Microsoft Entra Połączenie opcje logowania użytkownika
Firma Microsoft Entra Połączenie umożliwia użytkownikom logowanie się do zasobów w chmurze i lokalnych przy użyciu tych samych haseł. W tym artykule opisano kluczowe pojęcia dotyczące każdego modelu tożsamości, które ułatwiają wybranie tożsamości, która ma być używana do logowania się do identyfikatora Entra firmy Microsoft.
Jeśli znasz już model tożsamości Firmy Microsoft Entra i chcesz dowiedzieć się więcej o określonej metodzie, zobacz odpowiedni link:
- Synchronizacja skrótów haseł z bezproblemowym logowaniem jednokrotnym
- Uwierzytelnianie przekazywane przy użyciu bezproblemowego logowania jednokrotnego (SSO)
- Federacyjne logowanie jednokrotne (z usługami Active Directory Federation Services (AD FS))
- Konfigurowanie federacji z serwerem PingFederate
Uwaga
Należy pamiętać, że konfigurując federację dla identyfikatora Entra firmy Microsoft, ustanawiasz relację zaufania między dzierżawą firmy Microsoft Entra i domenami federacyjnymi. Dzięki temu zaufaniu użytkownicy domeny federacyjnej będą mieli dostęp do zasobów firmy Microsoft Entra w chmurze w ramach dzierżawy.
Wybieranie metody logowania użytkownika dla organizacji
Pierwszą decyzją implementacji Połączenie firmy Microsoft jest wybranie metody uwierzytelniania, której użytkownicy będą używać do logowania. Ważne jest, aby upewnić się, że wybierasz odpowiednią metodę, która spełnia wymagania dotyczące zabezpieczeń i zaawansowanych wymagań organizacji. Uwierzytelnianie ma kluczowe znaczenie, ponieważ zweryfikuje tożsamości użytkownika w celu uzyskania dostępu do aplikacji i danych w chmurze. Aby wybrać odpowiednią metodę uwierzytelniania, należy wziąć pod uwagę czas, istniejącą infrastrukturę, złożoność i koszt implementacji. Te czynniki są różne dla każdej organizacji i mogą ulec zmianie w czasie.
Identyfikator Entra firmy Microsoft obsługuje następujące metody uwierzytelniania:
- Uwierzytelnianie w chmurze — po wybraniu tej metody uwierzytelniania identyfikator Firmy Microsoft entra obsługuje proces uwierzytelniania logowania użytkownika. W przypadku uwierzytelniania w chmurze można wybrać jedną z dwóch opcji:
- Synchronizacja skrótów haseł (PHS) — synchronizacja skrótów haseł umożliwia użytkownikom używanie tej samej nazwy użytkownika i hasła używanego lokalnie bez konieczności wdrażania dodatkowej infrastruktury oprócz usługi Microsoft Entra Połączenie.
- Uwierzytelnianie przekazywane (PTA) — ta opcja jest podobna do synchronizacji skrótów haseł, ale zapewnia prostą walidację haseł przy użyciu lokalnych agentów oprogramowania dla organizacji z silnymi zasadami zabezpieczeń i zgodności.
- Uwierzytelnianie federacyjne — po wybraniu tej metody uwierzytelniania identyfikator Firmy Microsoft entra przekaże proces uwierzytelniania do oddzielnego zaufanego systemu uwierzytelniania, takiego jak usługi AD FS lub system federacyjny innej firmy, w celu zweryfikowania logowania użytkownika.
W przypadku większości organizacji, które chcą tylko włączyć logowanie użytkowników do platformy Microsoft 365, aplikacji SaaS i innych zasobów opartych na identyfikatorach Entra firmy Microsoft, zalecamy domyślną opcję synchronizacji skrótów haseł.
Aby uzyskać szczegółowe informacje na temat wybierania metody uwierzytelniania, zobacz Wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra
Synchronizacja skrótów haseł
W przypadku synchronizacji skrótów haseł skróty haseł użytkownika są synchronizowane z lokalna usługa Active Directory do identyfikatora Entra firmy Microsoft. Gdy hasła są zmieniane lub resetowane lokalnie, nowe skróty haseł są natychmiast synchronizowane z identyfikatorem Entra firmy Microsoft, aby użytkownicy zawsze mogli używać tego samego hasła dla zasobów w chmurze i zasobów lokalnych. Hasła nigdy nie są wysyłane do identyfikatora Entra firmy Microsoft lub przechowywane w identyfikatorze Entra firmy Microsoft w postaci zwykłego tekstu. Synchronizacja skrótów haseł wraz z zapisywaniem zwrotnym haseł umożliwia samoobsługowe resetowanie haseł w usłudze Microsoft Entra ID.
Ponadto można włączyć bezproblemowe logowanie jednokrotne dla użytkowników na komputerach przyłączonych do domeny, które znajdują się w sieci firmowej. W przypadku logowania jednokrotnego użytkownicy z włączoną obsługą muszą wprowadzać tylko nazwę użytkownika, aby ułatwić im bezpieczny dostęp do zasobów w chmurze.
Aby uzyskać więcej informacji, zobacz artykuł synchronizacji skrótów haseł.
Uwierzytelnianie przekazywane
W przypadku uwierzytelniania przekazywanego hasło użytkownika jest weryfikowane względem kontrolera lokalna usługa Active Directory. Hasło nie musi być obecne w identyfikatorze Entra firmy Microsoft w żadnej formie. Umożliwia to ocenę zasad lokalnych, takich jak ograniczenia godzin logowania, podczas uwierzytelniania w usługach w chmurze.
Uwierzytelnianie przekazywane używa prostego agenta na maszynie przyłączonej do domeny systemu Windows Server 2012 R2 w środowisku lokalnym. Ten agent nasłuchuje żądań weryfikacji haseł. Nie wymaga otwarcia żadnych portów przychodzących w Internecie.
Ponadto można również włączyć logowanie jednokrotne dla użytkowników na komputerach przyłączonych do domeny, które znajdują się w sieci firmowej. W przypadku logowania jednokrotnego użytkownicy z włączoną obsługą muszą wprowadzać tylko nazwę użytkownika, aby ułatwić im bezpieczny dostęp do zasobów w chmurze.
Aby uzyskać więcej informacji, zobacz:
Federacja używająca nowej lub istniejącej farmy z usługami AD FS w systemie Windows Server 2012 R2
Po federacyjnym logowaniu użytkownicy mogą logować się do usług opartych na identyfikatorach Entra firmy Microsoft przy użyciu haseł lokalnych. Chociaż są w sieci firmowej, nawet nie muszą wprowadzać swoich haseł. Za pomocą opcji federacji z usługami AD FS można wdrożyć nową lub istniejącą farmę z usługami AD FS w systemie Windows Server 2012 R2. Jeśli zdecydujesz się określić istniejącą farmę, firma Microsoft Entra Połączenie konfiguruje zaufanie między farmą a identyfikatorem Entra firmy Microsoft, aby użytkownicy mogli się zalogować.
Wdrażanie federacji z usługami AD FS w systemie Windows Server 2012 R2
W przypadku wdrażania nowej farmy potrzebne są następujące elementy:
- Serwer systemu Windows Server 2012 R2 dla serwera federacyjnego.
- Serwer systemu Windows Server 2012 R2 dla serwer proxy aplikacji sieci Web.
- Plik pfx z jednym certyfikatem TLS/SSL dla zamierzonej nazwy usługi federacyjnej. Na przykład: fs.contoso.com.
Jeśli wdrażasz nową farmę lub używasz istniejącej farmy, potrzebujesz następujących elementów:
- Poświadczenia administratora lokalnego na serwerach federacyjnych.
- Poświadczenia administratora lokalnego na wszystkich serwerach grupy roboczej (nie przyłączone do domeny), na których zamierzasz wdrożyć rolę serwer proxy aplikacji sieci Web.
- Na maszynie, na której uruchomiono kreatora, można nawiązać połączenie z innymi maszynami, na których chcesz zainstalować usługi AD FS lub serwer proxy aplikacji sieci Web przy użyciu zdalnego zarządzania systemem Windows.
Aby uzyskać więcej informacji, zobacz Konfigurowanie logowania jednokrotnego przy użyciu usług AD FS.
Konfigurowanie federacji z serwerem PingFederate
Po federacyjnym logowaniu użytkownicy mogą logować się do usług opartych na identyfikatorach Entra firmy Microsoft przy użyciu haseł lokalnych. Chociaż są w sieci firmowej, nawet nie muszą wprowadzać swoich haseł.
Aby uzyskać więcej informacji na temat konfigurowania narzędzia PingFederate do użycia z identyfikatorem Entra firmy Microsoft, zobacz PingFederate integration with Microsoft Entra ID and Microsoft 365 (Integracja usługi PingFederate z usługą Microsoft Entra ID i Microsoft 365).
Aby uzyskać informacje na temat konfigurowania usługi Microsoft Entra Połączenie przy użyciu narzędzia PingFederate, zobacz Microsoft Entra Połączenie instalacji niestandardowej
Logowanie przy użyciu starszej wersji usług AD FS lub rozwiązania innej firmy
Jeśli logowanie w chmurze zostało już skonfigurowane przy użyciu wcześniejszej wersji usług AD FS (np. AD FS 2.0) lub dostawcy federacyjnego innej firmy, możesz pominąć konfigurację logowania użytkownika za pośrednictwem usługi Microsoft Entra Połączenie. Umożliwi to uzyskanie najnowszej synchronizacji i innych funkcji firmy Microsoft Entra Połączenie podczas korzystania z istniejącego rozwiązania do logowania.
Aby uzyskać więcej informacji, zobacz listę zgodności federacji innych firm firmy Microsoft.
Logowanie użytkownika i główna nazwa użytkownika
Opis głównej nazwy użytkownika
W usłudze Active Directory domyślnym sufiksem głównej nazwy użytkownika (UPN) jest nazwa DNS domeny, w której utworzono konto użytkownika. W większości przypadków jest to nazwa domeny zarejestrowana jako domena przedsiębiorstwa w Internecie. Można jednak dodać więcej sufiksów nazwy UPN przy użyciu domena usługi Active Directory i relacji zaufania.
Nazwa UPN użytkownika ma format username@domain. Na przykład w przypadku domeny usługi Active Directory o nazwie "contoso.com" użytkownik o nazwie Jan może mieć nazwę UPN "john@contoso.com". Nazwa UPN użytkownika jest oparta na specyfikacji RFC 822. Mimo że nazwa UPN i adres e-mail mają ten sam format, wartość nazwy UPN użytkownika może być taka sama jak adres e-mail użytkownika.
Główna nazwa użytkownika w identyfikatorze Entra firmy Microsoft
Kreator microsoft Entra Połączenie używa atrybutu userPrincipalName lub umożliwia określenie atrybutu (w instalacji niestandardowej), który ma być używany ze środowiska lokalnego jako główna nazwa użytkownika w identyfikatorze Entra firmy Microsoft. Jest to wartość używana do logowania się do identyfikatora Entra firmy Microsoft. Jeśli wartość atrybutu userPrincipalName nie odpowiada zweryfikowanej domenie w identyfikatorze Entra firmy Microsoft, identyfikator Entra firmy Microsoft zastępuje go wartością domyślną .onmicrosoft.com.
Każdy katalog w usłudze Microsoft Entra ID zawiera wbudowaną nazwę domeny z formatem contoso.onmicrosoft.com, który umożliwia rozpoczęcie korzystania z platformy Azure lub innych usługi firmy Microsoft. Środowisko logowania można ulepszyć i uprościć przy użyciu domen niestandardowych. Aby uzyskać informacje na temat niestandardowych nazw domen w identyfikatorze Entra firmy Microsoft i sposobie weryfikowania domeny, zobacz Dodawanie niestandardowej nazwy domeny do identyfikatora entra firmy Microsoft.
Konfiguracja logowania w usłudze Microsoft Entra
Konfiguracja logowania firmy Microsoft Entra przy użyciu usługi Microsoft Entra Połączenie
Środowisko logowania microsoft Entra zależy od tego, czy identyfikator Entra firmy Microsoft może być zgodny z sufiksem głównej nazwy użytkownika synchronizowanego z jedną z domen niestandardowych zweryfikowanych w katalogu Microsoft Entra. Firma Microsoft Entra Połączenie zapewnia pomoc podczas konfigurowania ustawień logowania w usłudze Microsoft Entra, dzięki czemu środowisko logowania użytkownika w chmurze jest podobne do środowiska lokalnego.
Firma Microsoft Entra Połączenie wyświetla sufiksy nazwy UPN zdefiniowane dla domen i próbuje dopasować je do domeny niestandardowej w identyfikatorze Entra firmy Microsoft. Następnie ułatwia to podjęcie odpowiednich działań, które należy podjąć. Strona logowania firmy Microsoft Entra zawiera sufiksy nazwy UPN zdefiniowane dla lokalna usługa Active Directory i wyświetla odpowiedni stan dla każdego sufiksu. Wartości stanu mogą być jedną z następujących wartości:
| Stan | opis | Wymagana akcja |
|---|---|---|
| Zweryfikowano | Firma Microsoft Entra Połączenie znalazła zgodną zweryfikowaną domenę w identyfikatorze Entra firmy Microsoft. Wszyscy użytkownicy tej domeny mogą się zalogować przy użyciu poświadczeń lokalnych. | Nie trzeba wykonywać żadnych czynności. |
| Nie zweryfikowano | Firma Microsoft Entra Połączenie znalazła zgodną domenę niestandardową w identyfikatorze Entra firmy Microsoft, ale nie została zweryfikowana. Sufiks nazwy UPN użytkowników tej domeny zostanie zmieniony na domyślny sufiks .onmicrosoft.com po synchronizacji, jeśli domena nie zostanie zweryfikowana. | Sprawdź domenę niestandardową w identyfikatorze Entra firmy Microsoft. |
| Nie dodano | Firma Microsoft Entra Połączenie nie znalazła domeny niestandardowej, która odpowiada sufiksowi nazwy UPN. Sufiks nazwy UPN użytkowników tej domeny zostanie zmieniony na domyślny sufiks .onmicrosoft.com, jeśli domena nie zostanie dodana i zweryfikowana na platformie Azure. | Dodaj i sprawdź domenę niestandardową odpowiadającą sufiksowi nazwy UPN. |
Strona logowania firmy Microsoft Entra zawiera sufiksy nazwy UPN zdefiniowane dla lokalna usługa Active Directory i odpowiednią domenę niestandardową w identyfikatorze Entra firmy Microsoft z bieżącym stanem weryfikacji. W instalacji niestandardowej można teraz wybrać atrybut głównej nazwy użytkownika na stronie logowania firmy Microsoft Entra.
Możesz kliknąć przycisk odświeżenia, aby ponownie pobrać najnowszy stan domen niestandardowych z identyfikatora Entra firmy Microsoft.
Wybieranie atrybutu głównej nazwy użytkownika w identyfikatorze Entra firmy Microsoft
Atrybut userPrincipalName jest atrybutem używanym przez użytkowników podczas logowania się do identyfikatora Microsoft Entra ID i platformy Microsoft 365. Przed zsynchronizowanie użytkowników należy sprawdzić domeny (znane również jako sufiksy nazwy UPN), które są używane w identyfikatorze Entra firmy Microsoft.
Zdecydowanie zalecamy zachowanie domyślnego atrybutu userPrincipalName. Jeśli ten atrybut jest niemożliwy do zweryfikowania i nie można go zweryfikować, można wybrać inny atrybut (na przykład adres e-mail) jako atrybut, który zawiera identyfikator logowania. Jest to nazywane identyfikatorem alternatywnym. Wartość atrybutu Identyfikator alternatywny musi być zgodna ze standardem RFC 822. Możesz użyć alternatywnego identyfikatora z logowaniem jednokrotnym hasła i federacyjnym logowaniem jednokrotnym jako rozwiązaniem logowania.
Uwaga
Używanie alternatywnego identyfikatora nie jest zgodne ze wszystkimi obciążeniami platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz artykuł opisujący konfigurowanie alternatywnego identyfikatora logowania (strona może zostać wyświetlona w języku angielskim).
Różne stany domeny niestandardowej i ich wpływ na środowisko logowania do platformy Azure
Bardzo ważne jest zrozumienie relacji między stanami domeny niestandardowej w katalogu Microsoft Entra i sufiksami nazwy UPN zdefiniowanymi lokalnie. Zapoznajmy się z różnymi możliwymi środowiskami logowania na platformie Azure podczas konfigurowania synchronizacji przy użyciu usługi Microsoft Entra Połączenie.
W przypadku poniższych informacji załóżmy, że zajmujemy się sufiksem nazwy UPN contoso.com, który jest używany w katalogu lokalnym w ramach nazwy UPN — na przykład user@contoso.com.
Ustawienia ekspresowe/Synchronizacja skrótów haseł
| Stan | Wpływ na środowisko logowania użytkownika platformy Azure |
|---|---|
| Nie dodano | W tym przypadku w katalogu Microsoft Entra nie dodano żadnej domeny niestandardowej dla contoso.com. Użytkownicy, którzy mają lokalną nazwę UPN z sufiksem @contoso.com , nie będą mogli logować się na platformie Azure przy użyciu lokalnej nazwy UPN. Zamiast tego będą musieli użyć nowej nazwy UPN udostępnionej im przez identyfikator Entra firmy Microsoft, dodając sufiks domyślnego katalogu Microsoft Entra. Jeśli na przykład synchronizujesz użytkowników z katalogiem Microsoft Entra azurecontoso.onmicrosoft.com, użytkownik user@contoso.com lokalny otrzyma nazwę UPN .user@azurecontoso.onmicrosoft.com |
| Nie zweryfikowano | W tym przypadku mamy domenę niestandardową contoso.com dodaną w katalogu Microsoft Entra. Jednak nie jest jeszcze zweryfikowany. Jeśli z wyprzedzeniem synchronizujesz użytkowników bez weryfikowania domeny, użytkownicy zostaną przypisani do nowej nazwy UPN przez identyfikator Entra firmy Microsoft, podobnie jak w scenariuszu "Nie dodano". |
| Zweryfikowano | W tym przypadku mamy domenę niestandardową contoso.com, która została już dodana i zweryfikowana w identyfikatorze Entra firmy Microsoft dla sufiksu nazwy UPN. Użytkownicy będą mogli używać swojej lokalnej głównej nazwy użytkownika, na przykład user@contoso.com, aby zalogować się do platformy Azure po zsynchronizowaniu ich z identyfikatorem Entra firmy Microsoft. |
Federacja usług AD FS
Nie można utworzyć federacji z domyślną domeną .onmicrosoft.com w identyfikatorze Entra firmy Microsoft lub niezweryfikowanej domenie niestandardowej w identyfikatorze Entra firmy Microsoft. Po uruchomieniu kreatora microsoft Entra Połączenie, jeśli wybierzesz niezweryfikowaną domenę do utworzenia federacji, a następnie firma Microsoft Entra Połączenie wyświetli monit o utworzenie rekordów niezbędnych do utworzenia, gdzie dns jest hostowany dla domeny. Aby uzyskać więcej informacji, zobacz Weryfikowanie domeny Microsoft Entra wybranej dla federacji.
Jeśli wybrano opcję logowania użytkownika Federacja z usługami AD FS, musisz mieć domenę niestandardową, aby kontynuować tworzenie federacji w usłudze Microsoft Entra ID. W naszej dyskusji oznacza to, że powinniśmy mieć domenę niestandardową, contoso.com dodaną w katalogu Microsoft Entra.
| Stan | Wpływ na środowisko logowania użytkownika platformy Azure |
|---|---|
| Nie dodano | W tym przypadku firma Microsoft Entra Połączenie nie znalazła pasującej domeny niestandardowej dla sufiksu nazwy UPN contoso.com w katalogu Microsoft Entra. Musisz dodać domenę niestandardową contoso.com, jeśli chcesz, aby użytkownicy logowali się przy użyciu usług AD FS z lokalną nazwą UPN (na przykład user@contoso.com). |
| Nie zweryfikowano | W takim przypadku firma Microsoft Entra Połączenie wyświetla odpowiednie szczegółowe informacje o tym, jak można zweryfikować domenę na późniejszym etapie. |
| Zweryfikowano | W takim przypadku możesz kontynuować konfigurację bez żadnych dalszych działań. |
Zmiana metody logowania użytkownika
Możesz zmienić metodę logowania użytkownika z federacji, synchronizacji skrótów haseł lub uwierzytelniania przekazywanego przy użyciu zadań dostępnych w firmie Microsoft Entra Połączenie po początkowej konfiguracji programu Microsoft Entra Połączenie z kreatorem. Ponownie uruchom Kreatora Połączenie firmy Microsoft i zobaczysz listę zadań, które można wykonać. Wybierz pozycję Zmień logowanie użytkownika z listy zadań.
Na następnej stronie zostanie wyświetlony monit o podanie poświadczeń identyfikatora Entra firmy Microsoft.
Na stronie Logowanie użytkownika wybierz odpowiednie logowanie użytkownika.
Uwaga
Jeśli wykonujesz tylko tymczasowe przełączenie na synchronizację skrótów haseł, zaznacz pole wyboru Nie konwertuj kont użytkowników. Wybranie opcji Nie sprawdza, czy każdy użytkownik zostanie przekonwertowany na federacyjny i może potrwać kilka godzin.
Następne kroki
- Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.
- Dowiedz się więcej o pojęciach związanych z projektowaniem Połączenie firmy Microsoft.