Выбор подходящего метода проверки подлинности для решения гибридного удостоверения Microsoft Entra

Выбор правильного метода проверки подлинности является первой проблемой для организаций, желающих переместить свои приложения в облако. Не примите это решение легко, по следующим причинам:

1. Это первое решение для организации, которая хочет перейти в облако.

2. Метод проверки подлинности является важным компонентом присутствия организации в облаке. Он управляет доступом ко всем облачным данным и ресурсам.

3. Это основа всех других функций расширенной безопасности и взаимодействия с пользователем в идентификаторе Microsoft Entra ID.

Удостоверение — это новая плоскость управления ИТ-безопасностью, поэтому проверка подлинности — это защита доступа организации к новому облачному миру. Организации нуждаются в плоскости управления удостоверениями, которая повышает безопасность своих облачных приложений от злоумышленников.

Заметка

Изменение метода проверки подлинности требует планирования, тестирования и потенциально простоя. Поэтапное развертывание — отличный способ тестирования миграции пользователей из федерации в облачную проверку подлинности.

Вне области

Организации, у которых нет места в локальном каталоге, не являются основной частью этой статьи. Как правило, эти предприятия создают удостоверения только в облаке, что не требует гибридного решения для удостоверений. Облачные удостоверения существуют исключительно в облаке и не связаны с соответствующими локальными удостоверениями.

Методы проверки подлинности

Когда решение гибридного удостоверения Microsoft Entra является новым уровнем управления, проверка подлинности является основой доступа к облаку. Выбор правильного метода проверки подлинности является важным первым решением при настройке решения гибридного удостоверения Microsoft Entra. Выбранное метод проверки подлинности настраивается с помощью Microsoft Entra Connect, который также подготавливает пользователей в облаке.

Чтобы выбрать метод проверки подлинности, необходимо учитывать время, существующую инфраструктуру, сложность и стоимость реализации выбранного варианта. Эти факторы отличаются для каждой организации и могут меняться с течением времени.

Идентификатор Microsoft Entra поддерживает следующие методы проверки подлинности для решений гибридных удостоверений.

Облачная проверка подлинности

При выборе этого метода проверки подлинности идентификатор Microsoft Entra обрабатывает процесс входа пользователей. В сочетании с единым входом пользователи могут входить в облачные приложения без повторного ввода учетных данных. С помощью облачной проверки подлинности можно выбрать один из двух вариантов:

Синхронизация хэша паролей Microsoft Entra. Самый простой способ включить проверку подлинности для локальных объектов каталога в идентификаторе Microsoft Entra. Пользователи могут использовать то же имя пользователя и пароль, что и в локальной среде, не развертывая любую другую инфраструктуру. Некоторые функции идентификатора Microsoft Entra ID, такие как Защита идентификации Microsoft Entra и доменные службы Microsoft Entra, требуют синхронизации хэша паролей независимо от выбранного метода проверки подлинности.

Заметка

Пароли никогда не хранятся в чистом тексте или шифруются с помощью обратимого алгоритма в идентификаторе Microsoft Entra. Дополнительные сведения о фактическом процессе синхронизации хэша паролей см. в разделе "Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect".

Сквозная проверка подлинности Microsoft Entra. Предоставляет простую проверку пароля для служб проверки подлинности Microsoft Entra с помощью агента программного обеспечения, работающего на одном или нескольких локальных серверах. Серверы проверяют пользователей непосредственно с помощью локальная служба Active Directory, что гарантирует, что проверка пароля не выполняется в облаке.

Компании с требованием безопасности немедленно применять состояния локальной учетной записи пользователя, политики паролей и часы входа могут использовать этот метод проверки подлинности. Дополнительные сведения о фактическом процессе сквозной проверки подлинности см. в статье "Вход пользователей с помощью сквозной проверки подлинности Microsoft Entra".

Федеративная проверка подлинности

При выборе этого метода проверки подлинности идентификатор Microsoft Entra передает процесс проверки подлинности отдельной доверенной системе проверки подлинности, например локальная служба Active Directory службам федерации (AD FS), чтобы проверить пароль пользователя.

Система проверки подлинности может предоставлять другие расширенные требования к проверке подлинности, например стороннюю многофакторную проверку подлинности.

В следующем разделе описано, какой метод проверки подлинности подходит для вас с помощью дерева принятия решений. Он помогает определить, следует ли развертывать облачную или федеративную проверку подлинности для решения гибридного удостоверения Microsoft Entra.

Дерево решений

Подробные сведения о вопросе о решении:

1. Идентификатор Microsoft Entra может обрабатывать вход для пользователей без использования локальных компонентов для проверки паролей.
2. Идентификатор Microsoft Entra может передать пользователю вход в доверенный поставщик проверки подлинности, например AD FS Майкрософт.
3. Если вам нужно применить, политики безопасности Active Directory уровня пользователя, такие как срок действия учетной записи, отключенная учетная запись, срок действия пароля, блокировка учетной записи и часы входа для каждого пользователя, идентификатор Microsoft Entra ID требует некоторых локальных компонентов.
4. Функции входа, которые изначально не поддерживаются идентификатором Microsoft Entra:
   • Войдите с помощью стороннего решения проверки подлинности.
   • Решение для многосайтовой проверки подлинности.
5. Защита идентификации Microsoft Entra требуется синхронизация хэша паролей независимо от выбранного метода входа, чтобы предоставить Пользователи с отчетом об утечке учетных данных. Организации могут выполнить отработку отказа в синхронизацию хэша паролей, если их основной метод входа завершается ошибкой, и он был настроен до события сбоя.

Заметка

требуется Защита идентификации Microsoft EntraЛицензии Microsoft Entra ID P2.

Подробные рекомендации

Облачная проверка подлинности: синхронизация хэша паролей

• Усилия. Синхронизация хэша паролей требует минимальных усилий в отношении развертывания, обслуживания и инфраструктуры. Этот уровень усилий обычно применяется к организациям, которым требуются только их пользователи для входа в Microsoft 365, приложения SaaS и другие ресурсы на основе идентификаторов Майкрософт. При включении синхронизация хэша паролей входит в процесс синхронизации Microsoft Entra Connect и выполняется каждые две минуты.

• Взаимодействие с пользователем. Чтобы улучшить возможности входа пользователей, используйте устройства, присоединенные к Microsoft Entra, или гибридные устройства, присоединенные к Microsoft Entra. Если вы не можете присоединить устройства Windows к идентификатору Microsoft Entra ID, рекомендуется развернуть простой единый вход с синхронизацией хэша паролей. Простой единый вход устраняет ненужные запросы при входе пользователей.

• Расширенные сценарии. Если организации решили использовать аналитические сведения из удостоверений с отчетами Защита идентификации Microsoft Entra с идентификатором Microsoft Entra ID P2. Примером является отчет об утечке учетных данных. Windows Hello для бизнеса имеет определенные требования при использовании синхронизации хэша паролей. Доменные службы Microsoft Entra требуют синхронизации хэша паролей для подготовки пользователей с корпоративными учетными данными в управляемом домене.

  Организации, требующие многофакторной проверки подлинности с синхронизацией хэша паролей, должны использовать многофакторную проверку подлинности Microsoft Entra или пользовательские элементы управления условного доступа. Эти организации не могут использовать сторонние или локальные методы многофакторной проверки подлинности, основанные на федерации.

Заметка

Для условного доступа Microsoft Entra требуются лицензии Microsoft Entra ID P1 .

• Непрерывность бизнес-процессов. Синхронизация хэша паролей с облачной проверкой подлинности высокодоступна как облачная служба, масштабируемая до всех центров обработки данных Майкрософт. Чтобы убедиться, что синхронизация хэша паролей не завершается в течение длительных периодов, разверните второй сервер Microsoft Entra Connect в промежуточном режиме в резервной конфигурации.

• Рекомендации. В настоящее время синхронизация хэша паролей не немедленно применяет изменения в состояниях локальной учетной записи. В этой ситуации пользователь имеет доступ к облачным приложениям, пока состояние учетной записи пользователя не будет синхронизировано с идентификатором Microsoft Entra. Организациям может потребоваться преодолеть это ограничение, выполнив новый цикл синхронизации после того, как администраторы выполняют массовые обновления для локальных состояний учетной записи пользователя. Пример отключения учетных записей.

Заметка

Срок действия пароля истек и состояния блокировки учетной записи в настоящее время не синхронизируются с идентификатором Microsoft Entra Connect. Когда вы изменяете пароль пользователя и задаете пароль при следующем флаге входа , хэш паролей не будет синхронизирован с идентификатором Microsoft Entra Connect с Microsoft Entra Connect, пока пользователь не изменит свой пароль.

Ознакомьтесь с реализацией синхронизации хэша паролей для шагов развертывания.

Облачная проверка подлинности: сквозная проверка подлинности

• Усилия. Для сквозной проверки подлинности вам потребуется один или несколько (мы рекомендуем) упрощенных агентов, установленных на существующих серверах. Эти агенты должны иметь доступ к вашим локальная служба Active Directory доменным службам, включая локальные контроллеры домена AD. Им нужен исходящий доступ к Интернету и доступ к контроллерам домена. По этой причине не поддерживается развертывание агентов в сети периметра.

  Для сквозной проверки подлинности требуется неограниченный сетевой доступ к контроллерам домена. Весь сетевой трафик шифруется и ограничивается запросами проверки подлинности. Дополнительные сведения об этом процессе см. в подробном руководстве по безопасности для сквозной проверки подлинности.

• Взаимодействие с пользователем. Чтобы улучшить возможности входа пользователей, используйте устройства, присоединенные к Microsoft Entra, или гибридные устройства, присоединенные к Microsoft Entra. Если вы не можете присоединить устройства Windows к идентификатору Microsoft Entra ID, рекомендуется развернуть простой единый вход с синхронизацией хэша паролей. Простой единый вход устраняет ненужные запросы при входе пользователей.

• Расширенные сценарии. Сквозная проверка подлинности применяет политику локальной учетной записи во время входа. Например, доступ запрещен, если состояние учетной записи локального пользователя отключено, заблокировано или срок действия пароля истекает или попытка входа выходит за пределы часов, когда пользователь может войти.

  Организации, требующие многофакторной проверки подлинности с сквозной проверкой подлинности, должны использовать многофакторную проверку подлинности Microsoft Entra или пользовательские элементы управления условного доступа. Эти организации не могут использовать сторонний или локальный метод многофакторной проверки подлинности, основанный на федерации. Дополнительные функции требуют, чтобы синхронизация хэша паролей развертывалась независимо от того, выбираете ли вы сквозную проверку подлинности. Примером является утечка учетных данных обнаружения Защита идентификации Microsoft Entra.

• Непрерывность бизнес-процессов. Рекомендуется развернуть два дополнительных агента сквозной проверки подлинности. Эти дополнительные компоненты в дополнение к первому агенту на сервере Microsoft Entra Connect. Это другое развертывание обеспечивает высокий уровень доступности запросов проверки подлинности. При развертывании трех агентов один агент по-прежнему может завершиться сбоем, если другой агент отключен для обслуживания.

  Существует еще одно преимущество для развертывания синхронизации хэша паролей в дополнение к сквозной проверке подлинности. Он выступает в качестве метода резервной проверки подлинности, когда основной метод проверки подлинности больше недоступен.

• Рекомендации. Синхронизацию хэша паролей можно использовать в качестве метода проверки подлинности резервного копирования для сквозной проверки подлинности, когда агенты не могут проверить учетные данные пользователя из-за значительного локального сбоя. Отработка отказа на синхронизацию хэша паролей не происходит автоматически, и для переключения метода входа вручную необходимо использовать Microsoft Entra Connect.

  Дополнительные сведения о сквозной проверке подлинности, включая поддержку альтернативного идентификатора, см . часто задаваемые вопросы.

Ознакомьтесь с реализацией сквозной проверки подлинности для шагов развертывания.

Федеративная проверка подлинности

• Усилия. Федеративная система проверки подлинности использует внешнюю надежную систему для проверки подлинности пользователей. Некоторые компании хотят повторно использовать свои существующие федеративные системные инвестиции с их решением гибридного удостоверения Microsoft Entra. Обслуживание и управление федеративной системой выходит за пределы контроля идентификатора Microsoft Entra. Это до организации с помощью федеративной системы, чтобы убедиться, что она развернута безопасно и может обрабатывать нагрузку проверки подлинности.

• Взаимодействие с пользователем. Взаимодействие с федеративной проверкой подлинности зависит от реализации функций, топологии и конфигурации фермы федерации. Некоторые организации нуждаются в такой гибкости для адаптации и настройки доступа к ферме федерации в соответствии с требованиями к безопасности. Например, можно настроить внутренние подключенные пользователи и устройства для автоматического входа пользователей без запроса учетных данных. Эта конфигурация работает, так как они уже вошли на свои устройства. При необходимости некоторые расширенные функции безопасности упрощают процесс входа пользователей.

• Расширенные сценарии. Федеративное решение проверки подлинности требуется, если у клиентов есть требование проверки подлинности, что идентификатор Microsoft Entra не поддерживается в собственном коде. Подробные сведения помогут вам выбрать правильный вариант входа. Рассмотрим следующие распространенные требования:

  • Сторонние многофакторные поставщики, требующие федеративного поставщика удостоверений.
  • Проверка подлинности с помощью сторонних решений проверки подлинности. См. список совместимости федерации Microsoft Entra.
  • Для входа требуется sAMAccountName, например DOMAIN\username, вместо имени участника-пользователя (UPN), например user@domain.com.

• Непрерывность бизнес-процессов. Федеративные системы обычно требуют балансировки нагрузки массива серверов, известных как ферма. Эта ферма настроена во внутренней сети и топологии сети периметра, чтобы обеспечить высокий уровень доступности запросов проверки подлинности.

  Разверните синхронизацию хэша паролей вместе с федеративной проверкой подлинности в качестве метода резервной проверки подлинности, когда основной метод проверки подлинности больше недоступен. Пример заключается в том, что локальные серверы недоступны. Для некоторых крупных корпоративных организаций требуется решение федерации для поддержки нескольких точек входящего трафика Интернета, настроенных с помощью гео-DNS для запросов проверки подлинности с низкой задержкой.

• Рекомендации. Федеративные системы обычно требуют более значительных инвестиций в локальную инфраструктуру. Большинство организаций выбирают этот вариант, если у них уже есть инвестиции в локальную федерацию. И если это строгое бизнес-требование для использования единого поставщика удостоверений. Федерация сложнее работать и устранять неполадки по сравнению с облачными решениями проверки подлинности.

Для неизменяемого домена, который не может быть проверен в идентификаторе Microsoft Entra, требуется дополнительная конфигурация для реализации входа в систему идентификатора пользователя. Это требование называется поддержкой альтернативного идентификатора входа. Дополнительные сведения о настройке идентификатора входа см. в разделе "Настройка альтернативного идентификатора входа" для ограничений и требований. Если вы решили использовать стороннего поставщика многофакторной проверки подлинности с федерацией, убедитесь, что поставщик поддерживает WS-Trust, чтобы разрешить устройствам присоединиться к идентификатору Microsoft Entra.

Сведения о развертывании серверов федерации см. в разделе "Развертывание серверов федерации" для шагов развертывания.

Заметка

При развертывании решения гибридного удостоверения Microsoft Entra необходимо реализовать одну из поддерживаемых топологий Microsoft Entra Connect. Дополнительные сведения о поддерживаемых и неподдерживаемых конфигурациях см. в топологиях Microsoft Entra Connect.

Схемы архитектуры

На следующих схемах описаны компоненты архитектуры высокого уровня, необходимые для каждого метода проверки подлинности, которые можно использовать с решением гибридного удостоверения Microsoft Entra. Они предоставляют обзор для сравнения различий между решениями.

• Простота решения синхронизации хэша паролей:

  

• Требования агента к сквозной проверке подлинности с помощью двух агентов для избыточности:

  

• Компоненты, необходимые для федерации в периметре и внутренней сети вашей организации:

  

Сравнение методов

Рассмотрение	Синхронизация хэша паролей	Сквозная проверка подлинности	Федерация с AD FS
Где происходит проверка подлинности?	В облаке	В облаке после безопасной проверки пароля с локальным агентом проверки подлинности	Локальная среда
Каковы требования к локальному серверу за пределами системы подготовки: Microsoft Entra Connect?	Никакой	Один сервер для каждого дополнительного агента проверки подлинности	Два или более серверов AD FS Два или более WAP-серверов в сети периметра или dmZ
Каковы требования к локальному Интернету и сети за пределами системы подготовки?	Никакой	Исходящий доступ к Интернету с серверов, на которых выполняются агенты проверки подлинности	Входящий доступ к Интернету к серверам WAP в периметре Входящий сетевой доступ к серверам AD FS с серверов WAP в периметре Балансировка нагрузки сети
Требуется ли сертификат TLS/SSL?	Нет	Нет	Да
Существует ли решение для мониторинга работоспособности?	Не требуется	Состояние агента, предоставленное Центром администрирования Microsoft Entra	Microsoft Entra Connect Health
Пользователи получают единый вход в облачные ресурсы с присоединенных к домену устройств в корпоративной сети?	Да с устройствами, присоединенными к Microsoft Entra, гибридными устройствами Microsoft Entra, подключаемым модулем единого входа Microsoft Enterprise для устройств Apple или простым единым входом	Да с устройствами, присоединенными к Microsoft Entra, гибридными устройствами Microsoft Entra, подключаемым модулем единого входа Microsoft Enterprise для устройств Apple или простым единым входом	Да
Какие типы входа поддерживаются?	UserPrincipalName + пароль Встроенная проверка подлинности Windows с помощью простого единого входа Альтернативный идентификатор входа Устройства, присоединенные к Microsoft Entra Гибридные устройства, присоединенные к Microsoft Entra Проверка подлинности сертификатов и смарт-карт	UserPrincipalName + пароль Встроенная проверка подлинности Windows с помощью простого единого входа Альтернативный идентификатор входа Устройства, присоединенные к Microsoft Entra Гибридные устройства, присоединенные к Microsoft Entra Проверка подлинности сертификатов и смарт-карт	UserPrincipalName + пароль sAMAccountName + пароль Встроенная проверка подлинности Windows Проверка подлинности сертификатов и смарт-карт Альтернативный идентификатор входа
Поддерживается ли Windows Hello для бизнеса?	Модель доверия ключей Гибридное доверие к облаку	Модель доверия ключей Гибридное доверие к облаку Для обоих требуется функциональный уровень домена Windows Server 2016	Модель доверия ключей Гибридное доверие к облаку Модель доверия сертификатов
Каковы параметры многофакторной проверки подлинности?	Многофакторная проверка подлинности Microsoft Entra Пользовательские элементы управления с условным доступом*	Многофакторная проверка подлинности Microsoft Entra Пользовательские элементы управления с условным доступом*	Многофакторная проверка подлинности Microsoft Entra Сторонняя MFA Пользовательские элементы управления с условным доступом*
Какие состояния учетной записи пользователя поддерживаются?	Отключенные учетные записи (до 30-минутной задержки)	Отключенные учетные записи Учетная запись заблокирована Истек срок действия учетной записи Срок действия пароля истек Часы входа	Отключенные учетные записи Учетная запись заблокирована Истек срок действия учетной записи Срок действия пароля истек Часы входа
Каковы параметры условного доступа?	Условный доступ Microsoft Entra с идентификатором Microsoft Entra P1 или P2	Условный доступ Microsoft Entra с идентификатором Microsoft Entra P1 или P2	Условный доступ Microsoft Entra с идентификатором Microsoft Entra P1 или P2 Правила утверждений AD FS
Поддерживается ли блокировка устаревших протоколов?	Да	Да	Да
Можно ли настроить логотип, изображение и описание на страницах входа?	Да, с идентификатором Microsoft Entra ID P1 или P2	Да, с идентификатором Microsoft Entra ID P1 или P2	Да
Какие расширенные сценарии поддерживаются?	Блокировка смарт-паролей Отчеты об утечке учетных данных с идентификатором Microsoft Entra ID P2	Блокировка смарт-паролей	Многосайтовая система проверки подлинности с низкой задержкой Блокировка экстрасети AD FS Интеграция с сторонними системами удостоверений

Заметка

Пользовательские элементы управления в условном доступе Microsoft Entra в настоящее время не поддерживают регистрацию устройств.

Рекомендации

Система удостоверений обеспечивает доступ пользователей к приложениям, которые вы переносите и делаете доступными в облаке. Используйте или включите синхронизацию хэша паролей с любым используемым методом проверки подлинности по следующим причинам:

1. Высокий уровень доступности и аварийное восстановление. Сквозная проверка подлинности и федерация зависят от локальной инфраструктуры. Для сквозной проверки подлинности локальный объем ресурсов включает оборудование сервера и сеть, необходимые для агентов сквозной проверки подлинности. Для федерации локальный объем ресурсов еще больше. Для этого требуются серверы в сети периметра для запросов проверки подлинности прокси-сервера и внутренних серверов федерации.

   Чтобы избежать отдельных точек сбоя, разверните избыточные серверы. После этого запросы проверки подлинности всегда будут обслуживаться, если какой-либо компонент завершается сбоем. Сквозная проверка подлинности и федерация также используют контроллеры домена для реагирования на запросы проверки подлинности, которые также могут завершиться ошибкой. Многие из этих компонентов должны поддерживать работоспособность. Сбои, скорее всего, когда обслуживание не планируется и реализовано правильно.

2. Выживаемость локальных сбоев. Последствия локального сбоя из-за кибератаки или катастрофы могут быть существенными, начиная от репутационного ущерба бренда парализованной организации, не в состоянии справиться с нападением. В последнее время многие организации были жертвами атак вредоносных программ, в том числе целевых программ-шантажистов, что привело к снижению их локальных серверов. Когда корпорация Майкрософт помогает клиентам справиться с этими типами атак, она видит две категории организаций:

   • Организации, которые ранее также включили синхронизацию хэша паролей на основе федеративной или сквозной проверки подлинности, изменили свой основной метод проверки подлинности, чтобы затем использовать синхронизацию хэша паролей. Они вернулись в интернет в течение нескольких часов. Используя доступ к электронной почте через Microsoft 365, они работали над решением проблем и доступом к другим облачным рабочим нагрузкам.

   • Организациям, которые ранее не включили синхронизацию хэша паролей, пришлось прибегнуть к ненадежным внешним системам электронной почты потребителей для устранения проблем. В этих случаях потребовалось несколько недель, чтобы восстановить локальную инфраструктуру удостоверений, прежде чем пользователи смогли снова войти в облачные приложения.

3. Защита идентификаторов. Одним из лучших способов защиты пользователей в облаке является Защита идентификации Microsoft Entra с идентификатором Microsoft Entra ID P2. Корпорация Майкрософт постоянно сканирует Интернет для списков пользователей и паролей, которые плохие субъекты продают и делают доступными в темной сети. Идентификатор Microsoft Entra может использовать эти сведения для проверки того, скомпрометируются ли какие-либо имена пользователей и пароли в вашей организации. Поэтому важно включить синхронизацию хэша паролей независимо от используемого метода проверки подлинности, будь то федеративная или сквозная проверка подлинности. Утечка учетных данных представлена в виде отчета. Используйте эти сведения для блокировки или принудительного изменения паролей пользователей при попытке входа с утечкой паролей.

Заключение

В этой статье описаны различные варианты проверки подлинности, которые организации могут настроить и развернуть для поддержки доступа к облачным приложениям. Для удовлетворения различных бизнес-требований, безопасности и технических требований организации могут выбирать между синхронизацией хэша паролей, сквозной проверкой подлинности и федерацией.

Рассмотрим каждый метод проверки подлинности. Выполняет ли усилия по развертыванию решения и взаимодействие пользователя с процессом входа в систему в соответствии с вашими бизнес-требованиями? Оцените, требуется ли вашей организации расширенные сценарии и функции непрерывности бизнес-процессов каждого метода проверки подлинности. Наконец, оцените рекомендации по каждому методу проверки подлинности. Кто-нибудь из них не позволит вам реализовать свой выбор?

Дальнейшие действия

В современном мире угрозы присутствуют 24 часа в день и приходят из разных стран. Реализуйте правильный метод проверки подлинности, и это приведет к снижению рисков безопасности и защите удостоверений.

Начните работу с идентификатором Microsoft Entra и разверните подходящее решение проверки подлинности для вашей организации.

Если вы думаете о миграции из федеративной в облачную проверку подлинности, узнайте больше об изменении метода входа. Чтобы спланировать и реализовать миграцию, используйте эти планы развертывания проекта или рассмотрите возможность использования новой функции поэтапного развертывания для переноса федеративных пользователей на использование облачной проверки подлинности в поэтапном подходе.