Autentikasi pass-through Microsoft Entra: Mulai Cepat

  • Artikel

Menyebarkan autentikasi pass-through Microsoft Entra

Autentikasi pass-through Microsoft Entra memungkinkan pengguna Anda untuk masuk ke aplikasi lokal dan berbasis cloud dengan menggunakan kata sandi yang sama. Autentikasi Pass-through menandatangani pengguna dengan memvalidasi kata sandi mereka secara langsung terhadap Active Directory lokal.

Penting

Jika Anda bermigrasi dari Layanan Federasi Direktori Aktif (atau teknologi federasi lainnya) ke Autentikasi Pass-through, lihat Sumber Daya untuk memigrasikan aplikasi ke ID Microsoft Entra.

Catatan

Jika Anda menggunakan Autentikasi Pass Through dengan cloud Azure Government, lihat Pertimbangan Identitas Hibrid untuk Azure Government.

Ikuti petunjuk berikut untuk menerapkan Autentikasi Pass-through di tenant Anda:

Langkah 1: Periksa prasyarat

Pastikan prasyarat berikut telah diberlakukan.

Penting

Dari sudut pandang keamanan, admin harus memperlakukan server yang menjalankan agen PTA seolah-olah server adalah pengendali domain. Server agen PTA harus diperkuat dengan cara yang sama seperti yang diuraikan dalam Mengamankan Pengendali Domain Terhadap Serangan

Di pusat admin Microsoft Entra

  1. Buat akun Administrator Identitas Hibrid khusus cloud atau akun administrator Identitas Hibrid di penyewa Microsoft Entra Anda. Dengan cara ini, Anda dapat mengelola konfigurasi tenant jika layanan lokal Anda gagal atau menjadi tidak tersedia. Pelajari tentang menambahkan akun Administrator Identitas Hibrid khusus cloud. Menyelesaikan langkah ini sangat penting untuk memastikan bahwa Anda tidak terkunci dari tenant Anda.
  2. Tambahkan satu atau beberapa nama domain kustom ke penyewa Microsoft Entra Anda. Pengguna Anda dapat masuk dengan salah satu nama domain ini.

Di lingkungan lokal Anda

  1. Identifikasi server yang menjalankan Windows Server 2016 atau yang lebih baru untuk menjalankan Microsoft Entra Koneksi. Jika belum diaktifkan, aktifkan TLS 1.2 di server. Tambahkan server ke forest Active Directory yang sama dengan pengguna yang kata sandinya perlu Anda validasi. Perlu dicatat bahwa penginstalan agen Pass-Through pada versi Windows Server Core tidak didukung.

  2. Instal versi terbaru Microsoft Entra Koneksi di server yang diidentifikasi pada langkah sebelumnya. Jika Anda sudah menjalankan Microsoft Entra Koneksi, pastikan versi didukung.

    Catatan

    Microsoft Entra Koneksi versi 1.1.557.0, 1.1.558.0, 1.1.561.0, dan 1.1.614.0 memiliki masalah terkait sinkronisasi hash kata sandi. Jika Anda tidak berniat menggunakan sinkronisasi hash kata sandi bersama dengan Autentikasi Pass-through, baca catatan rilis Microsoft Entra Koneksi.

  3. Mengidentifikasi satu atau beberapa server tambahan (menjalankan Windows Server 2016 atau yang lebih baru, dengan TLS 1.2 diaktifkan) tempat Anda dapat menjalankan Agen Autentikasi mandiri. Server tambahan ini diperlukan untuk memastikan ketersediaan permintaan yang tinggi untuk masuk. Tambahkan server ke forest Active Directory yang sama dengan pengguna yang kata sandinya perlu Anda validasi.

    Penting

    Di lingkungan produksi, Anda sebaiknya memiliki minimal 3 Agen Autentikasi yang berjalan di tenant Anda. Ada batas sistem sebanyak 40 Agen Autentikasi per tenant. Sebagai praktik terbaik, perlakukan semua server yang menjalankan Agen Autentikasi sebagai sistem Tingkat 0 (lihat referensi).

  4. Jika ada firewall antara server Anda dan ID Microsoft Entra, konfigurasikan item berikut:

    • Pastikan bahwa Agen Autentikasi dapat membuat permintaan keluar ke ID Microsoft Entra melalui port berikut:

      Nomor port Cara menggunakannya
      80 Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TSL/SSL
      443 Menangani semua komunikasi keluar dengan layanan
      8080 (opsional) Agen Autentikasi melaporkan status mereka setiap sepuluh menit melalui port 8080, jika port 443 tidak tersedia. Status ini ditampilkan di pusat admin Microsoft Entra. Port 8080 tidak digunakan untuk masuk pengguna.

      Jika firewall Anda menerapkan aturan sesuai dengan pengguna asal, buka port ini untuk lalu lintas dari layanan Windows yang berjalan sebagai layanan jaringan.

    • Jika firewall atau proxy memungkinkan Anda menambahkan entri DNS ke daftar yang diizinkan, tambahkan koneksi ke *.msappproxy.net dan *.servicebus.windows.net. Jika tidak, izinkan akses ke rentang IP pusat data Azure, yang diperbarui setiap minggu.

    • Hindari semua bentuk inspeksi sebaris dan Penghentian komunikasi TLS keluar antara Azure Passthrough Agent dan Azure Endpoint.

    • Jika Anda memiliki proksi HTTP keluar, pastikan URL ini, autologon.microsoftazuread-sso.com, ada dalam daftar izinkan. Anda harus menentukan URL ini secara eksplisit karena kartubebas mungkin tidak diterima.

    • Agen Autentikasi Anda memerlukan akses ke login.windows.net dan login.microsoftonline.com untuk pendaftaran awal. Buka firewall Anda untuk URL tersebut juga.

    • Untuk validasi sertifikat, buka blokir URL berikut: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80 , www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com: 80, oneocsp.microsoft.com:80, dan ocsp.msocsp.com:80. Karena URL ini digunakan untuk validasi sertifikat dengan produk Microsoft lainnya, Anda mungkin sudah membuka blokir URL ini.

Prasyarat cloud Azure Government

Sebelum mengaktifkan Autentikasi Pass-through melalui Microsoft Entra Koneksi dengan Langkah 2, unduh rilis terbaru agen PTA dari pusat admin Microsoft Entra. Anda harus memastikan bahwa agen Anda adalah versi 1.5.1742.0. Untuk memverifikasi agen Anda, lihat Meningkatkan agen autentikasi

Setelah mengunduh rilis terbaru agen, lanjutkan dengan instruksi di bawah ini untuk mengonfigurasi Autentikasi Pass-Through melalui Microsoft Entra Koneksi.

Langkah 2: Aktifkan fitur

Aktifkan Autentikasi Pass-through melalui Microsoft Entra Koneksi.

Penting

Anda dapat mengaktifkan Autentikasi Pass-through di Microsoft Entra Koneksi server utama atau penahapan. Anda sebaiknya mengaktifkannya dari server utama. Jika Anda menyiapkan server penahapan Microsoft Entra Koneksi di masa mendatang, Anda harus terus memilih Autentikasi Pass-through sebagai opsi masuk; memilih opsi lain akan menonaktifkan Autentikasi Pass-through pada penyewa dan mengambil alih pengaturan di server utama.

Jika Anda menginstal Microsoft Entra Koneksi untuk pertama kalinya, pilih jalur penginstalan kustom. Di halaman Masuk pengguna, pilih Autentikasi Pass-through sebagai metode Masuk. Setelah berhasil diselesaikan, Agen Autentikasi Pass-through diinstal pada server yang sama dengan Microsoft Entra Koneksi. Selain itu, fitur Autentikasi Pass-through diaktifkan pada tenant Anda.

Microsoft Entra Connect: User sign-in

Jika Anda telah menginstal Microsoft Entra Koneksi dengan menggunakan penginstalan ekspres atau jalur penginstalan kustom, pilih tugas Ubah masuk pengguna di Microsoft Entra Koneksi, lalu pilih Berikutnya. Lalu pilih Autentikasi Pass-through sebagai metode masuk. Setelah berhasil diselesaikan, Agen Autentikasi Pass-through diinstal pada server yang sama dengan Microsoft Entra Koneksi dan fitur diaktifkan pada penyewa Anda.

Microsoft Entra Connect: Change user sign-in

Penting

Autentikasi Pass-through adalah fitur tingkat tenant. Mengaktifkannya memengaruhi masuk untuk pengguna di semua domain terkelola di tenant Anda. Jika beralih dari Active Directory Federation Services (AD FS) ke Autentikasi Pass-through, Anda harus menunggu setidaknya 12 jam sebelum menonaktifkan infrastruktur AD FS Anda. Waktu tunggu ini bertujuan memastikan bahwa pengguna dapat terus masuk ke Exchange ActiveSync selama transisi. Untuk bantuan selengkapnya tentang migrasi dari Layanan Federasi Direktori Aktif ke Autentikasi Pass-through, lihat rencana penyebaran kami yang diterbitkan di sini.

Langkah 3: Menguji fitur

Ikuti petunjuk berikut untuk memverifikasi bahwa Anda telah mengaktifkan Autentikasi Pass-through dengan benar:

  1. Masuk ke pusat admin Microsoft Entra dengan kredensial Administrator Identitas Hibrid untuk penyewa Anda.

  2. Pilih Microsoft Entra ID.

  3. Pilih Microsoft Entra Koneksi.

  4. Verifikasi bahwa fitur autentikasi Pass-through ditampilkan sebagai Aktif.

  5. Pilih Autentikasi Pass-through. Panel autentikasi pass-through mencantumkan server tempat Agen Autentikasi yang diinstal.

    Screenhot shows Microsoft Entra admin center: Microsoft Entra Connect pane.

    Screenshot shows Microsoft Entra admin center: Pass-through Authentication pane.

Pada tahap ini, pengguna dari semua domain terkelola di tenant Anda dapat masuk menggunakan Autentikasi Pass-through. Namun, pengguna dari domain federasi terus masuk menggunakan AD FS atau penyedia federasi lain yang sebelumnya telah Anda konfigurasi. Jika Anda mengonversi domain dari federasi ke dikelola, semua pengguna dari domain tersebut secara otomatis mulai masuk menggunakan Autentikasi Pass-through. Fitur Autentikasi Pass-through tidak memengaruhi pengguna cloud saja.

Langkah 4: Pastikan ketersediaan tinggi

Jika berencana menerapkan Autentikasi Pass-through di lingkungan produksi, Anda harus menginstal Agen Autentikasi mandiri tambahan. Instal Agen Autentikasi ini di server selain yang menjalankan Microsoft Entra Koneksi. Penyiapan ini memberi Anda ketersediaan tinggi untuk permintaan masuk pengguna.

Penting

Di lingkungan produksi, Anda sebaiknya memiliki minimal 3 Agen Autentikasi yang berjalan di tenant Anda. Ada batas sistem sebanyak 40 Agen Autentikasi per tenant. Sebagai praktik terbaik, perlakukan semua server yang menjalankan Agen Autentikasi sebagai sistem Tingkat 0 (lihat referensi).

Menginstal beberapa Agen Autentikasi Pass-through memastikan ketersediaan tinggi, tetapi tidak menentukan keseimbangan beban antara Agen Autentikasi. Untuk menentukan berapa banyak Agen Autentikasi yang dibutuhkan untuk tenant Anda, pertimbangkan beban puncak dan rata-rata permintaan masuk yang diharapkan untuk dilihat pada tenant Anda. Sebagai tolok ukur, Agen Autentikasi tunggal dapat menangani 300 hingga 400 autentikasi per detik pada CPU 4-core standar, server RAM 16-GB.

Untuk memperkirakan lalu lintas jaringan, gunakan panduan ukuran berikut:

  • Setiap permintaan memiliki ukuran payload (0,5K + 1K * num_of_agents) byte, yaitu data dari ID Microsoft Entra ke Agen Autentikasi. Di sini, "num_of_agents" menunjukkan jumlah Agen Autentikasi yang terdaftar di tenant Anda.
  • Setiap respons memiliki ukuran payload 1K byte, yaitu data dari Agen Autentikasi ke ID Microsoft Entra.

Bagi sebagian besar pelanggan, tiga Agen Autentikasi secara total cukup untuk ketersediaan dan kapasitas tinggi. Anda harus memasang Agen Autentikasi yang dekat dengan pengendali domain untuk meningkatkan latensi masuk.

Untuk memulai, ikuti instruksi berikut untuk mengunduh perangkat lunak Agen Autentikasi:

  1. Untuk mengunduh versi terbaru Agen Autentikasi (versi 1.5.193.0 atau yang lebih baru), masuk ke pusat admin Microsoft Entra dengan kredensial Administrator Identitas Hibrid penyewa Anda.

  2. Pilih Microsoft Entra ID.

  3. Pilih Microsoft Entra Koneksi, pilih Autentikasi pass-through, lalu pilih Unduh Agen.

  4. Pilih tombol Terima ketentuan & unduh.

    Screenshot shows Microsoft Entra admin center: Download Authentication Agent button.

Catatan

Anda juga dapat langsung mengunduh perangkat lunak Agen Autentikasi. Tinjau serta terima Ketentuan Layanan Agen Autentikasi sebelum menginstalnya.

Ada dua cara untuk menyebarkan Agen Autentikasi mandiri:

Pertama, Anda dapat melakukannya secara interaktif hanya dengan menjalankan executable Agen Autentikasi yang diunduh dan memberikan kredensial administrator global tenant Anda saat diminta.

Kedua, Anda dapat membuat dan menjalankan skrip penyebaran tanpa pengawasan. Ini berguna ketika Anda ingin menyebarkan beberapa Agen Autentikasi sekaligus, atau menginstal Agen Autentikasi pada server Windows yang tidak mengaktifkan antarmuka pengguna, atau yang tidak dapat Anda akses dengan Desktop Jarak Jauh. Berikut adalah instruksi tentang cara menggunakan pendekatan ini:

  1. Jalankan perintah berikut untuk menginstal Agen Autentikasi: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Anda dapat mendaftarkan Agen Autentikasi dengan layanan kami melalui PowerShell. Buat objek Kredensial PowerShell $cred yang berisi nama pengguna dan kata sandi administrator global untuk tenant Anda. Jalankan perintah berikut, dengan mengganti <username> dan <password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Buka C:\Program Files\Microsoft Azure AD Connect Authentication Agent dan jalankan skrip berikut menggunakan objek $cred yang Anda buat:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Penting

Jika Agen Autentikasi diinstal pada Komputer Virtual, Anda tidak dapat mengkloning Komputer Virtual untuk mengatur Agen Autentikasi lain. Metode ini tidak didukung.

Langkah 5: Mengonfigurasi kemampuan Smart Lockout

Smart Lockout membantu dalam mengunci actor jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. Dengan mengonfigurasi pengaturan Smart Lockout di ID Microsoft Entra dan/atau pengaturan penguncian yang sesuai di Active Directory lokal, serangan dapat difilter sebelum mencapai Direktori Aktif. Baca artikel ini untuk mempelajari selengkapnya tentang cara mengonfigurasi pengaturan Smart Lockout pada tenant Anda untuk melindungi akun pengguna Anda.

Langkah berikutnya

  • Migrasikan aplikasi Anda ke ID Microsoft Entra: Sumber daya untuk membantu Anda memigrasikan akses dan autentikasi aplikasi ke ID Microsoft Entra.
  • Smart Lockout: Pelajari cara mengonfigurasi kemampuan Smart Lockout pada tenant Anda untuk melindungi akun pengguna.
  • Batasan saat ini: Pelajari skenario yang didukung dan tidak didukung Autentikasi Pass-through.
  • Pembahasan mendalam teknis: Pahami cara kerja fitur Autentikasi Pass-through.
  • Tanya Jawab Umum: Temukan jawaban atas tanya jawab umum.
  • Pemecahan masalah: Pelajari cara menyelesaikan masalah umum dengan fitur Autentikasi Pass-through.
  • Pembahasan mendalam tentang Keamanan: Dapatkan informasi teknis mendalam tentang fitur Autentikasi Pass-through.
  • Gabungan hibrid Microsoft Entra: Mengonfigurasi kemampuan gabungan hibrid Microsoft Entra pada penyewa Anda untuk SSO di seluruh sumber daya cloud dan lokal Anda.
  • Microsoft Entra seamless SSO: Pelajari selengkapnya tentang fitur pelengkap ini.
  • UserVoice: Gunakan Forum Microsoft Entra untuk mengajukan permintaan fitur baru.