Passthrough-verificatie voor Azure Active Directory: quickstart

Pass-through-verificatie van Azure AD implementeren

Azure Active Directory pass-through-verificatie (Azure AD) kunnen uw gebruikers zich met dezelfde wachtwoorden aanmelden bij zowel on-premises als cloudtoepassingen. Pass-through-verificatie meldt gebruikers aan door hun wachtwoord rechtstreeks te valideren op basis on-premises Active Directory.

Belangrijk

Als u migreert van AD FS (of andere federatietechnologieën) naar pass-through-verificatie, raden we u ten zeerste aan onze gedetailleerde implementatiehandleiding te volgen die hier is gepubliceerd.

Notitie

Als u Pass Through-verificatie implementeert met de Azure Government cloud, bekijkt u Overwegingen voor hybride identiteit voor Azure Government.

Volg deze instructies voor het implementeren van pass-through-verificatie in uw tenant:

Stap 1: Controleer de vereisten

Zorg ervoor dat aan de volgende vereisten is gehouden.

Belangrijk

Vanuit het oogpunt van beveiliging moeten beheerders de server met de PTA-agent behandelen alsof het een domeincontroller is. De PTA-agentservers moeten worden gehard volgens de regels die worden beschreven in Domeincontrollers beveiligen tegen aanvallen

In het Azure Active Directory-beheercentrum

  1. Maak een alleen-cloud account voor globale beheerders in uw Azure AD-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet meer beschikbaar zijn. Meer informatie over het toevoegen van een alleen-cloud account voor globale beheerders. Het voltooien van deze stap is van cruciaal belang om ervoor te zorgen dat de tenant niet wordt vergrendeld.
  2. Voeg een of meer aangepaste domeinnamen toe aan uw Azure AD-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw on-premises omgeving

  1. Identificeer een server met Windows Server 2016 of hoger om Azure AD-Verbinding maken. Als dit nog niet is ingeschakeld, moet u TLS 1.2 inschakelen op de server. Voeg de server toe aan hetzelfde Active Directory-forest als de gebruikers van wie u de wachtwoorden wilt valideren. De installatie van de Pass-Through-agent op Windows Server Core-versies wordt niet ondersteund.

  2. Installeer de nieuwste versie van Azure AD Verbinding maken op de server die in de vorige stap is geïdentificeerd. Als u Azure AD al Verbinding maken uitgevoerd, controleert u of de versie 1.1.750.0 of hoger is.

    Notitie

    Azure AD Verbinding maken versies 1.1.557.0, 1.1.558.0, 1.1.561.0 en 1.1.614.0 hebben een probleem met betrekking tot wachtwoord-hashsynchronisatie. Als u niet van plan bent om wachtwoordhashsynchronisatie te gebruiken in combinatie met pass-through-verificatie, leest u de opmerkingen bij de release Verbinding maken Azure AD.

  3. Identificeer een of meer extra servers (met Windows Server 2016 of hoger, met TLS 1.2 ingeschakeld) waar u zelfstandige verificatieagents kunt uitvoeren. Deze extra servers zijn nodig om te zorgen voor een hoge beschikbaarheid van aanvragen om u aan te melden. Voeg de servers toe aan hetzelfde Active Directory-forest als de gebruikers van wie u de wachtwoorden wilt valideren.

    Belangrijk

    In productieomgevingen wordt u aangeraden minimaal 3 verificatieagents in uw tenant te hebben. Er is een systeemlimiet van 40 verificatieagents per tenant. En net best practice alle servers waarop verificatieagents worden uitgevoerd, behandelen als Laag 0-systemen (zie naslag).

  4. Als er een firewall is tussen uw servers en Azure AD, moet u de volgende items configureren:

    • Zorg ervoor dat verificatie-agents uitgaande aanvragen naar Azure AD kunnen doen via de volgende poorten:

      Poortnummer Hoe dat wordt gebruikt
      80 Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat
      443 Verwerkt alle uitgaande communicatie met de service
      8080 (optioneel) Verificatieagents rapporteren elke tien minuten hun status via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in de Azure AD-portal. Poort 8080 wordt niet gebruikt voor aanmeldingen van gebruikers.

      Als met uw firewall regels worden afgedwongen op basis van de herkomst van gebruikers, opent u deze poorten voor verkeer dat afkomstig is van Windows-services die als een netwerkservice worden uitgevoerd.

    • Als u met uw firewall of proxy DNS-vermeldingen kunt toevoegen aan een allowlist, voegt u verbindingen toe met * .msappproxy.net * en .servicebus.windows.net. Als dat niet het geval is, moet u toegang toestaan tot de IP-adresbereiken van Azure Datacenter, die elke week worden bijgewerkt.

    • Vermijd alle vormen van inlineinspectie en beëindiging van uitgaande TLS-communicatie tussen Azure Passthrough Agent en Azure-eindpunt.

    • Als u een uitgaande HTTP-proxy hebt, moet u ervoor zorgen dat autologon.microsoftazuread-sso.com URL in de lijst met toegestane proxy's staat. U moet deze URL expliciet opgeven omdat jokertekens mogelijk niet worden geaccepteerd.

    • Uw verificatieagenten hebben toegang nodig tot login.windows.net en login.microsoftonline.com voor de initiële registratie. Open uw firewall ook voor deze URL's.

    • Deblokker voor certificaatvalidatie de volgende URL's: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www . d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 en ocsp.msocsp.com:80. Omdat deze URL's worden gebruikt voor certificaatvalidatie met andere Microsoft-producten, is het mogelijk dat u deze URL's al hebt gedeblokkeerd.

Azure Government cloud vereist

Voordat u pass-through-verificatie via Azure AD Verbinding maken met stap 2, downloadt u de nieuwste versie van de PTA-agent van de Azure Portal. U moet ervoor zorgen dat uw agent versie 1.5.1742.0 is. of hoger. Zie Verificatieagenten upgraden om uw agent te controleren

Nadat u de meest recente versie van de agent hebt gedownload, volgt u de onderstaande instructies voor het configureren Pass-Through verificatie via Azure AD-Verbinding maken.

Stap 2: de functie inschakelen

Pass-through-verificatie via Azure AD-Verbinding maken.

Belangrijk

U kunt pass-through-verificatie inschakelen op de Azure AD Verbinding maken primaire server of faseringsserver. Het wordt ten zeerste aanbevolen dat u deze inschakelen vanaf de primaire server. Als u in de toekomst een Azure AD-Verbinding maken-faseringsserver instelt, moet u pass-through-verificatie blijven kiezen als de aanmeldingsoptie; Als u een andere optie kiest, wordt pass-through-verificatie op de tenant uitgeschakeld en wordt de instelling in de primaire server overschrijven.

Als u Azure AD-Verbinding maken voor het eerst installeert, kiest u het aangepaste installatiepad. Kies op de aanmeldingspagina Gebruiker pass-through-verificatie als de aanmeldingsmethode. Als dit is voltooid, wordt er een pass-through-verificatieagent geïnstalleerd op dezelfde server als Azure AD Verbinding maken. Bovendien is de functie Pass-through-verificatie ingeschakeld in uw tenant.

Azure AD Verbinding maken: gebruikers aanmelden

Als u Azure AD Verbinding maken al hebt geïnstalleerd met behulp van de express-installatie of het aangepaste installatiepad, selecteert u de taak Gebruikers aanmelden wijzigen in Azure AD Verbinding maken en selecteert u volgende. Selecteer vervolgens Pass-through-verificatie als aanmeldingsmethode. Als dit is voltooid, wordt er een pass-through-verificatieagent geïnstalleerd op dezelfde server als Azure AD Verbinding maken en wordt de functie ingeschakeld in uw tenant.

Azure AD Verbinding maken: aanmelding van gebruikers wijzigen

Belangrijk

Pass-through-verificatie is een functie op tenantniveau. Het in-/uitschakelen is van invloed op de aanmelding voor gebruikers in alle beheerde domeinen in uw tenant. Als u overschakelt van Active Directory Federation Services (AD FS) naar pass-through-verificatie, moet u ten minste 12 uur wachten voordat u uw AD FS afsluiten. Deze wachttijd is om ervoor te zorgen dat gebruikers zich tijdens de overgang bij Exchange ActiveSync kunnen blijven aanmelden. Raadpleeg ons gedetailleerde implementatieplan dat hier is gepubliceerd AD FS hulp bij het migreren van AD FS naar pass-through-verificatie.

Stap 3: de functie testen

Volg deze instructies om te controleren of pass-through-verificatie juist is ingeschakeld:

  1. Meld u aan bij Azure Active Directory beheercentrum met de referenties van de globale beheerder voor uw tenant.
  2. Selecteer Azure Active Directory in het linkerdeelvenster.
  3. Selecteer Azure AD Verbinding maken.
  4. Controleer of de functie Pass-through-verificatie wordt weergegeven als Ingeschakeld.
  5. Selecteer Pass-through-verificatie. In het deelvenster Pass-through-verificatie worden de servers vermeld waarop uw verificatieagents zijn geïnstalleerd.

Azure Active Directory-beheercentrum: Azure AD-Verbinding maken venster

Azure Active Directory-beheercentrum: deelvenster Pass-through-verificatie

In deze fase kunnen gebruikers van alle beheerde domeinen in uw tenant zich aanmelden met pass-through-verificatie. Gebruikers van federatief domeinen blijven zich echter aanmelden met behulp van AD FS of een andere federatieprovider die u eerder hebt geconfigureerd. Als u een domein converteert van federatief naar beheerd, beginnen alle gebruikers van dat domein zich automatisch aan te melden met pass-through-verificatie. De functie Pass-through-verificatie heeft geen invloed op cloudgebruikers.

Stap 4: hoge beschikbaarheid garanderen

Als u pass-through-verificatie wilt implementeren in een productieomgeving, moet u extra zelfstandige verificatieagents installeren. Installeer deze verificatieagent(s) op een of meer andere servers dan de server met Azure AD Verbinding maken. Deze installatie biedt hoge beschikbaarheid voor aanmeldingsaanvragen van gebruikers.

Belangrijk

In productieomgevingen wordt u aangeraden minimaal 3 verificatieagents op uw tenant uit te laten werken. Er is een systeemlimiet van 40 verificatieagents per tenant. En net best practice alle servers waarop verificatieagents worden uitgevoerd, behandelen als Laag 0-systemen (zie naslag).

Het installeren van meerdere pass-through-verificatieagents zorgt voor hoge beschikbaarheid, maar geen deterministische taakverdeling tussen de verificatieagents. Als u wilt bepalen hoeveel verificatieagents u nodig hebt voor uw tenant, moet u rekening houden met de piek- en gemiddelde belasting van aanmeldingsaanvragen die u verwacht te zien in uw tenant. Als benchmark kan één verificatieagent 300 tot 400 verificaties per seconde verwerken op een standaard 4-core CPU, 16 GB RAM-server.

Gebruik de volgende richtlijnen voor het inschatten van netwerkverkeer:

  • Elke aanvraag heeft een nettoladinggrootte van (0,5K + 1K * num_of_agents) bytes, dat wil zeggen, gegevens van Azure AD naar de verificatieagent. Hier geeft 'num_of_agents' het aantal verificatieagents aan dat is geregistreerd in uw tenant.
  • Elk antwoord heeft een payloadgrootte van 1.000 bytes, dat wil zeggen, gegevens van de verificatieagent naar Azure AD.

Voor de meeste klanten zijn drie verificatieagents in totaal voldoende voor hoge beschikbaarheid en capaciteit. U moet verificatieagents dicht bij uw domeincontrollers installeren om de latentie bij het aanmelden te verbeteren.

Volg om te beginnen deze instructies om de verificatieagentsoftware te downloaden:

  1. Als u de nieuwste versie van de verificatieagent (versie 1.5.193.0 of hoger) wilt downloaden, meldt u zich aan bij het Azure Active Directory-beheercentrum met de referenties van de globale beheerder van uw tenant.
  2. Selecteer Azure Active Directory in het linkerdeelvenster.
  3. Selecteer Azure AD Verbinding maken, selecteer Pass-through-verificatie en selecteer vervolgens Agent downloaden.
  4. Selecteer de knop Voorwaarden & downloaden.

Azure Active Directory-beheercentrum: knop Verificatieagent downloaden

Azure Active Directory-beheercentrum: deelvenster Agent downloaden

Notitie

U kunt ook de verificatieagentsoftware rechtstreeks downloaden. Controleer en accepteer de servicevoorwaarden van de verificatieagent voordat u deze installeert.

Er zijn twee manieren om een zelfstandige verificatieagent te implementeren:

U kunt dit eerst interactief doen door het gedownloade uitvoerbare bestand verificatieagent uit te voeren en de globale beheerdersreferenties van uw tenant op te geven wanneer u daarom wordt gevraagd.

Ten tweede kunt u een implementatiescript zonder toezicht maken en uitvoeren. Dit is handig als u meerdere verificatieagenten tegelijk wilt implementeren of verificatieagents wilt installeren op Windows-servers waarop de gebruikersinterface niet is ingeschakeld of wanneer u geen toegang hebt met Extern bureaublad. Hier volgen de instructies voor het gebruik van deze methode:

  1. Voer de volgende opdracht uit om een verificatieagent te installeren: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q .
  2. U kunt de verificatieagent registreren bij onze service met behulp van Windows PowerShell. Maak een PowerShell Credentials-object met de gebruikersnaam en het wachtwoord van een globale $cred beheerder voor uw tenant. Voer de volgende opdracht uit, vervang <username> en <password> :
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Ga naar C:\Program Files\Microsoft Azure AD Verbinding maken Authentication Agent en voer het volgende script uit met behulp van het $cred object dat u hebt gemaakt:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Belangrijk

Als er een verificatieagent is geïnstalleerd op een virtuele machine, kunt u de virtuele machine niet klonen om een andere verificatieagent in te stellen. Deze methode wordt niet ondersteund.

Stap 5: Slimme vergrendelingsmogelijkheden configureren

Slimme vergrendeling helpt bij het vergrendelen van slechte actoren die proberen de wachtwoorden van uw gebruikers te raden of door brute-force-methoden te gebruiken om binnen te komen. Door smart lockout-instellingen te configureren in Azure AD en/of de juiste vergrendelingsinstellingen in on-premises Active Directory, kunnen aanvallen worden gefilterd voordat ze Active Directory bereiken. Lees dit artikel voor meer informatie over het configureren van Smart Lockout-instellingen in uw tenant om uw gebruikersaccounts te beveiligen.

Volgende stappen

  • Migreren van AD FS naar pass-through-verificatie: een gedetailleerde handleiding voor het migreren van AD FS (of andere federatietechnologieën) naar pass-through-verificatie.
  • Slimme vergrendeling:meer informatie over het configureren van de Smart Lockout-mogelijkheid voor uw tenant om gebruikersaccounts te beveiligen.
  • Huidige beperkingen:informatie over welke scenario's worden ondersteund met pass-through-verificatie en welke niet.
  • Technische details:inzicht in de manier waarop de functie Pass-through-verificatie werkt.
  • Veelgestelde vragen:vind antwoorden op veelgestelde vragen.
  • Problemenoplossen: meer informatie over het oplossen van veelvoorkomende problemen met de functie Pass-through-verificatie.
  • Diepgaande beveiliging:haal technische informatie op over de functie Pass-through-verificatie.
  • Naadloze eenmalige aanmelding van Azure AD:meer informatie over deze aanvullende functie.
  • UserVoice:gebruik het Azure Active Directory Forum om nieuwe functieaanvragen in te stellen.