Autenticazione pass-through Microsoft Entra: avvio rapido
Implementare l'autenticazione pass-through di Microsoft Entra
L'autenticazione pass-through di Microsoft Entra consente agli utenti di accedere ad applicazioni locali e basate sul cloud usando le stesse password. L'autenticazione pass-through prevede infatti l'accesso degli utenti tramite la convalida delle password direttamente in Active Directory locale.
Importante
Se si esegue la migrazione da AD FS (o da altre tecnologie federate) all'autenticazione pass-through, visualizzare Risorse per la migrazione delle applicazioni a Microsoft Entra ID.
Nota
Se si distribuisce l'autenticazione pass-through con il cloud Azure per enti pubblici, vedere Considerazioni sull'identità ibrida per Azure per enti pubblici.
Per distribuire l'autenticazione pass-through nel tenant, seguire queste istruzioni:
Passaggio 1: verificare i prerequisiti
Accertarsi che siano soddisfatti i prerequisiti seguenti.
Importante
Dal punto di vista della sicurezza, gli amministratori devono considerare il server che esegue l'agente PTA come se fosse un controller di dominio. I server agente PTA devono essere protetti lungo le stesse linee descritte in Protezione dei controller di dominio dagli attacchi
Nell'interfaccia di amministrazione di Microsoft Entra
- Creare un account amministratore di identità ibrida solo cloud o un account amministratore di identità ibrida nel tenant di Microsoft Entra. In questo modo è possibile gestire la configurazione del tenant in caso di errore o mancata disponibilità dei servizi locali. Informazioni su come aggiungere un account amministratore di identità ibrida solo cloud. Il completamento di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.
- Aggiungere uno o più nomi di dominio personalizzati al tenant di Microsoft Entra. Gli utenti possono accedere usando uno di questi nomi di dominio.
Nell'ambiente locale
Identificare un server che esegue Windows Server 2016 o versione successiva per l'esecuzione di Microsoft Entra Connect. Se non è già abilitato, abilitare TLS 1.2 nel server. Aggiungere il server alla stessa foresta Active Directory degli utenti di cui devono essere convalidate le password. Si noti che l'installazione dell'agente di autenticazione pass-through nelle versioni di Windows Server Core non è supportata.
Installare la versione più recente di Microsoft Entra Connect nel server identificato nel passaggio precedente. Se è già in esecuzione Microsoft Entra Connect, verificare che la versione sia supportata.
Nota
Le versioni 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 di Microsoft Entra Connect presentano un problema correlato alla sincronizzazione dell'hash delle password. Se non si prevede di usare la sincronizzazione dell'hash delle password in combinazione con l'autenticazione pass-through, leggere le note sulla versione di Microsoft Entra Connect.
Identificare uno o più server aggiuntivi (con Windows Server 2016 o versione successiva e con TLS 1.2 abilitato) in cui è possibile eseguire agenti di autenticazione autonomi. Questi server aggiuntivi sono necessari per garantire la disponibilità elevata delle richieste di accesso. Aggiungere i server alla stessa foresta Active Directory degli utenti di cui devono essere convalidate le password.
Importante
Negli ambienti di produzione è consigliabile disporre di almeno 3 agenti di autenticazione in esecuzione nel proprio tenant. Esiste un limite di sistema di 40 agenti di autenticazione per ogni tenant. E come procedura consigliata, considerare tutti i server che eseguono gli agenti di autenticazione come sistemi di livello 0 (vedere riferimento).
Se è presente un firewall tra i server e Microsoft Entra ID, configurare gli elementi seguenti:
Assicurarsi che gli agenti di autenticazione possano effettuare richieste in uscita in Microsoft Entra ID sulle porte seguenti:
Numero di porta Uso 80 Scarica gli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL 443 Gestisce tutte le comunicazioni in uscita con il servizio 8080 (facoltativo) Se la porta 443 non è disponibile, gli agenti di autenticazione segnalano il proprio stato ogni dieci minuti attraverso la porta 8080. Questo stato viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra. La porta 8080 non viene usata per l'accesso degli utenti. Se il firewall applica regole in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizi di rete.
Se il firewall, o il proxy, consente di voci DNS a un elenco di elementi consentiti, aggiungere le connessioni a *.msappproxy.net e *.servicebus.windows.net. In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana.
Evitare tutte le forme di ispezione e terminazione inline nelle comunicazioni TLS in uscita tra l'agente pass-through di Azure e l'endpoint di Azure.
Se si dispone di un proxy HTTP in uscita, assicurarsi che questo URL, autologon.microsoftazuread-sso.com, sia presente nell'elenco di elementi consentiti. È consigliabile specificare questo URL in modo esplicito poiché i caratteri jolly potrebbero non essere accettati.
Gli agenti di autenticazione devono poter accedere a login.windows.net e login.microsoftonline.net per la registrazione iniziale. Aprire il firewall anche per questi URL.
Per la convalida del certificato, sbloccare gli URL seguenti: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80, e ocsp.msocsp.com:80. Poiché vengono usati per la convalida del certificato con altri prodotti Microsoft, questi URL potrebbero essere già sbloccati.
Prerequisito per il cloud di Azure per enti pubblici
Prima di abilitare l'autenticazione pass-through tramite Microsoft Entra Connect con il Passaggio 2, scaricare la versione più recente dell'agente PTA dall'interfaccia di amministrazione di Microsoft Entra. È necessario assicurarsi che la versione dell'agente sia 1.5.1742.0 o successiva. Per verificare l'agente, vedere Aggiornare gli agenti di autenticazione
Dopo aver scaricato la versione più recente dell'agente, procedere con le istruzioni seguenti per configurare l'autenticazione pass-through tramite Microsoft Entra Connect.
Passaggio 2: abilitare la funzionalità
Abilitare l'autenticazione pass-through tramite Microsoft Entra Connect.
Importante
L'autenticazione pass-through può essere abilitata nel server primario o di gestione temporanea di Microsoft Entra Connect. Si consiglia di abilitarla dal server primario. Se si prevede di configurare un server di gestione temporanea di Microsoft Entra Connect in futuro, è necessario continuare a scegliere l'autenticazione pass-through come opzione di accesso; scegliendo un'altra opzione, l'autenticazione pass-through verrà disabilitata nel tenant e l'impostazione verrà sovrascritta nel server primario.
Se si installa Microsoft Entra Connect per la prima volta, scegliere il percorso di installazione personalizzato. Nella pagina Accesso utente scegliere Autenticazione pass-through come Metodo di accesso. Al termine della procedura, nello stesso server di Microsoft Entra Connect viene installato un agente di autenticazione pass-through. Viene inoltre abilitata la funzionalità di autenticazione pass-through nel tenant.
Se è già stato installato Microsoft Entra Connect usando l'installazione rapida o il percorso di installazione personalizzato, selezionare l'attività Cambia accesso utente in Microsoft Entra Connect, quindi seleziona Avanti. Selezionare quindi Autenticazione pass-through come metodo di accesso. Al termine della procedura, nello stesso server di Microsoft Entra Connect viene installato un agente di autenticazione pass-through e la funzionalità è abilitata per il tenant.
Importante
L'autenticazione pass-through è una funzionalità a livello di tenant. La sua attivazione influisce sugli accessi degli utenti per tutti i domini gestiti nel tenant. Se si passa da Active Directory Federation Services (AD FS) all'autenticazione pass-through, è consigliabile attendere almeno 12 ore prima di arrestare l'infrastruttura AD FS. Questo tempo di attesa è necessario per garantire che gli utenti possano continuare ad accedere a Exchange ActiveSync durante la transizione. Per altre informazioni sulla migrazione da AD FS all'autenticazione pass-through, vedere il piano di distribuzione dettagliato pubblicato qui.
Passaggio 3: testare la funzionalità
Seguire queste istruzioni per verificare che l'autenticazione pass-through sia stata attivata correttamente:
Accedere all'interfaccia di amministrazione di Microsoft Entra con le credenziali di Amministratore di identità ibrida per il tenant.
Selezionare Microsoft Entra ID.
Selezionare Microsoft Entra Connect.
Verificare che la funzionalità Autenticazione pass-through sia impostata su Abilitato.
Selezionare Autenticazione pass-through. Il riquadro Autenticazione pass-through elenca i server in cui sono stati installati gli agenti di autenticazione.
Dopo questo passaggio, gli utenti di tutti i domini gestiti nel tenant possono accedere usando l'autenticazione pass-through. Gli utenti dei domini federati continueranno invece a eseguire l'accesso con AD FS o qualsiasi altro provider di federazione configurato in precedenza. Se si converte un dominio da federato a gestito, tutti gli utenti del dominio inizieranno automaticamente a eseguire l'accesso usando l'autenticazione pass-through. La funzionalità di autenticazione pass-through non ha alcun impatto sugli utenti solo cloud.
Passaggio 4: garantire la disponibilità elevata
Se si prevede di distribuire l'autenticazione pass-through in un ambiente di produzione, è necessario installare un agente di autenticazione autonomo aggiuntivo. Installare questi agenti di autenticazione in uno o più server diversi da quello dove è in esecuzione Microsoft Entra Connect. Questa configurazione offre la disponibilità elevata per le richieste di accesso utente.
Importante
Negli ambienti di produzione è consigliabile disporre di almeno 3 agenti di autenticazione in esecuzione nel proprio tenant. Esiste un limite di sistema di 40 agenti di autenticazione per ogni tenant. E come procedura consigliata, considerare tutti i server che eseguono gli agenti di autenticazione come sistemi di livello 0 (vedere riferimento).
L'installazione di più agenti di autenticazione pass-through assicura la disponibilità elevata ma non il bilanciamento del carico tra loro. Per determinare il numero di agenti di autenticazione necessari per il tenant, prendere in considerazione il picco e il carico medio delle richieste di accesso previste nel tenant. Come benchmark, un singolo agente di autenticazione può gestire da 300 a 400 autenticazioni al secondo in un server standard con CPU a 4 core e 16 GB di RAM.
Per stimare il traffico di rete, usare le indicazioni seguenti relative al dimensionamento:
- Ogni richiesta ha una dimensione di payload di (0.5K + 1K × num_of_agents) byte. Ad esempio, i dati da Microsoft Entra ID per l'agente di autenticazione. In questo caso, "num_of_agents" indica il numero di agenti di autenticazione registrati nel tenant.
- Ogni risposta ha una dimensione di payload di 1K byte, ovvero i dati dall'agente di autenticazione a Microsoft Entra ID.
Per la maggior parte dei clienti, un totale di tre agenti di autenticazione è sufficiente ai fini della capacità e della disponibilità elevata. È consigliabile installare gli agenti di autenticazione vicino ai controller di dominio per migliorare la latenza di accesso.
Per iniziare, seguire queste istruzioni per scaricare il software dell'agente di autenticazione:
Per scaricare la versione più recente dell'agente di autenticazione (versione 1.5.193.0 o successive), accedere all'interfaccia di amministrazione di Microsoft Entra con le credenziali di amministratore di identità ibrida del tenant.
Selezionare Microsoft Entra ID.
Selezionare Microsoft Entra Connect, selezionare Autenticazione pass-through e quindi Scarica agente.
Fare clic sul pulsante Accetta le condizioni e scarica.
Nota
È anche possibile scaricare il software dell'agente di autenticazione direttamente. Esaminare e accettare le Condizioni del servizio dell'agente di autenticazione prima di installarlo.
Esistono due modi per distribuire un agente di autenticazione autonomo:
In primo luogo è possibile distribuirlo in modo interattivo eseguendo il file eseguibile dell'agente di autenticazione scaricato e, quando richiesto, fornendo le credenziali di amministratore di identità ibrida del tenant.
In secondo luogo è possibile creare ed eseguire uno script di distribuzione automatica. Questa opzione è utile per distribuire contemporaneamente più agenti di autenticazione o per installare gli agenti di autenticazione in istanze di Windows Server che non hanno un'interfaccia utente abilitata o che non sono accessibili con Desktop remoto. Di seguito sono riportate le istruzioni per usare questo approccio:
- Eseguire il comando seguente per installare l'agente di autenticazione:
AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q. - È possibile registrare l'agente di autenticazione nel servizio tramite PowerShell. Creare un oggetto credenziali di PowerShell
$credcontenente un nome utente e una password di amministratore di identità ibrida per il tenant. Eseguire il comando seguente, sostituendo<username>e<password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
- Passare a C:\Programmi\Microsoft Azure AD Connect Authentication Agent ed eseguire lo script seguente usando l'oggetto
$credcreato:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication
Importante
Se un agente di autenticazione è installato in una macchina virtuale, non è possibile clonare la macchina virtuale per configurare un altro agente di autenticazione. Questo metodo non è supportato.
Passaggio 5: configurare la funzionalità blocco intelligente
La funzione di blocco intelligente aiuta a bloccare malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per accedere. Configurando le impostazioni di Blocco intelligente in Microsoft Entra ID e/o impostazioni di blocco appropriate in Active Directory locale, gli attacchi possono essere filtrati prima di raggiungere Active Directory. Leggere questo articolo per altre informazioni su come configurare le impostazioni di Blocco intelligente nel tenant per proteggere gli account utente.
Passaggi successivi
- Eseguire la migrazione delle app a Microsoft Entra ID: risorse che consentono di eseguire la migrazione dell'accesso e dell'autenticazione dell'applicazione a Microsoft Entra ID.
- Blocco intelligente: apprendere come configurare la funzionalità di Blocco intelligente nel tenant per proteggere gli account utente.
- Limitazioni correnti: informazioni su quali scenari sono supportati con l'autenticazione pass-through e quali non lo sono.
- Approfondimento tecnico: comprendere come funziona l'autenticazione pass-through.
- Domande frequenti: risposte alle domande più frequenti.
- Risoluzione dei problemi: apprendere come risolvere i problemi comuni relativi alla funzionalità di autenticazione pass-through.
- Approfondimento sulla sicurezza: ottenere informazioni tecniche sulla funzionalità di autenticazione pass-through.
- Aggiunta ibrida a Microsoft Entra: configurare la funzionalità di aggiunta ibrida di Microsoft Entra nel tenant per l'accesso SSO tra le risorse cloud e locali.
- Accesso SSO facile di Microsoft Entra: altre informazioni su questa funzionalità complementare.
- UserVoice: usare il forum di Microsoft Entra per inviare nuove richieste di funzionalità.