Вопросы и ответы о сквозной проверке подлинности Microsoft Entra

Ознакомьтесь с этим руководством , чтобы сравнить различные методы входа Microsoft Entra и как выбрать правильный метод входа в вашу организацию.

Функция сквозной аутентификации предоставляется бесплатно. Вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.

Да. Все возможности условного доступа , включая многофакторную проверку подлинности Microsoft Entra, работают с сквозной проверкой подлинности.

Да, как сквозная проверка подлинности (PTA), так и синхронизация хэша паролей (PHS) поддерживают вход с использованием значения, отличного от имени участника-пользователя, например альтернативного сообщения электронной почты. Дополнительные сведения об альтернативном идентификаторе входа.

№ Нет, сквозная аутентификация не выполняет автоматический переход на синхронизацию хэшей паролей. Чтобы избежать ошибок входа пользователей, следует настроить высокий уровень доступности сквозной проверки подлинности.

При использовании Microsoft Entra Подключение для переключения метода входа с синхронизации хэша паролей на сквозную проверку подлинности сквозная проверка подлинности становится основным методом входа для пользователей в управляемых доменах. Хэши паролей всех пользователей, ранее синхронизированные синхронизацией хэша паролей, сохраняются в идентификаторе Microsoft Entra.

Да. Эта конфигурация поддерживается в переработанной версии агента сквозной аутентификации (версия 1.5.193.0 или более поздняя).

Для работы этой функции требуется версия 1.1.750.0 или более поздней для Microsoft Entra Подключение и 1.5.193.0 или более поздней версии для агента сквозной проверки подлинности. Все программное обеспечение следует устанавливать на серверы Windows Server 2012 R2 или более поздней версии.

Это может быть вызвано неправильной работой службы обновления или отсутствием новых обновлений, которые может установить служба. Служба обновления находится в работоспособном состоянии, если она запущена и в журнале событий не записаны ошибки ("Журналы приложений и служб" > Microsoft > AzureADConnect-Agent > Обновления > Администратор).

Автоматическое обновление применяется только для основных версий. Рекомендуется обновлять агент вручную, только если это необходимо. Например, вы не можете ждать основного выпуска, так как необходимо устранить известную проблему или использовать новую функцию. Дополнительные сведения о новых выпусках, тип выпуска (скачивание, автоматическое обновление), исправления ошибок и новые функции см. в разделе агента сквозной проверки подлинности Microsoft Entra: журнал выпусков версий.

Чтобы вручную обновить соединитель, выполните следующие действия.

• Скачайте последнюю версию агента. (Вы найдете его в разделе Microsoft Entra Подключение Сквозная проверка подлинности в Центре администрирования Microsoft Entra. Вы также можете найти ссылку на сквозную проверку подлинности Microsoft Entra: журнал выпуска версий.
• Установщик перезапускает службы агента проверки подлинности Microsoft Entra Подключение. В некоторых случаях перезагрузка сервера требуется, если установщик не может заменить все файлы. Поэтому мы рекомендуем закрыть все приложения, которые являются Просмотр событий перед началом обновления.
• Запустите установщик. Процесс обновления быстро и не требует предоставления учетных данных, а агент не будет повторно зарегистрирован.

Если вы настроили обратную запись паролей для конкретного пользователя, то когда пользователь будет выполнять вход с использованием сквозной аутентификации, он сможет изменить или сбросить пароль. Пароли будут записаны обратно в локальный каталог Active Directory, как ожидается.

Если вы не настроили обратную запись паролей для определенного пользователя или если у пользователя нет допустимой лицензии на идентификатор Microsoft Entra ID, пользователь не сможет обновить свой пароль в облаке. Он не сможет обносить свой пароль, даже если истек срок его действия. Пользователь увидит следующее сообщение: "Ваша организация запрещает обновлять пароль на этом сайте. Обновите пароль рекомендованным организацией способом или обратитесь за помощью к администратору." Пользователь или администратор должен сбросить свой пароль в локальной службе Active Directory.

Срок действия пароля не запускает отзыв маркеров проверки подлинности или файлов cookie. Пока маркеры или файлы cookie не будут действительны, пользователь сможет использовать их. Это применимо независимо от типа проверки подлинности (PTA, PHS и федеративные сценарии).

Дополнительные сведения проверка документации ниже:

маркеры доступа платформа удостоверений Майкрософт — платформа удостоверений Майкрософт | Документация Майкрософт

Прочитайте сведения о смарт-блокировке.

• Агенты аутентификации выполняют HTTPS-запросы через порт 443 для всех операций этой функции.

• Агенты аутентификации выполняют HTTP-запросы через порт 80 для скачивания списков отзыва TLS/SSL-сертификатов (CLR).

  Примечание.

  В последних обновлениях было сокращено количество портов, необходимых для работы этой функции. Если у вас есть более старые версии Microsoft Entra Подключение или агент проверки подлинности, сохраните эти порты открытыми: 5671, 8080, 9090, 9350, 9350, 9352 и 10100-10120.

Да. Если в локальной среде включена служба WPAD (автоматическое обнаружение веб-прокси), агенты аутентификации автоматически пытаются обнаружить и использовать сервер веб-прокси в сети. Дополнительные сведения об использовании исходящего прокси-сервера см. в статье "Работа с существующими локальными прокси-серверами".

Если у вас нет WPAD в вашей среде, можно добавить сведения о прокси-сервере (как показано ниже), чтобы разрешить агенту сквозной проверки подлинности взаимодействовать с идентификатором Microsoft Entra:

• Укажите сведения о прокси-сервере в Internet Explorer, прежде чем устанавливать агент сквозной проверки подлинности на сервере. Это позволяет завершить установку агента проверки подлинности, но она по-прежнему будет отображаться как неактивная на портале Администратор.
• На сервере перейдите в каталог "C:\Program Files\Агент проверки подлинности Microsoft Azure AD Connect".
• Измените файл конфигурации "AzureADConnectAuthenticationAgentService" и добавьте такие строки (замените http://contosoproxy.com:8080" фактическим адресом своего прокси-сервера):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Нет, на одном сервере можно установить только один агент сквозной проверки подлинности. Если вы хотите настроить сквозную аутентификацию для обеспечения высокой доступности, следуйте этим инструкциям.

Обмен данными между каждым агентом сквозной проверки подлинности и идентификатором Microsoft Entra обеспечивается с помощью проверки подлинности на основе сертификатов. Эти сертификаты автоматически обновляются каждые несколько месяцев идентификатором Microsoft Entra. Не нужно вручную обновлять эти сертификаты. Старые просроченные сертификаты при необходимости можно удалить.

Если агент сквозной аутентификации выполняется, он остается активным и постоянно обрабатывает запросы на вход пользователей. Если вы хотите удалить агент проверки подлинности, перейдите к панель управления —>> программы и компоненты, а также удалите агент проверки подлинности Microsoft Entra Подключение и программы обновления агента Microsoft Entra Подключение агента.

Если вы проверка колонку сквозной проверки подлинности в Центре администрирования Microsoft Entra как минимум гибридное удостоверение Администратор istrator. После завершения предыдущего шага агент проверки подлинности будет отображаться как неактивный. Это ожидаемое поведение. Агент аутентификации будет автоматически удален из списка через 10 дней.

Если вы переносите AD FS (или другие технологии федерации) на сквозную проверку подлинности, настоятельно рекомендуем выполнить наше краткое руководство.

Да. Среды с несколькими лесами поддерживаются, если между лесами Active Directory существуют отношения доверия (двусторонние) и правильно настроена маршрутизация по суффиксу имени.

Нет, установка нескольких агентов сквозной проверки подлинности обеспечивает высокий уровень доступности. Она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности. Любой агент проверки подлинности (в произвольном порядке) может обработать запрос на вход в систему от определенного пользователя.

Установка нескольких агентов сквозной аутентификации обеспечивает высокий уровень доступности. Но она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности.

Рассмотрим ожидаемую пиковую и среднюю нагрузку запросов на вход для клиента. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.

Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:

• Каждый запрос имеет размер полезных данных (0,5K + 1K * num_of_agents) байт; то есть данные из идентификатора Microsoft Entra в агент проверки подлинности. Здесь "число_агентов" указывает количество агентов аутентификации, зарегистрированных в клиенте.
• Каждый ответ имеет полезные данные размером 1 КБ; То есть данные агента проверки подлинности до идентификатора Microsoft Entra.

Для большинства клиентов двух или трех агентов аутентификации будет достаточно, чтобы обеспечить высокий уровень доступности и емкость. Однако в рабочих средах рекомендуется использовать не менее 3 агентов проверки подлинности, работающих в клиенте. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.

Рекомендуется включить или отключить сквозную проверку подлинности с помощью облачной учетной записи Администратор istrator. См. дополнительные сведения о добавлении облачной учетной записи глобального администратора. Выполните эти инструкции, чтобы не потерять доступ к клиенту.

Повторно запустите мастер microsoft Entra Подключение и измените метод входа пользователя с сквозной проверки подлинности на другой метод. Это позволит отключить сквозную проверку подлинности на клиенте и удалить агент проверки подлинности с сервера. Необходимо вручную удалить агенты аутентификации с других серверов.

Если удалить агент сквозной аутентификации с сервера, то этот сервер прекратит принимать запросы на вход. Чтобы избежать нарушения функции входа пользователей в клиенте, перед удалением агента сквозной аутентификации убедитесь, что запущен другой агент аутентификации.

Изменения локального имени субъекта-пользователя могут не синхронизироваться при следующих условиях:

• Клиент Microsoft Entra был создан до 15 июня 2015 г.
• Изначально вы были федеративны с клиентом Microsoft Entra с помощью AD FS для проверки подлинности.
• вы перешли на управляемых пользователей, используя PTA в качестве механизма проверки подлинности.

Это обусловлено тем, что по умолчанию в клиентах, созданных до 15 июня 15, 2015 г., блокируются изменения имени субъекта-пользователя. Если вам нужно отменить блокировку изменений имени участника-службы, необходимо выполнить следующий командлет PowerShell. Получите идентификатор с помощью командлета Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Клиенты, созданные после 15 июня 2015 г., синхронизируют изменения имени участника-пользователя по умолчанию.

Чтобы проверить, какой локальный сервер или агент проверки подлинности использовался для конкретного события входа в систему, сделайте следующее:

1. В Центре администрирования Microsoft Entra перейдите к событию входа.

2. Выберите Сведения о проверке подлинности. В столбце Сведения о методе проверки подлинности сведения об идентификаторе агента отображаются в формате "Сквозная проверка подлинности; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Чтобы получить сведения об идентификаторе агента, установленного на локальном сервере, войдите на локальный сервер и выполните следующий командлет:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Возвращаемое значение GUID — это идентификатор агента проверки подлинности, установленного на данном сервере. Если в вашей среде имеется несколько агентов, можно выполнить этот командлет на каждом сервере агента и получить сведения об идентификаторах агента.

4. Сопоставляйте идентификатор агента, полученный с локального сервера, и из журналов входа Microsoft Entra, чтобы проверить, какой агент или сервер признал запрос на вход.

Следующие шаги

• Текущие ограничения. Узнайте о поддерживаемых сценариях и тех, которые не поддерживаются.
• Краткое руководство. Получение и запуск сквозной проверки подлинности Microsoft Entra.
• Перенос приложений на идентификатор Microsoft Entra: ресурсы, которые помогут перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
• Интеллектуальная блокировка. Узнайте, как настроить возможность интеллектуальной блокировки в клиенте для защиты учетных записей пользователей.
• Подробное техническое руководство. Поймите, как работает функция сквозной аутентификации.
• Устранение неполадок. Узнайте, как устранять распространенные проблемы со сквозной аутентификации.
• Руководство по безопасности. Получите дополнительные технические сведения о сквозной аутентификации.
• Гибридное присоединение к Microsoft Entra: настройте возможность гибридного соединения Microsoft Entra в клиенте для единого входа в облаке и локальных ресурсах.
• Microsoft Entra простой единый вход: узнайте больше об этой дополнительной функции.
• UserVoice: используйте форум Microsoft Entra для отправки новых запросов функций.