Microsoft Entra pass-through authentication: często zadawane pytania

Zapoznaj się z tym przewodnikiem , aby zapoznać się z porównaniem różnych metod logowania firmy Microsoft Entra i sposobu wybierania właściwej metody logowania dla organizacji.

Uwierzytelnianie przekazywane to bezpłatna funkcja. Do korzystania z niej nie są potrzebne żadne płatne wersje identyfikatora Microsoft Entra ID.

Tak. Wszystkie funkcje dostępu warunkowego, w tym uwierzytelnianie wieloskładnikowe firmy Microsoft, współpracują z uwierzytelnianiem z przekazywaniem.

Tak, zarówno uwierzytelnianie przekazywane (PTA) i synchronizacja skrótów haseł (PHS) obsługują logowanie przy użyciu wartości innej niż UPN, na przykład alternatywnej wiadomości e-mail. Aby uzyskać więcej informacji na temat alternatywnego identyfikatora logowania.

L.p. Uwierzytelnianie przekazywane nie powoduje automatycznego przejścia w tryb failover do synchronizacji skrótów haseł. Aby uniknąć niepowodzeń logowania użytkowników, należy skonfigurować uwierzytelnianie przekazywane pod kątem wysokiej dostępności.

Jeśli używasz usługi Microsoft Entra Połączenie do przełączania metody logowania z synchronizacji skrótów haseł na uwierzytelnianie przekazywane, uwierzytelnianie przekazywane staje się podstawową metodą logowania użytkowników w domenach zarządzanych. Skróty haseł wszystkich użytkowników, które zostały wcześniej zsynchronizowane przez synchronizację skrótów haseł, pozostają przechowywane w identyfikatorze Entra firmy Microsoft.

Tak. Zmienione wersje agenta uwierzytelniania przekazywanego w wersji 1.5.193.0 lub nowszej obsługują tę konfigurację.

Aby ta funkcja działała, potrzebujesz wersji 1.1.750.0 lub nowszej dla programu Microsoft Entra Połączenie i wersji 1.5.193.0 lub nowszej dla agenta uwierzytelniania przekazywanego. Zainstaluj wszystkie oprogramowanie na serwerach z systemem Windows Server 2012 R2 lub nowszym.

Może to być spowodowane tym, że usługa aktualizatora nie działa poprawnie lub jeśli nie ma dostępnych nowych aktualizacji, które usługa może zainstalować. Usługa aktualizatora jest w dobrej kondycji, jeśli jest uruchomiona i nie ma żadnych błędów zarejestrowanych w dzienniku zdarzeń (dzienniki aplikacji i usług —> Microsoft —> AzureAD Połączenie-Agent —> Updater —> Administracja).

Tylko wersje główne są wydawane na potrzeby automatycznego uaktualniania. Zalecamy ręczne aktualizowanie agenta tylko wtedy, gdy jest to konieczne. Na przykład nie można poczekać na wydanie główne, ponieważ musisz rozwiązać znany problem lub użyć nowej funkcji. Aby uzyskać więcej informacji na temat nowych wersji, typu wydania (pobieranie, automatyczne uaktualnianie), poprawki błędów i nowe funkcje, zobacz Microsoft Entra pass-through authentication agent: Historia wersji.

Aby ręcznie uaktualnić łącznik:

• Pobierz najnowszą wersję agenta. (Znajdziesz ją w obszarze Microsoft Entra Połączenie Uwierzytelnianie przekazywane w centrum administracyjnym firmy Microsoft Entra. Link można również znaleźć w sekcji Uwierzytelnianie przekazywane firmy Microsoft: Historia wersji.
• Instalator ponownie uruchamia usługi Microsoft Entra Połączenie Authentication Agent. W niektórych przypadkach ponowne uruchomienie serwera jest wymagane, jeśli instalator nie może zastąpić wszystkich plików. Dlatego zalecamy zamknięcie wszystkich aplikacji, Podgląd zdarzeń przed rozpoczęciem uaktualniania.
• Uruchom instalatora. Proces uaktualniania jest szybki i nie wymaga podania poświadczeń, a agent nie zostanie ponownie zarejestrowany.

Jeśli skonfigurowano zapisywanie zwrotne haseł dla określonego użytkownika i jeśli użytkownik loguje się przy użyciu uwierzytelniania przekazywanego, może zmienić lub zresetować swoje hasła. Hasła są zapisywane z powrotem do lokalna usługa Active Directory zgodnie z oczekiwaniami.

Jeśli nie skonfigurowano zapisywania zwrotnego haseł dla określonego użytkownika lub jeśli użytkownik nie ma przypisanej prawidłowej licencji Microsoft Entra ID, użytkownik nie może zaktualizować swojego hasła w chmurze. Nie mogą zaktualizować hasła, nawet jeśli hasło wygasło. Użytkownik widzi ten komunikat: "Twoja organizacja nie zezwala na aktualizowanie hasła w tej witrynie. Zaktualizuj ją zgodnie z metodą zalecaną przez organizację lub poproś administratora o pomoc. Użytkownik lub administrator musi zresetować swoje hasło w lokalna usługa Active Directory.

Wygaśnięcie hasła nie powoduje wyzwolenia odwołania tokenów uwierzytelniania ani plików cookie. Dopóki tokeny lub pliki cookie nie będą prawidłowe, użytkownik będzie mógł ich używać. Dotyczy to niezależnie od typu uwierzytelniania (PTA, PHS i scenariuszy federacyjnych).

Aby uzyskać więcej informacji, zapoznaj się z poniższą dokumentacją:

Platforma tożsamości Microsoft tokeny dostępu — Platforma tożsamości Microsoft | Microsoft Docs

Przeczytaj informacje o blokadzie inteligentnej.

• Agenci uwierzytelniania wysyłają żądania HTTPS przez port 443 dla wszystkich operacji funkcji.

• Agenci uwierzytelniania wysyłają żądania HTTP przez port 80 w celu pobrania list odwołania certyfikatów TLS/SSL (CRL).

  Uwaga

  Najnowsze aktualizacje zmniejszyły liczbę portów, których wymaga funkcja. Jeśli masz starsze wersje programu Microsoft Entra Połączenie lub agenta uwierzytelniania, zachowaj otwarte te porty, a także: 5671, 8080, 9090, 9091, 9350, 9352 i 10100-10120.

Tak. Jeśli automatyczne odnajdywanie serwera proxy sieci Web (WPAD) jest włączone w środowisku lokalnym, agenci uwierzytelniania automatycznie próbują zlokalizować i użyć serwera proxy sieci Web w sieci. Aby uzyskać więcej informacji na temat korzystania z serwera proxy ruchu wychodzącego, zobacz Praca z istniejącymi lokalnymi serwerami proxy.

Jeśli nie masz WPAD w środowisku, możesz dodać informacje o serwerze proxy (jak pokazano poniżej), aby umożliwić agentowi uwierzytelniania przekazywanego komunikowanie się z identyfikatorem Microsoft Entra ID:

• Skonfiguruj informacje o serwerze proxy w programie Internet Explorer przed zainstalowaniem agenta uwierzytelniania z przekazywaniem na serwerze. Dzięki temu można ukończyć instalację agenta uwierzytelniania, ale nadal będzie on wyświetlany jako Nieaktywny w portalu Administracja.
• Na serwerze przejdź do pozycji "C:\Program Files\Microsoft Azure AD Połączenie Authentication Agent".
• Edytuj plik konfiguracji "AzureAD Połączenie AuthenticationAgentService" i dodaj następujące wiersze (zastąp ciąg "http://contosoproxy.com:8080" z rzeczywistym adresem serwera proxy):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Nie. Na jednym serwerze można zainstalować tylko jednego agenta uwierzytelniania z przekazywaniem. Jeśli chcesz skonfigurować uwierzytelnianie przekazywane pod kątem wysokiej dostępności, postępuj zgodnie z instrukcjami dostępnymi tutaj.

Komunikacja między każdym agentem uwierzytelniania przekazywanego i identyfikatorem Entra firmy Microsoft jest zabezpieczona przy użyciu uwierzytelniania opartego na certyfikatach. Te certyfikaty są automatycznie odnawiane co kilka miesięcy przez identyfikator Entra firmy Microsoft. Nie ma potrzeby ręcznego odnawiania tych certyfikatów. Starsze wygasłe certyfikaty można wyczyścić zgodnie z potrzebami.

Dopóki agent uwierzytelniania z przekazywaniem jest uruchomiony, pozostaje aktywny i stale obsługuje żądania logowania użytkownika. Jeśli chcesz odinstalować agenta uwierzytelniania, przejdź do Panel sterowania —> Programy i> funkcje oraz odinstaluj zarówno program Microsoft Entra Połączenie Authentication Agent, jak i programy Microsoft Entra Połączenie Agent Updater.

Jeśli sprawdzisz blok Uwierzytelnianie przekazywane w centrum administracyjnym firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej. Po ukończeniu poprzedniego kroku zobaczysz agenta uwierzytelniania wyświetlanego jako Nieaktywny. Jest to oczekiwane. Agent uwierzytelniania jest automatycznie usuwany z listy po 10 dniach.

Jeśli przeprowadzasz migrację z usług AD FS (lub innych technologii federacyjnych) do uwierzytelniania przekazywanego, zdecydowanie zalecamy zapoznanie się z naszym przewodnikiem Szybki start.

Tak. Środowiska z wieloma lasami są obsługiwane, jeśli istnieją relacje zaufania lasu (dwukierunkowe) między lasami usługi Active Directory i jeśli routing sufiksów nazw jest poprawnie skonfigurowany.

Nie, zainstalowanie wielu agentów uwierzytelniania z przekazywaniem zapewnia tylko wysoką dostępność. Nie zapewnia deterministycznego równoważenia obciążenia między agentami uwierzytelniania. Dowolny agent uwierzytelniania (losowo) może przetworzyć określone żądanie logowania użytkownika.

Zainstalowanie wielu agentów uwierzytelniania z przekazywaniem zapewnia wysoką dostępność. Nie zapewnia jednak deterministycznego równoważenia obciążenia między agentami uwierzytelniania.

Rozważ szczytowe i średnie obciążenie żądań logowania, które oczekujesz w dzierżawie. W ramach testu porównawczego jeden agent uwierzytelniania może obsługiwać 300–400 uwierzytelnień na sekundę na standardowym 4-rdzeniowym procesorze, 16 GB pamięci RAM.

Aby oszacować ruch sieciowy, skorzystaj z następujących wskazówek dotyczących ustalania rozmiaru:

• Każde żądanie ma rozmiar ładunku (0,5K + 1K * num_of_agents) bajtów; oznacza to, że dane z identyfikatora Entra firmy Microsoft do agenta uwierzytelniania. W tym miejscu "num_of_agents" wskazuje liczbę agentów uwierzytelniania zarejestrowanych w dzierżawie.
• Każda odpowiedź ma rozmiar ładunku o rozmiarze 1K bajtów; oznacza to, że dane z agenta uwierzytelniania do identyfikatora Entra firmy Microsoft.

W przypadku większości klientów w sumie dwóch lub trzech agentów uwierzytelniania jest wystarczająca do wysokiej dostępności i pojemności. Jednak w środowiskach produkcyjnych zalecamy uruchomienie co najmniej 3 agentów uwierzytelniania w dzierżawie. Należy zainstalować agentów uwierzytelniania w pobliżu kontrolerów domeny, aby zwiększyć opóźnienie logowania.

Zaleca się włączenie lub wyłączenie uwierzytelniania przekazywanego przy użyciu konta globalnego Administracja istratora tylko w chmurze. Dowiedz się więcej o dodawaniu konta globalnego Administracja istratora tylko w chmurze. W ten sposób gwarantuje, że nie zostaniesz zablokowany z dzierżawy.

Uruchom ponownie kreatora microsoft Entra Połączenie i zmień metodę logowania użytkownika z uwierzytelniania przekazywanego na inną metodę. Ta zmiana wyłącza uwierzytelnianie przekazywane w dzierżawie i odinstalowuje agenta uwierzytelniania z serwera. Należy ręcznie odinstalować agentów uwierzytelniania z innych serwerów.

Jeśli odinstalujesz agenta uwierzytelniania z przekazywaniem z serwera, serwer przestanie akceptować żądania logowania. Aby uniknąć odbierania użytkownikom możliwości logowania się w dzierżawie, przed odinstalowywaniem agenta uwierzytelniania z przekazywaniem upewnij się, że jest uruchomiony inny agent uwierzytelniania.

W następujących okolicznościach lokalne zmiany nazwy UPN mogą nie być zsynchronizowane, jeśli:

• Dzierżawa firmy Microsoft Entra została utworzona przed 15 czerwca 2015 r.
• Początkowo była federacyjna z dzierżawą firmy Microsoft Entra przy użyciu usług AD FS na potrzeby uwierzytelniania.
• Przełączono się na użytkowników zarządzanych przy użyciu uwierzytelniania PTA.

Dzieje się tak, ponieważ domyślne zachowanie dzierżaw utworzonych przed 15 czerwca 2015 r. miało na celu zablokowanie zmian nazwy UPN. Jeśli musisz anulować blokowanie zmian nazwy UPN, musisz uruchomić następujące polecenie cmdlet programu PowerShell. Pobierz identyfikator przy użyciu polecenia cmdlet Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

W przypadku dzierżawców utworzonych po 15 czerwca 2015 r. zmiany nazw UPN są domyślnie synchronizowane.

Aby sprawdzić, który serwer lokalny lub agent uwierzytelniania został użyty dla określonego zdarzenia logowania:

1. W centrum administracyjnym firmy Microsoft Entra przejdź do zdarzenia logowania.

2. Wybierz pozycję Szczegóły uwierzytelniania. W kolumnie Szczegóły metody uwierzytelniania szczegóły identyfikatora agenta są wyświetlane w formacie "Uwierzytelnianie przekazywane; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Aby uzyskać szczegóły identyfikatora agenta zainstalowanego na serwerze lokalnym, zaloguj się do serwera lokalnego i uruchom następujące polecenie cmdlet:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Zwrócona wartość identyfikatora GUID to identyfikator agenta agenta uwierzytelniania zainstalowanego na tym określonym serwerze. Jeśli masz wielu agentów w swoim środowisku, możesz uruchomić to polecenie cmdlet na każdym serwerze agenta i przechwycić szczegóły identyfikatora agenta.

4. Skoreluj identyfikator agenta uzyskany z serwera lokalnego i dzienników logowania firmy Microsoft Entra, aby sprawdzić, który agent lub serwer potwierdził żądanie logowania.

Następne kroki

• Bieżące ograniczenia: Poznaj obsługiwane scenariusze i te, które nie są obsługiwane.
• Szybki start: rozpoczynanie pracy w usłudze Microsoft Entra pass-through authentication.
• Migrowanie aplikacji do identyfikatora Entra firmy Microsoft: zasoby ułatwiające migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft.
• Blokada inteligentna: dowiedz się, jak skonfigurować funkcję inteligentnej blokady w dzierżawie w celu ochrony kont użytkowników.
• Szczegółowe informacje techniczne: dowiedz się, jak działa funkcja uwierzytelniania przekazywanego.
• Rozwiązywanie problemów: Dowiedz się, jak rozwiązywać typowe problemy z funkcją uwierzytelniania przekazywanego.
• Szczegółowe informacje na temat zabezpieczeń: uzyskaj szczegółowe informacje techniczne dotyczące funkcji uwierzytelniania przekazywanego.
• Dołączanie hybrydowe firmy Microsoft Entra: konfigurowanie funkcji dołączania hybrydowego firmy Microsoft w dzierżawie na potrzeby logowania jednokrotnego w chmurze i zasobach lokalnych.
• Bezproblemowe logowanie jednokrotne firmy Microsoft: dowiedz się więcej o tej uzupełniającej funkcji.
• UserVoice: użyj forum Microsoft Entra, aby zgłosić nowe żądania funkcji.