使用 Microsoft Entra 直通身份验证进行用户登录

什么是 Microsoft Entra 直通身份验证?

借助 Microsoft Entra 直通身份验证证,用户可以使用同一密码登录到本地应用程序和基于云的应用程序。 此功能为用户提供更好的体验 - 少记一个密码,并且能减少 IT 支持人员成本,因为用户不太可能忘记如何登录。 当用户使用 Microsoft Entra ID 登录时,此功能可直接根据本地 Active Directory 验证用户的密码。

此功能是 Microsoft Entra 密码哈希同步的一项替代功能,可为组织提供同样的云身份验证优势。 但如果某些组织希望强制执行其本地 Active Directory 安全和密码策略,则可以选择性地使用传递身份验证。 请查看此指南,对比各种 Microsoft Entra 登录方法并了解如何为组织选择正确的登录方法。

Microsoft Entra 直通身份验证

可将直通身份验证与无缝单一登录功能结合使用。 如果你有 Windows 10 或更高版本的计算机,请使用 Microsoft Entra 混合加入 (AADJ)。 这样一来,如果用户在企业网络中的企业计算机上访问应用程序,他们不需要键入密码便可登录。

Microsoft Entra 直通身份验证的主要优势

  • 出色的用户体验
    • 用户使用同样的密码登录本地和基于云的应用程序。
    • 用户花费在联系 IT 支持人员解决密码相关问题上的时间更少。
    • 用户可以完成云中的自助服务密码管理任务。
  • 易于部署和管理
    • 无需复杂的本地部署或网络配置。
    • 仅需在本地安装一个轻型代理。
    • 无管理开销。 代理会自动获得改进和 bug 修复。
  • 安全
    • 本地密码永远不会以任何形式存储在云中。
    • 可通过与 Microsoft Entra 条件访问策略(包括多重身份验证 (MFA)、阻止旧式身份验证)无缝协作,也可通过筛选暴力破解密码攻击来保护用户帐户。
    • 代理只从网络内部建立出站连接。 因此,无需在外围网络(也称为 DMZ)中安装代理。
    • 使用基于证书的身份验证保护代理与 Microsoft Entra ID 之间的通信。 这些证书每隔几个月由 Microsoft Entra ID 自动续订。
  • 高度可用
    • 可在多台本地服务器上安装其他代理,提供登录请求的高可用性。

功能特点

  • 支持用户登录到所有基于 Web 浏览器的应用程序和使用新式身份验证的 Microsoft Office 客户端应用程序。
  • 登录用户名可以是本地默认用户名 (userPrincipalName),也可以是 Microsoft Entra Connect 中配置的另一个属性(称为 Alternate ID)。
  • 此功能与条件访问功能(如多重身份验证 (MFA))无缝配合使用,以帮助保护用户安全。
  • 与基于云的自助密码管理集成,包括本地 Active Directory 的密码写回和通过禁止常用密码的密码保护。
  • 如果 AD 林之间存在信任关系并且正确配置了名称后缀路由,则支持多林环境。
  • 它是一项免费功能,不需要拥有任何付费版本的 Microsoft Entra ID 即可使用此功能。
  • 可以通过 Microsoft Entra Connect 启用它。
  • 该功能使用轻型本地代理侦听和响应密码验证请求。
  • 安装多个代理可提供登录请求的高可用性。
  • 该功能保护云中的本地帐户免受密码搜索攻击。

后续步骤