Logowanie użytkownika przy użyciu uwierzytelniania przekazywanego usługi Microsoft Entra

Czym jest uwierzytelnianie przekazywane przez usługę Microsoft Entra?

Uwierzytelnianie przekazywane firmy Microsoft umożliwia użytkownikom logowanie się do aplikacji lokalnych i opartych na chmurze przy użyciu tych samych haseł. Ta funkcja zapewnia lepszą obsługę użytkowników (jedno hasło mniej do zapamiętania) i obniża koszty pomocy technicznej IT, zmniejszając prawdopodobieństwo tego, że użytkownik zapomni sposób logowania się. Gdy użytkownicy loguje się przy użyciu identyfikatora Microsoft Entra ID, ta funkcja weryfikuje hasła użytkowników bezpośrednio względem lokalna usługa Active Directory.

Ta funkcja jest alternatywą dla synchronizacji skrótów haseł firmy Microsoft Entra, która zapewnia taką samą korzyść z uwierzytelniania w chmurze dla organizacji. Jednak niektóre organizacje, które chcą wymusić zasady zabezpieczeń i haseł lokalna usługa Active Directory, mogą zamiast tego użyć uwierzytelniania przekazywanego. Zapoznaj się z tym przewodnikiem , aby zapoznać się z porównaniem różnych metod logowania firmy Microsoft Entra i sposobu wybierania właściwej metody logowania dla organizacji.

Uwierzytelnianie przekazywane można połączyć z funkcją bezproblemowego logowania jednokrotnego . Jeśli masz maszyny z systemem Windows 10 lub nowszym, użyj dołączania hybrydowego firmy Microsoft Entra (AADJ). W ten sposób, gdy użytkownicy uzyskują dostęp do aplikacji na swoich maszynach firmowych w sieci firmowej, nie muszą wpisywać haseł, aby się zalogować.

Najważniejsze korzyści wynikające z korzystania z uwierzytelniania przekazywanego firmy Microsoft

• Fantastyczne środowisko pracy użytkownika
  • Użytkownicy używają tych samych haseł, aby zalogować się zarówno do aplikacji lokalnych, jak i aplikacji w chmurze.
  • Użytkownicy poświęcają mniej czasu na rozmowę z pomocą techniczną IT w rozwiązywaniu problemów związanych z hasłami.
  • Użytkownicy mogą wykonywać samoobsługowe zadania zarządzania hasłami w chmurze.
• Łatwe wdrażanie i administrowanie
  • Nie ma potrzeby tworzenia złożonych wdrożeń lokalnych ani konfiguracji sieci.
  • Wymaga tylko uproszczonego agenta, który ma być zainstalowany lokalnie.
  • Brak nakładu pracy związanego z zarządzaniem. Agent automatycznie otrzymuje ulepszenia i poprawki błędów.
• Zabezpieczanie
  • Hasła lokalne nigdy nie są przechowywane w chmurze w żadnej formie.
  • Chroni konta użytkowników przez bezproblemową pracę z zasadami dostępu warunkowego firmy Microsoft Entra, w tym uwierzytelnianiem wieloskładnikowym (MFA), blokowaniem starszego uwierzytelniania i filtrowaniem ataków siłowych na hasła.
  • Agent wykonuje tylko połączenia wychodzące z sieci. W związku z tym nie ma potrzeby instalowania agenta w sieci obwodowej, nazywanej również strefą DMZ.
  • Komunikacja między agentem a identyfikatorem Entra firmy Microsoft jest zabezpieczona przy użyciu uwierzytelniania opartego na certyfikatach. Te certyfikaty są automatycznie odnawiane co kilka miesięcy przez identyfikator Entra firmy Microsoft.
• Wysoka dostępność
  • Dodatkowe agenty można zainstalować na wielu serwerach lokalnych, aby zapewnić wysoką dostępność żądań logowania.

Najważniejsze funkcje

• Obsługuje logowanie użytkowników do wszystkich aplikacji opartych na przeglądarce internetowej i w aplikacjach klienckich pakietu Microsoft Office korzystających z nowoczesnego uwierzytelniania.
• Nazwy użytkowników logowania mogą być lokalną domyślną nazwą użytkownika (userPrincipalName) lub innym atrybutem skonfigurowanym w usłudze Microsoft Entra Połączenie (znanym jako Alternate ID).
• Ta funkcja bezproblemowo współpracuje z funkcjami dostępu warunkowego, takimi jak uwierzytelnianie wieloskładnikowe (MFA), aby ułatwić zabezpieczanie użytkowników.
• Zintegrowane z samoobsługowym zarządzaniem hasłami opartymi na chmurze, w tym zapisywaniem zwrotnym haseł w celu lokalna usługa Active Directory i ochrony haseł przez blokowanie często używanych haseł.
• Środowiska z wieloma lasami są obsługiwane, jeśli istnieją relacje zaufania lasu między lasami usługi AD i czy routing sufiksów nazw jest poprawnie skonfigurowany.
• Jest to bezpłatna funkcja i nie potrzebujesz żadnych płatnych wersji microsoft Entra ID, aby z niej korzystać.
• Można ją włączyć za pośrednictwem Połączenie firmy Microsoft.
• Używa uproszczonego agenta lokalnego, który nasłuchuje żądań weryfikacji haseł i odpowiada na nie.
• Instalowanie wielu agentów zapewnia wysoką dostępność żądań logowania.
• Chroni konta lokalne przed atakami siłowymi na hasła w chmurze.

Następne kroki

• Szybki start — rozpoczynanie i uruchamianie uwierzytelniania przekazywanego firmy Microsoft.
• Migrowanie aplikacji do identyfikatora Entra firmy Microsoft: zasoby ułatwiające migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft.
• Blokada inteligentna — skonfiguruj funkcję inteligentnej blokady w dzierżawie, aby chronić konta użytkowników.
• Dołączanie hybrydowe firmy Microsoft Entra: konfigurowanie funkcji dołączania hybrydowego firmy Microsoft w dzierżawie na potrzeby logowania jednokrotnego w chmurze i zasobach lokalnych.
• Bieżące ograniczenia — dowiedz się, które scenariusze są obsługiwane, a które nie.
• Szczegółowe omówienie techniczne — dowiedz się, jak działa ta funkcja.
• Często zadawane pytania — odpowiedzi na często zadawane pytania.
• Rozwiązywanie problemów — dowiedz się, jak rozwiązywać typowe problemy z funkcją.
• Szczegółowe omówienie zabezpieczeń — dodatkowe szczegółowe informacje techniczne dotyczące funkcji.
• Bezproblemowe logowanie jednokrotne firmy Microsoft — dowiedz się więcej na temat tej uzupełniającej funkcji.
• UserVoice — w przypadku zgłaszania nowych żądań funkcji.