Microsoft Entra Connect 用户登录选项
Microsoft Entra Connect 可让用户使用同一组密码登录云和本地资源。 本文介绍每个标识模型的重要概念,帮助选择登录到 Microsoft Entra ID 时需要使用的标识。
如果你已熟悉 Microsoft Entra 标识模型,并且想详细了解某个特定的方法,则请参阅相应的链接:
- 含无缝单一登录 (SSO) 的密码哈希同步
- 含无缝单一登录 (SSO) 的直通身份验证
- 联合 SSO(含 Active Directory 联合身份验证服务 (AD FS))
- 使用 PingFederate 进行联合身份验证
注意
请务必记住,为 Microsoft Entra ID 配置联合后,可以在 Microsoft Entra 租户和联合域之间建立信任。 拥有此信任的联合域用户将有权访问该租户内的 Microsoft Entra 云资源。
为组织选择用户登录方法
实现 Microsoft Entra Connect 的第一个决策是选择用户用于登录的身份验证方法。 必须确保选择符合组织安全要求和高级要求的适当方法。 身份验证至关重要,因为它用于验证访问云中应用和数据的用户的身份。 若要选择适当的身份验证方法,需要考虑时间、现有基础结构、复杂性和实现所选内容的成本。 这些因素对每个组织都不同,并可能随时间变化。
Microsoft Entra ID 支持以下身份验证方法:
- 云身份验证:选择此身份验证方法时,Microsoft Entra ID 处理用户登录的身份验证过程。 使用云身份验证时具有两个选择:
- 密码哈希同步 (PHS) - 通过密码哈希同步,用户可使用与其在本地使用的相同用户名和密码,不必部署除 Microsoft Entra Connect 外的任意其他基础结构。
- 直通身份验证 (PTA) - 此选项类似于密码哈希同步,但使用本地软件代理为具有强大安全性和合规性策略的组织提供简单的密码验证。
- 联合身份验证 - 选择此身份验证方法时,Microsoft Entra ID 将身份验证过程移交给单独的受信任身份验证系统(例如 AD FS 或第三方联合身份验证系统)来验证用户登录。
由于大多数组织只想让用户登录 Microsoft 365、SaaS 应用程序和其他基于 Microsoft Entra ID 的资源,因此,我们建议使用默认的密码哈希同步选项。
有关选择身份验证方法的详细信息,请参阅选择 Microsoft Entra 混合标识解决方案的正确身份验证方法
密码哈希同步
凭借密码哈希同步,可将用户密码的哈希从本地 Active Directory 同步到 Microsoft Entra ID。 当在本地更改或重置密码时,新密码哈希将立即同步到 Microsoft Entra ID,以便用户始终可用相同密码访问云资源与本地资源。 密码永远不会发送到 Microsoft Entra ID,也不会以明文形式存储在 Microsoft Entra ID 中。 你可将密码哈希同步与密码写回一起使用,以在 Microsoft Entra ID 中启用自助式密码重置。
此外,还可以对公司网络中已加入域的计算机上的用户启用无缝 SSO。 通过单一登录,受支持的用户只需输入用户名即可安全访问云资源。
有关详细信息,请参阅密码哈希同步一文。
直通身份验证
凭借直通身份验证,将针对本地 Active Directory 控制器验证用户的密码。 密码不需要以任何形式出现在 Microsoft Entra ID 中。 此身份验证允许在对云服务进行身份验证的过程中评估本地策略(例如登录时间限制)。
直通身份验证使用本地环境中已加入域的 Windows Server 2012 R2 计算机上的简单代理。 此代理侦听密码验证请求。 它不需要对 Internet 开放的任何入站端口。
此外,还可以对公司网络中已加入域的计算机上的用户启用单一登录。 通过单一登录,受支持的用户只需输入用户名即可安全访问云资源。
有关详细信息,请参阅:
在 Windows Server 2012 R2 中使用新的或现有 AD FS 场进行联合身份验证
凭借联合登录,用户可以使用其本地密码登录到基于 Microsoft Entra ID 的服务。 当用户处于企业网络上时,他们甚至无需输入其密码。 使用 AD FS 的联合身份验证选项,可在 Windows Server 2012 R2 中部署新的或现有的 AD FS 场。 如果你选择指定现有场,Microsoft Entra Connect 将配置该场和 Microsoft Entra ID 之间的信任,以便用户可以登录。
在 Windows Server 2012 R2 中部署使用 AD FS 的联合身份验证
如果要部署新场,则需要:
- 用于联合服务器的 Windows Server 2012 R2 服务器。
- 用于 Web 应用程序代理的 Windows Server 2012 R2 服务器。
- 一个 .pfx 文件,其中包含一个所需联合服务名称的 TLS/SSL 证书。 例如:fs.contoso.com。
如果要部署新场或使用现有场,则需要:
- 联合服务器上的本地管理员凭据。
- 要将 Web 应用程序代理角色部署在上面的任何工作组服务器(未加入域)上的本地管理员凭据。
- 运行向导的计算机能够通过 Windows 远程管理连接到要安装 AD FS 或 Web 应用程序代理的任何其他计算机。
有关详细信息,请参阅使用 AD FS 配置 SSO。
使用 PingFederate 进行联合身份验证
凭借联合登录,用户可以使用其本地密码登录到基于 Microsoft Entra ID 的服务。 当用户处于企业网络上时,他们甚至无需输入其密码。
有关配置 PingFederate 以便与 Microsoft Entra ID 配合使用的详细信息,请参阅 PingFederate 与 Microsoft Entra ID 和 Microsoft 365 的集成。
有关使用 PingFederate 设置 Microsoft Entra Connect 的信息,请参阅 Microsoft Entra Connect 自定义安装
使用早期版本的 AD FS 或第三方解决方案登录
如果已使用早期版本的 AD FS(例如 AD FS 2.0)或第三方联合身份验证提供程序配置了云登录,则可以通过 Microsoft Entra Connect 选择跳过用户登录配置。 这样,便可以获取最新的同步和 Microsoft Entra Connect 的其他功能,同时仍可使用现有的解决方案进行登录。
有关详细信息,请参阅 Microsoft Entra 第三方联合身份验证兼容性列表。
用户登录名和用户主体名
了解用户主体名
在 Active Directory 中,默认的用户主体名 (UPN) 后缀是在其中创建用户帐户的域的 DNS 名称。 在大多数情况下,这是在 Internet 上注册为企业域的域名。 但是,可以使用 Active Directory 域和信任来添加更多的 UPN 后缀。
用户的 UPN 的格式为 username@domain。 例如,对于名为“contoso.com”的 Active Directory 域,名为 John 的用户的 UPN 可能是“john@contoso.com”。 用户的 UPN 基于 RFC 822。 尽管 UPN 和电子邮件共享相同的格式,但用户的 UPN 值与用户的电子邮件地址可能相同,也可能不相同。
Microsoft Entra ID 中的用户主体名称
Microsoft Entra Connect 向导使用 userPrincipalName 属性,或让你从本地指定(在自定义安装中)要用作 Microsoft Entra ID 中的用户主体名的属性。 这是用于登录到 Microsoft Entra ID 的值。 如果 userPrincipalName 属性的值不对应于 Microsoft Entra ID 中已验证的域,则 Microsoft Entra ID 会将该值替换为默认的 .onmicrosoft.com 值。
Microsoft Entra ID 中的每个目录随附内置域名,格式为 contoso.onmicrosoft.com,方便你开始使用 Azure 或其他 Microsoft 服务。 可以使用自定义域来改善和简化登录体验。 有关 Microsoft Entra ID 中的自定义域名以及如何验证域的信息,请参阅将自定义域名添加到 Microsoft Entra ID。
Microsoft Entra 登录配置
使用 Microsoft Entra Connect 进行 Microsoft Entra 登录配置
Microsoft Entra 登录体验取决于 Microsoft Entra ID 是否可与正在同步到 Microsoft Entra 目录中已验证自定义域之一的用户的用户主体名称后缀相匹配。 在配置 Microsoft Entra 登录设置时 Microsoft Entra Connect 将提供帮助,使用户在云中能获得类似于本地登录的登录体验。
Microsoft Entra Connect 列出了为域定义的 UPN 后缀,并尝试在 Microsoft Entra ID 中将其与自定义域进行匹配。 然后它会帮助你执行需要执行的相应操作。 Microsoft Entra 登录页列出了为本地 Active directory 定义的 UPN 后缀,并根据每个后缀显示相应的状态。 状态值可以是下列其中一项:
状态 | 说明 | 所需操作 |
---|---|---|
已验证 | Microsoft Entra Connect 在 Microsoft Entra ID 中找到了匹配的已验证域。 此域的所有用户均可使用其本地凭据登录。 | 无需采取任何措施。 |
未验证 | Microsoft Entra Connect 在 Microsoft Entra ID 中找到了匹配的自定义域,但该域尚未验证。 如果域未验证,则在同步后此域的用户的 UPN 后缀将更改为默认的 .onmicrosoft.com 后缀。 | 在 Microsoft Entra ID 中验证自定义域。 |
未添加 | Microsoft Entra Connect 未找到对应于 UPN 后缀的自定义域。 如果未在 Azure 中添加域且域未进行验证,则此域的用户的 UPN 后缀将更改为默认的 .onmicrosoft.com 后缀。 | 添加和验证与 UPN 后缀相对应的自定义域。 |
Microsoft Entra 登录页列出了针对本地 Active Directory 定义的 UPN 后缀,以及 Microsoft Entra ID 中对应的自定义域与当前验证状态。 在自定义安装中,现在可以在“Microsoft Entra 登录”页上选择用户主体名的属性。
可以单击“刷新”按钮,从 Microsoft Entra ID 中重新提取自定义域最新的状态。
在 Microsoft Entra ID 中选择用户主体名称的属性
属性 userPrincipalName 是用户登录到 Microsoft Entra ID 和 Microsoft 365 时使用的属性。 应在同步处理用户之前对在 Microsoft Entra ID 中使用的域(也称为 UPN 后缀)进行验证。
强烈建议保留默认属性 userPrincipalName。 如果此属性不可路由且无法验证,则可以选择另一个属性(例如 email)作为保存登录 ID 的属性。 这就是所谓的备用 ID。 “备用 ID”属性值必须遵循 RFC 822 标准。 可以将备用 ID 与密码 SSO 和联合 SSO 配合使用作为登录解决方案。
注意
所有 Microsoft 365 工作负荷都不允许使用替代 ID。 有关详细信息,请参阅配置备用登录 ID。
不同的自定义域状态及其对 Azure 登录体验的影响
请务必要了解 Microsoft Entra 目录中的自定义域状态与本地定义的 UPN 后缀之间的关系。 让我们逐步了解当使用 Microsoft Entra Connnect 设置同步时可能遇到的不同 Azure 登录体验。
对于下面的信息,假设我们所关注的是 UPN 后缀 contoso.com,它在本地目录中用作 UPN 的一部分,例如 user@contoso.com。
快速设置/密码哈希同步
状态 | 对 Azure 用户登录体验的影响 |
---|---|
未添加 | 在这种情况下,并未在 Microsoft Entra 目录中针对 contoso.com 添加任何自定义域。 在本地具有后缀 @contoso.com 的 UPN 的用户将无法使用其本地 UPN 来登录 Azure。 他们必须改用 Microsoft Entra ID 通过添加默认 Microsoft Entra 目录的后缀提供给他们的新 UPN。 例如,如果要将用户同步到 Microsoft Entra 目录 azurecontoso.onmicrosoft.com,则为本地用户 user@contoso.com 指定 UPN user@azurecontoso.onmicrosoft.com。 |
未验证 | 在这种情况下,我们拥有已添加在 Microsoft Entra 目录中的自定义域 contoso.com。 但是,该域尚未验证。 如果在没有验证域的情况下继续同步用户,则 Microsoft Entra ID 将为用户分配新 UPN,如同“未添加”方案中所做的一样。 |
已验证 | 在这种情况下,我们拥有已在 Microsoft Entra ID 中为 UPN 后缀添加并验证了的自定义域 contoso.com。 在用户被同步到 Microsoft Entra ID 后,他们可以使用其本地用户主体名(例如 user@contoso.com)登录到 Azure。 |
AD FS 联合
无法与 Microsoft Entra ID 中的默认 .onmicrosoft.com 域或 Microsoft Entra ID 中未验证的自定义域创建联合。 在运行 Microsoft Entra Connect 向导时,如果选择要与未验证的域创建联合,Microsoft Entra Connect 将发出提示,并提供要创建的其中包含为域托管 DNS 位置的所需记录。 有关详细信息,请参阅验证选择用于联合的 Microsoft Entra 域。
如果选择的用户登录选项为“与 AD FS 联合”,则必须有一个自定义域才能继续在 Microsoft Entra ID 中创建联合。 针对我们的讨论,这意味着我们应在 Microsoft Entra 目录中添加自定义域 contoso.com。
状态 | 对 Azure 用户登录体验的影响 |
---|---|
未添加 | 在这种情况下,Microsoft Entra Connect 在 Microsoft Entra 目录中将找不到与 UPN 后缀 contoso.com 匹配的自定义域。 如果需要让用户在 AD FS 中使用其本地 UPN(例如 user@contoso.com)登录,则需要添加自定义域 contoso.com。 |
未验证 | 在这种情况下,Microsoft Entra Connect 将发出提示,并提供有关如何在后面的阶段验证域的相应详细信息。 |
已验证 | 在这种情况下,可以继续进行配置,而不需要采取任何进一步的操作。 |
更改用户登录方法
可以在使用向导完成 Microsoft Entra Connect 的初始配置后,使用 Microsoft Entra Connect 中的可用任务在“联合”、“密码哈希同步”或“直通身份验证”之间更改用户的登录方法。 再次运行 Microsoft Entra Connect 向导,随后将看到可执行的任务列表。 在任务列表中选择“更改用户登录”。
在下一页上,系统将要求提供 Microsoft Entra ID 的凭据。
在“用户登录” 页上,选择所需的用户登录选项。
注意
如果只是要暂时切换到密码哈希同步,请选中“请勿切换用户帐户” 复选框。 不选中该选项会将每个用户转换为联合用户,并且该操作可能需要花费几小时。
后续步骤
- 详细了解如何将本地标识与 Microsoft Entra ID 集成。
- 详细了解 Microsoft Entra Connect 设计概念。