Сквозная проверка подлинности Microsoft Entra: часто задаваемые вопросы

В этой статье рассматриваются часто задаваемые вопросы о сквозной проверке подлинности Microsoft Entra. Продолжайте проверять наличие обновленного содержимого.

Какой из методов входа в Microsoft Entra ID, Сквозная проверка подлинности, синхронизация хэша паролей и службы федерации Active Directory (AD FS) (AD FS) следует выбрать?

Ознакомьтесь с этим руководством , чтобы сравнить различные методы входа Microsoft Entra и как выбрать правильный метод входа в вашу организацию.

Бесплатная функция сквозной проверки подлинности?

Сквозная проверка подлинности — это бесплатная функция. Вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.

Работает ли условный доступ с сквозной проверкой подлинности?

Да. Все возможности условного доступа , включая многофакторную проверку подлинности Microsoft Entra, работают с сквозной проверкой подлинности.

Поддерживает ли сквозная проверка подлинности альтернативный идентификатор в качестве имени пользователя вместо userPrincipalName?

Да, как сквозная проверка подлинности (PTA), так и синхронизация хэша паролей (PHS) поддерживают вход с использованием значения, отличного от имени участника-пользователя, например альтернативного сообщения электронной почты. Дополнительные сведения о альтернативном идентификаторе входа.

Действует ли синхронизация хэша паролей в качестве резервной функции сквозной проверки подлинности?

Нет. Сквозная проверка подлинности не выполняет автоматическую отработку отказа на синхронизацию хэша паролей. Чтобы избежать сбоев входа пользователей, следует настроить сквозную проверку подлинности для обеспечения высокой доступности.

Что происходит при переключении синхронизации хэша паролей на сквозную проверку подлинности?

При использовании Microsoft Entra Connect для переключения метода входа с синхронизации хэша паролей на сквозную проверку подлинности сквозная проверка подлинности становится основным методом входа для пользователей в управляемых доменах. Хэши паролей всех пользователей, ранее синхронизированные синхронизацией хэша паролей, сохраняются в идентификаторе Microsoft Entra.

Можно ли установить соединитель частной сети Microsoft Entra на том же сервере, что и агент сквозной проверки подлинности?

Да. Ребрендированные версии агента сквозной проверки подлинности версии 1.5.193.0 или более поздней версии поддерживают эту конфигурацию.

Какие версии microsoft Entra Connect и агента сквозной проверки подлинности требуются?

Для работы этой функции требуется версия 1.1.750.0 или более поздней для Microsoft Entra Connect и 1.5.193.0 или более поздней версии для агента сквозной проверки подлинности. Установите все программное обеспечение на серверах с Windows Server 2012 R2 или более поздней версии.

Почему соединитель по-прежнему использует старую версию и не обновляется до последней версии?

Это может произойти из-за неправильной работы службы обновления или отсутствия новых обновлений, которые служба может установить. Служба обновления работает, если она запущена, и в журнале событий отсутствуют ошибки (журналы приложений и служб — Microsoft ->> AzureADConnect-Agent —> Updater —> Admin).

Для автоматического обновления выпускаются только основные версии. Мы рекомендуем вручную обновить агент только в том случае, если это необходимо. Например, вы не можете ждать основного выпуска, так как необходимо устранить известную проблему или использовать новую функцию. Дополнительные сведения о новых выпусках, тип выпуска (скачивание, автоматическое обновление), исправления ошибок и новые функции см. в разделе агента сквозной проверки подлинности Microsoft Entra: журнал выпусков версий.

Чтобы вручную обновить соединитель, выполните следующее:

  • Скачайте последнюю версию агента. (Вы найдете его в разделе Microsoft Entra Connect Сквозная проверка подлинности на портале Microsoft Entra ConnectЦентр администрирования Microsoft Entra. Вы также можете найти ссылку на сквозную проверку подлинности Microsoft Entra: журнал выпуска версий.
  • Установщик перезапускает службы агента проверки подлинности Microsoft Entra Connect. В некоторых случаях перезагрузка сервера требуется, если установщик не может заменить все файлы. Перед началом обновления рекомендуется закрыть все приложения.
  • Запустите установщик. Процесс обновления быстро и не требует предоставления учетных данных, а агент не будет повторно зарегистрирован.

Что произойдет, если срок действия пароля пользователя истек, и они пытаются войти с помощью сквозной проверки подлинности?

Если вы настроили обратную запись паролей для определенного пользователя, а если пользователь входит с помощью сквозной проверки подлинности, он может изменить или сбросить пароли. Пароли записываются обратно в локальная служба Active Directory, как ожидалось.

Если вы не настроили обратную запись паролей для определенного пользователя или если у пользователя нет допустимой лицензии на идентификатор Microsoft Entra ID, пользователь не сможет обновить свой пароль в облаке. Они не могут обновить свой пароль, даже если срок действия пароля истек. Вместо этого пользователь увидит следующее сообщение: "Ваша организация не позволяет обновлять пароль на этом сайте. Обновите его в соответствии с методом, рекомендованным вашей организацией, или попросите администратора, если вам нужна помощь". Пользователь или администратор должны сбросить пароль в локальная служба Active Directory.

Пользователь входит в идентификатор Microsoft Entra с учетными данными (имя пользователя, пароль). В то же время срок действия пароля пользователя истекает, но пользователь по-прежнему может получить доступ к ресурсам Microsoft Entra. Почему это происходит?

Срок действия пароля не запускает отзыв маркеров проверки подлинности или файлов cookie. Пока маркеры или файлы cookie не будут действительны, пользователь сможет использовать их. Это применяется независимо от типа проверки подлинности (PTA, PHS и федеративных сценариев).

Дополнительные сведения см. в следующей документации:

маркеры доступа платформа удостоверений Майкрософт — платформа удостоверений Майкрософт | Документация Майкрософт

Как сквозная проверка подлинности защищает вас от атак подбора паролей?

Какие агенты сквозной проверки подлинности взаимодействуют через порты 80 и 443?

  • Агенты проверки подлинности выполняют HTTPS-запросы через порт 443 для всех операций функций.

  • Агенты проверки подлинности выполняют HTTP-запросы через порт 80, чтобы скачать списки отзыва TLS/SSL-сертификатов (CRLS).

    Заметка

    Последние обновления сократили количество портов, необходимых компоненту. Если у вас есть более старые версии Microsoft Entra Connect или агента проверки подлинности, сохраните эти порты открытыми, а также: 5671, 8080, 9090, 9350, 9352 и 10100-10120.

Могут ли агенты сквозной проверки подлинности взаимодействовать через исходящий веб-прокси-сервер?

Да. Если функция автоматического обнаружения веб-прокси (WPAD) включена в локальной среде, агенты проверки подлинности автоматически пытаются найти и использовать веб-прокси-сервер в сети. Дополнительные сведения об использовании исходящего прокси-сервера см. в статье "Работа с существующими локальными прокси-серверами".

Если у вас нет WPAD в вашей среде, можно добавить сведения о прокси-сервере (как показано ниже), чтобы разрешить агенту сквозной проверки подлинности взаимодействовать с идентификатором Microsoft Entra:

  • Настройте сведения о прокси-сервере в Internet Explorer перед установкой агента сквозной проверки подлинности на сервере. Это позволяет завершить установку агента проверки подлинности, но она по-прежнему будет отображаться как неактивная на портале администрирования.
  • На сервере перейдите в раздел "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
  • Измените файл конфигурации AzureADConnectAuthenticationAgentService и добавьте следующие строки (замените "http://contosoproxy.com:8080" с фактическим адресом прокси-сервера):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Можно ли установить два или более агентов сквозной проверки подлинности на одном сервере?

Нет, на одном сервере можно установить только один агент сквозной проверки подлинности. Если вы хотите настроить сквозную проверку подлинности для обеспечения высокой доступности, следуйте инструкциям ниже.

Нужно ли вручную обновлять сертификаты, используемые агентами сквозной проверки подлинности?

Обмен данными между каждым агентом сквозной проверки подлинности и идентификатором Microsoft Entra обеспечивается с помощью проверки подлинности на основе сертификатов. Эти сертификаты автоматически обновляются каждые несколько месяцев идентификатором Microsoft Entra. Не нужно вручную обновлять эти сертификаты. По мере необходимости можно очистить старые сертификаты с истекшим сроком действия.

Разделы справки удалить агент сквозной проверки подлинности?

Пока агент сквозной проверки подлинности запущен, он остается активным и постоянно обрабатывает запросы на вход пользователей. Если вы хотите удалить агент проверки подлинности, перейдите к панель управления —>> программы и компоненты, а также удалите агент проверки подлинности Microsoft Entra Connect и программы обновления агента Microsoft Entra Connect.

Если вы проверьте колонку сквозной проверки подлинности в Центре администрирования Microsoft Entra по крайней мере гибридным администратором удостоверений. Агент проверки подлинности должен отображаться как неактивный. Это ожидается. Агент проверки подлинности автоматически удаляется из списка через 10 дней.

Я уже использую AD FS для входа в идентификатор Microsoft Entra. Разделы справки переключить его на сквозную проверку подлинности?

Если вы переносите AD FS (или другие технологии федерации) на сквозную проверку подлинности, настоятельно рекомендуем выполнить наше краткое руководство.

Можно ли использовать сквозную проверку подлинности в среде Active Directory с несколькими лесами?

Да. Среды с несколькими лесами поддерживаются, если между лесами Active Directory имеются отношения доверия между лесами Active Directory и правильно настроена маршрутизация суффикса имен.

Обеспечивает ли сквозная проверка подлинности балансировку нагрузки между несколькими агентами проверки подлинности?

Нет, установка нескольких агентов сквозной проверки подлинности гарантирует только высокий уровень доступности. Она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности. Любой агент проверки подлинности (случайно) может обрабатывать конкретный запрос на вход пользователя.

Сколько агентов сквозной проверки подлинности необходимо установить?

Установка нескольких агентов сквозной проверки подлинности обеспечивает высокий уровень доступности. Но она не обеспечивает детерминированную балансировку нагрузки между агентами проверки подлинности.

Рассмотрим пиковую и среднюю нагрузку запросов на вход, которые вы ожидаете увидеть в клиенте. В качестве теста один агент проверки подлинности может обрабатывать 300 до 400 аутентификаций в секунду на стандартном 4-ядра ЦП, 16 ГБ ОЗУ сервера.

Чтобы оценить сетевой трафик, используйте следующее руководство по размеру:

  • Каждый запрос имеет размер полезных данных (0,5K + 1K * num_of_agents) байт; то есть данные из идентификатора Microsoft Entra в агент проверки подлинности. Здесь "num_of_agents" указывает количество агентов проверки подлинности, зарегистрированных в клиенте.
  • Каждый ответ имеет полезные данные размером 1 КБ; То есть данные агента проверки подлинности до идентификатора Microsoft Entra.

Для большинства клиентов достаточно двух или трех агентов проверки подлинности в общей сложности для обеспечения высокой доступности и емкости. Однако в рабочих средах рекомендуется использовать не менее 3 агентов проверки подлинности, работающих в клиенте. Чтобы повысить задержку входа, необходимо установить агенты проверки подлинности рядом с контроллерами домена.

Заметка

Существует ограничение в системе 40 агентов проверки подлинности для каждого клиента.

Какая роль необходима для включения сквозной проверки подлинности?

Рекомендуется включить или отключить сквозную проверку подлинности с помощью учетной записи администратора гибридных удостоверений. Это гарантирует, что вы не заблокировались из вашего клиента. ]

Как отключить сквозную проверку подлинности?

Повторно запустите мастер Microsoft Entra Connect и измените метод входа пользователя с сквозной проверки подлинности на другой метод. Это изменение отключает сквозную проверку подлинности в клиенте и удаляет агент проверки подлинности с сервера. Необходимо вручную удалить агенты проверки подлинности с других серверов.

Что происходит при удалении агента сквозной проверки подлинности?

Если удалить агент сквозной проверки подлинности с сервера, сервер перестанет принимать запросы на вход. Чтобы избежать нарушения возможности входа пользователя в клиент, убедитесь, что у вас есть другой агент проверки подлинности перед удалением агента сквозной проверки подлинности.

У меня есть старый клиент, который изначально был настроен с помощью AD FS. Недавно мы перешли на PTA, но теперь не видят изменения имени участника-пользователя, синхронизирующиеся с идентификатором Microsoft Entra. Почему изменения имени участника-участника не синхронизируются?

В следующих случаях локальные изменения имени участника-службы могут не синхронизироваться, если:

  • Клиент Microsoft Entra был создан до 15 июня 2015 г.
  • Изначально вы были федеративны с клиентом Microsoft Entra с помощью AD FS для проверки подлинности.
  • Вы переключились на использование управляемых пользователей с помощью PTA в качестве проверки подлинности.

Это связано с тем, что поведение клиентов, созданных по умолчанию до 15 июня 2015 года, было блокировать изменения имени участника-пользователя. Если вам нужно отменить блокировку изменений имени участника-службы, необходимо выполнить следующий командлет PowerShell. Получите идентификатор с помощью командлета Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Клиенты, созданные после 15 июня 2015 г., имеют поведение по умолчанию для синхронизации изменений имени участника-пользователя.

Разделы справки записать идентификатор агента PTA из журналов входа Microsoft Entra и сервера PTA, чтобы проверить, какой PTA-сервер использовался для события входа?

Чтобы проверить, какой локальный сервер или агент проверки подлинности использовался для определенного события входа:

  1. В Центре администрирования Microsoft Entra перейдите к событию входа.

  2. Выберите сведения о проверке подлинности. В столбце сведений о методе проверки подлинности сведения об идентификаторе агента отображаются в формате "Сквозная проверка подлинности; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

  3. Чтобы получить сведения об идентификаторе агента, установленного на локальном сервере, войдите на локальный сервер и выполните следующий командлет:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    Возвращаемое значение GUID — это идентификатор агента проверки подлинности, установленный на этом конкретном сервере. Если в среде несколько агентов, можно запустить этот командлет на каждом сервере агента и записать сведения об идентификаторе агента.

  4. Сопоставляйте идентификатор агента, полученный с локального сервера, и из журналов входа Microsoft Entra, чтобы проверить, какой агент или сервер признал запрос на вход.

Дальнейшие действия