Microsoft Entra passthrough-verificatie: veelgestelde vragen

Bekijk deze handleiding voor een vergelijking van de verschillende aanmeldingsmethoden van Microsoft Entra en hoe u de juiste aanmeldingsmethode voor uw organisatie kiest.

PassThrough-verificatie is een gratis functie. U hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.

Ja. Alle mogelijkheden voor voorwaardelijke toegang , waaronder meervoudige verificatie van Microsoft Entra, werken met passthrough-verificatie.

Ja, zowel passthrough-verificatie (PTA) als wachtwoord-hashsynchronisatie (PHS) ondersteunen aanmelding met behulp van een niet-UPN-waarde, zoals een alternatieve e-mail. Voor meer informatie over alternatieve aanmeldings-id.

Nee PassThrough-verificatie voert niet automatisch een failover uit naar wachtwoord-hashsynchronisatie. Als u aanmeldingsfouten van gebruikers wilt voorkomen, moet u Pass Through-verificatie configureren voor hoge beschikbaarheid.

Wanneer u Microsoft Entra Verbinding maken gebruikt om de aanmeldingsmethode over te schakelen van wachtwoord-hashsynchronisatie naar PassThrough-verificatie, wordt Passthrough-verificatie de primaire aanmeldingsmethode voor uw gebruikers in beheerde domeinen. Alle wachtwoordhashes van gebruikers die eerder zijn gesynchroniseerd door wachtwoord-hashsynchronisatie, blijven opgeslagen op Microsoft Entra-id.

Ja. De hernoemde versies van de passthrough-verificatieagent, versie 1.5.193.0 of hoger, ondersteunen deze configuratie.

Deze functie werkt alleen als u versie 1.1.750.0 of hoger nodig hebt voor Microsoft Entra Verbinding maken en 1.5.193.0 of hoger voor de passthrough-verificatieagent. Installeer alle software op servers met Windows Server 2012 R2 of hoger.

Dit kan worden veroorzaakt doordat de updater-service niet goed werkt of als er geen nieuwe updates beschikbaar zijn die door de service kunnen worden geïnstalleerd. De updaterservice is in orde als deze wordt uitgevoerd en er geen fouten zijn vastgelegd in het gebeurtenislogboek (toepassingen en services-logboeken - Microsoft ->> AzureAD Verbinding maken-Agent -> Updater -> Beheer).

Alleen primaire versies worden uitgebracht voor automatische upgrade. U wordt aangeraden uw agent alleen handmatig bij te werken als dit nodig is. U kunt bijvoorbeeld niet wachten op een grote release, omdat u een bekend probleem moet oplossen of u een nieuwe functie wilt gebruiken. Voor meer informatie over nieuwe releases, het type release (downloaden, automatisch upgraden), opgeloste fouten en nieuwe functies, zie Microsoft Entra passthrough-verificatieagent: versiereleasegeschiedenis.

Een connector handmatig bijwerken:

• Download de nieuwste versie van de agent. (U vindt deze onder Microsoft Entra Verbinding maken Pass Through-verificatie in het Microsoft Entra-beheercentrum. U kunt de koppeling ook vinden op passthrough-verificatie van Microsoft Entra: versiereleasegeschiedenis.
• Het installatieprogramma start de Microsoft Entra Verbinding maken Authentication Agent-services opnieuw op. In sommige gevallen is het opnieuw opstarten van de server vereist als het installatieprogramma niet alle bestanden kan vervangen. Daarom raden we u aan alle toepassingen te sluiten, Logboeken voordat u de upgrade start.
• Voer het installatieprogramma uit. Het upgradeproces is snel en vereist geen referenties en de agent wordt niet opnieuw geregistreerd.

Als u wachtwoord terugschrijven hebt geconfigureerd voor een specifieke gebruiker en als de gebruiker zich aanmeldt met passthrough-verificatie, kan deze de wachtwoorden wijzigen of opnieuw instellen. De wachtwoorden worden zoals verwacht teruggeschreven naar on-premises Active Directory.

Als u wachtwoord terugschrijven niet hebt geconfigureerd voor een specifieke gebruiker of als aan de gebruiker geen geldige Microsoft Entra ID-licentie is toegewezen, kan de gebruiker het wachtwoord niet bijwerken in de cloud. Ze kunnen hun wachtwoord niet bijwerken, zelfs niet als hun wachtwoord is verlopen. De gebruiker ziet in plaats daarvan dit bericht: 'Uw organisatie staat u niet toe uw wachtwoord op deze site bij te werken. Werk deze bij volgens de methode die door uw organisatie wordt aanbevolen of vraag uw beheerder of u hulp nodig hebt." De gebruiker of de beheerder moet het wachtwoord opnieuw instellen in on-premises Active Directory.

Het verlopen van het wachtwoord activeert geen intrekking van verificatietokens of cookies. Totdat de tokens of cookies geldig zijn, kan de gebruiker deze gebruiken. Dit geldt ongeacht het verificatietype (PTA, PHS en federatieve scenario's).

Raadpleeg de onderstaande documentatie voor meer informatie:

Toegangstokens voor Microsoft Identity Platform - Microsoft Identity Platform | Microsoft Docs

Lees informatie over Smart Lockout.

• De verificatieagenten doen HTTPS-aanvragen via poort 443 voor alle functiebewerkingen.

• De verificatieagenten doen HTTP-aanvragen via poort 80 om de TLS/SSL-certificaatintrekkingslijsten (CRL's) te downloaden.

  Notitie

  Recente updates hebben het aantal poorten dat nodig is voor de functie verminderd. Als u oudere versies van Microsoft Entra Verbinding maken of de verificatieagent hebt, houdt u deze poorten ook open: 5671, 8080, 9090, 9091, 9350, 9352 en 10100-10120.

Ja. Als Automatische detectie van webproxy (WPAD) is ingeschakeld in uw on-premises omgeving, proberen verificatieagenten automatisch een webproxyserver in het netwerk te zoeken en te gebruiken. Zie Werken met bestaande on-premises proxyservers voor meer informatie over het gebruik van de uitgaande proxyserver.

Als u geen WPAD in uw omgeving hebt, kunt u proxygegevens (zoals hieronder weergegeven) toevoegen om een passthrough-verificatieagent te laten communiceren met Microsoft Entra-id:

• Configureer proxygegevens in Internet Explorer voordat u de passthrough-verificatieagent op de server installeert. Hiermee kunt u de installatie van de verificatieagent voltooien, maar deze wordt nog steeds weergegeven als Inactief in de Beheer-portal.
• Navigeer op de server naar C:\Program Files\Microsoft Azure AD Verbinding maken Authentication Agent.
• Bewerk het configuratiebestand 'AzureAD Verbinding maken AuthenticationAgentService' en voeg de volgende regels toe (vervang 'http://contosoproxy.com:8080" met uw werkelijke proxyadres):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Nee, u kunt slechts één passthrough-verificatieagent op één server installeren. Als u passthrough-verificatie wilt configureren voor hoge beschikbaarheid, volgt u de instructies hier.

De communicatie tussen elke passthrough-verificatieagent en Microsoft Entra-id wordt beveiligd met behulp van verificatie op basis van certificaten. Deze certificaten worden elke paar maanden automatisch vernieuwd door Microsoft Entra ID. U hoeft deze certificaten niet handmatig te vernieuwen. U kunt oudere verlopen certificaten naar behoefte opschonen.

Zolang er een passthrough-verificatieagent wordt uitgevoerd, blijft deze actief en worden aanvragen voor gebruikersaanmelding voortdurend verwerkt. Als u een verificatieagent wilt verwijderen, gaat u naar Configuratiescherm - Programma's ->> Programma's en onderdelen en verwijdert u zowel de Microsoft Entra Verbinding maken Authentication Agent als de Microsoft Entra Verbinding maken Agent Updater-programma's.

Als u de blade PassThrough-verificatie in het Microsoft Entra-beheercentrum controleert als ten minste een hybride identiteit Beheer istrator. Nadat u de vorige stap hebt voltooid, ziet u dat de verificatieagent wordt weergegeven als Inactief. Dit is normaal gedrag. De verificatieagent wordt na tien dagen automatisch uit de lijst verwijderd.

Als u migreert van AD FS (of andere federatietechnologieën) naar passthrough-verificatie, raden we u ten zeerste aan onze snelstartgids te volgen.

Ja. Omgevingen met meerdere forests worden ondersteund als er forestvertrouwensrelaties zijn (in twee richtingen) tussen uw Active Directory-forests en als routering van naamachtervoegsels juist is geconfigureerd.

Nee, het installeren van meerdere passthrough-verificatieagents zorgt alleen voor hoge beschikbaarheid. Het biedt geen deterministische taakverdeling tussen de verificatieagenten. Elke verificatieagent (willekeurig) kan een bepaalde aanmeldingsaanvraag van een gebruiker verwerken.

Het installeren van meerdere passthrough-verificatieagents zorgt voor hoge beschikbaarheid. Maar het biedt geen deterministische taakverdeling tussen de verificatieagents.

Houd rekening met de piek- en gemiddelde belasting van aanmeldingsaanvragen die u verwacht te zien in uw tenant. Als benchmark kan één verificatieagent 300 tot 400 verificaties per seconde verwerken op een standaard 4-core CPU, 16 GB RAM-server.

Als u netwerkverkeer wilt schatten, gebruikt u de volgende richtlijnen voor het aanpassen van de grootte:

• Elke aanvraag heeft een nettoladinggrootte van (0,5K + 1K * num_of_agents) bytes; Dat wil gezegd, gegevens van Microsoft Entra-id naar de verificatieagent. Hier geeft 'num_of_agents' het aantal verificatieagenten aan dat is geregistreerd op uw tenant.
• Elk antwoord heeft een nettoladinggrootte van 1K bytes; Dat wil gezegd, gegevens van de verificatieagent naar Microsoft Entra-id.

Voor de meeste klanten zijn twee of drie verificatieagenten in totaal voldoende voor hoge beschikbaarheid en capaciteit. In productieomgevingen raden we u echter aan minimaal 3 verificatieagents uit te voeren op uw tenant. Installeer verificatieagents dicht bij uw domeincontrollers om de aanmeldingslatentie te verbeteren.

Het is raadzaam passthrough-verificatie in of uit te schakelen met behulp van een globaal Beheer istrator-account in de cloud. Meer informatie over het toevoegen van een alleen-cloud account voor globale beheerders. Op deze manier zorgt u ervoor dat uw tenant niet wordt vergrendeld.

Voer de wizard Microsoft Entra Verbinding maken opnieuw uit en wijzig de aanmeldingsmethode van passthrough-verificatie in een andere methode. Met deze wijziging wordt passthrough-verificatie op de tenant uitgeschakeld en wordt de verificatieagent van de server verwijderd. U moet de verificatieagents handmatig verwijderen van de andere servers.

Als u een passthrough-verificatieagent van een server verwijdert, wordt de server gestopt met het accepteren van aanmeldingsaanvragen. Zorg ervoor dat er een andere verificatieagent actief is voordat u een passthrough-verificatieagent verwijdert om te voorkomen dat de gebruikers in uw tenant zich niet meer kunnen aanmelden.

Onder de volgende omstandigheden worden uw on-premises UPN-wijzigingen mogelijk niet gesynchroniseerd als:

• Uw Microsoft Entra-tenant is gemaakt vóór 15 juni 2015.
• U bent in eerste instantie gefedereerd met uw Microsoft Entra-tenant met AD FS voor verificatie.
• U bent overgestapt op het gebruik van beheerde gebruikers met PTA als verificatie.

Dit komt doordat het standaardgedrag van tenants die vóór 15 juni 2015 zijn gemaakt, upn-wijzigingen blokkeert. Als u UPN-wijzigingen wilt blokkeren, moet u de volgende PowerShell-cmdlet uitvoeren. Haal de id op met behulp van de cmdlet Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Tenants die zijn gemaakt na 15 juni 2015 het standaardgedrag hebben om UPN-wijzigingen te synchroniseren.

Controleren welke lokale server of verificatieagent is gebruikt voor een specifieke aanmeldingsgebeurtenis:

1. Ga in het Microsoft Entra-beheercentrum naar de aanmeldingsgebeurtenis.

2. Selecteer Verificatiedetails. In de kolom Detail van de verificatiemethode worden de details van de agent-id weergegeven in de notatie PassThrough-verificatie; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Als u agent-id-gegevens wilt ophalen voor de agent die op uw lokale server is geïnstalleerd, meldt u zich aan bij uw lokale server en voert u de volgende cmdlet uit:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   De GUID-waarde die wordt geretourneerd, is de agent-id van de verificatieagent die op die specifieke server is geïnstalleerd. Als u meerdere agents in uw omgeving hebt, kunt u deze cmdlet uitvoeren op elke agentserver en de agent-id-gegevens vastleggen.

4. Correeer de agent-id die u krijgt van de lokale server en uit de aanmeldingslogboeken van Microsoft Entra om te controleren welke agent of server de aanmeldingsaanvraag heeft bevestigd.

Volgende stappen

• Huidige beperkingen: meer informatie over de scenario's die worden ondersteund en de scenario's die niet worden ondersteund.
• Snel aan de slag: Aan de slag met Pass Through-verificatie van Microsoft Entra.
• Migreer uw apps naar Microsoft Entra ID: bronnen om u te helpen bij het migreren van toepassingstoegang en -verificatie naar Microsoft Entra-id.
• Smart Lockout: informatie over het configureren van de functie Smart Lockout op uw tenant om gebruikersaccounts te beveiligen.
• Technische informatie: inzicht in de werking van de passthrough-verificatiefunctie.
• Probleemoplossing: Leer hoe u veelvoorkomende problemen met de functie Passthrough-verificatie oplost.
• Uitgebreide informatie over beveiliging: krijg uitgebreide technische informatie over de functie passthrough-verificatie.
• Hybride deelname van Microsoft Entra: configureer de hybride deelnamemogelijkheid van Microsoft Entra in uw tenant voor eenmalige aanmelding in uw cloud en on-premises resources.
• Naadloze eenmalige aanmelding van Microsoft Entra: meer informatie over deze aanvullende functie.
• UserVoice: gebruik het Microsoft Entra-forum om nieuwe functieaanvragen in te voeren.