Autenticação pass-through do Microsoft Entra: Perguntas mais frequentes

Reveja este guia para obter uma comparação dos vários métodos de início de sessão do Microsoft Entra e como escolher o método de início de sessão certo para a sua organização.

A autenticação de passagem é um recurso gratuito. Você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

Sim. Todos os recursos de Acesso Condicional, incluindo a autenticação multifator Microsoft Entra, funcionam com a Autenticação de Passagem.

Sim, tanto a autenticação de passagem (PTA) quanto a sincronização de hash de senha (PHS) suportam o login usando um valor não UPN, como um e-mail alternativo. Para obter mais informações sobre o ID de login alternativo.

N.º A Autenticação Pass-through não efetua a ativação pós-falha automática para a sincronização do hash de palavras-passe. Para evitar falhas de entrada do usuário, você deve configurar a Autenticação de Passagem para alta disponibilidade.

Quando você usa o Microsoft Entra Connect para alternar o método de entrada da sincronização de hash de senha para a Autenticação de Passagem, a Autenticação de Passagem se torna o principal método de entrada para seus usuários em domínios gerenciados. Todos os hashes de senha dos usuários que são sincronizados anteriormente pela sincronização de hash de senha permanecem armazenados no Microsoft Entra ID.

Sim. As versões renomeadas do Agente de Autenticação de Passagem, versão 1.5.193.0 ou posterior, suportam essa configuração.

Para que esse recurso funcione, você precisa da versão 1.1.750.0 ou posterior para o Microsoft Entra Connect e 1.5.193.0 ou posterior para o Agente de Autenticação de Passagem. Instale todo o software em servidores com Windows Server 2012 R2 ou posterior.

Isso pode ser devido ao serviço atualizador não funcionar corretamente ou se não houver novas atualizações disponíveis que o serviço possa instalar. O serviço atualizador estará íntegro se estiver em execução e não houver erros registrados no log de eventos (logs de Aplicativos e Serviços -> Microsoft -> AzureADConnect-Agent -> Updater -> Admin).

Apenas as versões principais são lançadas para atualização automática. Recomendamos atualizar seu agente manualmente somente se for necessário. Por exemplo, você não pode esperar por uma versão principal, porque você deve corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo de versão (download, atualização automática), correções de bugs e novos recursos, consulte Microsoft Entra pass-through authentication agent: Version release history.

Para atualizar manualmente um conector:

• Faça o download da versão mais recente do Agente. (Você o encontra em Autenticação do Microsoft Entra Connect Pass-through no Centro de administração do Microsoft Entra. Você também pode encontrar o link em Microsoft Entra pass-through authentication: Version release history.
• O instalador reinicia os serviços do Agente de Autenticação do Microsoft Entra Connect. Em alguns casos, uma reinicialização do servidor é necessária se o instalador não puder substituir todos os arquivos. Portanto, recomendamos fechar todos os aplicativos, ou seja, Visualizar eventos, antes de iniciar a atualização.
• Execute o instalador. O processo de atualização é rápido e não requer o fornecimento de credenciais e o Agente não será registrado novamente.

Se você configurou o write-back de senha para um usuário específico e se o usuário entrar usando a Autenticação de Passagem, ele poderá alterar ou redefinir suas senhas. As senhas são gravadas novamente no Ative Directory local, conforme o esperado.

Se você não configurou o write-back de senha para um usuário específico ou se o usuário não tiver uma licença válida do Microsoft Entra ID atribuída, o usuário não poderá atualizar sua senha na nuvem. Eles não podem atualizar sua senha, mesmo que a senha tenha expirado. Em vez disso, o usuário vê esta mensagem: "Sua organização não permite que você atualize sua senha neste site. Atualize-o de acordo com o método recomendado pela sua organização ou pergunte ao seu administrador se precisa de ajuda." O usuário ou o administrador deve redefinir sua senha no Ative Directory local.

A expiração da senha não aciona a revogação de tokens de autenticação ou cookies. Até que os tokens ou cookies sejam válidos, o usuário pode usá-los. Isso se aplica independentemente do tipo de autenticação (PTA, PHS e cenários federados).

Para mais detalhes, consulte a documentação abaixo:

Tokens de acesso à plataforma de identidade da Microsoft - Plataforma de identidade da Microsoft | Documentos Microsoft

Leia informações sobre o Smart Lockout.

• Os Agentes de Autenticação fazem solicitações HTTPS pela porta 443 para todas as operações de recursos.

• Os Agentes de Autenticação fazem solicitações HTTP pela porta 80 para baixar as listas de revogação de certificados TLS/SSL (CRLs).

  Nota

  As atualizações recentes reduziram o número de portas exigidas pelo recurso. Se você tiver versões mais antigas do Microsoft Entra Connect ou do Agente de Autenticação, mantenha essas portas abertas também: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Sim. Se a Descoberta Automática de Proxy da Web (WPAD) estiver habilitada em seu ambiente local, os Agentes de Autenticação tentarão localizar e usar automaticamente um servidor proxy da Web na rede. Para obter mais informações sobre como usar o servidor proxy de saída, consulte Trabalhar com servidores proxy locais existentes.

Se você não tiver o WPAD em seu ambiente, poderá adicionar informações de proxy (conforme mostrado abaixo) para permitir que um Agente de Autenticação de Passagem se comunique com o ID do Microsoft Entra:

• Configure as informações de proxy no Internet Explorer antes de instalar o Agente de Autenticação de Passagem no servidor. Isso permite que você conclua a instalação do Agente de Autenticação, mas ele ainda aparecerá como Inativo no portal de Administração.
• No servidor, navegue até "C:\Arquivos de Programas\Microsoft Azure AD Connect Authentication Agent".
• Edite o arquivo de configuração "AzureADConnectAuthenticationAgentService" e adicione as seguintes linhas (substitua "http://contosoproxy.com:8080" com o seu endereço de procuração real):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Não, você só pode instalar um Agente de Autenticação de Passagem em um único servidor. Se você quiser configurar a Autenticação de Passagem para alta disponibilidade, siga as instruções aqui.

A comunicação entre cada Agente de Autenticação de Passagem e o ID do Microsoft Entra é protegida usando autenticação baseada em certificado. Esses certificados são renovados automaticamente a cada poucos meses pelo Microsoft Entra ID. Não há necessidade de renovar manualmente esses certificados. Você pode limpar certificados expirados mais antigos conforme necessário.

Enquanto um Agente de Autenticação de Passagem estiver em execução, ele permanecerá ativo e processará continuamente as solicitações de entrada do usuário. Se você quiser desinstalar um Agente de Autenticação, vá para Painel de Controle -> Programas -> Programas e Recursos e desinstale os programas Microsoft Entra Connect Authentication Agent e Microsoft Entra Connect Agent Updater .

Se você verificar a folha Autenticação de Passagem no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida. depois de concluir a etapa anterior, você verá o Agente de Autenticação mostrando como Inativo. Isso é esperado. O Agente de Autenticação é automaticamente removido da lista após 10 dias.

Se estiver a migrar do AD FS (ou de outras tecnologias de federação) para a Autenticação de Passagem, recomendamos vivamente que siga o nosso guia de início rápido.

Sim. Há suporte para ambientes de várias florestas se houver relações de confiança de floresta (bidirecional) entre as florestas do Ative Directory e se o roteamento de sufixo de nome estiver configurado corretamente.

Não, a instalação de vários Agentes de Autenticação de Passagem garante apenas alta disponibilidade. Ele não fornece balanceamento de carga determinístico entre os agentes de autenticação. Qualquer agente de autenticação (aleatoriamente) pode processar uma solicitação de login de usuário específica.

A instalação de vários agentes de autenticação de passagem garante alta disponibilidade. Mas, ele não fornece balanceamento de carga determinístico entre os agentes de autenticação.

Considere o pico e a carga média de solicitações de entrada que você espera ver em seu locatário. Como referência, um único Agente de Autenticação pode lidar com 300 a 400 autenticações por segundo em uma CPU padrão de 4 núcleos, servidor de 16 GB de RAM.

Para estimar o tráfego de rede, use as seguintes diretrizes de dimensionamento:

• Cada solicitação tem um tamanho de carga útil de (0,5K + 1K * num_of_agents) bytes; ou seja, dados do Microsoft Entra ID para o Agente de Autenticação. Aqui, "num_of_agents" indica o número de Agentes de Autenticação registados no seu inquilino.
• Cada resposta tem um tamanho de carga útil de 1K bytes; ou seja, dados do Agente de Autenticação para o ID do Microsoft Entra.

Para a maioria dos clientes, dois ou três agentes de autenticação no total são suficientes para alta disponibilidade e capacidade. No entanto, em ambientes de produção, recomendamos que você tenha um mínimo de 3 agentes de autenticação em execução em seu locatário. Você deve instalar os Agentes de Autenticação próximos aos controladores de domínio para melhorar a latência de entrada.

É recomendável habilitar ou desabilitar a Autenticação de Passagem usando uma conta de Administrador Global somente na nuvem. Saiba mais sobre como adicionar uma conta de Administrador Global somente na nuvem. Fazê-lo desta forma garante que não fica bloqueado fora do seu inquilino.

Execute novamente o assistente do Microsoft Entra Connect e altere o método de entrada do usuário de Autenticação de Passagem para outro método. Essa alteração desabilita a Autenticação de Passagem no locatário e desinstala o Agente de Autenticação do servidor. Você deve desinstalar manualmente os Agentes de Autenticação dos outros servidores.

Se você desinstalar um Agente de Autenticação de Passagem de um servidor, isso fará com que o servidor pare de aceitar solicitações de entrada. Para evitar interromper a capacidade de início de sessão do utilizador no inquilino, garanta que tem outro Agente de Autenticação em execução antes de desinstalar um Agente de Autenticação Pass-through.

Nas seguintes circunstâncias, as alterações de UPN local podem não ser sincronizadas se:

• Seu locatário do Microsoft Entra foi criado antes de 15 de junho de 2015.
• Inicialmente, você foi federado com seu locatário do Microsoft Entra usando o AD FS para autenticação.
• Você passou a ter usuários gerenciados usando PTA como autenticação.

Isso ocorre porque o comportamento padrão dos locatários criados antes de 15 de junho de 2015 era bloquear as alterações do UPN. Se você precisar desbloquear alterações de UPN, precisará executar o seguinte cmdlet do PowerShell. Obtenha a ID usando o cmdlet Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Os inquilinos criados após 15 de junho de 2015 têm o comportamento predefinido de sincronizar as alterações ao UPN.

Para validar qual servidor local ou agente de autenticação foi usado para um evento de entrada específico:

1. No centro de administração do Microsoft Entra, vá para o evento de entrada.

2. Selecione Detalhes de autenticação. Na coluna Detalhes do Método de Autenticação , os detalhes da ID do Agente são mostrados no formato "Autenticação de passagem; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Para obter detalhes da ID do agente para o agente instalado no servidor local, faça login no servidor local e execute o seguinte cmdlet:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   O valor GUID retornado é o ID do agente de autenticação instalado nesse servidor específico. Se você tiver vários agentes em seu ambiente, poderá executar esse cmdlet em cada servidor de agente e capturar os detalhes da ID do agente.

4. Correlacione a ID do agente que você obtém do servidor local e dos logs de entrada do Microsoft Entra para validar qual agente ou servidor reconheceu a solicitação de assinatura.

Próximos passos

• Limitações atuais: conheça os cenários suportados e os que não são.
• Início rápido: comece a usar a autenticação de passagem do Microsoft Entra.
• Migrar seus aplicativos para o Microsoft Entra ID: recursos para ajudá-lo a migrar o acesso e a autenticação do aplicativo para o Microsoft Entra ID.
• Bloqueio Inteligente: Saiba como configurar a funcionalidade de Bloqueio Inteligente no seu inquilino para proteger as contas de utilizador.
• Aprofundamento técnico: entenda como funciona o recurso de autenticação de passagem.
• Solução de problemas: saiba como resolver problemas comuns com o recurso de autenticação de passagem.
• Aprofundamento de segurança: obtenha informações técnicas detalhadas sobre o recurso de autenticação de passagem.
• Ingresso híbrido do Microsoft Entra: configure o recurso de associação híbrida do Microsoft Entra em seu locatário para SSO em seus recursos locais e na nuvem.
• Microsoft Entra seamless SSO: Saiba mais sobre este recurso complementar.
• UserVoice: Use o fórum do Microsoft Entra para arquivar novas solicitações de recursos.