Параметры входа пользователя в Microsoft Entra Подключение
Microsoft Entra Подключение позволяет пользователям входить в облачные и локальные ресурсы с помощью одинаковых паролей. В этой статье описываются основные понятия для каждой модели удостоверений, которые помогут выбрать удостоверение, которое вы хотите использовать для входа в идентификатор Microsoft Entra.
Если вы уже знакомы с моделью удостоверений Microsoft Entra и хотите узнать больше о конкретном методе, см. соответствующую ссылку:
- Синхронизация хэша паролей с простым единым входом (SSO)
- Сквозная проверка подлинности с простым единым входом (SSO)
- Федеративный единый вход (со службами федерации Active Directory (AD FS))
- Федерация с PingFederate
Примечание.
Важно помнить, что путем настройки федерации для идентификатора Microsoft Entra необходимо установить доверие между клиентом Microsoft Entra и федеративных доменов. При использовании этого доверия федеративные пользователи домена получат доступ к облачным ресурсам Microsoft Entra в клиенте.
Выбор способа входа пользователя для организации
Первое решение о реализации Microsoft Entra Подключение — выбор метода проверки подлинности, который будет использоваться пользователями для входа. Важно выбрать правильный метод, соответствующий требованиям организации к безопасности и другим требованиям. Проверка подлинности крайне важна, так как с ее помощью будут подтверждаться права пользователей на доступ к приложениям и данным в облаке. Чтобы выбрать подходящий метод проверки подлинности, необходимо учитывать время, имеющуюся инфраструктуру, сложность и стоимость реализации решения. Эти факторы отличаются для каждой организации и могут изменяться с течением времени.
Идентификатор Microsoft Entra поддерживает следующие методы проверки подлинности:
- Облачная проверка подлинности. При выборе этого метода проверки подлинности идентификатор Microsoft Entra обрабатывает процесс проверки подлинности для входа пользователя. С помощью облачной проверки подлинности можно выбрать один из двух вариантов:
- Синхронизация хэша паролей (PHS) — синхронизация хэша паролей позволяет пользователям использовать то же имя пользователя и пароль, которые они используют локально, не развертывая дополнительную инфраструктуру помимо Microsoft Entra Подключение.
- Сквозная проверка подлинности (PTA). Этот вариант похож на синхронизацию хэша паролей, но предоставляет простое решение для проверки паролей с помощью локальных программных агентов для организаций со строгими политиками безопасности и соответствия требованиям.
- Федеративная проверка подлинности. При выборе этого метода проверки подлинности идентификатор Microsoft Entra будет передавать процесс проверки подлинности отдельной доверенной системе проверки подлинности, например AD FS или сторонней системе федерации, чтобы проверить вход пользователя.
Для большинства организаций, которые просто хотят включить вход пользователей в Microsoft 365, приложения SaaS и другие ресурсы на основе идентификаторов Майкрософт, рекомендуется использовать параметр синхронизации хэша паролей по умолчанию.
Подробные сведения о выборе метода проверки подлинности см. в разделе "Выбор правильного метода проверки подлинности" для решения гибридного удостоверения Microsoft Entra
Синхронизация хэша паролей
При синхронизации хэша паролей хэши пользователей синхронизируются с локальная служба Active Directory с идентификатором Microsoft Entra. При изменении или сбросе паролей в локальной среде новые хэши паролей синхронизируются с идентификатором Microsoft Entra, чтобы пользователи всегда могли использовать один и тот же пароль для облачных ресурсов и локальных ресурсов. Пароли никогда не отправляются в идентификатор Microsoft Entra или хранятся в идентификаторе Microsoft Entra в виде четкого текста. Синхронизацию хэша паролей можно использовать вместе с обратной записью пароля, чтобы включить самостоятельный сброс пароля в идентификаторе Microsoft Entra.
Кроме того, можно включить простой единый вход (SSO) для пользователей на компьютерах, присоединенных к домену, которые входят в корпоративную сеть. Используя единый вход, пользователи с необходимыми разрешениями могут просто ввести имя пользователя, чтобы получить защищенный доступ к ресурсам в облаке.
Дополнительные сведения см. в статье Синхронизация хэша паролей.
Сквозная проверка подлинности
При сквозной аутентификации пароль пользователя проверяется в локальном контроллере Active Directory. Пароль не должен присутствовать в идентификаторе Microsoft Entra в любой форме. Это позволяет оценивать соблюдение локальных политик (например, ограничение часов, когда возможен вход) во время аутентификации в облачных службах.
Для сквозной аутентификация используется простой агент на присоединенном к домену компьютере Windows Server 2012 R2 в локальной среде. Этот агент ожидает передачи запросов на проверку пароля. Ему не требуется открывать входящие порты для доступа из Интернета.
Кроме того, можно также включить единый вход для пользователей на компьютерах, присоединенных к домену, которые входят в корпоративную сеть. Используя единый вход, пользователи с необходимыми разрешениями могут просто ввести имя пользователя, чтобы получить защищенный доступ к ресурсам в облаке.
Дополнительные сведения см. в разделе:
Федерация, использующая новую или существующую ферму со службами AD FS в Windows Server 2012 R2
При федеративном входе пользователи могут войти в службы на основе идентификаторов Microsoft Entra с помощью локальных паролей. а в корпоративной сети — даже без необходимости повторного ввода паролей. Использование федерация AD FS позволяет развернуть новую или указать существующую ферму со службами AD FS в Windows Server 2012 R2. Если вы решили указать существующую ферму, Microsoft Entra Подключение настраивает доверие между фермой и идентификатором Microsoft Entra, чтобы пользователи могли войти в систему.
Развертывание федерации с AD FS в Windows Server 2012 R2
Для развертывания новой фермы необходимы следующие компоненты:
- сервер Windows Server 2012 R2 для сервера федерации;
- сервер Windows Server 2012 R2 для прокси веб-приложения;
- PFX-файл с одним TLS- или SSL-сертификатом для предполагаемого имени службы федерации, например fs.contoso.com.
Для развертывания новой или использования существующей фермы необходимы следующие компоненты:
- учетные данные локального администратора на серверах федерации;
- учетные данные локального администратора на всех серверах рабочей группы (не присоединенных к домену), на которых планируется развернуть роль прокси-службы веб-приложения;
- компьютер, на котором запущен мастер и который способен подключаться к другим компьютерам, на которых нужно установить AD FS или прокси-службу веб-приложения, используя службу удаленного управления Windows.
Дополнительные сведения см. в разделе Настройка федерации с AD FS.
Федерация с PingFederate
При федеративном входе пользователи могут войти в службы на основе идентификаторов Microsoft Entra с помощью локальных паролей. а в корпоративной сети — даже без необходимости повторного ввода паролей.
Дополнительные сведения о настройке PingFederate для использования с идентификатором Microsoft Entra см. в разделе интеграции PingFederate с Идентификатором Microsoft Entra и Microsoft 365.
Сведения о настройке Microsoft Entra Подключение с помощью PingFederate см. в статье Microsoft Entra Подключение настраиваемая установка
Вход с помощью более ранней версии AD FS или стороннего решения
Если вы уже настроили облачный вход с помощью более ранней версии AD FS (например, AD FS 2.0) или стороннего поставщика федерации, можно пропустить настройку входа пользователя через Microsoft Entra Подключение. Это позволит получить последнюю синхронизацию и другие возможности Microsoft Entra Подключение при использовании существующего решения для входа.
Дополнительные сведения см. в списке совместимости сторонних поставщиков федерации Microsoft Entra.
Вход пользователя и имя участника-пользователя
Основные сведения об имени участника-пользователя
В Active Directory суффиксом имени участника-пользователя (UPN) по умолчанию является DNS-имя домена, в котором создана учетная запись пользователя. В большинстве случаев это доменное имя, зарегистрированное как домен предприятия в Интернете. Тем не менее, с помощью оснастки "Active Directory — домены и доверие" можно добавить дополнительные суффиксы имени участника-пользователя.
Имя субъекта-пользователя имеет формат имя_пользователя@домен. Например, для домена Active Directory contoso.com пользователь John может иметь имя участника-пользователя john@contoso.com. Имя участника-пользователя основано на RFC 822. Несмотря на то, что имя участника-пользователя и адрес электронной почты имеют одинаковый формат, значение имени участника-пользователя может совпадать или не совпадать с адресом электронной почты пользователя.
Имя субъекта-пользователя в идентификаторе Microsoft Entra
Мастер Microsoft Entra Подключение использует атрибут userPrincipalName или позволяет указать атрибут (в пользовательской установке), который будет использоваться из локальной среды в качестве имени участника-пользователя в идентификаторе Microsoft Entra. Это значение, используемое для входа в идентификатор Microsoft Entra. Если значение атрибута userPrincipalName не соответствует проверенному домену в идентификаторе Microsoft Entra ID, то идентификатор Microsoft Entra заменяет его значением по умолчанию .onmicrosoft.com.
Каждый каталог в идентификаторе Microsoft Entra поставляется со встроенным доменным именем с форматом contoso.onmicrosoft.com, который позволяет приступить к работе с Azure или другими службы Майкрософт. Можно улучшить и упростить процесс входа в систему с помощью личных доменов. Сведения о имени личного домена в идентификаторе Microsoft Entra и о том, как проверить домен, см. в разделе "Добавление имени личного домена в идентификатор Microsoft Entra".
Конфигурация входа в Microsoft Entra
Настройка входа Microsoft Entra с помощью Microsoft Entra Подключение
Интерфейс входа в Microsoft Entra зависит от того, может ли идентификатор Microsoft Entra соответствовать суффиксу имени участника-пользователя, который синхронизируется с одним из настраиваемых доменов, проверенных в каталоге Microsoft Entra. Microsoft Entra Подключение предоставляет справку при настройке параметров входа в Microsoft Entra, чтобы взаимодействие с пользователем в облаке было аналогично локальному интерфейсу.
Microsoft Entra Подключение перечисляет суффиксы имени участника-пользователя, определенные для доменов, и пытается сопоставить их с личным доменом в идентификаторе Microsoft Entra ID. Затем она помогает выполнить следующее соответствующее действие. На странице входа Microsoft Entra перечислены суффиксы имени участника-участника, определенные для локальная служба Active Directory, и отображаются соответствующие состояния для каждого суффикса. Состояние может иметь следующие значения:
| State | Description | Требуется действие |
|---|---|---|
| Проверено | Microsoft Entra Подключение нашел соответствующий проверенный домен в идентификаторе Microsoft Entra. Все пользователи этого домена могут входить с помощью локальных учетных данных. | Никаких действий не требуется. |
| Не проверено | Microsoft Entra Подключение нашел соответствующий личный домен в идентификаторе Microsoft Entra, но он не проверен. Если домен не проверен, то после синхронизации суффикс имени участника-пользователя этого домена будет заменен на суффикс по умолчанию (.onmicrosoft.com). | Проверьте личный домен в идентификаторе Microsoft Entra. |
| Не добавлено | Microsoft Entra Подключение не нашли личный домен, соответствующий суффиксу имени участника-участника-участника. Если домен не добавлен и не проверен в Azure, то суффикс имени участника-пользователя этого домена будет заменен на суффикс по умолчанию (.onmicrosoft.com). | Добавьте и проверьте личный домен, соответствующий суффиксу имени участника-пользователя. |
На странице входа Microsoft Entra перечислены суффиксы имени участника-пользователя, определенные для локальная служба Active Directory, и соответствующий личный домен в идентификаторе Microsoft Entra с текущим состоянием проверки. В пользовательской установке теперь можно выбрать атрибут для имени участника-пользователя на странице входа в Microsoft Entra.
Нажмите кнопку обновления, чтобы повторно получить последнее состояние пользовательских доменов из идентификатора Microsoft Entra.
Выбор атрибута для имени субъекта-пользователя в идентификаторе Microsoft Entra
Атрибут userPrincipalName — это атрибут, используемый пользователями при входе в идентификатор Microsoft Entra и Microsoft 365. Перед синхронизацией пользователей следует проверить домены (также известные как суффиксы имени участника-пользователя), используемые в идентификаторе Microsoft Entra.
Мы настоятельно рекомендуем сохранить userPrincipalName как атрибут по умолчанию. Если этот атрибут нельзя маршрутизировать и проверить, то в качестве атрибута, который содержит идентификатор пользователя для входа, можно выбрать другой атрибут (например адрес электронной почты). Он называется альтернативным идентификатором. Значение альтернативного идентификатора должно соответствовать стандарту RFC 822. Альтернативный идентификатор может использоваться совместно с паролем единого входа или федеративным единым входом, образуя единое решение для входа.
Примечание.
Использование альтернативного идентификатора поддерживается не для всех рабочих нагрузок Microsoft 365. Дополнительные сведения см. в статье Configuring Alternate Login ID (Настройка альтернативного идентификатора входа).
Другие состояния личного домена и их влияние на процесс входа в Azure
Очень важно понимать связь между состояниями личного домена в каталоге Microsoft Entra и суффиксами имени участника-пользователя, определенными локально. Давайте рассмотрим различные возможности входа в Azure при настройке синхронизации с помощью Microsoft Entra Подключение.
Предположим, что нас интересует суффикс имени участника-пользователя contoso.com, который используется в локальном каталоге как часть имени участника-пользователя, например user@contoso.com.
Стандартные параметры/синхронизация хэша паролей
| State | Влияние на процесс входа пользователей в Azure |
|---|---|
| Не добавлено | В этом случае в каталог Microsoft Entra не добавлен пользовательский домен для contoso.com. Пользователи, имеющие локальное имя участника-пользователя с суффиксом @contoso.com, не смогут использовать его для входа в Azure. Вместо этого им придется использовать новое имя участника-пользователя, предоставленное им идентификатором Microsoft Entra, добавив суффикс для каталога Microsoft Entra по умолчанию. Например, если вы синхронизируете пользователей с каталогом Microsoft Entra azurecontoso.onmicrosoft.com, локальный пользователь получит имя user@azurecontoso.onmicrosoft.comучастника-пользователяuser@contoso.com. |
| Не проверено | В этом случае у нас есть личный домен, contoso.com который добавлен в каталог Microsoft Entra. Однако он еще не проверен. Если вы выполняете синхронизацию пользователей, не проверяя домен, пользователи будут назначены новым идентификатором участника-пользователя Microsoft Entra ID, как и в сценарии "Не добавлено". |
| Проверено | В этом случае у нас есть личный домен contoso.com, который уже добавлен и проверен в идентификаторе Microsoft Entra для суффикса имени участника-пользователя. Пользователи смогут использовать имя локального участника-пользователя, например user@contoso.com, для входа в Azure после синхронизации с идентификатором Microsoft Entra. |
Федерация AD FS
Не удается создать федерацию с доменом .onmicrosoft.com по умолчанию в идентификаторе Microsoft Entra id или неверифицированном пользовательском домене в идентификаторе Microsoft Entra ID. Если вы запускаете мастер microsoft Entra Подключение, если вы выберете непроверенный домен для создания федерации, microsoft Entra Подключение предложит вам создать необходимые записи, в которых размещен DNS для домена. Дополнительные сведения см. в разделе "Проверка домена Microsoft Entra", выбранного для федерации.
Если выбран параметр федерации входа пользователя с AD FS, необходимо иметь личный домен для продолжения создания федерации в идентификаторе Microsoft Entra ID. Для нашего обсуждения это означает, что у нас должен быть личный домен, contoso.com добавлен в каталог Microsoft Entra.
| State | Влияние на процесс входа пользователей в Azure |
|---|---|
| Не добавлено | В этом случае Microsoft Entra Подключение не нашли соответствующий личный домен для contoso.com имени участника-пользователя в каталоге Microsoft Entra. Необходимо добавить личный домен contoso.com, если вы хотите, чтобы пользователи входили в систему, используя AD FS с локальным именем участника-пользователя (например user@contoso.com). |
| Не проверено | В этом случае Microsoft Entra Подключение запрашивает соответствующие сведения о том, как проверить домен на более позднем этапе. |
| Проверено | В этом случае можно продолжить выполнение настроек без каких-либо дополнительных действий. |
Изменение метода входа пользователя
Вы можете изменить метод входа пользователя из федерации, синхронизации хэша паролей или сквозной проверки подлинности с помощью задач, доступных в Microsoft Entra Подключение после начальной настройки Microsoft Entra Подключение с помощью мастера. Снова запустите мастер microsoft Entra Подключение, и вы увидите список задач, которые можно выполнить. Из списка задач выберите Смена имени пользователя для входа.
На следующей странице вам будет предложено указать учетные данные для идентификатора Microsoft Entra.
На странице Вход пользователя выберите нужный вариант входа в систему.
Примечание.
При временном переключении на синхронизацию хэша паролей установите флажок Не преобразовывать учетные записи пользователей. Если не установить этот флажок, то все пользователи будут преобразовываться в федеративные, а это может занять несколько часов.
Следующие шаги
- Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.
- Дополнительные сведения о концепциях проектирования Microsoft Entra Подключение.