Сквозная аутентификация Microsoft Entra: краткое руководство

Развертывание сквозной проверки подлинности Microsoft Entra

Сквозная проверка подлинности Microsoft Entra позволяет пользователям входить как в локальные, так и облачные приложения с помощью одинаковых паролей. В случае ее применения при входе пользователей в систему их пароли проверяются непосредственно в локальной службе Active Directory.

Важно!

При миграции с AD FS (или других технологий федерации) на сквозную проверку подлинности просмотрите ресурсы для переноса приложений в идентификатор Microsoft Entra.

Примечание.

При развертывании Сквозной проверки подлинности в облаке Azure для государственных организаций см. раздел Рекомендации по гибридной идентификации в Azure для государственных организаций.

Чтобы развернуть сквозную аутентификацию на клиенте, необходимо выполнить приведенные ниже инструкции.

Шаг 1. Проверка соблюдения предварительных требований

Выполните указанные ниже предварительные требования.

Важно!

С точки зрения безопасности администраторы должны рассматривать сервер, на котором работает агент PTA, как контроллер домена. Серверы агента PTA должны быть защищены на тех линиях, как это описано в статье Защита контроллеров доменов от атак

В Центре администрирования Microsoft Entra

1. Создайте учетную запись гибридного удостоверения только для облака Администратор istrator или учетную запись администратора гибридного удостоверения в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте о добавлении облачной учетной записи гибридного удостоверения Администратор istrator. Этот шаг очень важен, чтобы не потерять доступ к клиенту.
2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В локальной среде

1. Определите сервер под управлением Windows Server 2016 или более поздней версии для запуска Microsoft Entra Подключение. Включите протокол TLS 1.2 на сервере, если еще не сделали это. Добавьте этот сервер в тот же лес AD, что и пользователей, пароли которых требуется проверить. Необходимо отметить, что установка агента Сквозной проверки подлинности на версиях Windows Server Core не поддерживается.

2. Установите последнюю версию Microsoft Entra Подключение на сервере, определенном на предыдущем шаге. Если у вас уже запущена Подключение Microsoft Entra, убедитесь, что версия поддерживается.

   Примечание.

   Microsoft Entra Подключение версии 1.1.557.0, 1.1.558.0, 1.1.561.0 и 1.1.614.0 связаны с синхронизацией хэша паролей. Если вы не планируете использовать синхронизацию хэша паролей в сочетании с сквозной проверкой подлинности, ознакомьтесь с заметками о выпуске Microsoft Entra Подключение.

3. Укажите один или несколько дополнительных серверов (под управлением Windows Server 2016 или более поздней версии с включенным протоколом TLS 1.2), на которых необходимо запустить изолированные агенты аутентификации. Эти дополнительные серверы нужны для обеспечения высокого уровня доступности запросов на вход. Добавьте эти серверы в лес Active Directory, в котором размещены пользователи, пароли которых требуется проверить.

   Важно!

   В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).

4. Если между серверами и идентификатором Microsoft Entra существует брандмауэр, настройте следующие элементы:

   • Убедитесь, что агенты проверки подлинности могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

     Номер порта	Как он используется
     80	Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
     443	Обработка всего исходящего трафика для службы.
     8080 (необязательно)	Агенты аутентификации передают данные о своем состоянии каждые десять минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra. Порт 8080 не используется для входа пользователей в систему.

     Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

   • Если ваш брандмауэр или прокси-сервер позволяет добавлять записи DNS в список разрешений, добавьте подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.

   • Избегайте всех форм встроенной проверки и завершения исходящих соединений TLS между агентом Сквозной проверки и конечной точкой Azure.

   • При наличии исходящего прокси-сервера HTTP убедитесь, что URL-адрес autologon.microsoftazuread-sso.com находится в списке разрешенных. Этот URL-адрес следует указать явно, потому что подстановочный знак может быть не принят.

   • Агентам аутентификации требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.

   • Для проверки сертификата разблокируйте следующие URL-адреса: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 и ocsp.msocsp.com:80. Так как эти URL-адреса используются для проверки сертификатов в других продуктах Майкрософт, они уже могут быть разблокированы.

Предварительные требования для использования с облака Azure для государственных организаций

Прежде чем включить сквозную проверку подлинности через Microsoft Entra Подключение с шагом 2, скачайте последний выпуск агента PTA из Центра администрирования Microsoft Entra. Убедитесь, что версия агента — 1.5.1742.0. или выше. Чтобы проверить агент, см. статью Обновление агентов проверки подлинности

После скачивания последнего выпуска агента следуйте приведенным ниже инструкциям по настройке сквозной проверки подлинности через Microsoft Entra Подключение.

Шаг 2. Включение компонента

Включите сквозную проверку подлинности через Microsoft Entra Подключение.

Важно!

Вы можете включить сквозную проверку подлинности на основном или промежуточном сервере Microsoft Entra Подключение. Мы настоятельно рекомендуем включить ее на сервере-источнике. Если вы настраиваете промежуточный сервер Microsoft Entra Подключение в будущем, необходимо продолжить выбор сквозной проверки подлинности в качестве параметра входа. При выборе другого параметра будет отключена сквозная проверка подлинности на клиенте и переопределяется параметр на основном сервере.

Если вы впервые устанавливаете Microsoft Entra Подключение, выберите путь к пользовательской установке. На странице Вход пользователя в качестве метода единого входа выберите Сквозная проверка подлинности. При успешном завершении агент сквозной проверки подлинности устанавливается на том же сервере, что и Microsoft Entra Подключение. Кроме того, будет включена функция сквозной проверки подлинности на клиенте.

Если вы уже установили Microsoft Entra Подключение с помощью экспресс-установки или пользовательского пути установки, выберите задачу "Изменить пользователя входа" в Microsoft Entra Подключение, а затем нажмите кнопку "Далее". Затем выберите Сквозная проверка подлинности в качестве метода входа. При успешном завершении агент сквозной проверки подлинности устанавливается на том же сервере, что и Microsoft Entra Подключение, и эта функция включена в клиенте.

Важно!

Сквозная проверка подлинности — это функция уровня клиента. При включении она влияет на вход пользователей во всех управляемых доменах в клиенте. При переходе со служб федерации Active Directory (AD FS) на сквозную аутентификацию нужно подождать по крайней мере 12 часов, прежде чем завершать работу инфраструктуры AD FS. Это необходимо, чтобы пользователи могли входить в Exchange ActiveSync во время перехода. Дополнительные сведения о миграции с AD FS на сквозную проверку подлинности проверка из наших планов развертывания, опубликованных здесь.

Шаг 3. Тестирование функции

Выполните следующие инструкции, чтобы проверить, правильно ли включена сквозная аутентификация:

1. Войдите в Центр администрирования Microsoft Entra с помощью учетных данных гибридного удостоверения Администратор istrator для вашего клиента.

2. Выберите Microsoft Entra ID.

3. Выберите Microsoft Entra Подключение.

4. Убедитесь, что для функции Сквозная проверка подлинности отображается значение Включено.

5. Выберите Сквозная проверка подлинности. Откроется область Сквозная проверка подлинности со списком серверов, на которых установлены агенты аутентификации.

   

   

На этом этапе пользователи из всех управляемых доменов клиента смогут выполнять вход с помощью сквозной аутентификации. Тем не менее пользователи из федеративных доменов будут по-прежнему входить с помощью AD FS или любого другого поставщика служб федерации, настроенного ранее. При преобразовании федеративного домена в управляемый домен все пользователи из этого домена автоматически начинают использовать вход с помощью сквозной проверки подлинности. Функция сквозной аутентификации пользователей не затрагивает облачных пользователей.

Шаг 4. Обеспечение высокого уровня доступности

Если планируется развернуть сквозную аутентификацию в рабочей среде, следует установить дополнительные изолированные агенты аутентификации. Установите эти агенты проверки подлинности на серверах, отличных от одного, на котором выполняется microsoft Entra Подключение. Эта конфигурация обеспечит высокий уровень доступности для запросов пользователей на вход.

Важно!

В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).

Установка нескольких агентов Сквозной проверки подлинности обеспечивает высокий уровень доступности, при этом детерминированная балансировка нагрузки между агентами проверки подлинности не поддерживается. Чтобы определить, сколько агентов проверки подлинности требуется для вашего клиента, рассмотрите ожидаемые для клиента пиковую и среднюю нагрузку запросов на вход. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.

Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:

• Каждый запрос имеет полезные данные (0,5K + 1K * num_of_agents) байтов, то есть данные из идентификатора Microsoft Entra в агент проверки подлинности. Здесь "число_агентов" указывает количество агентов аутентификации, зарегистрированных в клиенте.
• Каждый ответ имеет полезные данные размером 1 КБ, то есть данные агента проверки подлинности до идентификатора Microsoft Entra.

Для большинства клиентов достаточно трех агентов проверки подлинности, чтобы обеспечить высокий уровень доступности и производительности. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.

Прежде всего, выполните приведенные ниже инструкции, чтобы скачать программное обеспечение агента проверки подлинности.

1. Чтобы скачать последнюю версию агента проверки подлинности (версия 1.5.193.0 или более поздней), войдите в Центр администрирования Microsoft Entra с помощью учетных данных гибридного удостоверения клиента Администратор istrator.

2. Выберите Microsoft Entra ID.

3. Выберите Microsoft Entra Подключение, выберите сквозную проверку подлинности и выберите "Скачать агент".

4. Нажмите кнопку Принять условия и скачать.

   

Примечание.

Можно также напрямую скачать программное обеспечение агента аутентификации. Прочитайте и примите условия использования агента аутентификации, прежде чем установить его.

Развернуть изолированный агент аутентификации можно двумя способами.

Во-первых, это можно сделать интерактивно, просто запустив скачанный исполняемый файл агента аутентификации и указав учетные данные глобального администратора своего клиента при появлении соответствующего запроса.

Во-вторых, можно создать и запустить сценарий автоматического развертывания. Это удобно, если вы хотите одновременно развернуть несколько агентов аутентификации или установить агенты аутентификации на серверах Windows, на которых не включен пользовательский интерфейс или к которым невозможно получить доступ с помощью подключения к удаленному рабочему столу. Ниже приведены инструкции по этому способу.

1. Выполните следующую команду, чтобы установить агент аутентификации: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
2. Вы можете зарегистрировать агент проверки подлинности в нашей службе с помощью PowerShell. Создайте объект учетных данных PowerShell $cred, содержащий имя пользователя и пароль глобального администратора для вашего клиента. Выполните следующую команду, заменив <username> и <password>:

$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword

3. Перейдите в каталог C:\Program Files\Microsoft Azure AD Connect Authentication Agent и запустите следующий сценарий с использованием созданного объекта $cred.

RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Важно!

Если агент проверки подлинности установлен на виртуальной машине, вы не сможете клонировать виртуальную машину для настройки другого агента проверки подлинности. Этот способ не поддерживается.

Шаг 5. Настройка возможностей интеллектуальной блокировки

Эта функция помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора пароля для входа. Настроив параметры Smart Lockout в идентификаторе Microsoft Entra ID и (или) соответствующие параметры блокировки в локальная служба Active Directory, атаки можно отфильтровать до того, как они достигают Active Directory. Ознакомьтесь с этой статьей, чтобы узнать больше о настройке параметров интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.

Следующие шаги

• Перенос приложений на идентификатор Microsoft Entra: ресурсы, которые помогут перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
• Интеллектуальная блокировка. Узнайте, как настроить возможность интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.
• Текущие ограничения. Узнайте о том, какие сценарии поддерживаются для сквозной аутентификации, а какие нет.
• Подробное техническое руководство. Поймите, как работает функция сквозной аутентификации.
• Часто задаваемые вопросы. Найдите ответы на часто задаваемые вопросы.
• Устранение неполадок. Узнайте, как устранять распространенные проблемы со сквозной аутентификации.
• Руководство по безопасности. Получите дополнительные технические сведения о сквозной аутентификации.
• Гибридное присоединение к Microsoft Entra: настройте возможность гибридного соединения Microsoft Entra в клиенте для единого входа в облаке и локальных ресурсах.
• Microsoft Entra простой единый вход: узнайте больше об этой дополнительной функции.
• UserVoice: используйте форум Microsoft Entra для отправки новых запросов функций.