyewa Anda. Anda harus memasang Agen Autentikasi yang dekat dengan pengendali domain untuk meningkatkan latensi masuk.

Disarankan agar Anda mengaktifkan atau menonaktifkan Autentikasi Pass-through menggunakan akun Administrator Global khusus cloud. Pelajari cara menambahkan akun Administrator Global khusus cloud. Langkah ini memastikan bahwa Anda tidak dikunci dari tenant Anda.

Jalankan ulang wizard Microsoft Entra Koneksi dan ubah metode masuk pengguna dari Autentikasi Pass-through ke metode lain. Perubahan ini menonaktifkan Autentikasi Pass-through pada tenant dan menghapus instalasi Agen Autentikasi dari server. Anda harus membongkar Agen Autentikasi secara manual dari server lainnya.

Jika Anda menghapus Autentikasi Agen Pass-through dari server, itu menyebabkan server berhenti menerima permintaan masuk. Untuk menghindari kerusakan kemampuan masuk pengguna pada tenant Anda, pastikan bahwa Anda memiliki Agen Autentikasi lain yang berjalan sebelum Anda menghapus Agen Autentikasi Pass-through.

Dalam keadaan berikut, perubahan UPN lokal Anda mungkin tidak disinkronkan jika:

• Penyewa Microsoft Entra Anda dibuat sebelum 15 Juni 2015.
• Anda awalnya digabungkan dengan penyewa Microsoft Entra Anda menggunakan LAYANAN Federasi Direktori Aktif untuk autentikasi.
• Anda beralih ke pengguna terkelola menggunakan PTA sebagai autentikasi.

Ini karena perilaku default penyewa yang dibuat sebelum tanggal 15 Juni 2015 adalah untuk memblokir perubahan UPN. Jika Anda perlu membatalkan pemblokiran perubahan UPN, Anda perlu menjalankan cmdlet PowerShell berikut. Dapatkan ID dengan menggunakan cmdlet Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Penyewa yang dibuat setelah 15 Juni 2015 memiliki perilaku default dari sinkronisasi perubahan UPN.

Untuk memvalidasi server lokal atau agen autentikasi mana yang digunakan untuk peristiwa proses masuk tertentu:

1. Di pusat admin Microsoft Entra, buka peristiwa masuk.

2. Pilih Detail autentikasi. Di kolom Detail Metode Autentikasi, detail ID Agen ditampilkan dalam format "Autentikasi Pass-through; Agen PTAId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Untuk mendapatkan detail ID Agen untuk agen yang diinstal di server lokal, masuk ke server lokal Anda dan jalankan cmdlet berikut:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Nilai GUID yang dikembalikan adalah ID Agen dari agen autentikasi yang diinstal pada server tersebut. Jika memiliki beberapa agen di lingkungan Anda, Anda dapat menjalankan cmdlet ini di setiap server agen dan mengambil detail ID Agen.

4. Menghubungkan ID Agen yang Anda dapatkan dari server lokal dan dari log masuk Microsoft Entra untuk memvalidasi agen atau server mana yang mengakui permintaan masuk.

Langkah berikutnya

• Batasan saat ini: Pelajari skenario yang didukung dan yang tidak.
• Mulai cepat: Memulai dan menjalankan autentikasi pass-through Microsoft Entra.
• Migrasikan aplikasi Anda ke ID Microsoft Entra: Sumber daya untuk membantu Anda memigrasikan akses dan autentikasi aplikasi ke ID Microsoft Entra.
• Smart Lockout: Pelajari cara mengonfigurasi kemampuan Smart Lockout pada tenant Anda untuk melindungi akun pengguna.
• Pembahasan mendalam teknis: Pahami cara kerja fitur Autentikasi Pass-through.
• Pemecahan masalah: Pelajari cara menyelesaikan masalah umum dengan fitur Autentikasi Pass-through.
• Pembahasan mendalam keamanan: Dapatkan informasi teknis yang mendalam tentang fitur Autentikasi Pass-through.
• Gabungan hibrid Microsoft Entra: Mengonfigurasi kemampuan gabungan hibrid Microsoft Entra pada penyewa Anda untuk SSO di seluruh sumber daya cloud dan lokal Anda.
• Microsoft Entra seamless SSO: Pelajari selengkapnya tentang fitur pelengkap ini.
• UserVoice: Gunakan forum Microsoft Entra untuk mengajukan permintaan fitur baru.