Autentikasi Pass-through Azure Active Directory: Mulai cepat

Menyebarkan Autentikasi Pass-through Azure AD

Autentikasi Pass-through Azure Active Directory (Azure AD) memungkinkan pengguna Anda untuk masuk ke aplikasi lokal dan berbasis cloud menggunakan kata sandi yang sama. Autentikasi Pass-through menandatangani pengguna dengan memvalidasi kata sandi mereka secara langsung terhadap Active Directory lokal.

Penting

Jika Anda bermigrasi dari AD FS (atau teknologi federasi lainnya) ke Autentikasi Pass-through, kami sangat menyarankan agar Anda mengikuti panduan penyebaran mendetail kami yang diterbitkan di sini.

Catatan

Jika Anda menggunakan Autentikasi Pass Through dengan cloud Azure Government, lihat Pertimbangan Identitas Hibrid untuk Azure Government.

Ikuti petunjuk berikut untuk menerapkan Autentikasi Pass-through di tenant Anda:

Langkah 1: Periksa prasyarat

Pastikan prasyarat berikut telah diberlakukan.

Penting

Dari sudut pandang keamanan, admin harus memperlakukan server yang menjalankan agen PTA seolah-olah server adalah pengendali domain. Server agen PTA harus diperkuat dengan cara yang sama seperti yang diuraikan dalam Mengamankan Pengendali Domain Terhadap Serangan

Di pusat admin Azure Active Directory

  1. Buat akun administrator global khusus cloud di penyewa Microsoft Azure AD Anda. Dengan cara ini, Anda dapat mengelola konfigurasi penyewa jika layanan lokal Anda gagal atau menjadi tidak tersedia. Pelajari cara menambahkan akun administrator global khusus cloud. Menyelesaikan langkah ini sangat penting untuk memastikan bahwa Anda tidak terkunci dari penyewa Anda.
  2. Tambahkan satu atau beberapa nama domain kustom ke penyewa Microsoft Azure AD Anda. Pengguna Anda dapat masuk dengan salah satu nama domain ini.

Di lingkungan lokal Anda

  1. Mengidentifikasi server yang menjalankan Windows Server 2016 atau yang lebih baru untuk menjalankan Azure AD Connect. Jika belum diaktifkan, aktifkan TLS 1.2 di server. Tambahkan server ke forest Active Directory yang sama dengan pengguna yang kata sandinya perlu Anda validasi. Perlu dicatat bahwa penginstalan agen Pass-Through pada versi Windows Server Core tidak didukung.

  2. Instal versi terbaru Azure AD Connect di server yang diidentifikasi pada langkah sebelumnya. Jika Anda sudah menjalankan Azure AD Connect, pastikan versinya adalah 1.1.750.0 atau yang lebih baru.

    Catatan

    Azure AD Connect versi 1.1.557.0, 1.1.558.0, 1.1.561.0, dan 1.1.614.0 memiliki masalah terkait sinkronisasi hash kata sandi. Jika Anda tidak berniat menggunakan sinkronisasi hash kata sandi bersama Autentikasi Pass-through, baca catatan rilis Azure AD Connect.

  3. Mengidentifikasi satu atau beberapa server tambahan (menjalankan Windows Server 2016 atau yang lebih baru, dengan TLS 1.2 diaktifkan) tempat Anda dapat menjalankan Agen Autentikasi mandiri. Server tambahan ini diperlukan untuk memastikan ketersediaan permintaan yang tinggi untuk masuk. Tambahkan server ke forest Active Directory yang sama dengan pengguna yang kata sandinya perlu Anda validasi.

    Penting

    Di lingkungan produksi, Anda sebaiknya memiliki minimal 3 Agen Autentikasi yang berjalan di tenant Anda. Ada batas sistem sebanyak 40 Agen Autentikasi per tenant. Sebagai praktik terbaik, perlakukan semua server yang menjalankan Agen Autentikasi sebagai sistem Tingkat 0 (lihat referensi).

  4. Jika ada firewall antara server Anda dan Azure AD, konfigurasikan item berikut:

    • Pastikan bahwa Agen Autentikasi dapat membuat permintaan keluar ke Azure AD melalui port berikut:

      Nomor port Cara menggunakannya
      80 Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TSL/SSL
      443 Menangani semua komunikasi keluar dengan layanan
      8080 (opsional) Agen Autentikasi melaporkan status mereka setiap sepuluh menit melalui port 8080, jika port 443 tidak tersedia. Status ini ditampilkan di portal Azure AD. Port 8080 tidak digunakan untuk masuk pengguna.

      Jika firewall Anda menerapkan aturan sesuai dengan pengguna asal, buka port ini untuk lalu lintas dari layanan Windows yang berjalan sebagai layanan jaringan.

    • Jika firewall atau proksi memungkinkan Anda menambahkan entri DNS ke daftar izinkan, tambahkan koneksi ke *.msappproxy.net dan *.servicebus.windows.net. Jika tidak, izinkan akses ke rentang IP pusat data Azure yang diperbarui setiap minggu.

    • Hindari semua bentuk inspeksi sebaris dan Penghentian komunikasi TLS keluar antara Azure Passthrough Agent dan Azure Endpoint.

    • Jika Anda memiliki proksi HTTP keluar, pastikan URL ini, autologon.microsoftazuread-sso.com, ada dalam daftar izinkan. Anda harus menentukan URL ini secara eksplisit karena wildcard mungkin tidak diterima.

    • Agen Autentikasi Anda memerlukan akses ke login.windows.net dan login.microsoftonline.com untuk pendaftaran awal. Buka firewall Anda untuk URL tersebut juga.

    • Untuk validasi sertifikat, buka blokir URL berikut: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80, and ocsp.msocsp.com:80. Karena URL ini digunakan untuk validasi sertifikat dengan produk Microsoft lainnya, Anda mungkin sudah membuka blokir URL ini.

Prasyarat cloud Azure Government

Sebelum mengaktifkan Autentikasi Pass-through melalui Azure AD Connect dengan Langkah 2, unduh rilis terbaru agen PTA dari portal Microsoft Azure. Anda perlu memastikan bahwa agen Anda adalah versi 1.5.1742.0. atau yang lebih baru. Untuk memverifikasi agen Anda, lihat Meningkatkan agen autentikasi

Setelah mengunduh rilis terbaru agen, lanjutkan dengan instruksi di bawah ini untuk mengonfigurasi Autentikasi Pass-Through melalui Azure AD Connect.

Langkah 2: Aktifkan fitur

Aktifkan Autentikasi Pass-through melalui Azure AD Connect.

Penting

Anda dapat mengaktifkan Autentikasi Pass-through di server utama atau penahapan Azure AD Connect. Anda sebaiknya mengaktifkannya dari server utama. Jika Anda menyiapkan server penahapan Azure AD Connect di masa mendatang, Anda harus terus memilih Autentikasi Pass-through sebagai opsi masuk; memilih opsi lain akan menonaktifkan Autentikasi Pass-through pada tenant dan mengganti pengaturan di server utama.

Jika Anda menginstal Azure AD Connect untuk pertama kalinya, pilih jalur penginstalan kustom. Di halaman Masuk pengguna, pilih Autentikasi Pass-through sebagai metode Masuk. Setelah berhasil, Agen Autentikasi Pass-through diinstal pada server yang sama dengan Azure AD Connect. Selain itu, fitur Autentikasi Pass-through diaktifkan pada tenant Anda.

Azure AD Connect: Masuk pengguna

Jika Anda telah menginstal Azure AD Connect menggunakan penginstalan ekspres atau jalur penginstalan kustom, pilih tombol tugas Ubah masuk pengguna di Azure AD Connect, lalu pilih Berikutnya. Lalu pilih Autentikasi Pass-through sebagai metode masuk. Setelah berhasil, Agen Autentikasi Pass-through diinstal pada server yang sama dengan Azure AD Connect dan fitur ini diaktifkan pada tenant Anda.

Azure AD Connect: Mengubah masuk pengguna

Penting

Autentikasi Pass-through adalah fitur tingkat tenant. Mengaktifkannya memengaruhi masuk untuk pengguna di semua domain terkelola di tenant Anda. Jika beralih dari Active Directory Federation Services (AD FS) ke Autentikasi Pass-through, Anda harus menunggu setidaknya 12 jam sebelum menonaktifkan infrastruktur AD FS Anda. Waktu tunggu ini bertujuan memastikan bahwa pengguna dapat terus masuk ke Exchange ActiveSync selama transisi. Untuk bantuan lebih lanjut tentang migrasi dari AD FS ke Autentikasi Pass-through, lihat rencana penyebaran terperinci kami yang diterbitkan di sini.

Langkah 3: Menguji fitur

Ikuti petunjuk berikut untuk memverifikasi bahwa Anda telah mengaktifkan Autentikasi Pass-through dengan benar:

  1. Masuk ke pusat admin Azure Active Directory dengan info masuk administrator global untuk tenant Anda.
  2. Di panel kiri, pilih Azure Active Directory.
  3. Pilih Azure AD Connect.
  4. Verifikasi bahwa fitur autentikasi Pass-through ditampilkan sebagai Aktif.
  5. Pilih Autentikasi Pass-through. Panel autentikasi pass-through mencantumkan server tempat Agen Autentikasi yang diinstal.

Pusat admin Azure Active Directory: Panel Azure AD Connect

Pusat admin Azure Active Directory: Panel Autentikasi Pass-through

Pada tahap ini, pengguna dari semua domain terkelola di tenant Anda dapat masuk menggunakan Autentikasi Pass-through. Namun, pengguna dari domain federasi terus masuk menggunakan AD FS atau penyedia federasi lain yang sebelumnya telah Anda konfigurasi. Jika Anda mengonversi domain dari federasi ke dikelola, semua pengguna dari domain tersebut secara otomatis mulai masuk menggunakan Autentikasi Pass-through. Fitur Autentikasi Pass-through tidak memengaruhi pengguna cloud saja.

Langkah 4: Pastikan ketersediaan tinggi

Jika berencana menerapkan Autentikasi Pass-through di lingkungan produksi, Anda harus menginstal Agen Autentikasi mandiri tambahan. Instal Agen Autentikasi ini di server selain yang menjalankan Azure AD Connect. Penyiapan ini memberi Anda ketersediaan tinggi untuk permintaan masuk pengguna.

Penting

Di lingkungan produksi, Anda sebaiknya memiliki minimal 3 Agen Autentikasi yang berjalan di tenant Anda. Ada batas sistem sebanyak 40 Agen Autentikasi per tenant. Sebagai praktik terbaik, perlakukan semua server yang menjalankan Agen Autentikasi sebagai sistem Tingkat 0 (lihat referensi).

Menginstal beberapa Agen Autentikasi Pass-through memastikan ketersediaan tinggi, tetapi tidak menentukan keseimbangan beban antara Agen Autentikasi. Untuk menentukan berapa banyak Agen Autentikasi yang dibutuhkan untuk tenant Anda, pertimbangkan beban puncak dan rata-rata permintaan masuk yang diharapkan untuk dilihat pada tenant Anda. Sebagai tolok ukur, Agen Autentikasi tunggal dapat menangani 300 hingga 400 autentikasi per detik pada CPU 4-core standar, server RAM 16-GB.

Untuk memperkirakan lalu lintas jaringan, gunakan panduan ukuran berikut:

  • Setiap permintaan memiliki ukuran payload (0,5K + 1K * num_of_agents) byte; yaitu, data dari Azure AD ke Agen Autentikasi. Di sini, "num_of_agents" menunjukkan jumlah Agen Autentikasi yang terdaftar di tenant Anda.
  • Setiap respons memiliki ukuran payload 1K byte; yaitu, data dari Agen Autentikasi ke Azure AD.

Bagi sebagian besar pelanggan, tiga Agen Autentikasi secara total cukup untuk ketersediaan dan kapasitas tinggi. Anda harus memasang Agen Autentikasi yang dekat dengan pengontrol domain untuk meningkatkan latensi masuk.

Untuk memulai, ikuti instruksi berikut untuk mengunduh perangkat lunak Agen Autentikasi:

  1. Untuk mengunduh versi terbaru Agen Autentikasi (versi 1.5.193.0 atau yang lebih baru), masuk ke pusat admin Azure Active Directory dengan info masuk administrator global tenant Anda.
  2. Di panel kiri, pilih Azure Active Directory.
  3. Pilih Azure AD Connect, pilih Autentikasi pass-through, lalu pilih Unduh Agen.
  4. Pilih tombol Terima ketentuan & unduh.

Pusat admin Azure Active Directory: tombol Unduh Agen Autentikasi

Pusat admin Azure Active Directory: panel Unduh Agen

Catatan

Anda juga dapat langsung mengunduh perangkat lunak Agen Autentikasi. Tinjau dan terima Ketentuan Layanan Agen Autentikasi sebelum menginstalnya.

Ada dua cara untuk menyebarkan Agen Autentikasi mandiri:

Pertama, Anda dapat melakukannya secara interaktif hanya dengan menjalankan executable Agen Autentikasi yang diunduh dan memberikan kredensial administrator global tenant Anda saat diminta.

Kedua, Anda dapat membuat dan menjalankan skrip penyebaran tanpa pengawasan. Ini berguna ketika Anda ingin menyebarkan beberapa Agen Autentikasi sekaligus, atau menginstal Agen Autentikasi pada server Windows yang tidak mengaktifkan antarmuka pengguna, atau yang tidak dapat Anda akses dengan Desktop Jarak Jauh. Berikut adalah instruksi tentang cara menggunakan pendekatan ini:

  1. Jalankan perintah berikut untuk menginstal Agen Autentikasi: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Anda dapat mendaftarkan Agen Autentikasi dengan layanan kami menggunakan Windows PowerShell. Buat objek Kredensial PowerShell $cred yang berisi nama pengguna dan kata sandi administrator global untuk tenant Anda. Jalankan perintah berikut, dengan mengganti <username> dan <password> :
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Buka C:\Program Files\Microsoft Azure AD Connect Authentication Agent dan jalankan skrip berikut menggunakan objek $cred yang Anda buat:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Penting

Jika Agen Autentikasi diinstal pada Komputer Virtual, Anda tidak dapat mengkloning Komputer Virtual untuk mengatur Agen Autentikasi lain. Metode ini tidak didukung.

Langkah 5: Mengonfigurasi kemampuan Smart Lockout

Smart Lockout membantu dalam mengunci actor jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. Dengan mengonfigurasi pengaturan Smart Lockout di Azure AD dan / atau pengaturan penguncian yang sesuai di Active Directory lokal, serangan dapat difilter sebelum mencapai Active Directory. Baca artikel ini untuk mempelajari selengkapnya tentang cara mengonfigurasi pengaturan Smart Lockout pada tenant Anda untuk melindungi akun pengguna Anda.

Langkah berikutnya