Autenticação de pass-through do Microsoft Entra: Início Rápido

  • Artigo

Implantar a autenticação de passagem do Microsoft Entra

A autenticação de passagem do Microsoft Entra permite que seus usuários entrem em aplicativos locais e baseados em nuvem usando as mesmas senhas. A Autenticação de Passagem inicia sessão nos usuários validando suas senhas diretamente no Ative Directory local.

Importante

Se você estiver migrando do AD FS (ou outras tecnologias de federação) para a Autenticação de Passagem, exiba Recursos para migrar aplicativos para a ID do Microsoft Entra.

Nota

Se você implantar a Autenticação de Passagem com a nuvem do Azure Government, exiba Considerações de Identidade Híbrida para o Azure Government.

Siga estas instruções para implantar a Autenticação de Passagem em seu locatário:

Etapa 1: Verifique os pré-requisitos

Certifique-se de que os seguintes pré-requisitos estão em vigor.

Importante

Do ponto de vista da segurança, os administradores devem tratar o servidor que executa o agente PTA como se fosse um controlador de domínio. Os servidores do agente PTA devem ser protegidos nos mesmos moldes descritos em Protegendo controladores de domínio contra ataques

No centro de administração do Microsoft Entra

  1. Crie uma conta de Administrador de Identidade Híbrida somente na nuvem ou uma conta de administrador de Identidade Híbrida em seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do seu locatário caso os serviços locais falhem ou fiquem indisponíveis. Saiba mais sobre como adicionar uma conta de Administrador de Identidade Híbrida somente na nuvem. Concluir esta etapa é fundamental para garantir que você não fique bloqueado fora do seu locatário.
  2. Adicione um ou mais nomes de domínio personalizados ao seu locatário do Microsoft Entra. Os seus utilizadores podem iniciar sessão com um destes nomes de domínio.

Em seu ambiente local

  1. Identifique um servidor que executa o Windows Server 2016 ou posterior para executar o Microsoft Entra Connect. Se ainda não estiver habilitado, habilite o TLS 1.2 no servidor. Adicione o servidor à mesma floresta do Ative Directory que os usuários cujas senhas você precisa validar. Deve-se observar que a instalação do agente de Autenticação de Passagem em versões do Windows Server Core não é suportada.

  2. Instale a versão mais recente do Microsoft Entra Connect no servidor identificado na etapa anterior. Se já tiver o Microsoft Entra Connect em execução, certifique-se de que a versão é suportada.

    Nota

    As versões 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 do Microsoft Entra Connect têm um problema relacionado à sincronização de hash de senha. Se você não pretende usar a sincronização de hash de senha em conjunto com a Autenticação de Passagem, leia as notas de versão do Microsoft Entra Connect.

  3. Identifique um ou mais servidores adicionais (executando o Windows Server 2016 ou posterior, com TLS 1.2 habilitado) onde você pode executar Agentes de Autenticação autônomos. Esses servidores adicionais são necessários para garantir a alta disponibilidade de solicitações para entrar. Adicione os servidores à mesma floresta do Ative Directory que os usuários cujas senhas você precisa validar.

    Importante

    Em ambientes de produção, recomendamos que você tenha um mínimo de 3 agentes de autenticação em execução em seu locatário. Há um limite de sistema de 40 Agentes de Autenticação por locatário. E, como prática recomendada, trate todos os servidores que executam Agentes de Autenticação como sistemas de Nível 0 (consulte a referência).

  4. Se houver um firewall entre seus servidores e o ID do Microsoft Entra, configure os seguintes itens:

    • Certifique-se de que os Agentes de Autenticação possam fazer solicitações de saída para o ID do Microsoft Entra pelas seguintes portas:

      Número da porta Como é utilizado
      80 Baixa as listas de revogação de certificados (CRLs) enquanto valida o certificado TLS/SSL
      443 Processa toda a comunicação de saída com o serviço
      8080 (opcional) Os agentes de autenticação relatam seu status a cada dez minutos pela porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no centro de administração do Microsoft Entra. A porta 8080 não é usada para entradas de usuário.

      Se a firewall impuser regras de acordo com os utilizadores de origem, abra estas portas para o tráfego dos serviços Windows que são executados com um serviço de rede.

    • Se o firewall ou proxy permitir que você adicione entradas DNS a uma lista de permissões, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente.

    • Evite todas as formas de inspeção em linha e Terminação em comunicações TLS de saída entre o Agente de Passagem do Azure e o Ponto de Extremidade do Azure.

    • Se tiver um proxy HTTP de saída, certifique-se de que este URL, autologon.microsoftazuread-sso.com, está na lista de permitidos. Você deve especificar esse URL explicitamente, pois o curinga pode não ser aceito.

    • Seus agentes de autenticação precisam de acesso a login.windows.net e login.microsoftonline.com para o registro inicial. Abra também a firewall para estes URLs.

    • Para validação de certificado, desbloqueie as seguintes URLs: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 e ocsp.msocsp.com:80. Como essas URLs são usadas para validação de certificado com outros produtos da Microsoft, talvez você já tenha essas URLs desbloqueadas.

Pré-requisito de nuvem do Azure Government

Antes de habilitar a Autenticação de Passagem por meio do Microsoft Entra Connect com a Etapa 2, baixe a versão mais recente do agente PTA no centro de administração do Microsoft Entra. Você precisa garantir que seu agente seja a versão 1.5.1742.0 ou posterior. Para verificar seu agente, consulte Atualizar agentes de autenticação

Depois de baixar a versão mais recente do agente, prossiga com as instruções abaixo para configurar a Autenticação de Passagem por meio do Microsoft Entra Connect.

Etapa 2: Ativar o recurso

Habilite a Autenticação de Passagem por meio do Microsoft Entra Connect.

Importante

Você pode habilitar a Autenticação de Passagem no servidor primário ou de preparo do Microsoft Entra Connect. É altamente recomendável ativá-lo a partir do servidor primário. Se você estiver configurando um servidor de preparo do Microsoft Entra Connect no futuro, deverá continuar a escolher Autenticação de Passagem como a opção de entrada, escolher outra opção desabilitará a Autenticação de Passagem no locatário e substituirá a configuração no servidor primário.

Se você estiver instalando o Microsoft Entra Connect pela primeira vez, escolha o caminho de instalação personalizado. Na página Login do usuário, escolha Autenticação de passagem como o método de logon. Após a conclusão bem-sucedida, um Agente de Autenticação de Passagem é instalado no mesmo servidor que o Microsoft Entra Connect. Além disso, o recurso de Autenticação de Passagem está habilitado em seu locatário.

Microsoft Entra Connect: User sign-in

Se você já tiver instalado o Microsoft Entra Connect usando a instalação expressa ou o caminho de instalação personalizada, selecione a tarefa Alterar entrada do usuário no Microsoft Entra Connect e selecione Avançar. Em seguida, selecione Autenticação de passagem como o método de entrada. Após a conclusão bem-sucedida, um Agente de Autenticação de Passagem é instalado no mesmo servidor que o Microsoft Entra Connect e o recurso é habilitado em seu locatário.

Microsoft Entra Connect: Change user sign-in

Importante

A Autenticação de Passagem é um recurso de nível de locatário. Ativá-lo afeta o início de sessão dos utilizadores em todos os domínios geridos no seu inquilino. Se estiver a mudar dos Serviços de Federação do Ative Directory (AD FS) para a Autenticação de Passagem, deve aguardar pelo menos 12 horas antes de encerrar a infraestrutura do AD FS. Esse tempo de espera é para garantir que os usuários possam continuar entrando no Exchange ActiveSync durante a transição. Para obter mais ajuda sobre como migrar do AD FS para a Autenticação de Passagem, confira nossos planos de implantação publicados aqui.

Etapa 3: Testar o recurso

Siga estas instruções para verificar se você habilitou a Autenticação de Passagem corretamente:

  1. Entre no centro de administração do Microsoft Entra com as credenciais de Administrador de Identidade Híbrida para seu locatário.

  2. Selecione Microsoft Entra ID.

  3. Selecione Microsoft Entra Connect.

  4. Verifique se o recurso de autenticação de passagem aparece como Habilitado.

  5. Selecione Autenticação de passagem. O painel de autenticação de passagem lista os servidores onde os Agentes de Autenticação estão instalados.

    Screenhot shows Microsoft Entra admin center: Microsoft Entra Connect pane.

    Screenshot shows Microsoft Entra admin center: Pass-through Authentication pane.

Nesta etapa, os usuários de todos os domínios gerenciados em seu locatário podem entrar usando a Autenticação de Passagem. No entanto, os usuários de domínios federados continuam a entrar usando o AD FS ou outro provedor de federação que você configurou anteriormente. Se você converter um domínio de federado para gerenciado, todos os usuários desse domínio começarão automaticamente a entrar usando a Autenticação de Passagem. O recurso de autenticação de passagem não afeta os usuários somente na nuvem.

Etapa 4: Garantir alta disponibilidade

Se você planeja implantar a Autenticação de Passagem em um ambiente de produção, deverá instalar Agentes de Autenticação autônomos adicionais. Instale esses Agentes de Autenticação no(s) servidor(es) diferente daquele que executa o Microsoft Entra Connect. Esta configuração fornece alta disponibilidade para solicitações de entrada do usuário.

Importante

Em ambientes de produção, recomendamos que você tenha um mínimo de 3 agentes de autenticação em execução em seu locatário. Há um limite de sistema de 40 Agentes de Autenticação por locatário. E, como prática recomendada, trate todos os servidores que executam Agentes de Autenticação como sistemas de Nível 0 (consulte a referência).

A instalação de vários Agentes de Autenticação de Passagem garante alta disponibilidade, mas não um balanceamento de carga determinístico entre os Agentes de Autenticação. Para determinar quantos Agentes de Autenticação você precisa para seu locatário, considere o pico e a carga média de solicitações de entrada que você espera ver em seu locatário. Como referência, um único Agente de Autenticação pode lidar com 300 a 400 autenticações por segundo em uma CPU padrão de 4 núcleos, servidor de 16 GB de RAM.

Para estimar o tráfego de rede, use as seguintes diretrizes de dimensionamento:

  • Cada solicitação tem um tamanho de carga útil de (0,5K + 1K * num_of_agents) bytes, ou seja, dados do ID do Microsoft Entra para o Agente de Autenticação. Aqui, "num_of_agents" indica o número de Agentes de Autenticação registados no seu inquilino.
  • Cada resposta tem um tamanho de carga útil de 1K bytes, ou seja, dados do Agente de Autenticação para o ID do Microsoft Entra.

Para a maioria dos clientes, três agentes de autenticação no total são suficientes para alta disponibilidade e capacidade. Você deve instalar os Agentes de Autenticação próximos aos controladores de domínio para melhorar a latência de entrada.

Para começar, siga estas instruções para baixar o software do Agente de Autenticação:

  1. Para baixar a versão mais recente do Agente de Autenticação (versão 1.5.193.0 ou posterior), entre no centro de administração do Microsoft Entra com as credenciais de Administrador de Identidade Híbrida do seu locatário.

  2. Selecione Microsoft Entra ID.

  3. Selecione Microsoft Entra Connect, selecione Autenticação de passagem e, em seguida, selecione Download Agent.

  4. Selecione o botão Aceitar termos & download .

    Screenshot shows Microsoft Entra admin center: Download Authentication Agent button.

Nota

Você também pode baixar diretamente o software do Agente de Autenticação. Revise e aceite os Termos de Serviçodo Agente de Autenticação antes de instalá-lo.

Há duas maneiras de implantar um Agente de Autenticação autônomo:

Primeiro, você pode fazer isso interativamente apenas executando o executável do Agente de Autenticação baixado e fornecendo as credenciais de administrador global do locatário quando solicitado.

Em segundo lugar, você pode criar e executar um script de implantação autônoma. Isso é útil quando você deseja implantar vários Agentes de Autenticação de uma só vez ou instalar Agentes de Autenticação em servidores Windows que não têm a interface do usuário habilitada ou que você não pode acessar com a Área de Trabalho Remota. Aqui estão as instruções sobre como usar essa abordagem:

  1. Execute o seguinte comando para instalar um agente de autenticação: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Você pode registrar o Agente de Autenticação em nosso serviço via PowerShell. Crie um objeto $cred Credenciais do PowerShell que contenha um nome de usuário e senha de administrador global para seu locatário. Execute o seguinte comando, substituindo <username> e <password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Vá para C:\Program Files\Microsoft Azure AD Connect Authentication Agent e execute o seguinte script usando o $cred objeto que você criou:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Importante

Se um Agente de Autenticação estiver instalado em uma Máquina Virtual, você não poderá clonar a Máquina Virtual para configurar outro Agente de Autenticação. Este método não é suportado.

Etapa 5: Configurar o recurso Smart Lockout

O Smart Lockout ajuda a bloquear agentes mal-intencionados que estão tentando adivinhar as senhas de seus usuários ou usando métodos de força bruta para entrar. Ao definir as configurações de Bloqueio Inteligente no ID do Microsoft Entra e/ou as configurações de bloqueio apropriadas no Ative Directory local, os ataques podem ser filtrados antes de chegarem ao Ative Directory. Leia este artigo para saber mais sobre como configurar as definições do Smart Lockout no seu inquilino para proteger as suas contas de utilizador.

Próximos passos