Microsoft Entra 傳遞驗證:常見問題集

本文將會處理 Microsoft Entra 傳遞驗證的常見問題。 請隨時回來查看更新的內容。

我應該選擇哪一種 Microsoft Entra ID 登入方法、傳遞驗證、密碼雜湊同步,還是 Active Directory 同盟服務 (AD FS)?

請檢閱本指南,以了解各種 Microsoft Entra 登入方法的比較,以及如何為您的組織選擇正確的登入方法。

傳遞驗證是否為免費功能?

傳遞驗證是免費功能。 不需要任何付費的 Microsoft Entra ID 版本即可使用。

條件式存取是否能與傳遞驗證搭配運作?

是。 所有條件式存取功能 (包括 Microsoft Entra 多重要素驗證) 皆能與傳遞驗證搭配運作。

傳遞驗證支援以「替代識別碼」而非「userPrincipalName」來作為使用者名稱嗎?

是的,傳遞驗證 (PTA) 和密碼雜湊同步 (PHS) 支援使用非 UPN 值 (例如替代電子郵件) 的登入。 如需詳細資訊,請參閱替代登入識別碼

密碼雜湊同步處理是否會作為傳遞驗證的遞補?

否。 傳遞驗證不會自動容錯移轉至密碼雜湊同步處理。 若要避免使用者登入失敗,您應該為傳遞驗證設定高可用性

當我從密碼雜湊同步切換至傳遞驗證時,會發生什麼事?

當您使用 Microsoft Entra Connect,將登入方法從密碼雜湊同步切換至傳遞驗證,傳遞驗證會變成受控網域中使用者的主要登入方法。 請注意,先前透過密碼雜湊同步進行同步處理的所有使用者密碼雜湊仍會儲存在 Microsoft Entra ID 上。

能否在傳遞驗證代理程式所在的同一部伺服器上安裝 Microsoft Entra 私人網路連接器?

是。 傳遞驗證代理程式的改版版本 (1.5.193.0 版或更新版本) 支援此組態。

需要哪些版本的 Microsoft Entra Connect 和傳遞驗證代理程式?

若要讓這項功能運作,您需要 Microsoft Entra Connect 1.1.750.0 版或更新版本以及傳遞驗證代理程式 1.5.193.0 或更新版本。 請將所有軟體安裝在 Windows Server 2012 R2 或更新版本的伺服器上。

為什麼我的連接器仍使用較舊的版本,沒有自動升級到最新版本?

可能是因為更新程式服務無法正常運作,或是沒有較新的更新可供服務安裝。 若更新程式服務正常執行,且在事件記錄檔 (應用程式及服務記錄檔 -> Microsoft -> AzureADConnect-Agent -> Updater -> Admin) 中沒有錯誤記錄,代表更新程式服務運作良好。

只有主要版本的發行可供自動升級。 建議您只有在必要時才手動更新代理程式。 例如,因為您必須修正已知問題或您想要使用新功能,所以無法等待主要發行版本。 如需新版本、版本類型 (下載、自動升級)、錯誤修正和新功能的詳細資訊,請參閱 Microsoft Entra 傳遞驗證代理程式:版本發行歷程記錄 (部分機器翻譯)。

手動升級連接器:

  • 下載最新版的代理程式。 (您在 Microsoft Entra 系統管理中心 的 Microsoft Entra Connect 傳遞驗證上找到代理程式)。 您也可以在「Microsoft Entra 傳遞驗證:版本發行記錄」中找到該連結。
  • 安裝程式會重新啟動 Microsoft Entra Connect 驗證代理程式服務。 在某些情況下,如果安裝程式無法取代所有檔案,則可能需要將伺服器重新開機。 因此,建議您關閉所有應用程式 (即事件檢視器),然後再開始進行升級。
  • 執行安裝程式。 升級程序很快速且不需提供任何認證,而且將不會重新註冊代理程式。

如果使用者的密碼過期又嘗試使用傳遞驗證來登入,會發生什麼事?

如果您已經為特定使用者設定密碼回寫,而使用者又使用傳遞驗證來登入,則他們將能夠變更或重設其密碼。 密碼將會如預期般回寫至內部部署 Active Directory。

如果您尚未為特定使用者設定密碼回寫,或使用者未獲指派有效的 Microsoft Entra ID 授權,則使用者將無法在雲端中更新其密碼。 即使他們的密碼過期,他們也無法加以更新。 使用者會看到這則訊息:「您的組織不允許您在此網站更新您的密碼。 請依據您組織所建議的方法更新密碼,或洽詢您的管理員尋求協助。」使用者或系統管理員必須在內部部署 Active Directory 中重設其密碼。

使用者使用認證 (使用者名稱、密碼) 登入 Microsoft Entra ID。 同時,使用者的密碼到期,但使用者仍然可以存取 Microsoft Entra 資源。 為何發生此狀況?

密碼到期不會觸發撤銷驗證權杖或 Cookie。 直到權杖或 Cookie 有效前,使用者才能夠使用這些權杖或 Cookie。 無論驗證類型 (PTA、PHS 和同盟案例) 為何,上述說明皆適用。

如需詳細資訊,請參閱下列文件:

Microsoft 身分識別平台存取權杖 - Microsoft 身分識別平台 | Microsoft Docs

傳遞驗證如何防範暴力密碼破解攻擊?

傳遞驗證代理程式會透過連接埠 80 和 443 進行哪些方面的通訊?

  • 驗證代理程式會透過連接埠 443 對所有功能作業進行 HTTPS 要求。

  • 驗證代理程式會透過連接埠 80 提出 HTTP 要求,下載 TLS/SSL 憑證撤銷清單 (CRL)。

    注意

    最近的更新減少了此功能所需的連接埠數目。 如果您有舊版的 Microsoft Entra Connect 或驗證代理程式,請將下列連接埠保持開放:5671、8080、9090、9091、9350、9352 和 10100-10120。

傳遞驗證代理程式是否能透過輸出 Web Proxy 伺服器進行通訊?

是。 如果您的內部部署環境啟用了 Web Proxy 自動探索 (WPAD),則驗證代理程式會自動嘗試在網路上找出並使用 Web Proxy 伺服器。 如需有關使用輸出 Proxy 伺服器的詳細資訊,請參閱使用現有的內部部署 Proxy 伺服器

如果您的環境中沒有 WPAD,您可以新增 Proxy 資訊 (如下所示),以允許傳遞驗證代理程式與 Microsoft Entra ID 進行通訊:

  • 在伺服器上安裝傳遞驗證代理程式之前,請先在 Internet Explorer 中設定 Proxy 資訊。 這可讓您完成安裝驗證代理程式,但將仍會在系統管理員入口網站中顯示為「未啟用」。
  • 在伺服器上,瀏覽至 "C:\Program Files\Microsoft Azure AD Connect Authentication Agent"。
  • 編輯 "AzureADConnectAuthenticationAgentService" 組態檔,並新增以下幾行 (將 "http://contosoproxy.com:8080"" 取代為您實際的 Proxy 位址):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

是否可以在相同的伺服器上安裝兩個以上的傳遞驗證代理程式?

不可以,您只能在單一伺服器上安裝一個傳遞驗證代理程式。 如果您想要為傳遞驗證設定高可用性,請依照這裡的指示操作

我必須手動更新傳遞驗證代理程式所使用的憑證嗎?

每個傳遞驗證代理程式與 Microsoft Entra ID 之間的通訊是使用憑證型驗證來保護。 這些憑證每幾個月就會由 Microsoft Entra ID 自動更新。 不需要手動更新這些憑證。 您可以視需要清除較舊的已過期憑證。

如何移除「傳遞驗證代理程式」?

「傳遞驗證代理程式」只要正在執行,就會維持作用中並持續處理使用者登入要求。 如果您想要解除安裝「驗證代理程式」,請移至 [控制台] -> [程式集] -> [程式和功能],然後將 [Microsoft Entra Connect 驗證代理程式] 和 [Microsoft Entra Connect 代理程式更新程式] 程式皆會解除安裝。

如果您至少以 混合式身分識別系統管理員 身分檢查 Microsoft Entra 系統管理中心 的 [傳遞驗證] 窗格。 完成上述步驟之後,您會看到驗證代理程式顯示為「非使用中」。 這是 預期行為 。 10 天後,「驗證代理程式」就會自動從清單中卸除。

我已經使用 AD FS 來登入 Microsoft Entra ID。 要如何改為使用傳遞驗證?

如果您要從 AD FS (或其他同盟技術) 遷移至傳遞驗證,強烈建議您遵循我們的快速入門指南 (部分機器翻譯)。

是否可以在多樹系 Active Directory 環境中使用傳遞驗證?

是。 如果 Active Directory 樹系之間存在樹系信任 (雙向),並且正確設定了名稱尾碼路由,則支援多樹系環境。

傳遞驗證是否提供跨多個驗證代理程式的負載平衡?

否,安裝多個傳遞驗證代理程式只能確保高可用性。 這不會在驗證代理程式之間提供確定性的負載平衡。 任何驗證代理程式 (隨機) 都可以處理特定使用者登入要求。

我需要安裝幾個傳遞驗證代理程式?

安裝多個傳遞驗證代理程式可確保高可用性。 但是,它不會在驗證代理程式之間提供確定性的負載平衡。

請考慮您預期在租用戶上看到的登入要求的尖峰與平均負載。 在標準的 4 核心 CPU、16-GB RAM 伺服器上,單一驗證代理程式每秒可處理 300 到 400 次驗證,乃是效能評定的基準。

若要估計網路流量,請使用下列調整大小指導方針:

  • 每個要求的承載大小皆是 (0.5K + 1K * num_of_agents) 位元組,也就是從 Microsoft Entra ID 到驗證代理程式的資料。 在這裡,"num_of_agents" 表示已在您的租用戶上註冊的驗證代理程式數目。
  • 每個回應的承載大小都是 1K 位元組,也就是從驗證代理程式到 Microsoft Entra ID 的資料。

對大多數客戶來說,總計中兩個或三個驗證代理程式已足以因應高可用性和容量。 然而,在生產環境中,我們建議最少要有 3 個驗證代理程式在您的租用戶上執行中。 應在靠近網域控制站的地方安裝驗證代理程式,以改善登入的延遲情形。

注意

系統限制每個租用戶只能有 40 個驗證代理程式。

為何必須要有僅限雲端的全域管理員帳戶才能啟用傳遞驗證?

建議您使用僅限雲端的全域管理員帳戶來啟用或停用傳遞驗證。 了解如何新增僅限雲端管理員帳戶 (英文)。 這樣可確保您不會被租用戶封鎖。

如何停用傳遞驗證?

重新執行 Microsoft Entra Connect 精靈,並將使用者的登入方法從傳遞驗證變更為其他方法。 這項變更會讓租用戶停用傳遞驗證,並從該伺服器解除安裝驗證代理程式。 至於其他伺服器的驗證代理程式,則必須手動解除安裝。

解除安裝傳遞驗證代理程式會發生什麼事?

如果從伺服器解除安裝傳遞驗證代理程式,會讓該伺服器停止接受登入要求。 為了避免中斷租用戶上的使用者登入功能,務必要有另一個驗證代理程式正在執行,才能解除安裝傳遞驗證代理程式。

我有原先使用 AD FS 設定的較舊租用戶。 我們最近已移轉至 PTA,但現在卻無法看到我們的 UPN 變更與 Microsoft Entra ID 同步。 為何我們的 UPN 變更無法同步?

在下列情況下,您的內部部署 UPN 變更可能不會同步:

  • 您 Microsoft Entra tenant 租用戶的建立時間早於 2015 年 6 月 15 日。
  • 您最初使用 AD FS 進行驗證,來與您的 Microsoft Entra 租用戶同盟。
  • 您切換至使用 PTA 進行驗證來擁有受控使用者。

這是因為 2015 年 6 月 15 日之前所建立租用戶的預設行為是封鎖 UPN 變更。 若您需要解除封鎖 UPN 變更,您需要執行下列 PowerShell Cmdlet。 使用 Get-MgDirectoryOnPremiseSynchronization cmdlet 取得 ID。

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

2015 年 6 月 15 日之後建立的租用戶,其預設行為便是同步 UPN 變更。

如何從 Microsoft Entra 登入記錄和 PTA 伺服器取得 PTA 代理程式 ID,以驗證用於登入事件的 PTA 伺服器?

若要驗證特定登入事件所使用的本機伺服器或驗證代理程式:

  1. Microsoft Entra 系統管理中心中,前往登入事件。

  2. 選取 [驗證詳細資料]。 在 [驗證方法詳細資料] 欄中,代理程式 ID 詳細資料會以「傳遞驗證:PTA AgentId:00001111-aaaa-2222-bbbb-3333cccc4444」格式顯示。

  3. 若要取得本機伺服器上所安裝代理程式的代理程式識別碼詳細資料,請登入您的本機伺服器,然後執行下列 Cmdlet:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    傳回的 GUID 值是代理程式識別碼,屬於安裝在該特定伺服器上的驗證代理程式。 如果您的環境中有多個代理程式,您可以在每部代理程式伺服器上執行此 Cmdlet,然後擷取代理程式識別碼詳細資料。

  4. 將您從本機伺服器取得的代理程式 ID 與 Microsoft Entra 登入記錄產生關聯,驗證認可簽署要求的代理程式或伺服器為何。

下一步