Autenticazione pass-through Microsoft Entra: domande frequenti

Consultare questa guida per un confronto tra i vari metodi di accesso di Microsoft Entra e come scegliere il metodo di accesso corretto per l'organizzazione.

L'autenticazione pass-through è una funzionalità gratuita. Non sono necessarie edizioni a pagamento di Microsoft Entra ID per usarle.

Sì. Tutte le funzionalità di accesso condizionale, inclusa l'autenticazione a più fattori Microsoft Entra, funzionano con l'autenticazione pass-through.

Sì, sia l'autenticazione pass-through (PTA) che la sincronizzazione dell'hash delle password supportano l'accesso usando un valore non UPN, ad esempio un messaggio di posta elettronica alternativo. Per altre informazioni sull'ID di accesso alternativo.

No. L'autenticazione pass-through non esegue automaticamente il failover sulla sincronizzazione dell'hash delle password. Per evitare errori di accesso dell'utente, è consigliabile configurare l'autenticazione pass-through per la disponibilità elevata.

Quando si usa Microsoft Entra Connessione per cambiare il metodo di accesso dalla sincronizzazione dell'hash delle password all'autenticazione pass-through, l'autenticazione pass-through diventa il metodo di accesso principale per gli utenti nei domini gestiti. Tutti gli hash delle password degli utenti sincronizzati in precedenza dalla sincronizzazione dell'hash delle password rimangono archiviati nell'ID Microsoft Entra.

Sì. Questa configurazione è supportata nelle versioni ridenominate dell'agente di autenticazione pass-through (versione 1.5.193.0 o successive).

Per il funzionamento di questa funzionalità, è necessaria la versione 1.1.750.0 o successiva per Microsoft Entra Connessione e 1.5.193.0 o versione successiva per l'agente di autenticazione pass-through. Installare tutto il software in server Windows Server 2012 R2 o versioni successive.

Questo problema può essere dovuto al fatto che il servizio di aggiornamento non funziona correttamente oppure che non sono disponibili nuovi aggiornamenti da installare. Il servizio di aggiornamento è integro se è in esecuzione e non sono presenti errori registrati nel registro eventi (registri applicazioni e servizi - Microsoft ->> AzureAD Connessione-Agent - Updater ->> Amministrazione).

Per l'aggiornamento automatico vengono rilasciate solo le versioni principali. È consigliabile aggiornare manualmente l'agente solo se necessario. Ad esempio, non è possibile attendere una versione principale, perché è necessario risolvere un problema noto o usare una nuova funzionalità. Per altre informazioni sulle nuove versioni, il tipo di versione (download, aggiornamento automatico), correzioni di bug e nuove funzionalità, vedere Agente di autenticazione pass-through di Microsoft Entra: Cronologia delle versioni.

Per aggiornare manualmente un connettore:

• Scaricare la versione più recente dell'agente. (È disponibile in Microsoft Entra Connessione Autenticazione pass-through nell'interfaccia di amministrazione di Microsoft Entra. È anche possibile trovare il collegamento in Autenticazione pass-through di Microsoft Entra: Cronologia delle versioni.
• Il programma di installazione riavvia i servizi microsoft Entra Connessione Authentication Agent. In alcuni casi, è necessario un riavvio del server se il programma di installazione non può sostituire tutti i file. È pertanto consigliabile chiudere tutte le applicazioni, Visualizzatore eventi prima di avviare l'aggiornamento.
• Eseguire il programma di installazione. Il processo di aggiornamento è rapido e non richiede la fornitura di credenziali e l'agente non verrà registrato di nuovo.

Se è stato configurato il writeback delle password per un utente specifico e se l'utente esegue l'accesso usando l'autenticazione pass-through, la password può essere modificata o reimpostata. Le password vengono riscritte in Active Directory locale come previsto.

Se non è stato configurato il writeback delle password per un utente specifico o se all'utente non è assegnata una licenza valida per l'ID Entra, l'utente non può aggiornare la password nel cloud. neanche se è scaduta. L'utente vedrà un messaggio simile a questo: "L'organizzazione non consente l'aggiornamento della password in questo sito. Aggiornarlo in base al metodo consigliato dall'organizzazione o chiedere all'amministratore se è necessaria assistenza". L'utente o l'amministratore deve reimpostare la password in Active Directory locale.

La scadenza della password non attiva la revoca dei token di autenticazione o dei cookie. Finché i token o i cookie non sono validi, l'utente può usarli. Questo vale indipendentemente dal tipo di autenticazione (scenari PTA, PHS e federati).

Per altri dettagli, vedere la documentazione seguente:

Token di accesso di Microsoft Identity Platform - Microsoft Identity Platform | Microsoft Docs

Legge le informazioni sul Blocco intelligente.

• Gli agenti di autenticazione inviano le richieste HTTP sulla porta 443 per tutte le operazioni di funzionalità.

• Gli agenti di autenticazione effettuano richieste HTTP sulla porta 80 per scaricare gli elenchi di revoche di certificati TLS/SSL ( CRL).

  Nota

  In aggiornamenti recenti è stato ridotto il numero di porte necessarie per la funzionalità. Se sono presenti versioni precedenti di Microsoft Entra Connessione o Authentication Agent, mantenere aperte anche queste porte: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Sì. Se Web Proxy Auto-Discovery (WPAD) è abilitato nell'ambiente locale, gli agenti di autenticazione provano automaticamente a individuare e usare un server proxy Web della rete. Per altre informazioni sull'uso del server proxy in uscita, vedere Usare server proxy locali esistenti.

Se non si dispone di WPAD nell'ambiente, è possibile aggiungere informazioni sul proxy (come illustrato di seguito) per consentire a un agente di autenticazione pass-through di comunicare con Microsoft Entra ID:

• Configurare le informazioni sul proxy in Internet Explorer prima di installare l'agente di autenticazione pass-through sul server. In questo modo è possibile completare l'installazione dell'agente di autenticazione, ma verrà comunque visualizzata come Inattiva nel portale di Amministrazione.
• Nel server passare a "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
• Modificare il file di configurazione "AzureAD Connessione AuthenticationAgentService" e aggiungere le righe seguenti (sostituire "http://contosoproxy.com:8080" con l'indirizzo proxy effettivo):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

No, è possibile installare solo un agente di autenticazione pass-through in un singolo server. Se si intende configurare l'autenticazione pass-through per la disponibilità elevata, seguire le istruzioni qui.

La comunicazione tra ogni agente di autenticazione pass-through e l'ID Microsoft Entra viene protetta tramite l'autenticazione basata su certificati. Questi certificati vengono rinnovati automaticamente ogni pochi mesi da Microsoft Entra ID. Non è necessario rinnovare manualmente questi certificati. È possibile eliminare i vecchi certificati scaduti in base alle esigenze.

Finché l'agente di autenticazione pass-through è in esecuzione, rimane attivo e continua a gestire le richieste di accesso degli utenti. Se si vuole disinstallare un agente di autenticazione, passare a Pannello di controllo -> Programmi -> Programmi e funzionalità e disinstallare sia Microsoft Entra Connessione Authentication Agent che i programmi microsoft Entra Connessione Agent Updater.

Se si seleziona il pannello Autenticazione pass-through nell'interfaccia di amministrazione di Microsoft Entra come almeno un'identità ibrida Amministrazione istrator. dopo aver completato il passaggio precedente, verrà visualizzato l'agente di autenticazione come Inattivo. Questo è il comportamento previsto. L'agente di autenticazione viene eliminato automaticamente dall'elenco dopo 10 giorni.

Se si esegue la migrazione da AD FS (o da altre tecnologie federate) all'autenticazione pass-through, è consigliabile seguire la guida introduttiva.

Sì. Gli ambienti a più foreste sono supportati se sono presenti trust tra foreste (bidirezionali) tra le foreste di Active Directory e se il routing del suffisso del nome è configurato correttamente.

No, l'installazione di più agenti di autenticazione pass-through garantisce solo la disponibilità elevata, Non fornisce il bilanciamento del carico deterministico tra gli agenti di autenticazione. Qualsiasi agente di autenticazione (in modo casuale) può elaborare una richiesta di accesso utente specifica.

L'installazione di più agenti di autenticazione pass-through garantisce la disponibilità elevata, Ma non fornisce il bilanciamento del carico deterministico tra gli agenti di autenticazione.

Considerare il carico massimo e medio di richieste di accesso previsto nel tenant. Come benchmark, un singolo agente di autenticazione può gestire da 300 a 400 autenticazioni al secondo in un server standard con CPU a 4 core e 16 GB di RAM.

Per stimare il traffico di rete, usare le indicazioni seguenti relative al dimensionamento:

• Ogni richiesta ha una dimensione del payload di (0,5K + 1K * num_of_agents) byte; ovvero dati da Microsoft Entra ID all'agente di autenticazione. In questo caso, "num_of_agents" indica il numero di agenti di autenticazione registrati nel tenant.
• Ogni risposta ha una dimensione del payload di 1K byte; ovvero i dati dall'agente di autenticazione all'ID Microsoft Entra.

Per la maggior parte dei clienti, un totale di due o tre agenti di autenticazione è sufficiente ai fini della capacità e della disponibilità elevata. Tuttavia, negli ambienti di produzione è consigliabile avere almeno 3 agenti di autenticazione in esecuzione nel tenant. È consigliabile installare gli agenti di autenticazione vicino ai controller di dominio per migliorare la latenza di accesso.

È consigliabile abilitare o disabilitare l'autenticazione pass-through usando un account globale Amministrazione istrator solo cloud. Informazioni su come aggiungere un account amministratore globale di tipo solo cloud. Questa procedura è fondamentale per evitare di rimanere bloccati fuori dal tenant.

Eseguire di nuovo la procedura guidata di Microsoft Entra Connessione e modificare il metodo di accesso utente da Autenticazione pass-through a un altro metodo. Questa modifica disabilita l'autenticazione pass-through nel tenant e disinstalla l'agente di autenticazione nel server. Gli agenti di autenticazione degli altri server devono essere disinstallati manualmente.

Se si disinstalla un agente di autenticazione pass-through in un server, il server non accetta più richieste di accesso. Per evitare l'interruzione della funzionalità di accesso utente al tenant, verificare che sia in esecuzione un altro agente di autenticazione prima di disinstallare l'agente di autenticazione pass-through.

Nelle circostanze seguenti le modifiche UPN locali potrebbero non essere sincronizzate se:

• Il tenant di Microsoft Entra è stato creato prima del 15 giugno 2015.
• Inizialmente era stata federata con il tenant di Microsoft Entra usando AD FS per l'autenticazione.
• Si è passati alla gestione degli utenti che usano PTA come autenticazione.

Questo perché il comportamento predefinito dei tenant creati prima del 15 giugno 2015 era bloccare le modifiche UPN. Se è necessario annullare il blocco delle modifiche UPN, è necessario eseguire il cmdlet di PowerShell seguente. Ottenere l'ID usando il cmdlet Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

I tenant creati dopo il 15 giugno 2015 prevedono come comportamento predefinito la sincronizzazione delle modifiche UPN.

Per convalidare quale server locale o agente di autenticazione è stato usato per un evento di accesso specifico:

1. Nell'interfaccia di amministrazione di Microsoft Entra passare all'evento di accesso.

2. Selezionare Dettagli autenticazione. Nella colonna Dettagli metodo di autenticazione i dettagli dell'ID agente vengono visualizzati nel formato "Autenticazione pass-through; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Per ottenere i dettagli dell'ID agente per l'agente installato nel server locale, accedere al server locale ed eseguire il cmdlet seguente:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Il valore GUID restituito è l'ID agente dell'agente installato in tale server specifico. Se nell'ambiente sono presenti più agenti, è possibile eseguire questo cmdlet in ogni server agente e acquisire i dettagli dell'ID agente.

4. Correlare l'ID agente ottenuto dal server locale e dai log di accesso di Microsoft Entra per convalidare quale agente o server ha riconosciuto la richiesta di firma.

Passaggi successivi

• Limitazioni correnti: informazioni sugli scenari supportati e quelli non supportati.
• Guida introduttiva: Iniziare a usare l'autenticazione pass-through di Microsoft Entra.
• Eseguire la migrazione delle app a Microsoft Entra ID: risorse che consentono di eseguire la migrazione dell'accesso e dell'autenticazione delle applicazioni all'ID Microsoft Entra.
• Blocco smart: apprendere come configurare la funzionalità di blocco smart nel tenant per proteggere gli account utente.
• Approfondimento tecnico: comprendere come funziona l'autenticazione pass-through.
• Risoluzione dei problemi: apprendere come risolvere i problemi comuni relativi alla funzionalità di autenticazione pass-through.
• Approfondimento sulla sicurezza: ottenere informazioni tecniche approfondite sulla funzionalità di autenticazione pass-through.
• Aggiunta ibrida a Microsoft Entra: configurare la funzionalità di aggiunta ibrida di Microsoft Entra nel tenant per l'accesso Single Sign-On tra le risorse cloud e locali.
• Microsoft Entra seamless SSO: altre informazioni su questa funzionalità complementare.
• UserVoice: usare il forum di Microsoft Entra per inviare nuove richieste di funzionalità.