Microsoft Entra 直通身份验证：常见问题

请查看此指南，对比各种 Microsoft Entra 登录方法并了解如何为组织选择正确的登录方法。

直通身份验证是一项免费功能。 不需要拥有任何付费版本的 Microsoft Entra ID 即可使用此功能。

是的。 包括 Microsoft Entra 多重身份验证的所有条件访问功能都能在直通身份验证中使用。

是的，直通身份验证 (PTA) 和密码哈希同步 (PHS) 都支持使用非 UPN 值（例如备用电子邮件）登录。 有关详细信息，请参阅备用登录 ID。

不是。 直通身份验证不自动故障转移到密码哈希同步。 为避免用户登录失败，应配置传递身份验证以实现高可用性。

使用 Microsoft Entra Connect 将登录方法从密码哈希同步切换到直通身份验证时，直通身份验证将成为托管域中用户的主登录方法。 以前通过密码哈希同步进行同步的所有用户的密码哈希仍存储在 Microsoft Entra ID 上。

是的。 直通身份验证代理的更名版本（版本 1.5.193.0 或更高版本）支持此配置。

使用该功能需要 Microsoft Entra Connect 1.1.750.0 或更高版本、直通身份验证 1.5.193.0 或更高版本。 所有软件都应安装在 Windows Server 2012 R2 或更高版本的服务器上。

原因可能是更新服务未正常工作，或者没有新的更新可供该服务安装。 如果更新服务正在运行，且事件日志（“应用程序和服务日志”->“Microsoft”->“AzureADConnect-Agent”->“更新服务”->“管理员”）中未记录任何错误，则表示该服务处于正常状态。

只会发布主版本供自动升级。 建议仅在必要时手动更新代理。 例如，你不能等待主要版本，因为你必须修复已知问题，或者你想要使用新功能。 有关新版本、发布类型（下载、自动升级）、bug 修复和新功能的详细信息，请参阅 Microsoft Entra 直通身份验证代理：版本发布历史记录。

若要手动升级连接器：

• 下载最新版本的代理。 （可在 Microsoft Entra 管理中心上的“Microsoft Entra connect 直通身份验证”下找到它。 也可在以下位置找到相关链接：Microsoft Entra 直通身份验证：版本发布历史记录。
• 安装程序将重启 Microsoft Entra Connect 身份验证代理服务。 在某些情况下，如果安装程序无法替换所有文件，则需要重启服务器。 因此，我们建议在开始升级之前关闭所有应用程序（例如事件查看器）。
• 运行安装程序。 升级过程很快就能完成，不要求提供任何凭据，代理不会重新注册。

如果已针对特定的用户配置密码写回，则当用户使用直通身份验证进行登录时，可更改或重置其密码。 密码会按预期写回到本地 Active Directory。

若没有为特定用户配置密码写回，或者没有为用户分配有效的 Microsoft Entra ID 许可证，则用户不能在云中更新其密码。 即使密码过期也不能更新。 用户会看到此消息：“组织不允许更新此站点上的密码。 根据你的组织推荐的方法更新密码，如果需要帮助，请咨询你的管理员”。用户或管理员必须在本地 Active Directory 中重置其密码。

密码过期不会触发身份验证令牌或 Cookie 的吊销。 在令牌或 Cookie 生效之前，用户可以使用它们。 无论身份验证类型是 PTA、PHS 还是联合方案，这都适用。

有关更多详细信息，请查看下面的文档：

Microsoft 标识平台访问令牌 - Microsoft 标识平台 | Microsoft Docs

阅读有关智能锁定的信息。

• 身份验证代理通过端口 443 为所有功能操作发出 HTTPS 请求。

• 身份验证代理通过端口 80 发出 HTTP 请求，以下载 TLS/SSL 证书吊销列表 (CRL)。

  注意

  最近的更新减少了功能所需的端口数。 如果有较旧版 Microsoft Entra Connect 或身份验证代理，也请打开以下端口：5671、8080、9090、9091、9350、9352 和 10100-10120。

是的。 如果在本地环境中启用 Web 代理自动发现 (WPAD)，身份验证代理将自动尝试查找并使用网络中的 Web 代理服务器。 若要详细了解如何使用出站代理服务器，请参阅使用现有的本地代理服务器。

如果环境中未设置 WPAD，则可以添加代理信息（如下所示）以允许直通身份验证代理与 Microsoft Entra ID 通信：

• 在服务器上安装直通身份验证代理之前，请在 Internet Explorer 中配置代理信息。 这将允许你完成身份验证代理的安装，但它仍将在管理员门户上显示为“非活动”。
• 在服务器上，导航到“C:\Program Files\Microsoft Azure AD Connect Authentication Agent”。
• 编辑“AzureADConnectAuthenticationAgentService”配置文件并添加以下行（将“http://contosoproxy.com:8080"”替换为实际代理地址）：

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

否。在一台服务器上只能安装一个传递身份验证代理。 若要配置传递身份验证实现高可用性，请遵循此处的说明。

使用基于证书的身份验证保护各直通身份验证代理与 Microsoft Entra ID 之间的通信。 这些证书每隔几个月由 Microsoft Entra ID 自动续订。 无需手动续订这些证书。 可以根据需要清除已过期的旧证书。

只要直通身份验证正在运行，它就会保持活动状态，并不断处理用户登录请求。 如果要卸载身份验证代理，请转到“控制面板”->“程序”->“程序和功能”，卸载“Microsoft Entra Connect 身份验证代理”和“Microsoft Entra Connect 代理更新程序”程序。

如果在至少以混合标识管理员身份登录的 Microsoft Entra 管理中心勾选“直通身份验证”边栏选项卡。 完成上述步骤后，将会看到“身份验证代理”显示为“非活动”。 这是正常情况。 该身份验证代理在 10 天后将自动从列表中删除。

如果要从 AD FS（或其他联合技术）迁移到直通身份验证，强烈建议按照快速入门指南进行操作。

是的。 如果 Active Directory 林之间存在林信任关系（双向）并且正确配置了名称后缀路由，则支持多林环境。

否，安装多个直通身份验证代理只能保证高可用性。 它不提供在身份验证代理之间进行的确定性负载均衡。 任何身份验证代理（随机）都可以处理特定的用户登录请求。

安装多个直通身份验证代理能保证高可用性。 但是，它不提供在身份验证代理之间进行的确定性负载均衡。

请考虑希望在租户上看到的登录请求的峰值和平均负载。 作为基准，单一身份验证代理可在标准的 4 核 CPU、16 GB RAM 服务器上每秒处理 300 到 400 个身份验证。

若要估算网络流量，请使用以下大小调整指南：

• 每个请求的有效负载大小为 (0.5K + 1K * num_of_agents) 个字节，即从 Microsoft Entra ID 传输到身份验证代理的数据。 此处，“num_of_agents”表示在租户上注册的身份验证代理的数量。
• 每个响应的有效负载大小为 1K 字节，即从身份验证代理传输到 Microsoft Entra ID 的数据。

对于大多数客户而言，总共两个或三个身份验证代理足以满足高可用性和大容量需求。 然而，在生产环境中，建议在租户上至少运行 3 个身份验证代理。 应在域控制器附近安装身份验证代理以改善登录延迟。

建议使用仅限云的全局管理员帐户启用或禁用直通身份验证。 了解如何添加仅限云的全局管理员帐户。 这样做可确保你不被锁定在租户之外。

返回 Microsoft Entra Connect 向导，将用户登录方法从直通身份验证更改为另一种方法。 此更改将禁用租户上的传递身份验证并从该服务器上卸载身份验证代理。 必须从其他服务器手动卸载身份验证代理。

如果从服务器上卸载直通身份验证代理，会导致服务器停止接受登录请求。 若要避免中断租户上的用户登录功能，请确保在卸载直通身份验证代理前有其他正在运行的身份验证代理。

在以下情况下，本地 UPN 更改可能不会同步：

• Microsoft Entra 租户是在 2015 年 6 月 15 日之前创建的。
• 你最初将 AD FS 用于身份验证，通过你的 Microsoft Entra 租户进行联合身份验证。
• 你进行切换并具有了使用 PTA 进行身份验证的托管用户。

这是因为在 2015 年 6 月 15 日之前创建的租户的默认行为是阻止 UPN 更改。 如果需要取消阻止 UPN 更改，则需要运行以下 PowerShell cmdlet。 使用 Get-MgDirectoryOnPremiseSynchronization cmdlet 获取 ID。

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

在 2015 年 6 月 15 日之后创建的租户的默认行为是同步 UPN 更改。

验证特定登录事件所使用的本地服务器或身份验证代理：

1. 在 Microsoft Entra 管理中心中，转到登录事件。

2. 选择“身份验证详细信息”。 在“身份验证方法详细信息”列中，代理 ID 详细信息将以“直通身份验证；PTA AgentId：XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX”格式显示。

3. 若要获取在本地服务器上安装的代理的代理 ID 详细信息，请登录到本地服务器并运行以下 cmdlet：

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   返回的 GUID 值就是安装在特定服务器上的身份验证代理的代理 ID。 如果你的环境中有多个代理，可以在每个代理服务器上运行此 cmdlet 并捕获代理 ID 详细信息。

4. 将从本地服务器获取的代理 ID 与 Microsoft Entra 登录日志关联，以验证哪个代理或服务器确认了登录请求。

后续步骤

• 当前限制：了解支持的和不支持的方案。
• 快速入门：在 Microsoft Entra 直通身份验证上启动和运行。
• 将应用迁移到 Microsoft Entra ID：帮助你将应用程序访问和身份验证迁移到 Microsoft Entra ID 的资源。
• 智能锁定：了解如何在租户中配置智能锁定功能以保护用户帐户。
• 技术深入了解：了解直通身份验证功能的工作原理。
• 故障诊断：了解如何解决直通身份验证功能的常见问题。
• 深入了解安全性：深入了解有关直通身份验证功能的技术信息。
• Microsoft Entra 混合加入：在租户上配置 Microsoft Entra 混合加入功能，以实现跨云和本地资源的 SSO。
• Microsoft Entra 无缝 SSO：详细了解此补充功能。
• UserVoice：使用 Microsoft Entra 论坛来提交新的功能请求。