Den här artikeln tar upp vanliga frågor om Direktautentisering i Microsoft Entra. Håll utkik efter uppdaterat innehåll.
Vilka av metoderna för att logga in på Microsoft Entra-ID, direktautentisering, synkronisering av lösenordshash och Active Directory Federation Services (AD FS) (AD FS) ska jag välja?
I den här guiden får du en jämförelse av de olika inloggningsmetoderna för Microsoft Entra och hur du väljer rätt inloggningsmetod för din organisation.
Är direktautentisering en kostnadsfri funktion?
Direktautentisering är en kostnadsfri funktion. Du behöver inga betalda utgåvor av Microsoft Entra-ID för att använda det.
Fungerar villkorsstyrd åtkomst med direktautentisering?
Ja. Alla funktioner för villkorlig åtkomst , inklusive Microsoft Entra multifaktorautentisering, fungerar med direktautentisering.
Stöder direktautentisering "alternativt ID" som användarnamn i stället för "userPrincipalName"?
Ja, både direktautentisering (PTA) och synkronisering av lösenordshash (PHS) stöder inloggning med ett icke-UPN-värde, till exempel ett alternativt e-postmeddelande. Mer information om alternativt inloggnings-ID.
Fungerar synkronisering av lösenordshash som en återställning till direktautentisering?
Nej. Direktautentisering redundansväxlar inte automatiskt till synkronisering av lösenordshash. För att undvika fel vid användarinloggning bör du konfigurera direktautentisering för hög tillgänglighet.
Vad händer när jag byter från synkronisering av lösenordshash till direktautentisering?
När du använder Microsoft Entra Connect för att växla inloggningsmetoden från synkronisering av lösenordshash till direktautentisering blir direktautentisering den primära inloggningsmetoden för dina användare i hanterade domäner. Alla användares lösenordshashvärden som tidigare synkroniserats med synkronisering av lösenordshash lagras fortfarande på Microsoft Entra-ID.
Kan jag installera en privat Nätverksanslutning för Microsoft Entra på samma server som en direktautentiseringsagent?
Ja. De omdöpta versionerna av direktautentiseringsagenten, version 1.5.193.0 eller senare, stöder den här konfigurationen.
Vilka versioner av Microsoft Entra Connect och direktautentiseringsagenten behöver du?
För att den här funktionen ska fungera behöver du version 1.1.750.0 eller senare för Microsoft Entra Connect och 1.5.193.0 eller senare för direktautentiseringsagenten. Installera all programvara på servrar med Windows Server 2012 R2 eller senare.
Varför använder min anslutningsapp fortfarande en äldre version och uppgraderas inte automatiskt till den senaste versionen?
Detta kan bero på att uppdateringstjänsten inte fungerar korrekt eller om det inte finns några nya uppdateringar tillgängliga som tjänsten kan installera. Uppdateringstjänsten är felfri om den körs och det inte finns några fel registrerade i händelseloggen (program- och tjänstloggar –> Microsoft –> AzureADConnect-Agent –> Updater –> Admin).
Endast större versioner släpps för automatisk uppgradering. Vi rekommenderar att du uppdaterar din agent manuellt endast om det behövs. Du kan till exempel inte vänta på en större version, eftersom du måste åtgärda ett känt problem eller om du vill använda en ny funktion. Mer information om nya versioner, typen av version (nedladdning, automatisk uppgradering), felkorrigeringar och nya funktioner finns i Microsoft Entra direktautentiseringsagent: Versionshistorik.
Så här uppgraderar du en anslutningsapp manuellt:
- Ladda ned den senaste versionen av agenten. (Du hittar den under Microsoft Entra Connect Direktautentisering på Administrationscenter för Microsoft Entra. Du hittar även länken i Microsoft Entra-direktautentisering: Versionshistorik.
- Installationsprogrammet startar om Microsoft Entra Connect Authentication Agent-tjänsterna. I vissa fall krävs en serveromstart om installationsprogrammet inte kan ersätta alla filer. Vi rekommenderar att du stänger alla program innan du startar uppgraderingen.
- Kör installationsprogrammet. Uppgraderingsprocessen går snabbt och kräver inga autentiseringsuppgifter och agenten registreras inte på nytt.
Vad händer om min användares lösenord har upphört att gälla och de försöker logga in med hjälp av direktautentisering?
Om du har konfigurerat tillbakaskrivning av lösenord för en viss användare, och om användaren loggar in med direktautentisering, kan de ändra eller återställa sina lösenord. Lösenorden skrivs tillbaka till lokal Active Directory som förväntat.
Om du inte har konfigurerat tillbakaskrivning av lösenord för en viss användare eller om användaren inte har tilldelats en giltig Microsoft Entra-ID-licens kan användaren inte uppdatera sitt lösenord i molnet. De kan inte uppdatera sitt lösenord, även om lösenordet har upphört att gälla. Användaren ser i stället det här meddelandet: "Din organisation tillåter inte att du uppdaterar lösenordet på den här webbplatsen. Uppdatera den enligt den metod som rekommenderas av din organisation eller fråga administratören om du behöver hjälp." Användaren eller administratören måste återställa sitt lösenord i lokal Active Directory.
Användaren loggar in på Microsoft Entra-ID med autentiseringsuppgifter (användarnamn, lösenord). Under tiden upphör användarens lösenord att gälla, men användaren kan fortfarande komma åt Microsoft Entra-resurser. Varför händer det här?
Lösenordets giltighetstid utlöser inte återkallande av autentiseringstoken eller cookies. Tills token eller cookies är giltiga kan användaren använda dem. Detta gäller oavsett autentiseringstyp (PTA, PHS och federerade scenarier).
Mer information finns i dokumentationen nedan:
Microsofts identitetsplattform åtkomsttoken – Microsofts identitetsplattform | Microsoft Docs
Hur skyddar direktautentisering dig mot brute force-lösenordsattacker?
Vad kommunicerar direktautentiseringsagenter via portarna 80 och 443?
Autentiseringsagenterna gör HTTPS-begäranden via port 443 för alla funktionsåtgärder.
Autentiseringsagenterna gör HTTP-begäranden via port 80 för att ladda ned listan över återkallade TLS/SSL-certifikat (CRL).
Not
De senaste uppdateringarna har minskat antalet portar som krävs för funktionen. Om du har äldre versioner av Microsoft Entra Connect eller autentiseringsagenten håller du även dessa portar öppna: 5671, 8080, 9090, 9091, 9350, 9352 och 10100-10120.
Kan direktautentiseringsagenterna kommunicera via en utgående webbproxyserver?
Ja. Om WPAD (Web Proxy Auto-Discovery) är aktiverat i din lokala miljö försöker autentiseringsagenter automatiskt hitta och använda en webbproxyserver i nätverket. Mer information om hur du använder den utgående proxyservern finns i Arbeta med befintliga lokala proxyservrar.
Om du inte har WPAD i din miljö kan du lägga till proxyinformation (som visas nedan) så att en direktautentiseringsagent kan kommunicera med Microsoft Entra-ID:
- Konfigurera proxyinformation i Internet Explorer innan du installerar direktautentiseringsagenten på servern. På så sätt kan du slutföra installationen av autentiseringsagenten, men den visas fortfarande som Inaktiv på administratörsportalen.
- På servern navigerar du till "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
- Redigera konfigurationsfilen "AzureADConnectAuthenticationAgentService" och lägg till följande rader (ersätt "http://contosoproxy.com:8080" med din faktiska proxyadress):
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://contosoproxy.com:8080"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Kan jag installera två eller flera direktautentiseringsagenter på samma server?
Nej, du kan bara installera en direktautentiseringsagent på en enda server. Om du vill konfigurera direktautentisering för hög tillgänglighet följer du anvisningarna här.
Måste jag förnya certifikat som används av direktautentiseringsagenter manuellt?
Kommunikationen mellan varje direktautentiseringsagent och Microsoft Entra-ID skyddas med hjälp av certifikatbaserad autentisering. Dessa certifikat förnyas automatiskt med några månaders mellanrum av Microsoft Entra-ID. Du behöver inte förnya dessa certifikat manuellt. Du kan rensa äldre utgångna certifikat efter behov.
Hur gör jag för att ta bort en direktautentiseringsagent?
Så länge en direktautentiseringsagent körs förblir den aktiv och hanterar kontinuerligt begäranden om användarinloggning. Om du vill avinstallera en autentiseringsagent går du till Kontrollpanelen –> Program –> Program och funktioner och avinstallerar både Microsoft Entra Connect Authentication Agent och Microsoft Entra Connect Agent Updater-programmen.
Om du kontrollerar bladet Direktautentisering i administrationscentret för Microsoft Entra som minst hybrididentitetsadministratör. Du bör se att autentiseringsagenten visas som Inaktiv. Detta är förväntat. Autentiseringsagenten tas automatiskt bort från listan efter 10 dagar.
Jag använder redan AD FS för att logga in på Microsoft Entra-ID. Hur gör jag för att växla till direktautentisering?
Om du migrerar från AD FS (eller andra federationstekniker) till direktautentisering rekommenderar vi starkt att du följer vår snabbstartsguide.
Kan jag använda direktautentisering i en Active Directory-miljö med flera skogar?
Ja. Miljöer med flera skogar stöds om det finns skogsförtroenden (dubbelriktade) mellan dina Active Directory-skogar och om namnsuffixroutning är korrekt konfigurerat.
Ger direktautentisering belastningsutjämning mellan flera autentiseringsagenter?
Nej, installation av flera direktautentiseringsagenter garanterar endast hög tillgänglighet. Den ger inte deterministisk belastningsutjämning mellan autentiseringsagenterna. Alla autentiseringsagenter (slumpmässigt) kan bearbeta en viss användarinloggningsbegäran.
Hur många direktautentiseringsagenter behöver jag installera?
Om du installerar flera direktautentiseringsagenter säkerställs hög tillgänglighet. Men den ger inte deterministisk belastningsutjämning mellan autentiseringsagenterna.
Överväg den högsta och genomsnittliga belastningen på inloggningsbegäranden som du förväntar dig att se i din klientorganisation. Som riktmärke kan en enda autentiseringsagent hantera 300 till 400 autentiseringar per sekund på en standard 4-kärns CPU, 16 GB RAM-server.
Använd följande storleksvägledning för att uppskatta nätverkstrafiken:
- Varje begäran har en nyttolaststorlek på (0,5 000 + 1 000 * num_of_agents) byte. data från Microsoft Entra-ID till autentiseringsagenten. Här anger "num_of_agents" antalet autentiseringsagenter som registrerats i din klientorganisation.
- Varje svar har en nyttolaststorlek på 1 000 byte. data från autentiseringsagenten till Microsoft Entra-ID.
För de flesta kunder räcker det med två eller tre autentiseringsagenter för hög tillgänglighet och kapacitet. I produktionsmiljöer rekommenderar vi dock att du har minst 3 autentiseringsagenter som körs på din klientorganisation. Du bör installera autentiseringsagenter nära dina domänkontrollanter för att förbättra inloggningsfördröjningen.
Not
Det finns en systemgräns på 40 autentiseringsagenter per klientorganisation.
Vilken roll behöver jag för att aktivera direktautentisering?
Vi rekommenderar att du aktiverar eller inaktiverar direktautentisering med hjälp av ett hybrididentitetsadministratörskonto . Om du gör det på det här sättet blir du inte utelåst från din klientorganisation. ]
Hur inaktiverar jag direktautentisering?
Kör guiden Microsoft Entra Connect igen och ändra användarinloggningsmetoden från Direktautentisering till en annan metod. Den här ändringen inaktiverar direktautentisering i klientorganisationen och avinstallerar autentiseringsagenten från servern. Du måste avinstallera autentiseringsagenterna manuellt från de andra servrarna.
Vad händer när jag avinstallerar en direktautentiseringsagent?
Om du avinstallerar en direktautentiseringsagent från en server slutar servern att acceptera inloggningsbegäranden. Se till att en annan autentiseringsagent körs innan du avinstallerar en direktautentiseringsagent för att undvika att användarinloggningsfunktionen på klientorganisationen.
Jag har en äldre klientorganisation som ursprungligen konfigurerades med HJÄLP av AD FS. Vi har nyligen migrerat till PTA, men nu ser vi inte att våra UPN-ändringar synkroniseras med Microsoft Entra-ID. Varför synkroniseras inte våra UPN-ändringar?
Under följande omständigheter kanske dina lokala UPN-ändringar inte synkroniseras om:
- Din Microsoft Entra-klientorganisation skapades före den 15 juni 2015.
- Du federerades ursprungligen med din Microsoft Entra-klientorganisation med hjälp av AD FS för autentisering.
- Du övergick till att ha hanterade användare som använde PTA som autentisering.
Det beror på att standardbeteendet för klienter som skapades före den 15 juni 2015 var att blockera UPN-ändringar. Om du behöver avblockera UPN-ändringar måste du köra följande PowerShell-cmdlet. Hämta ID:t med cmdleten Get-MgDirectoryOnPremiseSynchronization .
$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params
Klienter som skapats efter den 15 juni 2015 har standardbeteendet att synkronisera UPN-ändringar.
Hur gör jag för att samla in PTA-agent-ID:t från Inloggningsloggar för Microsoft Entra och PTA-servern för att verifiera vilken PTA-server som användes för en inloggningshändelse?
Så här verifierar du vilken lokal server eller autentiseringsagent som användes för en specifik inloggningshändelse:
I administrationscentret för Microsoft Entra går du till inloggningshändelsen.
Välj Autentiseringsinformation. I kolumnen Information om autentiseringsmetod visas agent-ID-information i formatet "Direktautentisering; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".
Om du vill hämta agent-ID-information för agenten som är installerad på den lokala servern loggar du in på den lokala servern och kör följande cmdlet:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*
GUID-värdet som returneras är agent-ID för autentiseringsagenten som är installerad på den specifika servern. Om du har flera agenter i din miljö kan du köra den här cmdleten på varje agentserver och samla in agent-ID-information.
Korrelera agent-ID:t som du får från den lokala servern och från Inloggningsloggarna för Microsoft Entra för att verifiera vilken agent eller server som bekräftade inloggningsbegäran.
Nästa steg
- Aktuella begränsningar: Lär dig vilka scenarier som stöds och vilka som inte stöds.
- Snabbstart: Kom igång med Microsoft Entra-direktautentisering.
- Migrera dina appar till Microsoft Entra-ID: Resurser som hjälper dig att migrera programåtkomst och autentisering till Microsoft Entra-ID.
- Smart lockout: Lär dig hur du konfigurerar funktionen Smart Lockout på klientorganisationen för att skydda användarkonton.
- Teknisk djupdykning: Förstå hur funktionen direktautentisering fungerar.
- Felsökning: Lär dig hur du löser vanliga problem med direktautentiseringsfunktionen.
- Djupdykning i säkerhet: Få detaljerad teknisk information om funktionen direktautentisering.
- Microsoft Entra-hybridanslutning: Konfigurera Microsoft Entra-hybridanslutningsfunktionen i din klientorganisation för enkel inloggning i dina molnresurser och lokala resurser.
- Sömlös enkel inloggning i Microsoft Entra: Läs mer om den här kompletterande funktionen.
- UserVoice: Använd Microsoft Entra-forumet för att skicka nya funktionsförfrågningar.