Autenticazione pass-through di Microsoft Entra: domande frequenti

Consultare questa guida per scoprire come confrontare i vari metodi di accesso di Microsoft Entra e come scegliere il migliore per l'organizzazione.

L'autenticazione pass-through è una funzionalità gratuita. Non serve alcuna delle edizioni a pagamento di Microsoft Entra ID per utilizzarla.

Sì. Tutte le funzionalità di Accesso condizionale, inclusa l'autorizzazione a più fattori di Microsoft Entra, funzionano con l'autenticazione pass-through.

Sì, sia l'autenticazione pass-through (PTA) che la sincronizzazione dell'hash delle password (PHS) supportano l'accesso usando un valore non UPN, ad esempio un indirizzo email alternativo. Per altre informazioni sull'ID di accesso alternativo.

No. L'autenticazione pass-through non esegue automaticamente il failover sulla sincronizzazione dell'hash delle password. Per evitare errori di accesso dell'utente, è consigliabile configurare l'autenticazione pass-through per la disponibilità elevata.

Quando si usa Microsoft Entra Connect per cambiare il metodo di accesso dalla sincronizzazione dell'hash delle password all'autenticazione pass-through, l'autenticazione pass-through diventa il metodo di accesso principale per gli utenti nei domini gestiti. Tutti gli hash delle password degli utenti sincronizzati in precedenza dalla sincronizzazione dell'hash delle password rimangono archiviati in Microsoft Entra ID.

Sì. Questa configurazione è supportata nelle versioni ridenominate dell'agente di autenticazione pass-through (versione 1.5.193.0 o successive).

Per il corretto funzionamento di questa funzionalità è necessario disporre della versione 1.1.750.0 di Microsoft Entra Connect (o versioni successive) e della versione 1.5.193.0 dell'agente di autenticazione pass-through (o versioni successive). Installare tutto il software in server Windows Server 2012 R2 o versioni successive.

Ciò può essere dovuto al fatto che il servizio di aggiornamento non funziona correttamente oppure che non sono disponibili nuovi aggiornamenti da installare. Il servizio di aggiornamento è integro se è in esecuzione e non vengono registrati errori nel registro eventi (Registri applicazioni e servizi -> Microsoft -> AzureADConnect-Agent -> Updater -> Amministratore).

Per l'aggiornamento automatico vengono rilasciate solo le versioni principali. È consigliabile aggiornare manualmente l'agente solo se necessario. Ad esempio quando non è possibile attendere una versione principale perché è necessario risolvere un problema noto o si vuole usare una nuova funzionalità. Per altre informazioni sulle nuove versioni, sul tipo di versione (download, aggiornamento automatico), sulle correzioni di bug e sulle nuove funzionalità, vedere Agente di autenticazione pass-through di Microsoft Entra: Cronologia delle versioni.

Per aggiornare manualmente un connettore:

• Scaricare l'ultima versione dell’agente. È disponibile in Microsoft Entra Connect Autenticazione pass-through nell'Interfaccia di amministrazione di Microsoft Entra. È anche possibile trovare il collegamento in Autenticazione pass-through di Microsoft Entra: Cronologia delle versioni.
• Il programma di installazione riavvia i servizi dell'agente di autenticazione di Microsoft Entra Connect. In alcuni casi, può essere necessario un riavvio del server se il programma di installazione non riesce a sostituire tutti i file. È consigliabile chiudere tutte le applicazioni prima di avviare l'aggiornamento.
• Eseguire il programma di installazione. Il processo di aggiornamento è rapido, non richiede l'immissione di credenziali e non comporta una nuova registrazione del connettore.

Se è stato configurato il writeback delle password per un utente specifico e se l'utente esegue l'accesso usando l'autenticazione pass-through, la password può essere modificata o reimpostata. Le password vengono riscritte in Active Directory locale come previsto.

Se non è stato configurato il writeback delle password per un utente specifico o se l'utente non dispone di una licenza di Microsoft Entra ID valida, la password non può essere aggiornata nel cloud. Non è possibile aggiornare la password, neanche se fosse scaduta. L'utente vedrà questo messaggio: "L'organizzazione non consente l'aggiornamento della password in questo sito. Aggiornarla in base al metodo consigliato dall'organizzazione o chiedere all'amministratore se è necessaria assistenza". L'utente o l'amministratore deve reimpostare la password in Active Directory locale.

La scadenza della password non attiva la revoca dei token di autenticazione o dei cookie. Finché i token o i cookie sono validi, l'utente può usarli. Questo vale indipendentemente dal tipo di autenticazione (scenari PTA, PHS e federati).

Per altre informazioni, vedere la documentazione di seguito:

Token di accesso della piattaforma di identità Microsoft - Piattaforma di identità Microsoft | Microsoft Docs

Leggere le informazioni sul Blocco intelligente.

• Gli agenti di autenticazione inviano le richieste HTTP sulla porta 443 per tutte le operazioni di funzionalità.

• Gli agenti di autenticazione inviano richieste HTTP sulla porta 80 per scaricare gli elenchi di revoche di certificati (CRL) TLS/SSL.

  Nota

  In aggiornamenti recenti è stato ridotto il numero di porte necessarie per la funzionalità. Se si dispone di versioni precedenti di Microsoft Entra Connect o dell'agente di autenticazione, tenere aperte anche le porte seguenti: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Sì. Se Web Proxy Auto-Discovery (WPAD) è abilitato nell'ambiente locale, gli agenti di autenticazione provano automaticamente a individuare e usare un server proxy Web della rete. Per altre informazioni sull'uso di server proxy per traffico in uscita, vedere Uso di server proxy locali esistenti.

Se nell'ambiente in uso non è disponibile il protocollo WPAD, è possibile aggiungere informazioni sul proxy (come illustrato di seguito) per consentire all'agente di autenticazione pass-through di comunicare con Microsoft Entra ID:

• Configurare le informazioni sul proxy in Internet Explorer prima di installare l'agente di autenticazione pass-through sul server. Ciò permetterà di completare l'installazione dell'agente di autenticazione, ma tale agente verrà visualizzato come Inattivo nel portale di amministrazione.
• Nel server passare a "C:\Program Files\Agente di autenticazione Microsoft Azure AD Connect".
• Modificare il file di configurazione "AzureADConnectAuthenticationAgentService" e aggiungere le righe seguenti (sostituire "http://contosoproxy.com:8080"" con l'indirizzo proxy in uso):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

No, è possibile installare solo un agente di autenticazione pass-through in un singolo server. Se si intende configurare l'autenticazione pass-through per la disponibilità elevata, seguire le istruzioni qui.

La comunicazione tra ciascun agente di autenticazione pass-through e Microsoft Entra ID è protetta tramite l'autenticazione basata su certificato. Questi certificati vengono rinnovati automaticamente e periodicamente a distanza di pochi mesi da Microsoft Entra ID. Non è necessario rinnovarli manualmente. È possibile eliminare i vecchi certificati scaduti in base alle esigenze.

Finché l'agente di autenticazione pass-through è in esecuzione, rimane attivo e continua a gestire le richieste di accesso degli utenti. Per disinstallare un agente di autenticazione, andare a Pannello di controllo -> Programmi -> Programmi e funzionalità e disinstallare i programmi Agente di autenticazione di Microsoft Entra Connect e Aggiornamento dell'agente di Microsoft Entra Connect.

Se si seleziona il pannello di Autenticazione pass-through nell'interfaccia di amministrazione di Microsoft Entra almeno come amministratore di identità ibrida. L'agente di autenticazione verrà visualizzato come Inattivo. Si tratta di un comportamento previsto. L'agente di autenticazione viene eliminato automaticamente dall'elenco dopo 10 giorni.

Se si esegue la migrazione da AD FS (o da altre tecnologie di federazione) all'autenticazione pass-through, si consiglia vivamente di seguire la guida di avvio rapido.

Sì. Gli ambienti a più foreste sono supportati se sono presenti relazioni di trust tra le foreste di Active Directory e se il routing del suffisso del nome è configurato correttamente.

No, l'installazione di più agenti di autenticazione pass-through garantisce solo la disponibilità elevata, ma non offre un bilanciamento del carico deterministico tra gli agenti di autenticazione. Qualsiasi agente di autenticazione (in modo casuale) può elaborare una richiesta di accesso utente specifica.

L'installazione di più agenti di autenticazione pass-through garantisce la disponibilità elevata, ma non offre un bilanciamento del carico deterministico tra gli agenti di autenticazione.

Considerare il carico massimo e medio di richieste di accesso previsto nel tenant. Come benchmark, un singolo agente di autenticazione può gestire da 300 a 400 autenticazioni al secondo in un server standard con CPU a 4 core e 16 GB di RAM.

Per stimare il traffico di rete, usare le indicazioni seguenti relative al dimensionamento:

• Ogni richiesta ha una dimensione di payload di (0.5K + 1K × num_of_agents) byte. Ad esempio, i dati da Microsoft Entra ID all'agente di autenticazione. In questo caso, "num_of_agents" indica il numero di agenti di autenticazione registrati nel tenant.
• Ogni risposta ha una dimensione del payload di 1K byte; ovvero, i dati dall'agente di autenticazione a Microsoft Entra ID.

Per la maggior parte dei clienti, un totale di due o tre agenti di autenticazione è sufficiente ai fini della capacità e della disponibilità elevata. Tuttavia, negli ambienti di produzione è consigliabile disporre di almeno 3 agenti di autenticazione in esecuzione nel proprio tenant. È consigliabile installare gli agenti di autenticazione vicino ai controller di dominio per migliorare la latenza di accesso.

È consigliabile abilitare o disabilitare l'autenticazione pass-through con un account Amministratore di identità ibrida. Questa procedura è fondamentale per evitare di rimanere bloccati fuori dal tenant. ]

Eseguire nuovamente la procedura guidata di Microsoft Entra Connect e scegliere un metodo di accesso utente diverso da Autenticazione pass-through. Questa modifica disabilita l'autenticazione pass-through nel tenant e disinstalla l'agente di autenticazione nel server. Gli agenti di autenticazione degli altri server devono essere disinstallati manualmente.

Se si disinstalla un agente di autenticazione pass-through in un server, il server non accetta più richieste di accesso. Per evitare l'interruzione della funzionalità di accesso utente al tenant, verificare che sia in esecuzione un altro agente di autenticazione prima di disinstallare un agente di autenticazione pass-through.

Nelle circostanze seguenti, le modifiche UPN locali potrebbero non venire sincronizzate se:

• Il tenant di Microsoft Entra è stato creato prima del 15 giugno 2015.
• La federazione iniziale con il tenant di Microsoft Entra è stata creata usando AD FS per l'autenticazione.
• Si è passati alla gestione degli utenti usando PTA come autenticazione

Ciò avviene perché il comportamento predefinito dei tenant creati prima del 15 giugno 2015 prevedeva il blocco delle modifiche UPN. Se fosse necessario eliminare il blocco alle modifiche UPN, eseguire il seguente cmdlet di PowerShell. Ottenere l'ID usando il cmdlet Get-MgDirectoryOnPremiseSynchronization.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

I tenant creati dopo il 15 giugno 2015 prevedono come comportamento predefinito la sincronizzazione delle modifiche UPN.

Per convalidare quale server locale o agente di autenticazione è stato usato per un evento di accesso specifico:

1. Nell'interfaccia di amministrazione di Microsoft Entra, andare all'evento di accesso.

2. Selezionare Dettagli di autenticazione. Nella colonna Dettagli metodo di autenticazione i dettagli dell'ID agente vengono visualizzati nel formato "Autenticazione pass-through; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

3. Per ottenere i dettagli dell'ID agente per l'agente installato nel server locale, accedere al server locale ed eseguire il seguente cmdlet:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Il valore GUID restituito è l'ID agente dell'agente di autenticazione installato in tale server specifico. Se nell'ambiente sono presenti più agenti, è possibile eseguire questo cmdlet in ogni server agente e acquisire i dettagli dell'ID agente.

4. Correlare l'ID agente ottenuto dal server locale e dai log di accesso di Microsoft Entra per convalidare quale agente o server ha riconosciuto la richiesta di firma.

Passaggi successivi

• Limitazioni correnti: informazioni sugli scenari supportati e quelli che non lo sono.
• Avvio rapido: iniziare a usare l'autenticazione pass-through di Microsoft Entra.
• Eseguire la migrazione delle app a Microsoft Entra ID: risorse che consentono di eseguire la migrazione dell'accesso e dell'autenticazione dell'applicazione a Microsoft Entra ID.
• Blocco intelligente: apprendere come configurare la funzionalità di Blocco intelligente nel tenant per proteggere gli account utente.
• Approfondimento tecnico: comprendere come funziona l'autenticazione pass-through.
• Risoluzione dei problemi: apprendere come risolvere i problemi comuni relativi alla funzionalità di autenticazione pass-through.
• Approfondimento sulla sicurezza: ottenere informazioni tecniche approfondite sulla funzionalità di autenticazione pass-through.
• Aggiunta ibrida a Microsoft Entra: configurare la funzionalità di aggiunta ibrida di Microsoft Entra nel tenant per l'accesso SSO tra le risorse cloud e locali.
• Accesso SSO facile di Microsoft Entra: ottenere altre informazioni su questa funzionalità complementare.
• UserVoice: usare il forum di Microsoft Entra per inviare nuove richieste di funzionalità.