Autenticação de passagem do Azure Active Directory: início rápido

Implantar a autenticação de passagem do Azure AD

A autenticação de passagem do Azure Active Directory (Azure AD) permite que os usuários entrem em aplicativos locais e baseados em nuvem usando as mesmas senhas. Ela permite a entrada de usuários validando suas senhas diretamente no Active Directory local.

Importante

Se você estiver migrando do AD FS (ou outras tecnologias de federação) para Autenticação de Passagem, é altamente recomendável seguir nosso guia detalhado de implantação publicado aqui.

Observação

Ao implantar a autenticação de passagem com a nuvem do Azure Governamental, consulte Considerações sobre identidade híbrida para o Azure Governamental.

Siga estas instruções para implantar a Autenticação de Passagem no seu locatário:

Etapa 1: Verificar os pré-requisitos

Verifique se os pré-requisitos a seguir estão em vigor.

Importante

Do ponto de vista da segurança, os administradores devem tratar o servidor que executa o agente PTA como um controlador de domínio. Os servidores do agente PTA devem ser protegidos de maneira semelhante, conforme descrito em Protegendo controladores de domínio contra ataques

No centro de administração do Azure Active Directory

  1. Crie uma conta de Administrador de Identidade Híbrida ou uma conta de administrador de identidade híbrida somente em nuvem em seu locatário do Microsoft Azure AD. Dessa forma, você pode gerenciar a configuração do seu locatário caso seus serviços locais falhem ou fiquem indisponíveis. Saiba como adicionar uma conta de administrador de identidade híbrida somente em nuvem. A conclusão dessa etapa é essencial para garantir que você não seja bloqueado de seu locatário.
  2. Adicione um ou mais nomes de domínio personalizados ao seu locatário do Azure AD. Os usuários podem entrar com um desses nomes de domínio.

Em seu ambiente local

  1. Identifique um servidor que execute o Windows Server 2016 ou posterior para executar o Azure AD Connect. Se já não foi habilitado, habilite o TLS 1.2 no servidor. Adicione o servidor à mesma floresta do Active Directory dos usuários cujas senhas você precisa validar. Lembre-se de que não há suporte para a instalação do agente de autenticação de passagem nas versões do Windows Server Core.

  2. Instale a última versão do Azure AD Connect no servidor identificado na etapa anterior. Se o Azure AD Connect já está em execução, verifique se a versão é a 1.1.750.0 ou posterior.

    Observação

    As versões 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 do Azure AD Connect têm um problema relacionado à sincronização de hash de senha. Se você não pretende usar a sincronização de hash de senha em conjunto com a Autenticação de passagem, leia as Notas de versão do Azure AD Connect.

  3. Identifique um ou mais servidores adicionais (que execute o Windows Server 2016 ou posterior, com o TLS 1.2 habilitado) no qual você possa executar Agentes de Autenticação autônomos. Esses servidores adicionais são necessários para garantir a alta disponibilidade de solicitações de entrada. Adicione os servidores à mesma floresta do Active Directory dos usuários cujas senhas você precisa validar.

    Importante

    Em ambientes de produção, recomendamos ter um mínimo de três Agentes de Autenticação em execução no seu locatário. Há um limite do sistema de 40 Agentes de Autenticação por locatário. Como melhor prática, trate todos os servidores que estão executando Agentes de Autenticação como sistemas de Camada 0 (veja a referência).

  4. Se houver um firewall entre os servidores e o Azure AD, configure os seguintes itens:

    • Certifique-se de que os Agentes de Autenticação podem fazer solicitações de saída ao Azure AD sobre as seguintes portas:

      Número da porta Como ele é usado
      80 Baixa as listas de CRLs (certificados revogados) enquanto valida o certificado TLS/SSL
      443 Lida com toda a comunicação de saída com o serviço
      8080 (opcional) Agentes de Autenticação relatam seu status de cada dez minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal do Azure Active Directory. A porta 8080 não é usada para entradas do usuário.

      Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.

    • Se o firewall ou proxy permitir que você adicione entradas DNS a uma lista de permissão, inclua conexões em *.msappproxy.net e em *.servicebus.windows.net. Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente.

    • Evite todas as formas de inspeção sequencial e encerramento em comunicações TLS de saída entre o agente de passagem do Azure e o ponto de extremidade do Azure.

    • Para um proxy HTTP de saída, verifique se a URL autologon.microsoftazuread-sso.com está na lista de permissões. Você deve especificar essa URL explicitamente, pois o caractere curinga pode não ser aceito.

    • Os seus Agentes de autenticação devem acessar login.windows.net e login.microsoftonline.net para o registro inicial. Abra seu firewall para essas URLs também.

    • Para a validação de certificados, desbloqueie as seguintes URLs: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80, e ocsp.msocsp.com:80. Uma vez que essas URLs são usadas para a validação de certificado com outros produtos da Microsoft, você talvez já tenha essas URLs desbloqueadas.

Pré-requisito de nuvem do Azure Governamental

Antes de habilitar a autenticação de passagem na etapa 2 do Azure AD Connect, baixe a versão mais recente do agente PTA no portal do Azure. Certifique-se de que o agente esteja na versão 1.5.1742.0. ou posterior. Para verificar seu agente, consulte Atualizar agentes de autenticação

Depois de baixar a versão mais recente do agente, continue com as instruções abaixo para configurar a autenticação de passagem pelo Azure AD Connect.

Etapa 2: habilitar o recurso

Habilite a Autenticação de passagem por meio do Azure AD Connect.

Importante

É possível habilitar a Autenticação de passagem no servidor primário ou de preparo do Azure AD Connect. É altamente recomendável habilitá-la do servidor primário. Se você estiver configurando um servidor de preparo do Azure AD Connect no futuro, você devem continuar para escolher a autenticação de passagem como a opção de entrada; escolhendo outra opção será desabilitar Autenticação de passagem no locatário e substituir a configuração no servidor primário.

Se estiver instalando o Azure AD Connect pela primeira vez, escolha o caminho de instalação personalizado. Na página Entrada de usuário escolha Autenticação de Passagem como o Método de logon. Após a conclusão bem-sucedida, um Agente de autenticação de passagem estará instalado no mesmo servidor do Azure AD Connect. Além disso, o recurso de autenticação de passagem estará habilitado em seu locatário.

Azure AD Connect: entrada do usuário

Se já tiver instalado o Azure AD Connect usando o caminho de instalação expressa ou de instalação personalizada, selecione a tarefa Alterar entrada do usuário no Azure AD Connect e selecione Avançar. Depois selecione Autenticação de Passagem como o método de entrada. Após a conclusão bem-sucedida, um Agente de autenticação de passagem estará instalado no mesmo servidor que o Azure AD Connect, e o recurso estará habilitado em seu locatário.

Azure AD Connect: alterar entrada do usuário

Importante

A Autenticação de Passagem é um recurso no nível do locatário. A ativação desse recurso afeta a entrada de usuários em todos os domínios gerenciados no seu locatário. Se estiver alternando dos Serviços de Federação do Active Directory (AD FS) para Autenticação de passagem, você deve esperar pelo menos 12 horas antes de desligar a infraestrutura do AD FS. Esse tempo de espera é para garantir que os usuários continuem entrando no Exchange ActiveSync durante a transição. Para obter mais ajuda sobre a migração do AD FS para Autenticação de Passagem, veja o nosso plano detalhado de implantação publicado aqui.

Etapa 3: testar o recurso

Siga estas instruções para verificar se você habilitou a Autenticação de passagem corretamente:

  1. Entre no Centro de administração do Azure Active Directory com as credenciais do Administrador de Identidade Híbrida de seu locatário.
  2. Selecione Azure Active Directory no painel esquerdo.
  3. Selecione Azure AD Connect.
  4. Verifique se o recurso Autenticação de passagem aparece como Habilitado.
  5. Selecione Autenticação de passagem. Esse painel da Autenticação de passagem lista os servidores em que os Agentes de autenticação estão instalados.

Centro de administração do Azure Active Directory: painel do Azure AD Connect

Centro de administração do Azure Active Directory: painel da Autenticação de passagem

Nesse momento, os usuários de todos os domínios gerenciados no seu locatário podem entrar usando a Autenticação de passagem. No entanto, os usuários de domínios federados continuam a entrar usando o AD FS ou outro provedor de federação que já esteja configurado. Se você converter um domínio de federado para gerenciado, todos os usuários nesse domínio passarão automaticamente a entrar usando a Autenticação de passagem. O recurso de Autenticação de passagem os não afeta os usuários somente de nuvem.

Etapa 4: Verificar a alta disponibilidade

Se você planeja implantar autenticação de passagem em um ambiente de produção, instale um Agente de Autenticação autônomo. Instale esses Agentes de Autenticação no(s) servidor(es) diferente(s) do que está executando o Azure AD Connect. Esta configuração fornece alta disponibilidade para solicitações de entrada de usuário.

Importante

Em ambientes de produção, recomendamos ter um mínimo de três Agentes de Autenticação em execução no seu locatário. Há um limite do sistema de 40 Agentes de Autenticação por locatário. Como melhor prática, trate todos os servidores que estão executando Agentes de Autenticação como sistemas de Camada 0 (veja a referência).

A instalação de diversos agentes de autenticação de passagem garante alta disponibilidade, mas não o balanceamento de carga determinístico entre os agentes de autenticação. Para determinar quantos agentes de autenticação você precisa para seu locatário, considere o pico e a carga média das solicitações de entrada esperadas no locatário. Como um parâmetro de comparação, um único Agente de autenticação pode manipular de 300 a 400 autenticações por segundo em um servidor padrão com CPU de 4 núcleos e 16 GB de RAM.

Para estimar o tráfego de rede, use as seguintes diretrizes de tamanho:

  • Cada solicitação tem um tamanho de carga de (0,5 K + 1 K * num_of_agents) bytes, ou seja, de dados do Azure AD para o agente de autenticação. Aqui, "num_of_agents" indica o número de Agentes de autenticação registrado no seu locatário.
  • Cada resposta tem um tamanho de carga de 1 KB, ou seja, de dados do agente de autenticação para o Azure AD.

Para a maioria dos clientes, um total de três agentes de autenticação é suficiente para alta disponibilidade e capacidade. Você deve instalar os Agentes de Autenticação perto de seus controladores de domínio para melhorar a latência de entrada.

Comece seguindo estas instruções para baixar o software do agente de autenticação:

  1. Para fazer o download da versão mais recente do Agente de Autenticação (versões 1.5.193.0 ou posteriores), entre no centro de administração do Azure Active Directory com as credenciais de Administrador de Identidade Híbrida.
  2. Selecione Azure Active Directory no painel esquerdo.
  3. Selecione Azure AD Connect, Autenticação de passagem e depois Baixar Agente.
  4. Selecione o botão Aceitar termos baixar.

Centro de administração do Azure Active Directory: botão de Baixar Agente de Autenticação

Centro de administração do Azure Active Directory: painel Baixar Agente

Observação

Você também pode baixar o software Agente de Autenticação diretamente. Leia e aceite os Termos de Serviço do Agente de Autenticação antes de instalá-lo.

Existem duas formas de implantar um Agente de Autenticação autônomo:

Primeiro, você pode fazer isso de forma interativa simplesmente executando o executável do Agente de Autenticação baixado e fornecendo credenciais de administrador global do locatário quando solicitado.

Segundo, você pode criar e executar um script de implantação autônomo. Isso é útil quando você deseja implantar vários Agentes de Autenticação ao mesmo tempo, ou instalar Agentes de Autenticação em servidores Windows que não possuem a interface do usuário ativada ou que você não pode acessar com a Área de Trabalho Remota. Aqui estão as instruções sobre como usar essa abordagem:

  1. Execute o seguinte comando para instalar um Agente de Autenticação: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Você pode registrar o Agente de Autenticação com nosso serviço usando o Windows PowerShell. Crie um objeto de credenciais do PowerShell $cred que contém um nome de usuário de administrador global e uma senha para seu locatário. Execute o seguinte comando, substituindo nome de usuário> e >:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Vá para C:\Arquivos de Programas\Microsoft Azure AD Connect Authentication Agent e execute o seguinte script usando o objeto que você criou:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Importante

Se um agente de autenticação estiver instalado em uma máquina virtual, você não poderá cloná-la para configurar outro agente de autenticação. Não há suporte para esse método.

Etapa 5: configurar o recurso Smart Lockout

O Smart Lockout ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas dos usuários ou usar métodos de força bruta para entrada. Ao definir as configurações do Smart Lockout no Azure AD e/ou as configurações de bloqueio apropriadas no Active Directory local, os ataques podem ser filtrados antes de atingir o Active Directory. Leia este artigo para saber mais sobre como definir as configurações do Smart Lockout em seu locatário para proteger suas contas de usuário.

Próximas etapas