Вход пользователей с использованием сквозной проверки подлинности Microsoft Entra
Что такое сквозная аутентификация Microsoft Entra?
Сквозная проверка подлинности Microsoft Entra позволяет пользователям входить как в локальные, так и облачные приложения, используя одни и те же пароли. Эта функция облегчает работу пользователей, так как им не нужно запоминать на один пароль больше, и сокращает затраты на ИТ-поддержку, так как снижается вероятность того, что пользователи забудут процедуру входа. При входе пользователей с помощью идентификатора Microsoft Entra эта функция проверяет пароли пользователей непосредственно на локальная служба Active Directory.
Эта функция является альтернативой синхронизации хэша паролей Microsoft Entra, которая обеспечивает те же преимущества облачной проверки подлинности для организаций. Тем не менее некоторые организации, желающие применить локальные политики безопасности и политики паролей Active Directory, могут вместо этого использовать сквозную аутентификацию. Ознакомьтесь с этим руководством , чтобы сравнить различные методы входа Microsoft Entra и как выбрать правильный метод входа в вашу организацию.
Вы можете объединить сквозную проверку подлинности с функцией простого единого входа. Если у вас есть компьютеры с Windows 10 или более поздней версии, используйте гибридное соединение Microsoft Entra (AADJ). Таким образом, когда пользователи обращаются к приложениям на корпоративных компьютерах, входящих в корпоративную сеть, им не нужно вводить пароль для входа.
Основные преимущества использования сквозной проверки подлинности Microsoft Entra
- Удобство работы для пользователей
- Пользователи применяют одни и те же пароли для входа в локальные и облачные приложения.
- Пользователи тратят меньше времени на обращения в службу технической поддержки с целью разрешения проблем, связанных с паролями.
- Пользователи могут выполнять задачи самостоятельного управления паролями в облаке.
- Простота развертывания и администрирования
- Не требуются сложные локальные развертывания или настройка сети.
- В локальной среде необходимо установить лишь упрощенный клиент.
- Отсутствие накладных расходов на управление. Агент автоматически получает усовершенствования и исправления ошибок.
- Защита
- Локальные пароли ни в каком виде не хранятся в облаке.
- Защищает учетные записи пользователей путем эффективной работы с политиками условного доступа Microsoft Entra, включая многофакторную проверку подлинности (MFA), блокируя устаревшую проверку подлинности и отфильтровав атаки подбора паролей.
- Агент устанавливает только исходящие подключения из вашей сети. Таким образом, вам не нужно устанавливать агент в сети периметра.
- Обмен данными между агентом и идентификатором Microsoft Entra обеспечивается с помощью проверки подлинности на основе сертификатов. Эти сертификаты автоматически обновляются каждые несколько месяцев идентификатором Microsoft Entra.
- Высокая доступность
- Дополнительные агенты можно установить на нескольких локальных серверах, чтобы достичь высокого уровня доступности запросов на вход.
Описание функций
- Поддерживает вход пользователей во все браузерные приложения и клиентские приложения Microsoft Office, которые используют современную проверку подлинности.
- Имена пользователей входа могут быть локальным именем пользователя по умолчанию (
userPrincipalName
) или другим атрибутом, настроенным в Microsoft Entra Подключение (известный какAlternate ID
). - Эта функция прочно связана с функциями условного доступа (такими как многофакторная проверка подлинности, MFA) для защиты пользователей.
- Она интегрирована с самостоятельным управлением паролями на основе облака, включая обратную запись паролей в локальный каталог Active Directory и защиту пароля с помощью запрета часто используемых паролей.
- Среды с несколькими лесами поддерживаются, если между лесами AD существуют отношения доверия и правильно настроена маршрутизация по суффиксу имени.
- Это бесплатная функция, и вам не нужны платные выпуски Идентификатора Microsoft Entra для его использования.
- Его можно включить с помощью Microsoft Entra Подключение.
- Она использует упрощенный локальный агент, который прослушивает запросы на проверку пароля и отвечает на них.
- Установка нескольких агентов обеспечивает высокий уровень доступности запросов на вход.
- Она защищает локальные учетные записи от атак методом подбора пароля в облаке.
Следующие шаги
- Краткое руководство . Получение и запуск сквозной проверки подлинности Microsoft Entra.
- Перенос приложений на идентификатор Microsoft Entra: ресурсы, которые помогут перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
- Интеллектуальная блокировка. Настройка возможности интеллектуальной блокировки на клиенте для защиты учетных записей пользователей.
- Гибридное присоединение к Microsoft Entra: настройте возможность гибридного соединения Microsoft Entra в клиенте для единого входа в облаке и локальных ресурсах.
- Текущие ограничения. Сведения о том, какие сценарии поддерживаются, а какие нет.
- Подробное техническое руководство. Сведения о том, как работает эта функция.
- Часто задаваемые вопросы. Ответы на часто задаваемые вопросы.
- Устранение неполадок. Узнайте, как устранить самые распространенные проблемы с этой функцией.
- Подробный обзор безопасности. Дополнительные технические сведения об этом компоненте.
- Microsoft Entra простой единый вход . Дополнительные сведения об этой дополнительной функции.
- UserVoice. Отправка запросов на новые функции.