Сквозная проверка подлинности Microsoft Entra: часто задаваемые вопросы

Ознакомьтесь с этим руководством , чтобы сравнить различные методы входа Microsoft Entra и как выбрать правильный метод входа в вашу организацию.

Сквозная проверка подлинности — это бесплатная функция. Вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.

Да. Все возможности условного доступа , включая многофакторную проверку подлинности Microsoft Entra, работают с сквозной проверкой подлинности.

Да, как сквозная проверка подлинности (PTA), так и синхронизация хэша паролей (PHS) поддерживают вход с использованием значения, отличного от имени участника-пользователя, например альтернативного сообщения электронной почты. Дополнительные сведения о альтернативном идентификаторе входа.

Нет. Сквозная проверка подлинности не выполняет автоматическую отработку отказа на синхронизацию хэша паролей. Чтобы избежать сбоев входа пользователей, следует настроить сквозную проверку подлинности для обеспечения высокой доступности.

При использовании Microsoft Entra Connect для переключения метода входа с синхронизации хэша паролей на сквозную проверку подлинности сквозная проверка подлинности становится основным методом входа для пользователей в управляемых доменах. Хэши паролей всех пользователей, ранее синхронизированные синхронизацией хэша паролей, сохраняются в идентификаторе Microsoft Entra.

Да. Ребрендированные версии агента сквозной проверки подлинности версии 1.5.193.0 или более поздней версии поддерживают эту конфигурацию.

Для работы этой функции требуется версия 1.1.750.0 или более поздней для Microsoft Entra Connect и 1.5.193.0 или более поздней версии для агента сквозной проверки подлинности. Установите все программное обеспечение на серверах с Windows Server 2012 R2 или более поздней версии.

Это может произойти из-за неправильной работы службы обновления или отсутствия новых обновлений, которые служба может установить. Служба обновления работает, если она запущена, и в журнале событий отсутствуют ошибки (журналы приложений и служб — Microsoft ->> AzureADConnect-Agent —> Updater —> Admin).

Для автоматического обновления выпускаются только основные версии. Мы рекомендуем вручную обновить агент только в том случае, если это необходимо. Например, вы не можете ждать основного выпуска, так как необходимо устранить известную проблему или использовать новую функцию. Дополнительные сведения о новых выпусках, тип выпуска (скачивание, автоматическое обновление), исправления ошибок и новые функции см. в разделе агента сквозной проверки подлинности Microsoft Entra: журнал выпусков версий.

Чтобы вручную обновить соединитель, выполните следующее:

• Скачайте последнюю версию агента. (Вы найдете его в разделе Microsoft Entra Connect Сквозная проверка подлинности на портале Microsoft Entra ConnectЦентр администрирования Microsoft Entra. Вы также можете найти ссылку на сквозную проверку подлинности Microsoft Entra: журнал выпуска версий.
• Установщик перезапускает службы агента проверки подлинности Microsoft Entra Connect. В некоторых случаях перезагрузка сервера требуется, если установщик не может заменить все файлы. Перед началом обновления рекомендуется закрыть все приложения.
• Запустите установщик. Процесс обновления быстро и не требует предоставления учетных данных, а агент не будет повторно зарегистрирован.

Если вы настроили обратную запись паролей для определенного пользователя, а если пользователь входит с помощью сквозной проверки подлинности, он может изменить или сбросить пароли. Пароли записываются обратно в локальная служба Active Directory, как ожидалось.

Если вы не настроили обратную запись паролей для определенного пользователя или если у пользователя нет допустимой лицензии на идентификатор Microsoft Entra ID, пользователь не сможет обновить свой пароль в облаке. Они не могут обновить свой пароль, даже если срок действия пароля истек. Вместо этого пользователь увидит следующее сообщение: "Ваша организация не позволяет обновлять пароль на этом сайте. Обновите его в соответствии с методом, рекомендованным вашей организацией, или попросите администратора, если вам нужна помощь". Пользователь или администратор должны сбросить пароль в локальная служба Active Directory.

Срок действия пароля не запускает отзыв маркеров проверки подлинности или файлов cookie. Пока маркеры или файлы cookie не будут действительны, пользователь сможет использовать их. Это применяется независимо от типа проверки подлинности (PTA, PHS и федеративных сценариев).

Дополнительные сведения см. в следующей документации:

маркеры доступа платформа удостоверений Майкрософт — платформа удостоверений Майкрософт | Документация Майкрософт

Ознакомьтесь с сведениями о Smart Lockout.

• Агенты проверки подлинности выполняют HTTPS-запросы через порт 443 для всех операций функций.

• Агенты проверки подлинности выполняют HTTP-запросы через порт 80, чтобы скачать списки отзыва TLS/SSL-сертификатов (CRLS).

  Заметка

  Последние обновления сократили количество портов, необходимых компоненту. Если у вас есть более старые версии Microsoft Entra Connect или агента проверки подлинности, сохраните эти порты открытыми, а также: 5671, 8080, 9090, 9350, 9352 и 10100-10120.

Да. Если функция автоматического обнаружения веб-прокси (WPAD) включена в локальной среде, агенты проверки подлинности автоматически пытаются найти и использовать веб-прокси-сервер в сети. Дополнительные сведения об использовании исходящего прокси-сервера см. в статье "Работа с существующими локальными прокси-серверами".

Если у вас нет WPAD в вашей среде, можно добавить сведения о прокси-сервере (как показано ниже), чтобы разрешить агенту сквозной проверки подлинности взаимодействовать с идентификатором Microsoft Entra:

• Настройте сведения о прокси-сервере в Internet Explorer перед установкой агента сквозной проверки подлинности на сервере. Это позволяет завершить установку агента проверки подлинности, но она по-прежнему будет отображаться как неактивная на портале администрирования.
• На сервере перейдите в раздел "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
• Измените файл конфигурации AzureADConnectAuthenticationAgentService и добавьте следующие строки (замените "http://contosoproxy.com:8080" с фактическим адресом прокси-сервера):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Нет, на одном сервере можно установить только один агент сквозной проверки подлинности. Если вы хотите настроить сквозную проверку подлинности для обеспечения высокой доступности, следуйте инструкциям ниже.

Обмен данными между каждым агентом сквозной проверки подлинности и идентификатором Microsoft Entra обеспечивается с помощью проверки подлинности на основе сертификатов. Эти сертификаты автоматически обновляются каждые несколько месяцев идентификатором Microsoft Entra. Не нужно вручную обновлять эти сертификаты. По мере необходимости можно очистить старые сертификаты с истекшим сроком действия.

Пока агент сквозной проверки подлинности запущен, он остается активным и постоянно обрабатывает запросы на вход пользователей. Если вы хотите удалить агент проверки подлинности, перейдите к панель управления —>> программы и компоненты, а также удалите агент проверки подлинности Microsoft Entra Connect и программы обновления агента Microsoft Entra Connect.

Если вы проверьте колонку сквозной проверки подлинности в Центре администрирования Microsoft Entra по крайней мере гибридным администратором удостоверений. Агент проверки подлинности должен отображаться как неактивный. Это ожидается. Агент проверки подлинности автоматически удаляется из списка через 10 дней.

Если вы переносите AD FS (или другие технологии федерации) на сквозную проверку подлинности, настоятельно рекомендуем выполнить наше краткое руководство.

Да. Среды с несколькими лесами поддерживаются, если между лесами Active Directory имеются отношения доверия между лесами Active Directory и правильно настроена маршрутизация суффикса имен.

Нет, установка нескольких агентов сквозной проверки подлинности гарантирует только высокий уровень доступности. Она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности. Любой агент проверки подлинности (случайно) может обрабатывать конкретный запрос на вход пользователя.

Установка нескольких агентов сквозной проверки подлинности обеспечивает высокий уровень доступности. Но она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности.

Рассмотрим пиковую и среднюю нагрузку запросов на вход, которые вы ожидаете увидеть в клиенте. В качестве теста один агент проверки подлинности может обрабатывать 300 до 400 аутентификаций в секунду на стандартном 4-ядра ЦП, 16 ГБ ОЗУ сервера.

Чтобы оценить сетевой трафик, используйте следующее руководство по размеру:

• Каждый запрос имеет размер полезных данных (0,5K + 1K * num_of_agents) байт; то есть данные из идентификатора Microsoft Entra в агент проверки подлинности. Здесь "num_of_agents" указывает количество агентов проверки подлинности, зарегистрированных в клиенте.
• Каждый ответ имеет полезные данные размером 1 КБ; То есть данные агента проверки подлинности до идентификатора Microsoft Entra.

Для большинства клиентов достаточно двух или трех агентов проверки подлинности в общей сложности для обеспечения высокой доступности и емкости. Однако в рабочих средах рекомендуется использовать не менее 3 агентов проверки подлинности, работающих в клиенте. Чтобы повысить задержку входа, необходимо установить агенты проверки подлинности рядом с контроллерами домена.

Рекомендуется включить или отключить сквозную проверку подлинности с помощью учетной записи администратора гибридных удостоверений. Это гарантирует, что вы не заблокировались из вашего клиента. ]

Повторно запустите мастер Microsoft Entra Connect и измените метод входа пользователя с сквозной проверки подлинности на другой метод. Это изменение отключает сквозную проверку подлинности в клиенте и удаляет агент проверки подлинности с сервера. Необходимо вручную удалить агенты проверки подлинности с других серверов.

Если удалить агент сквозной проверки подлинности с сервера, сервер перестанет принимать запросы на вход. Чтобы избежать нарушения возможности входа пользователя в клиент, убедитесь, что у вас есть другой агент проверки подлинности перед удалением агента сквозной проверки подлинности.

В следующих случаях локальные изменения имени участника-службы могут не синхронизироваться, если:

• Клиент Microsoft Entra был создан до 15 июня 2015 г.
• Изначально вы были федеративны с клиентом Microsoft Entra с помощью AD FS для проверки подлинности.
• Вы переключились на использование управляемых пользователей с помощью PTA в качестве проверки подлинности.

Это связано с тем, что поведение клиентов, созданных по умолчанию до 15 июня 2015 года, было блокировать изменения имени участника-пользователя. Если вам нужно отменить блокировку изменений имени участника-службы, необходимо выполнить следующий командлет PowerShell. Получите идентификатор с помощью командлета Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Клиенты, созданные после 15 июня 2015 г., имеют поведение по умолчанию для синхронизации изменений имени участника-пользователя.

Чтобы проверить, какой локальный сервер или агент проверки подлинности использовался для определенного события входа:

1. В Центре администрирования Microsoft Entra перейдите к событию входа.

2. Выберите сведения о проверке подлинности. В столбце сведений о методе проверки подлинности сведения об идентификаторе агента отображаются в формате "Сквозная проверка подлинности; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

3. Чтобы получить сведения об идентификаторе агента, установленного на локальном сервере, войдите на локальный сервер и выполните следующий командлет:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Возвращаемое значение GUID — это идентификатор агента проверки подлинности, установленный на этом конкретном сервере. Если в среде несколько агентов, можно запустить этот командлет на каждом сервере агента и записать сведения об идентификаторе агента.

4. Сопоставляйте идентификатор агента, полученный с локального сервера, и из журналов входа Microsoft Entra, чтобы проверить, какой агент или сервер признал запрос на вход.

Дальнейшие действия

• Текущие ограничения: узнайте о поддерживаемых сценариях и тех, которые не поддерживаются.
• Краткое руководство. Получение и запуск сквозной проверки подлинности Microsoft Entra.
• Перенос приложений на идентификатор Microsoft Entra: ресурсы, которые помогут перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
• Smart Lockout: узнайте, как настроить функцию Smart Lockout в клиенте для защиты учетных записей пользователей.
• Технический подробный обзор. Общие сведения о том, как работает функция сквозной проверки подлинности.
• Устранение неполадок. Узнайте, как устранить распространенные проблемы с функцией сквозной проверки подлинности.
• Глубокое знакомство с безопасностью. Получение подробных технических сведений о функции сквозной проверки подлинности.
• Гибридное присоединение к Microsoft Entra: настройте возможность гибридного соединения Microsoft Entra в клиенте для единого входа в облаке и локальных ресурсах.
• Microsoft Entra простой единый вход: узнайте больше об этой дополнительной функции.
• UserVoice: используйте форум Microsoft Entra для отправки новых запросов функций.