A felhasználói bejelentkezés lehetőségei az Azure AD Connectben

Azure Active Directory (Azure AD) Csatlakozás lehetővé teszi a felhasználók számára, hogy ugyanazokkal a jelszóval jelentkezzenek be a felhőbeli és a helyszíni erőforrásokba is. Ez a cikk ismerteti az egyes identitásmodellek legfontosabb fogalmait, amelyek segítségével kiválaszthatja az Azure AD-be való bejelentkezéshez használni kívánt identitást.

Ha már ismeri az Azure AD-identitásmodellt, és szeretne többet megtudni egy adott metódusról, tekintse meg ’ a megfelelő hivatkozást:

Megjegyzés

Fontos megjegyezni, hogy az Azure AD összevonásának konfigurálásával megbízhatósági kapcsolatot hoz létre az Azure AD-bérlő és az összevont tartományok között. Ezzel a megbízhatósággal az összevont tartományi felhasználók hozzáférhetnek a bérlőn belüli Azure AD-felhőerőforrásokhoz.

A felhasználói bejelentkezési módszer kiválasztása a szervezet számára

Az Azure AD-szolgáltatás Csatlakozás döntés az, hogy melyik hitelesítési módszert használják a felhasználók a bejelentkezéshez. Fontos, hogy a szervezet biztonsági és speciális követelményeinek megfelelő módszert válassza. A hitelesítés kritikus fontosságú, mert ez érvényesíti a felhasználó identitásait, hogy hozzáférjen a felhőben elérhető alkalmazásokhoz és adatokhoz. A megfelelő hitelesítési módszer kiválasztásakor figyelembe kell vennie a választott megoldáshoz szükséges időt, meglévő infrastruktúrát, összetettséget és költségeket. Ezek a tényezők minden szervezetben eltérnek, és idővel változhatnak.

Az Azure AD a következő hitelesítési módszereket támogatja:

  • Felhőalapú hitelesítés – Ha ezt a hitelesítési módszert választja, az Azure AD kezeli a felhasználói bejelentkezés hitelesítési folyamatát. A felhőalapú hitelesítéssel két lehetőség közül választhat:
    • Jelszó kivonatszinkronizálása (PHS) – A jelszó-kivonatszinkronizálás lehetővé teszi, hogy a felhasználók ugyanazt a felhasználónevet és jelszót használják, mint a helyszínen, anélkül, hogy további infrastruktúrát kell üzembe helyezniük az Azure AD-Csatlakozás.
    • Átmenő hitelesítés (PTA) – Ez a beállítás hasonló a jelszó kivonatszinkronizálásához, de egyszerű jelszóérvényesítést biztosít a helyszíni szoftverügynökök használatával az erős biztonsági és megfelelőségi házirendeket használó szervezetek számára.
  • Összevont hitelesítés – Ha ezt a hitelesítési módszert választja, az Azure AD egy különálló megbízható hitelesítési rendszernek, például AD FS-nek vagy egy külső összevonási rendszernek adja át a hitelesítési folyamatot a felhasználó bejelentkezésének ellenőrzéséhez.

A legtöbb szervezet számára, amely csak engedélyezni szeretné a felhasználói bejelentkezést az Microsoft 365-ba, SaaS-alkalmazásokba és más Azure AD-alapú erőforrásokba, az alapértelmezett jelszó kivonatszinkronizálási beállítást javasoljuk.

A hitelesítési módszer kiválasztásával kapcsolatos részletes információkért lásd: A hibrid identitásmegoldáshoz megfelelő hitelesítési módszer Azure Active Directory kiválasztása.

Jelszókivonat szinkronizálása

A jelszó-kivonat szinkronizálásával a felhasználói jelszavak kivonatai szinkronizálva lesznek a helyi Active Directory Azure AD-be. A jelszavak helyszíni módosításakor vagy alaphelyzetbe állításakor a rendszer azonnal szinkronizálja az új jelszó-hasheket az Azure AD-be, hogy a felhasználók mindig ugyanazt a jelszót használják a felhőbeli és a helyszíni erőforrásokhoz. A jelszavakat a rendszer soha nem küldi el az Azure AD-nek, és nem tárolja őket az Azure AD-ben tiszta szövegként. A jelszó kivonatszinkronizálás és a jelszó-visszaírás együttes használatával engedélyezheti az új jelszó önkiszolgáló beállítását az Azure AD-ban.

Emellett engedélyezheti a közvetlen egyszeri bejelentkezést a felhasználók számára a vállalati hálózaton található, tartományhoz csatlakozott gépeken. Egyszeri bejelentkezés esetén az engedélyezett felhasználóknak csak egy felhasználónevet kell megadniuk a felhőbeli erőforrások biztonságos eléréséhez.

Password hash synchronization

További információért tekintse meg a jelszó kivonatszinkronizálásával kapcsolatos cikket.

Átmenő hitelesítés

Átmenő hitelesítés esetén a rendszer érvényesíti a felhasználó jelszavát a helyi Active Directory ’ szerint. A jelszónak semmilyen formában nem kell jelen lennie az Azure AD-ban. Ez lehetővé teszi a helyszíni szabályzatok, például a bejelentkezési órára vonatkozó korlátozások kiértékelét a felhőszolgáltatások hitelesítése során.

Az átmenő hitelesítés egy egyszerű ügynököt használ Windows Server 2012 helyszíni környezetben egy R2 tartományhoz csatlakozott gépen. Ez az ügynök a jelszóérvényesítési kéréseket figyeli. Nincs szükség arra, hogy a bejövő portok nyitva legyen az internet felé.

Emellett engedélyezheti az egyszeri bejelentkezést a vállalati hálózaton található, tartományhoz csatlakozott gépeken található felhasználók számára is. Egyszeri bejelentkezés esetén az engedélyezett felhasználóknak csak egy felhasználónevet kell megadniuk a felhőbeli erőforrások biztonságos eléréséhez. Pass-through authentication

További információkért lásd:

Összevonás, amely egy új vagy meglévő farmot használ AD FS R2 Windows Server 2012-ben

Az összevont bejelentkezéssel a felhasználók helyszíni jelszavukat használva jelentkeznek be az Azure AD-alapú szolgáltatásokba. Amíg a vállalati hálózaton vannak, nem is kell megadniuk a jelszavukat. Az összevonási lehetőség és a AD FS használatával üzembe helyezhet egy új vagy meglévő farmot AD FS R2 Windows Server 2012 használatával. Ha meglévő farmot ad meg, az Azure AD Csatlakozás konfigurálja a farm és az Azure AD közötti megbízhatóságot, hogy a felhasználók bejelentkez tudjanak.

Federation with AD FS in Windows Server 2012 R2Federation with AD FS in Windows Server 2012 R2

Összevonás üzembe helyezése AD FS R2 Windows Server 2012-ben

Ha új farmot helyez üzembe, a következőre lesz szüksége:

  • Egy Windows Server 2012 R2-kiszolgáló az összevonási kiszolgálóhoz.
  • Egy Windows Server 2012 R2-kiszolgáló a webalkalmazáshoz alkalmazásproxy.
  • Egy .pfx-fájl egy TLS/SSL-tanúsítvánnyal a kívánt összevonási szolgáltatásnévhez. Például: fs.contoso.com.

Ha új farmot helyez üzembe, vagy meglévő farmot használ, a következőre lesz szüksége:

  • Helyi rendszergazdai hitelesítő adatok az összevonási kiszolgálókon.
  • Helyi rendszergazdai hitelesítő adatok minden olyan munkacsoport-kiszolgálón (tartományhoz nem csatlakozva), amelyekre telepíteni kívánja a alkalmazásproxy szerepkört.
  • Az a gép, amelyen a varázslót futtatja, képes lesz csatlakozni bármely olyan géphez, amelyet AD FS vagy Web alkalmazásproxy kíván telepíteni a távoli Windows használatával.

További információ: SSO konfigurálása a AD FS.

Összevonás a PingFederate-tel

Az összevont bejelentkezéssel a felhasználók helyszíni jelszavukat használva jelentkeznek be az Azure AD-alapú szolgáltatásokba. Amíg a vállalati hálózaton vannak, nem is kell megadniuk a jelszavukat.

A PingFederate és a Azure Active Directory konfigurálásával kapcsolatos további információkért lásd: PingFederate Integration with Azure Active Directory and Office 365

További információ az Azure AD-Csatlakozás PingFederate használatával való beállításával kapcsolatban: Azure AD Csatlakozás egyéni telepítés

Bejelentkezés a AD FS egy korábbi verziójával vagy harmadik féltől származó megoldással

Ha már konfigurálta a felhőbe való bejelentkezést az AD FS egy korábbi verziójával (például AD FS 2.0) vagy egy külső összevonási szolgáltatóval, kihagyhatja a felhasználói bejelentkezési konfigurációt az Azure AD Csatlakozás. Ez lehetővé teszi az Azure AD legújabb szinkronizálási és egyéb funkcióinak Csatlakozás miközben továbbra is a meglévő megoldást használja a bejelentkezéshez.

További információkért tekintse meg az Azure AD külső összevonási kompatibilitási listáját.

Felhasználói bejelentkezés és egyszerű felhasználónév

Az egyszerű felhasználónév ismertetése

A Active Directory egyszerű felhasználónév (UPN) alapértelmezett utótagja annak a tartománynak a DNS-neve, amelyben a felhasználói fiókot létrehozták. A legtöbb esetben ez az interneten vállalati tartományként regisztrált tartománynév. Azonban további UPN-utótagokat is hozzáadhat a Active Directory és megbízhatósági kapcsolatokkal.

A felhasználó UPN-ének formátuma username@domain. Egy "Active Directory" nevű contoso.com például egy John nevű felhasználó upn-nal john@contoso.com ". A felhasználó UPN-jének alapja az RFC 822. Bár az UPN és az e-mail formátuma megegyezik, a felhasználó upn-ének értéke nem biztos, hogy megegyezik a felhasználó e-mail-címével.

Egyszerű felhasználónév az Azure AD-ban

Az Azure AD Csatlakozás varázsló a userPrincipalName attribútumot használja, vagy lehetővé teszi a helyszíni telepítésben az Azure AD egyszerű felhasználóneveként használni kívánt attribútum megadását (egyéni telepítés esetén). Ez az az érték, amely az Azure AD-be való bejelentkezéshez használatos. Ha a userPrincipalName attribútum értéke nem felel meg egy ellenőrzött tartománynak az Azure AD-ban, akkor az Azure AD egy alapértelmezett .onmicrosoft.com értékre cseréli.

A Azure Active Directory minden címtára egy beépített, contoso.onmicrosoft.com formátumú tartománynevet is kap, amely lehetővé teszi az Azure vagy más Microsoft-szolgáltatások. Egyéni tartományokkal javíthatja és egyszerűsítheti a bejelentkezési élményt. Az Azure AD-beli egyéni tartománynevekkel és a tartományok ellenőrzésének mikéntjére vonatkozó információkért lásd: Egyéni tartománynévhozzáadása a Azure Active Directory.

Azure AD-bejelentkezés konfigurálása

Azure AD-bejelentkezés konfigurálása Azure AD-Csatlakozás

Az Azure AD bejelentkezési élménye attól függ, hogy az Azure AD megfelel-e egy olyan felhasználó egyszerű nevének utótagjának, amely az Azure AD-címtárban ellenőrzött egyéni tartományok egyikére van szinkronizálva. Az Azure AD Csatlakozás segítséget nyújt az Azure AD bejelentkezési beállításainak konfigurálása során, hogy a felhasználók felhőbe való bejelentkezési élménye hasonló a helyszíni felhasználói élményhez.

Az Azure AD Csatlakozás listázza a tartományokhoz definiált UPN-utótagokat, és megpróbálja őket egy egyéni tartománnyal megfeleltetni az Azure AD-ban. Ezután segít a szükséges megfelelő műveletben. Az Azure AD bejelentkezési oldala felsorolja a felhasználóhoz definiált UPN-utótagokat helyi Active Directory és megjeleníti az egyes utótagok megfelelő állapotát. Az állapotértékek a következők egyike lehet:

Állam Leírás Szükséges művelet
Ellenőrzött Az Azure AD Csatlakozás egyező ellenőrzött tartományt talált az Azure AD-ban. A tartomány összes felhasználója bejelentkezhet a helyszíni hitelesítő adataival. Nincs szükség beavatkozásra.
Nincs ellenőrizve Az Azure AD Csatlakozás talált egyező egyéni tartományt az Azure AD-ban, de ez nem ellenőrzött. A tartomány felhasználóinak UPN-utótagja a szinkronizálást követően az alapértelmezett .onmicrosoft.com-utótagra módosul, ha a tartomány nincs ellenőrizve. Ellenőrizze az egyéni tartományt az Azure AD-ban.
Nincs hozzáadva Az Azure AD Csatlakozás nem talált az UPN-utótagnak megfelelő egyéni tartományt. A tartomány felhasználóinak UPN-utótagja az alapértelmezett .onmicrosoft.com-utótagra módosul, ha a tartomány nincs hozzáadva és ellenőrizve az Azure-ban. Adjon hozzá és ellenőrizzen egy egyéni tartományt, amely megfelel az UPN-utótagnak.

Az Azure AD bejelentkezési oldala felsorolja az helyi Active Directory-hoz definiált UPN-utótagokat és az Azure AD megfelelő egyéni tartományát az aktuális ellenőrzési állapottal. Egyéni telepítés esetén mostantól kiválaszthatja az egyszerű felhasználónév attribútumát az Azure AD bejelentkezési oldalán.

Azure AD sign-in page

A frissítés gombra kattintva újra lekérheti az egyéni tartományok legfrissebb állapotát az Azure AD-ból.

Az egyszerű felhasználónév attribútumának kiválasztása az Azure AD-ban

A userPrincipalName attribútum az az attribútum, amit a felhasználók az Azure AD-be való jelentkezzenek be és Microsoft 365. A felhasználók szinkronizálása előtt ellenőrizze az Azure AD-ban használt tartományokat (más néven UPN-utótagokat).

Határozottan javasoljuk, hogy tartsa meg a userPrincipalName alapértelmezett attribútumot. Ha ez az attribútum nem átirányítható, és nem ellenőrizhető, akkor kiválaszthat egy másik attribútumot (például e-mail-címet) a bejelentkezési azonosítót megőrző attribútumként. Ezt alternatív azonosítónak is nevezik. Az Alternatív azonosító attribútum értékének követnie kell az RFC 822 szabványt. Bejelentkezési megoldásként használhat alternatív azonosítót jelszó SSO-val és összevonási SSO-val is.

Megjegyzés

Az alternatív azonosítók használata nem kompatibilis az összes Microsoft 365 számítási feladatokkal. További információt a Másodlagos bejelentkezési azonosító beállítása című cikkben talál.

Különböző egyéni tartomány-államok és azok hatása az Azure bejelentkezési élményére

Nagyon fontos tisztában lennie az Azure AD-címtárban található egyéni tartományi államok és a helyszínen definiált UPN-utótagok közötti kapcsolattal. Vegyük át a különböző lehetséges Azure-bejelentkezési élményeket, amikor Azure AD-fiókokkal hoz Csatlakozás.

A következő információkhoz tegyük fel, hogy az UPN contoso.com utótaggal van bajunk, amelyet a helyszíni címtár az UPN részeként használ , például: user@contoso.com .

Gyorsbeállítások/Jelszó kivonatszinkronizálása
Állapot A felhasználói Azure bejelentkezési élményre gyakorolt hatás
Nincs hozzáadva Ebben az esetben az Azure AD-címtárban contoso.com egyéni tartomány nem lett hozzáadva. Azok a felhasználók, akik upN-sel vannak a helyszínen az utótaggal, nem fogják tudni használni a helyszíni UPN-jüket az @contoso.com Azure-ba való bejelentkezéshez. Ehelyett egy új UPN-t kell használniuk, amelyet az Azure AD biztosít számukra az alapértelmezett Azure AD-címtár utótagja hozzáadásával. Ha például felhasználókat szinkronizál az Azure AD címtár-azurecontoso.onmicrosoft.com, akkor a helyszíni felhasználó user@contoso.com upn-et user@azurecontoso.onmicrosoft.com kap.
Nincs ellenőrizve Ebben az esetben van egy egyéni contoso.com, amely hozzá van adva az Azure AD-címtárhoz. Ez azonban még nincs ellenőrizve. Ha a tartomány ellenőrzése nélkül szinkronizálja a felhasználókat, akkor az Azure AD új UPN-t rendel a felhasználókhoz, a "Nincs hozzáadva" forgatókönyvhöz hasonlóan.
Ellenőrzött Ebben az esetben van egy egyéni tartománynév contoso.com amely már hozzá lett adva és ellenőrizve lett az Azure AD-ban az UPN-utótaghoz. A felhasználók a helyszíni egyszerű felhasználónevük (például ) használatával bejelentkeznek az Azure-ba az Azure AD-be való szinkronizálás user@contoso.com után.
AD FS összevonás

Nem hozhat létre összevonást az Alapértelmezett .onmicrosoft.com tartománnyal az Azure AD-ban vagy nem ellenőrzött egyéni tartománnyal az Azure AD-ban. Az Azure AD Csatlakozás varázsló futtatásakor, ha egy nem ellenőrzött tartományt választ ki az összevonás létrehozásához, az Azure AD Csatlakozás kérni fogja a tartomány DNS-ének helyéhez szükséges rekordok létrehozásához szükséges rekordokat. További információ: Az összevonáshoz kiválasztott Azure AD-tartomány ellenőrzése.

Ha az Összevonás az AD FS felhasználói bejelentkezési lehetőséget választotta,akkor az Azure AD-beli összevonás létrehozásának folytatásához egyéni tartományra van szükség. Ebben a kérdésben ez azt jelenti, hogy egy egyéni tartománynevet kell contoso.com az Azure AD-címtárban.

Állapot A felhasználói Azure-beli bejelentkezési élményre gyakorolt hatás
Nincs hozzáadva Ebben az esetben az Azure AD Csatlakozás nem talált megfelelő egyéni tartományt az Azure AD-címtárban contoso.com UPN-utótaghoz. Egyéni tartománynevet kell hozzáadnia contoso.com ha azt szeretné, hogy a felhasználók a helyszíni UPN AD FS (például) AD FS bejelentkezve jelentkezzenek user@contoso.com be.
Nincs ellenőrizve Ebben az esetben az Azure AD Csatlakozás a megfelelő részleteket arról, hogyan ellenőrizheti a tartományt egy későbbi szakaszban.
Ellenőrzött Ebben az esetben további művelet nélkül is használhatja a konfigurációt.

A felhasználói bejelentkezési mód módosítása

Az Azure AD Csatlakozás-ban az Azure AD Csatlakozás varázslóval való kezdeti konfigurálása után az Azure AD Csatlakozás-ban elérhető feladatok használatával módosíthatja a felhasználói bejelentkezési módszert az összevonásról, a jelszó kivonatszinkronizálásról vagy az átmenő hitelesítésről. Futtassa újra az Azure AD Csatlakozás varázslót, és megjelenik a végrehajtható feladatok listája. Válassza a Felhasználói bejelentkezés módosítása lehetőséget a feladatok listájából.

Change user sign-in

A következő oldalon meg kell adnia az Azure AD hitelesítő adatait.

Screenshot that shows where you should type the credentials for Azure AD.

A Felhasználói bejelentkezés oldalon válassza ki a kívánt felhasználói bejelentkezést.

Connect to Azure AD

Megjegyzés

Ha csak ideiglenesen vált a jelszó kivonatának szinkronizálására, jelölje be a Felhasználói fiókok konvertálásának mellőzése jelölőnégyzetet. Ha nem ellenőrzi a beállítást, az egyes felhasználók összevontakká alakulnak, ami több órát is igénybe vehet.

Következő lépések