Autenticação de Passagem do Microsoft Entra: Perguntas frequentes

Leia este guia para uma comparação entre os vários métodos de conexão do Microsoft Entra e como escolher o método de entrada certo para a sua organização.

A Autenticação de Passagem é um recurso gratuito. Você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

Sim. Todas as funcionalidades de Acesso Condicional, incluindo a autenticação multifator do Microsoft Entra, funcionam com a autenticação de passagem.

Sim, a PTA (autenticação de passagem) e a PHS (sincronização de hash de senha) dão suporte à entrada por meio de um valor não UPN, como um email alternativo. Para saber mais, confira ID de logon alternativa.

Não. A Autenticação de Passagem não realiza o failover automaticamente para a sincronização de hash de senha. Para evitar falhas de entrada do usuário, você deve configurar a Autenticação de Passagem para alta disponibilidade.

Quando você usa o Microsoft Entra Connect para alternar o método de entrada da sincronização de hash de senha para a autenticação de passagem, a autenticação de passagem torna-se o método de entrada primário para seus usuários em domínios gerenciados. Os hashes de senha de todos os usuários que foram sincronizados anteriormente pela sincronização de hash de senha permanecem armazenados no Microsoft Entra ID.

Sim. As versões remodeladas do Agente de Autenticação de passagem, versões 1.5.193.0 ou posteriores, dão suporte a esta configuração.

Para que esse recurso funcione, você precisa da versão 1.1.750.0 ou posterior para o Microsoft Entra Connect e 1.5.193.0 ou posterior para o Agente de Autenticação de Passagem. Instale o software em servidores com Windows Server 2012 R2 ou posterior.

Isso pode ser porque o serviço atualizador não funciona corretamente ou se não houver nenhuma nova atualização disponível que o serviço possa instalar. O serviço de atualizador estará íntegro se estiver sendo executado e não houver erros registrados no log de eventos (Logs de Serviços e Aplicativos –> Microsoft –> AzureADConnect-Agent –> Atualizador –> Administrador).

Somente as versões principais estão liberadas para atualização automática. É recomendável atualizar o Agente manualmente somente se necessário. Por exemplo, não é possível aguardar uma versão principal, pois é necessário corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo da versão (download, atualização automática), correções de bugs e novos recursos, confira Agente de autenticação de passagem do Microsoft Entra: Histórico de lançamento de versões.

Para atualizar manualmente um conector:

• Baixe a versão mais recente do Agente. (Encontre-a em Microsoft Entra Connect Autenticação de Passagem no centro de administração do Microsoft Entra. Você também pode encontrar o link em Autenticação de passagem do Microsoft Entra: histórico de lançamento de versões.
• O instalador reinicia os serviços do Agente de Autenticação do Microsoft Entra Connect. Em alguns casos, uma reinicialização do servidor é necessária se o instalador não pode substituir todos os arquivos. Portanto, recomendamos fechar todos os aplicativos, ou seja, o Visualizador de Eventos antes de iniciar a atualização.
• Execute o instalador. O processo de atualização é rápido e não exige nenhuma credencial, e o Agente não será registrado novamente.

Caso você tenha configurado write-back de senha para um usuário específico e o usuário entrar usando a Autenticação de Passagem, ele poderá alterar ou redefinir sua senha. As senhas serão gravadas de volta no Active Directory local conforme o esperado.

Se você não tiver configurado o write-back de senha para um usuário específico ou se o usuário não tiver uma licença válida do Microsoft Entra ID atribuída, ele não poderá atualizar a senha na nuvem. Ele não poderá atualizar a senha mesmo que ela tenha expirado. Em vez disso, o usuário verá essa mensagem: “Sua organização não permite que você atualize sua senha neste site. Atualize-o de acordo com o método recomendado pela sua organização ou pergunte ao administrador se você precisar de ajuda." O usuário ou o administrador deve redefinir sua senha no local Active Directory.

A expiração da senha não dispara a revogação de tokens de autenticação ou cookies. O usuário poderá usar os tokens ou os cookies até a validade. Isso se aplica independentemente do tipo de autenticação (PTA, PHS e cenários federados).

Para obter mais detalhes, confira a documentação abaixo:

Tokens de acesso à plataforma de identidade da Microsoft – plataforma de identidade da Microsoft | Microsoft Docs

Ler as informações sobre o bloqueio inteligente.

• Os Agentes de Autenticação fazem solicitações HTTPS pela porta 443 para todas as operações de recurso.

• Os Agentes de Autenticação fazem solicitações HTTP pela porta 80 para baixar CRLs (listas de certificados revogados) TLS/SSL.

  Observação

  As atualizações recentes reduziram o número de portas exigidas pelo recurso. Se você tiver versões mais antigas do Microsoft Entra Connect ou do Agente de Autenticação, mantenha estas portas abertas também: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Sim. Se a Descoberta Automática de Proxy da Web (WPAD) estiver habilitado em seu ambiente local, os Agentes de Autenticação tentarão automaticamente localizar e usar um servidor proxy da Web na rede. Para obter mais informações sobre como usar o servidor proxy de saída, consulte Trabalhar com servidores proxy locais existentes.

Se você não tiver o WPAD em seu ambiente, você pode adicionar informações de proxy (conforme mostrado abaixo) para permitir que um agente de autenticação de passagem para se comunicar com o Microsoft Entra ID:

• Configure informações de proxy no Internet Explorer antes de instalar o agente de autenticação de passagem no servidor. Isso permite que você conclua a instalação do Agente de Autenticação, mas ele ainda será exibido como Inativo no Portal de administração.
• No servidor, navegue até "C: \ Arquivos de Programas \ Microsoft Azure AD Connect Authentication Agent".
• Edite o arquivo de configuração "AzureADConnectAuthenticationAgentService" e adicione as seguintes linhas (substitua "http://contosoproxy.com:8080" pelo seu endereço de proxy real):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Não, você só pode instalar um Agente de Autenticação de Passagem em um único servidor. Se você quiser configurar a autenticação de passagem para alta disponibilidade, siga as instruções aqui.

A comunicação entre cada Agente de Autenticação de Passagem e o Microsoft Entra ID é protegida com a autenticação baseada em certificado. Esses certificados são renovados automaticamente a cada poucos meses pelo Microsoft Entra ID. Não é necessário renovar esses certificados manualmente. Você pode limpar os certificados expirados mais antigos, conforme o necessário.

Enquanto um Agente de Autenticação de Passagem estiver em execução, ele permanecerá ativo e continuamente lidará com solicitações de entrada de usuários. Se você quiser desinstalar um Agente de Autenticação, acesse Painel de Controle -> Programas - > Programas e Recursos e desinstale os programas Agente de Autenticação do Microsoft Entra Connect e o Atualizador do Agente do Microsoft Entra Connect.

Se você verificar a folha de Autenticação de Passagem no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrido. após concluir a etapa anterior, você verá o Agente de Autenticação sendo exibido como Inativo. Isso é esperado. O Agente de Autenticação será descartado automaticamente da lista depois de dez dias.

Caso você esteja migrando do AD FS (ou de outras tecnologias de federação) para a autenticação de passagem, recomendamos fortemente que você siga nosso guia de início rápido.

Sim. Ambientes de várias florestas terão suporte se houver relações de confiança (bidirecionais) entre suas florestas do Active Directory e se o roteamento de sufixo de nome estiver configurado corretamente.

Não, a instalação de vários Agentes de Autenticação de Passagem garante a alta disponibilidade. Ele não fornece o balanceamento de carga determinístico entre os Agentes de Autenticação. Qualquer agente de autenticação (aleatório) pode processar uma solicitação de entrada do usuário específico.

A instalação de vários Agentes de Autenticação de Passagem garante a alta disponibilidade. No entanto, ele não fornece o balanceamento de carga determinístico entre os Agentes de Autenticação.

Considere o horário de pico e a carga média de solicitações de entrada que você espera ver no seu locatário. Como um parâmetro de comparação, um único Agente de autenticação pode manipular de 300 a 400 autenticações por segundo em um servidor padrão com CPU de 4 núcleos e 16 GB de RAM.

Para estimar o tráfego de rede, use as seguintes diretrizes de tamanho:

• Cada solicitação tem um tamanho de carga de (0,5 K + 1 K * num_of_agents) bytes; ou seja, de dados do Microsoft Entra ID para o agente de autenticação. Aqui, "num_of_agents" indica o número de Agentes de autenticação registrado no seu locatário.
• Cada resposta tem um tamanho de carga de 1 KB; ou seja, de dados do agente de autenticação para o Microsoft Entra ID.

Para a maioria dos clientes, um total de dois ou três agentes de autenticação é o suficiente para alta disponibilidade e capacidade. No entanto, em ambientes de produção, recomendamos ter um mínimo de três agentes de autenticação em execução no locatário. Você deve instalar os Agentes de Autenticação perto de seus controladores de domínio para melhorar a latência de entrada.

Recomendamos que você habilite ou desabilite a autenticação de passagem usando uma conta de administrador global somente na nuvem. Saiba mais sobre adicionar uma conta de Administrador Global somente de nuvem. Fazendo dessa maneira garante que você não seja bloqueado de seu locatário.

Execute novamente o assistente Microsoft Entra Connect e altere o método de entrada do usuário de Autenticação de Passagem para outro método. Essa alteração desabilita a Autenticação de Passagem no locatário e desinstala o Agente de Autenticação do servidor. Você deve desinstalar manualmente os Agentes de Autenticação dos outros servidores.

Se você desinstalar um Agente de Autenticação de Passagem de um servidor, ele faz o servidor parar de aceitar solicitações de entrada. Para evitar desativar o recurso de entrada do usuário em seu locatário, tenha outro Agente de Autenticação em execução antes de desinstalar um Agente de Autenticação de Passagem.

Nas seguintes circunstâncias, as alterações do UPN local não podem ser sincronizadas nos seguintes casos:

• Seu locatário do Microsoft Entra foi criado antes de 15 de junho de 2015.
• Você inicialmente foi federado com seu locatário do Microsoft Entra usando o AD FS para autenticação.
• Você passou a ter usuários gerenciados usando PTA como autenticação.

Isso ocorre porque o comportamento padrão dos locatários criados antes de 15 de junho de 2015 era bloquear alterações o UPN. Se você precisar desbloquear as alterações de UPN, deverá executar o seguinte cmdlet do PowerShell. Obtenha a ID usando o cmdlet Get-MgDirectoryOnPremiseSynchronization.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Locatários criados depois de 15 de junho 2015 têm o comportamento padrão da sincronização de alterações UPN.

Para validar qual servidor local ou agente de autenticação foi usado para um evento de entrada específico:

1. No centro de administração do Microsoft Entra, vá para o evento de entrada.

2. Selecione Detalhes de Autenticação. Na coluna Detalhes do Método de Autenticação, os detalhes da ID do Agente são mostrados no formato "Autenticação de Passagem; AgentId de PTA: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXX".

3. Para obter detalhes da ID do Agente para o agente instalado no servidor local, faça logon no servidor local e execute o seguinte cmdlet:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   O valor do GUID retornado é a ID do Agente de autenticação instalado nesse servidor específico. Se você tiver vários agentes no ambiente, poderá executar esse cmdlet em cada servidor do agente e capturar os detalhes da ID do Agente.

4. Correlacione a ID do Agente obtida do servidor local e dos logs de entrada do Microsoft Entra para validar qual agente ou servidor confirmou a solicitação de assinatura.

Próximas etapas

• Limitações atuais: conheça os cenários com e sem suporte.
• Início rápido: comece a executar a autenticação de passagem do Microsoft Entra.
• Migrar seus aplicativos para a ID do Microsoft Entra: recursos para ajudar você a migrar o acesso e a autenticação do aplicativo para a ID do Microsoft Entra.
• Bloqueio Inteligente: saiba como configurar a capacidade de Bloqueio Inteligente no seu locatário para proteger as contas de usuário.
• Análise técnica aprofundada: entenda como funciona o recurso de Autenticação de passagem.
• Solução de problemas: saiba como resolver problemas comuns com o recurso de Autenticação de Passagem.
• Aprofundamento em segurança: obtenha informações técnicas avançadas sobre o recurso de Autenticação de passagem.
• Ingresso híbrido do Microsoft Entra: configure o recurso de ingresso híbrido do Microsoft Entra em seu locatário para SSO em seus recursos locais e na nuvem.
• SSO contínuo do Microsoft Entra: saiba mais sobre esse recurso complementar.
• UserVoice: use o fórum do Microsoft Entra para enviar solicitações de novos recursos.