Editar

Partilhar via


Autenticação de passagem do Microsoft Entra: perguntas frequentes

Este artigo aborda perguntas frequentes sobre a autenticação de passagem do Microsoft Entra. Continue verificando se há conteúdo atualizado.

Qual dos métodos para entrar no Microsoft Entra ID, Autenticação de Passagem, sincronização de hash de senha e Serviços de Federação do Ative Directory (AD FS) devo escolher?

Reveja este guia para obter uma comparação dos vários métodos de início de sessão do Microsoft Entra e como escolher o método de início de sessão certo para a sua organização.

A autenticação de passagem é um recurso gratuito?

A autenticação de passagem é um recurso gratuito. Você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

O Acesso Condicional funciona com a Autenticação de Passagem?

Sim. Todos os recursos de Acesso Condicional, incluindo a autenticação multifator Microsoft Entra, funcionam com a Autenticação de Passagem.

A Autenticação de Passagem suporta "ID Alternativa" como nome de usuário, em vez de "userPrincipalName"?

Sim, tanto a autenticação de passagem (PTA) quanto a sincronização de hash de senha (PHS) suportam o login usando um valor não UPN, como um e-mail alternativo. Para obter mais informações sobre o ID de login alternativo.

A sincronização de hash de senha atua como um fallback para a Autenticação de Passagem?

Não. A Autenticação de Passagem não faz failover automático para a sincronização de hash de senha. Para evitar falhas de entrada do usuário, você deve configurar a Autenticação de Passagem para alta disponibilidade.

O que acontece quando mudo da sincronização de hash de senha para a Autenticação de Passagem?

Quando você usa o Microsoft Entra Connect para alternar o método de entrada da sincronização de hash de senha para a Autenticação de Passagem, a Autenticação de Passagem se torna o principal método de entrada para seus usuários em domínios gerenciados. Todos os hashes de senha dos usuários que são sincronizados anteriormente pela sincronização de hash de senha permanecem armazenados no Microsoft Entra ID.

Posso instalar um conector de rede privada Microsoft Entra no mesmo servidor que um Agente de Autenticação de Passagem?

Sim. As versões renomeadas do Agente de Autenticação de Passagem, versão 1.5.193.0 ou posterior, suportam essa configuração.

Quais versões do Microsoft Entra Connect e do Agente de Autenticação de Passagem são necessárias?

Para que esse recurso funcione, você precisa da versão 1.1.750.0 ou posterior para o Microsoft Entra Connect e 1.5.193.0 ou posterior para o Agente de Autenticação de Passagem. Instale todo o software em servidores com Windows Server 2012 R2 ou posterior.

Por que meu conector ainda está usando uma versão mais antiga e não é atualizado automaticamente para a versão mais recente?

Isso pode ser devido ao serviço atualizador não funcionar corretamente ou se não houver novas atualizações disponíveis que o serviço possa instalar. O serviço atualizador estará íntegro se estiver em execução e não houver erros registrados no log de eventos (logs de Aplicativos e Serviços -> Microsoft -> AzureADConnect-Agent -> Updater -> Admin).

Apenas as versões principais são lançadas para atualização automática. Recomendamos atualizar seu agente manualmente somente se for necessário. Por exemplo, você não pode esperar por uma versão principal, porque você deve corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo de versão (download, atualização automática), correções de bugs e novos recursos, consulte Microsoft Entra pass-through authentication agent: Version release history.

Para atualizar manualmente um conector:

  • Faça o download da versão mais recente do Agente. (Você o encontra em Autenticação do Microsoft Entra Connect Pass-through no Centro de administração do Microsoft Entra. Você também pode encontrar o link em Microsoft Entra pass-through authentication: Version release history.
  • O instalador reinicia os serviços do Agente de Autenticação do Microsoft Entra Connect. Em alguns casos, uma reinicialização do servidor é necessária se o instalador não puder substituir todos os arquivos. Recomendamos fechar todos os aplicativos antes de iniciar a atualização.
  • Execute o instalador. O processo de atualização é rápido e não requer o fornecimento de credenciais e o Agente não será registrado novamente.

O que acontece se a senha do meu usuário expirou e ele tentar entrar usando a Autenticação de Passagem?

Se você configurou o write-back de senha para um usuário específico e se o usuário entrar usando a Autenticação de Passagem, ele poderá alterar ou redefinir suas senhas. As senhas são gravadas novamente no Ative Directory local, conforme o esperado.

Se você não configurou o write-back de senha para um usuário específico ou se o usuário não tiver uma licença válida do Microsoft Entra ID atribuída, o usuário não poderá atualizar sua senha na nuvem. Eles não podem atualizar sua senha, mesmo que a senha tenha expirado. Em vez disso, o usuário vê esta mensagem: "Sua organização não permite que você atualize sua senha neste site. Atualize-o de acordo com o método recomendado pela sua organização ou pergunte ao seu administrador se precisa de ajuda." O usuário ou o administrador deve redefinir sua senha no Ative Directory local.

O usuário faz logon no Microsoft Entra ID com credenciais (nome de usuário, senha). Enquanto isso, a senha do usuário expira, mas o usuário ainda pode acessar os recursos do Microsoft Entra. Por que isso acontece?

A expiração da senha não aciona a revogação de tokens de autenticação ou cookies. Até que os tokens ou cookies sejam válidos, o usuário pode usá-los. Isso se aplica independentemente do tipo de autenticação (PTA, PHS e cenários federados).

Para mais detalhes, consulte a documentação abaixo:

Tokens de acesso à plataforma de identidade da Microsoft - Plataforma de identidade da Microsoft | Documentos Microsoft

Como a Autenticação de Passagem protege você contra ataques de senha de força bruta?

O que os agentes de autenticação de passagem comunicam pelas portas 80 e 443?

  • Os Agentes de Autenticação fazem solicitações HTTPS pela porta 443 para todas as operações de recursos.

  • Os Agentes de Autenticação fazem solicitações HTTP pela porta 80 para baixar as listas de revogação de certificados TLS/SSL (CRLs).

    Observação

    As atualizações recentes reduziram o número de portas exigidas pelo recurso. Se você tiver versões mais antigas do Microsoft Entra Connect ou do Agente de Autenticação, mantenha essas portas abertas também: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Os Agentes de Autenticação de Passagem podem se comunicar por meio de um servidor proxy da Web de saída?

Sim. Se a Descoberta Automática de Proxy da Web (WPAD) estiver habilitada em seu ambiente local, os Agentes de Autenticação tentarão localizar e usar automaticamente um servidor proxy da Web na rede. Para obter mais informações sobre como usar o servidor proxy de saída, consulte Trabalhar com servidores proxy locais existentes.

Se você não tiver o WPAD em seu ambiente, poderá adicionar informações de proxy (conforme mostrado abaixo) para permitir que um Agente de Autenticação de Passagem se comunique com o ID do Microsoft Entra:

  • Configure as informações de proxy no Internet Explorer antes de instalar o Agente de Autenticação de Passagem no servidor. Isso permite que você conclua a instalação do Agente de Autenticação, mas ele ainda aparecerá como Inativo no portal de Administração.
  • No servidor, navegue até "C:\Arquivos de Programas\Microsoft Azure AD Connect Authentication Agent".
  • Edite o arquivo de configuração "AzureADConnectAuthenticationAgentService" e adicione as seguintes linhas (substitua "http://contosoproxy.com:8080" com o seu endereço de procuração real):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Posso instalar dois ou mais Agentes de Autenticação de Passagem no mesmo servidor?

Não, você só pode instalar um Agente de Autenticação de Passagem em um único servidor. Se você quiser configurar a Autenticação de Passagem para alta disponibilidade, siga as instruções aqui.

Tenho que renovar manualmente os certificados usados pelos Agentes de Autenticação de Passagem?

A comunicação entre cada Agente de Autenticação de Passagem e o ID do Microsoft Entra é protegida usando autenticação baseada em certificado. Esses certificados são renovados automaticamente a cada poucos meses pelo Microsoft Entra ID. Não há necessidade de renovar manualmente esses certificados. Você pode limpar certificados expirados mais antigos conforme necessário.

Como faço para remover um agente de autenticação de passagem?

Enquanto um Agente de Autenticação de Passagem estiver em execução, ele permanecerá ativo e processará continuamente as solicitações de entrada do usuário. Se você quiser desinstalar um Agente de Autenticação, vá para Painel de Controle -> Programas -> Programas e Recursos e desinstale os programas Microsoft Entra Connect Authentication Agent e Microsoft Entra Connect Agent Updater .

Se você verificar a folha Autenticação de Passagem no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida. Você deve ver o Agente de Autenticação mostrando como Inativo. Isso é esperado. O Agente de Autenticação é automaticamente retirado da lista após 10 dias.

Já utilizo o AD FS para iniciar sessão no Microsoft Entra ID. Como posso mudar para Autenticação de Passagem?

Se estiver a migrar do AD FS (ou de outras tecnologias de federação) para a Autenticação de Passagem, recomendamos vivamente que siga o nosso guia de início rápido.

Posso usar a Autenticação de Passagem em um ambiente do Ative Directory com várias florestas?

Sim. Há suporte para ambientes de várias florestas se houver relações de confiança de floresta (bidirecional) entre as florestas do Ative Directory e se o roteamento de sufixo de nome estiver configurado corretamente.

A Autenticação de Passagem fornece balanceamento de carga entre vários Agentes de Autenticação?

Não, a instalação de vários Agentes de Autenticação de Passagem garante apenas alta disponibilidade. Ele não fornece balanceamento de carga determinístico entre os agentes de autenticação. Qualquer agente de autenticação (aleatoriamente) pode processar uma solicitação de login de usuário específica.

Quantos agentes de autenticação de passagem preciso instalar?

A instalação de vários agentes de autenticação de passagem garante alta disponibilidade. Mas, ele não fornece balanceamento de carga determinístico entre os agentes de autenticação.

Considere o pico e a carga média de solicitações de entrada que você espera ver em seu locatário. Como referência, um único Agente de Autenticação pode lidar com 300 a 400 autenticações por segundo em uma CPU padrão de 4 núcleos, servidor de 16 GB de RAM.

Para estimar o tráfego de rede, use as seguintes diretrizes de dimensionamento:

  • Cada solicitação tem um tamanho de carga útil de (0,5K + 1K * num_of_agents) bytes; ou seja, dados do Microsoft Entra ID para o Agente de Autenticação. Aqui, "num_of_agents" indica o número de Agentes de Autenticação registados no seu inquilino.
  • Cada resposta tem um tamanho de carga útil de 1K bytes; ou seja, dados do Agente de Autenticação para o ID do Microsoft Entra.

Para a maioria dos clientes, dois ou três agentes de autenticação no total são suficientes para alta disponibilidade e capacidade. No entanto, em ambientes de produção, recomendamos que você tenha um mínimo de 3 agentes de autenticação em execução em seu locatário. Você deve instalar os Agentes de Autenticação próximos aos controladores de domínio para melhorar a latência de entrada.

Observação

Há um limite de sistema de 40 agentes de autenticação por locatário.

De que função necessito para ativar a Autenticação de Passagem?

É recomendável habilitar ou desabilitar a Autenticação de Passagem usando uma conta de Administrador de Identidade Híbrida. Fazê-lo desta forma garante que não fica bloqueado fora do seu inquilino. ]

Como posso desativar a Autenticação de Passagem?

Execute novamente o assistente do Microsoft Entra Connect e altere o método de entrada do usuário de Autenticação de Passagem para outro método. Essa alteração desabilita a Autenticação de Passagem no locatário e desinstala o Agente de Autenticação do servidor. Você deve desinstalar manualmente os Agentes de Autenticação dos outros servidores.

O que acontece quando desinstalo um Agente de Autenticação de Passagem?

Se você desinstalar um Agente de Autenticação de Passagem de um servidor, isso fará com que o servidor pare de aceitar solicitações de entrada. Para evitar interromper a capacidade de entrada do usuário em seu locatário, verifique se você tem outro Agente de Autenticação em execução antes de desinstalar um Agente de Autenticação de Passagem.

Tenho um locatário mais antigo que foi originalmente configurado usando o AD FS. Migramos recentemente para o PTA, mas agora não estamos vendo nossas alterações UPN sincronizando com o ID do Microsoft Entra. Por que nossas alterações UPN não estão sendo sincronizadas?

Nas seguintes circunstâncias, as alterações de UPN local podem não ser sincronizadas se:

  • Seu locatário do Microsoft Entra foi criado antes de 15 de junho de 2015.
  • Inicialmente, você foi federado com seu locatário do Microsoft Entra usando o AD FS para autenticação.
  • Você passou a ter usuários gerenciados usando PTA como autenticação.

Isso ocorre porque o comportamento padrão dos locatários criados antes de 15 de junho de 2015 era bloquear as alterações do UPN. Se você precisar desbloquear alterações de UPN, precisará executar o seguinte cmdlet do PowerShell. Obtenha a ID usando o cmdlet Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Os locatários criados após 15 de junho de 2015 têm o comportamento padrão de sincronizar as alterações do UPN.

Como faço para capturar a ID do Agente PTA dos logs de entrada do Microsoft Entra e do servidor PTA para validar qual servidor PTA foi usado para um evento de entrada?

Para validar qual servidor local ou agente de autenticação foi usado para um evento de entrada específico:

  1. No centro de administração do Microsoft Entra, vá para o evento de entrada.

  2. Selecione Detalhes de autenticação. Na coluna Detalhes do Método de Autenticação , os detalhes da ID do Agente são mostrados no formato "Autenticação de passagem; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

  3. Para obter detalhes da ID do agente para o agente instalado no servidor local, faça login no servidor local e execute o seguinte cmdlet:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    O valor GUID retornado é o ID do agente de autenticação instalado nesse servidor específico. Se você tiver vários agentes em seu ambiente, poderá executar esse cmdlet em cada servidor de agente e capturar os detalhes da ID do agente.

  4. Correlacione a ID do agente que você obtém do servidor local e dos logs de entrada do Microsoft Entra para validar qual agente ou servidor reconheceu a solicitação de assinatura.

Próximos passos

  • Limitações atuais: conheça os cenários suportados e os que não são.
  • Início rápido: comece a usar a autenticação de passagem do Microsoft Entra.
  • Migrar seus aplicativos para o Microsoft Entra ID: recursos para ajudá-lo a migrar o acesso e a autenticação do aplicativo para o Microsoft Entra ID.
  • Bloqueio Inteligente: Saiba como configurar a funcionalidade de Bloqueio Inteligente no seu inquilino para proteger as contas de utilizador.
  • Aprofundamento técnico: entenda como funciona o recurso de autenticação de passagem.
  • Solução de problemas: saiba como resolver problemas comuns com o recurso de autenticação de passagem.
  • Aprofundamento de segurança: obtenha informações técnicas detalhadas sobre o recurso de autenticação de passagem.
  • Ingresso híbrido do Microsoft Entra: configure o recurso de associação híbrida do Microsoft Entra em seu locatário para SSO em seus recursos locais e na nuvem.
  • Microsoft Entra seamless SSO: Saiba mais sobre este recurso complementar.
  • UserVoice: Use o fórum do Microsoft Entra para arquivar novas solicitações de recursos.