Uwierzytelnianie przekazywane przez Microsoft Entra: Szybki start

  • Artykuł

Wdrażanie uwierzytelniania przekazywanego firmy Microsoft

Uwierzytelnianie przekazywane firmy Microsoft umożliwia użytkownikom logowanie się zarówno do aplikacji lokalnych, jak i w chmurze przy użyciu tych samych haseł. Uwierzytelnianie przekazywane loguje użytkowników, sprawdzając swoje hasła bezpośrednio względem lokalna usługa Active Directory.

Ważne

Jeśli przeprowadzasz migrację z usług AD FS (lub innych technologii federacyjnych) do uwierzytelniania przekazywanego, wyświetl zasoby migracji aplikacji do identyfikatora Entra firmy Microsoft.

Uwaga

Jeśli wdrażasz uwierzytelnianie przekazywane za pomocą chmury Azure Government, zobacz Zagadnienia dotyczące tożsamości hybrydowej dla platformy Azure Government.

Postępuj zgodnie z tymi instrukcjami, aby wdrożyć uwierzytelnianie przekazywane w dzierżawie:

Krok 1. Sprawdzanie wymagań wstępnych

Upewnij się, że obowiązują następujące wymagania wstępne.

Ważne

Z punktu widzenia zabezpieczeń administratorzy powinni traktować serwer z uruchomionym agentem PTA tak, jakby był kontrolerem domeny. Serwery agenta PTA powinny być wzmacniane w tych samych wierszach, co opisano w temacie Zabezpieczanie kontrolerów domeny przed atakiem

W centrum administracyjnym firmy Microsoft Entra

  1. Utwórz konto tożsamości hybrydowej tylko w chmurze Administracja istrator lub konto administratora tożsamości hybrydowej w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się więcej o dodawaniu konta Administracja istratora tożsamości hybrydowej tylko w chmurze. Wykonanie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
  2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W środowisku lokalnym

  1. Zidentyfikuj serwer z systemem Windows Server 2016 lub nowszym, aby uruchomić program Microsoft Entra Połączenie. Jeśli jeszcze nie włączono, włącz protokół TLS 1.2 na serwerze. Dodaj serwer do tego samego lasu usługi Active Directory co użytkownicy, których hasła należy zweryfikować. Należy zauważyć, że instalacja agenta uwierzytelniania przekazywanego w wersjach Windows Server Core nie jest obsługiwana.

  2. Zainstaluj najnowszą wersję programu Microsoft Entra Połączenie na serwerze zidentyfikowanym w poprzednim kroku. Jeśli masz już uruchomioną aplikację Microsoft Entra Połączenie, upewnij się, że wersja jest obsługiwana.

    Uwaga

    Firma Microsoft Entra Połączenie w wersji 1.1.557.0, 1.1.558.0, 1.1.561.0 i 1.1.614.0 ma problem z synchronizacją skrótów haseł. Jeśli nie zamierzasz używać synchronizacji skrótów haseł w połączeniu z uwierzytelnianiem z przekazywaniem, przeczytaj informacje o wersji microsoft Entra Połączenie.

  3. Zidentyfikuj co najmniej jeden dodatkowy serwer (z systemem Windows Server 2016 lub nowszym z włączonym protokołem TLS 1.2), na którym można uruchamiać autonomicznych agentów uwierzytelniania. Te dodatkowe serwery są potrzebne, aby zapewnić wysoką dostępność żądań logowania. Dodaj serwery do tego samego lasu usługi Active Directory co użytkownicy, których hasła należy zweryfikować.

    Ważne

    W środowiskach produkcyjnych zalecamy uruchomienie co najmniej 3 agentów uwierzytelniania w dzierżawie. Istnieje limit systemu 40 agentów uwierzytelniania na dzierżawę. Najlepszym rozwiązaniem jest traktowanie wszystkich serwerów z uruchomionymi agentami uwierzytelniania jako systemów warstwy 0 (zobacz dokumentację).

  4. Jeśli między serwerami a identyfikatorem Firmy Microsoft istnieje zapora, skonfiguruj następujące elementy:

    • Upewnij się, że agenci uwierzytelniania mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

      Numer portu Zastosowanie
      80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL
      443 Obsługa komunikacji wychodzącej do usługi
      8080 (opcjonalnie) Agenci uwierzytelniania zgłaszają stan co dziesięć minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w centrum administracyjnym firmy Microsoft Entra. Port 8080 nie jest używany do logowania użytkowników.

      Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

    • Jeśli zapora lub serwer proxy umożliwia dodawanie wpisów DNS do listy dozwolonych, dodaj połączenia do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

    • Unikaj wszystkich form wbudowanej inspekcji i kończenia komunikacji wychodzącej protokołu TLS między agentem przekazywania platformy Azure i punktem końcowym platformy Azure.

    • Jeśli masz wychodzący serwer proxy HTTP, upewnij się, że ten adres URL, autologon.microsoftazuread-sso.com, znajduje się na liście dozwolonych. Należy jawnie określić ten adres URL, ponieważ symbol wieloznaczny może nie zostać zaakceptowany.

    • Agenci uwierzytelniania muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.

    • W celu weryfikacji certyfikatu odblokuj następujące adresy URL: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 i ocsp.msocsp.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.

Wymagania wstępne dotyczące chmury platformy Azure Government

Przed włączeniem uwierzytelniania przekazywanego za pośrednictwem usługi Microsoft Entra Połączenie z krok 2 pobierz najnowszą wersję agenta PTA z centrum administracyjnego firmy Microsoft Entra. Upewnij się, że agent jest w wersji 1.5.1742.0 lub nowszej . Aby zweryfikować agenta, zobacz Uaktualnianie agentów uwierzytelniania

Po pobraniu najnowszej wersji agenta postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować uwierzytelnianie przekazywane za pośrednictwem usługi Microsoft Entra Połączenie.

Krok 2. Włączanie funkcji

Włącz uwierzytelnianie przekazywane za pośrednictwem Połączenie firmy Microsoft.

Ważne

Uwierzytelnianie przekazywane można włączyć na serwerze podstawowym lub przejściowym firmy Microsoft Połączenie. Zdecydowanie zaleca się włączenie go z serwera podstawowego. Jeśli konfigurujesz serwer microsoft Entra Połączenie przejściowym w przyszłości, musisz nadal wybrać opcję Uwierzytelnianie przekazywane jako opcję logowania. Wybranie innej opcji spowoduje wyłączenie uwierzytelniania przekazywanego w dzierżawie i zastąpienie ustawienia na serwerze podstawowym.

Jeśli instalujesz aplikację Microsoft Entra Połączenie po raz pierwszy, wybierz niestandardową ścieżkę instalacji. Na stronie Logowanie użytkownika wybierz pozycję Uwierzytelnianie przekazywane jako metodę Logowania. Po pomyślnym zakończeniu agent uwierzytelniania z przekazywaniem jest instalowany na tym samym serwerze co microsoft Entra Połączenie. Ponadto funkcja uwierzytelniania przekazywanego jest włączona w dzierżawie.

Microsoft Entra Connect: User sign-in

Jeśli masz już zainstalowaną aplikację Microsoft Entra Połączenie przy użyciu instalacji ekspresowej lub niestandardowej ścieżki instalacji, wybierz zadanie Zmień logowanie użytkownika w witrynie Microsoft Entra Połączenie, a następnie wybierz przycisk Dalej. Następnie wybierz pozycję Uwierzytelnianie przekazywane jako metodę logowania. Po pomyślnym zakończeniu agent uwierzytelniania z przekazywaniem jest instalowany na tym samym serwerze co microsoft Entra Połączenie, a funkcja jest włączona w dzierżawie.

Microsoft Entra Connect: Change user sign-in

Ważne

Uwierzytelnianie przekazywane to funkcja na poziomie dzierżawy. Włączenie tej opcji wpływa na logowanie użytkowników we wszystkich domenach zarządzanych w dzierżawie. Jeśli przełączasz się z usług Active Directory Federation Services (AD FS) na uwierzytelnianie przekazywane, przed zamknięciem infrastruktury usług AD FS należy poczekać co najmniej 12 godzin. Ten czas oczekiwania polega na upewnieniu się, że użytkownicy mogą nadal logować się do programu Exchange ActiveSync podczas przejścia. Aby uzyskać więcej informacji na temat migracji z usług AD FS do uwierzytelniania przekazywanego, zapoznaj się z naszymi planami wdrażania opublikowanymi tutaj.

Krok 3. Testowanie funkcji

Postępuj zgodnie z tymi instrukcjami, aby sprawdzić, czy prawidłowo włączono uwierzytelnianie z przekazywaniem:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu poświadczeń Administracja istratora tożsamości hybrydowej dla dzierżawy.

  2. Wybierz Microsoft Entra ID.

  3. Wybierz pozycję Microsoft Entra Połączenie.

  4. Sprawdź, czy funkcja uwierzytelniania przekazywanego jest wyświetlana jako Włączona.

  5. Wybierz pozycję Uwierzytelnianie przekazywane. Okienko uwierzytelniania przekazywanego zawiera listę serwerów, na których są instalowani agenci uwierzytelniania.

    Screenhot shows Microsoft Entra admin center: Microsoft Entra Connect pane.

    Screenshot shows Microsoft Entra admin center: Pass-through Authentication pane.

Na tym etapie użytkownicy ze wszystkich domen zarządzanych w dzierżawie mogą się logować przy użyciu uwierzytelniania przekazywanego. Jednak użytkownicy z domen federacyjnych nadal logują się przy użyciu usług AD FS lub innego skonfigurowanego wcześniej dostawcy federacyjnego. W przypadku konwersji domeny z federacyjnej na zarządzaną wszyscy użytkownicy z tej domeny automatycznie rozpoczynają logowanie przy użyciu uwierzytelniania przekazywanego. Funkcja uwierzytelniania przekazywanego nie ma wpływu na użytkowników korzystających tylko z chmury.

Krok 4. Zapewnienie wysokiej dostępności

Jeśli planujesz wdrożyć uwierzytelnianie przekazywane w środowisku produkcyjnym, należy zainstalować dodatkowych autonomicznych agentów uwierzytelniania. Zainstaluj tych agentów uwierzytelniania na serwerach innych niż na serwerze z systemem Microsoft Entra Połączenie. Ta konfiguracja zapewnia wysoką dostępność żądań logowania użytkowników.

Ważne

W środowiskach produkcyjnych zalecamy uruchomienie co najmniej 3 agentów uwierzytelniania w dzierżawie. Istnieje limit systemu 40 agentów uwierzytelniania na dzierżawę. Najlepszym rozwiązaniem jest traktowanie wszystkich serwerów z uruchomionymi agentami uwierzytelniania jako systemów warstwy 0 (zobacz dokumentację).

Zainstalowanie wielu agentów uwierzytelniania z przekazywaniem zapewnia wysoką dostępność, ale nie deterministyczne równoważenie obciążenia między agentami uwierzytelniania. Aby określić liczbę agentów uwierzytelniania potrzebnych dla dzierżawy, rozważ szczytowe i średnie obciążenie żądań logowania, które powinny być widoczne w dzierżawie. W ramach testu porównawczego jeden agent uwierzytelniania może obsługiwać 300–400 uwierzytelnień na sekundę na standardowym 4-rdzeniowym procesorze, 16 GB pamięci RAM.

Aby oszacować ruch sieciowy, skorzystaj z następujących wskazówek dotyczących ustalania rozmiaru:

  • Każde żądanie ma rozmiar ładunku (0,5K + 1K * num_of_agents) bajtów, czyli dane z identyfikatora Entra firmy Microsoft do agenta uwierzytelniania. W tym miejscu "num_of_agents" wskazuje liczbę agentów uwierzytelniania zarejestrowanych w dzierżawie.
  • Każda odpowiedź ma rozmiar ładunku 1K bajtów, czyli dane z agenta uwierzytelniania do identyfikatora Entra firmy Microsoft.

W przypadku większości klientów trzy agenty uwierzytelniania w sumie są wystarczające dla wysokiej dostępności i pojemności. Należy zainstalować agentów uwierzytelniania w pobliżu kontrolerów domeny, aby zwiększyć opóźnienie logowania.

Aby rozpocząć, wykonaj następujące instrukcje, aby pobrać oprogramowanie agenta uwierzytelniania:

  1. Aby pobrać najnowszą wersję agenta uwierzytelniania (wersja 1.5.193.0 lub nowsza), zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu poświadczeń tożsamości hybrydowej dzierżawy Administracja istratora.

  2. Wybierz Microsoft Entra ID.

  3. Wybierz pozycję Microsoft Entra Połączenie, wybierz pozycję Uwierzytelnianie przekazywane, a następnie wybierz pozycję Pobierz agenta.

  4. Wybierz przycisk Akceptuj warunki i pobierz.

    Screenshot shows Microsoft Entra admin center: Download Authentication Agent button.

Uwaga

Możesz również pobrać bezpośrednio oprogramowanie agenta uwierzytelniania. Przed zainstalowaniem agenta uwierzytelniania przejrzyj i zaakceptuj warunki użytkowania usługiagenta uwierzytelniania.

Istnieją dwa sposoby wdrażania autonomicznego agenta uwierzytelniania:

Najpierw możesz to zrobić interaktywnie, uruchamiając pobrany plik wykonywalny agenta uwierzytelniania i podając poświadczenia administratora globalnego dzierżawy po wyświetleniu monitu.

Po drugie możesz utworzyć i uruchomić nienadzorowany skrypt wdrożenia. Jest to przydatne, gdy chcesz jednocześnie wdrożyć wielu agentów uwierzytelniania lub zainstalować agentów uwierzytelniania na serwerach z systemem Windows, które nie mają włączonego interfejsu użytkownika lub że nie można uzyskać dostępu za pomocą pulpitu zdalnego. Poniżej przedstawiono instrukcje dotyczące korzystania z tego podejścia:

  1. Uruchom następujące polecenie, aby zainstalować agenta uwierzytelniania: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Agenta uwierzytelniania można zarejestrować w naszej usłudze za pomocą programu PowerShell. Utwórz obiekt $cred Poświadczenia programu PowerShell zawierający nazwę użytkownika administratora globalnego i hasło dla dzierżawy. Uruchom następujące polecenie, zastępując <username> polecenie i <password>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Przejdź do katalogu C:\Program Files\Microsoft Azure AD Połączenie Authentication Agent i uruchom następujący skrypt przy użyciu utworzonego $cred obiektu:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Ważne

Jeśli agent uwierzytelniania jest zainstalowany na maszynie wirtualnej, nie można sklonować maszyny wirtualnej, aby skonfigurować innego agenta uwierzytelniania. Ta metoda nie jest obsługiwana.

Krok 5. Konfigurowanie funkcji inteligentnej blokady

Inteligentna blokada pomaga w blokowaniu złych aktorów, którzy próbują odgadnąć hasła użytkowników lub za pomocą metod siłowych, aby się dostać. Konfigurując ustawienia inteligentnej blokady w identyfikatorze Entra firmy Microsoft i /lub odpowiednich ustawieniach blokady w lokalna usługa Active Directory, ataki można filtrować przed dotarciem do usługi Active Directory. Przeczytaj ten artykuł , aby dowiedzieć się więcej na temat konfigurowania ustawień blokady inteligentnej w dzierżawie w celu ochrony kont użytkowników.

Następne kroki