Вход пользователей с помощью сквозной проверки подлинности Azure Active Directory

Что такое сквозная проверка подлинности Azure Active Directory?

Сквозная проверка подлинности Azure Active Directory (Azure AD) позволяет пользователям входить в локальные и облачные приложения, используя те же пароли. Эта функция облегчает работу пользователей, так как им не нужно запоминать на один пароль больше, и сокращает затраты на ИТ-поддержку, так как снижается вероятность того, что пользователи забудут процедуру входа. Если пользователи выполняют вход с помощью Azure AD, эта функция проверяет пароли пользователей непосредственно в локальной службе Active Directory.

Сквозная проверка подлинности является альтернативой синхронизации хэшей паролей Azure AD, которая также обеспечивает преимущество облачной проверки подлинности в организации. Тем не менее некоторые организации, желающие применить локальные политики безопасности и политики паролей Active Directory, могут вместо этого использовать сквозную аутентификацию. В этом руководстве вы можете ознакомиться со сравнением различных методов входа Azure AD и узнать, как выбрать правильный метод входа в систему для своей организации.

Сквозная аутентификация Azure AD

Вы можете использовать сквозную проверку подлинности вместе с функцией простого единого входа. Таким образом, когда пользователи обращаются к приложениям на корпоративных компьютерах, входящих в корпоративную сеть, им не нужно вводить пароль для входа.

Основные преимущества сквозной проверки подлинности Azure AD

  • Удобство работы для пользователей
    • Пользователи применяют одни и те же пароли для входа в локальные и облачные приложения.
    • Пользователи тратят меньше времени на обращения в службу технической поддержки с целью разрешения проблем, связанных с паролями.
    • Пользователи могут выполнять задачи самостоятельного управления паролями в облаке.
  • Простота развертывания и администрирования
    • Не требуются сложные локальные развертывания или настройка сети.
    • В локальной среде необходимо установить лишь упрощенный клиент.
    • Отсутствие накладных расходов на управление. Агент автоматически получает усовершенствования и исправления ошибок.
  • Безопасность
    • Локальные пароли ни в каком виде не хранятся в облаке.
    • Защита учетных записей пользователей благодаря взаимодействию с политиками условного доступа Azure AD, включая службу Многофакторной идентификацию (MFA), а также блокированию устаревшей аутентификации и фильтрации атак методом подбора пароля.
    • Агент устанавливает только исходящие подключения из вашей сети. Таким образом, вам не нужно устанавливать агент в сети периметра.
    • Обмен данными между агентом и Azure AD защищен с помощью проверки подлинности на основе сертификата. Эти сертификаты автоматически продлеваются каждые несколько месяцев средствами Azure AD.
  • высокая доступность;
    • Дополнительные агенты можно установить на нескольких локальных серверах, чтобы достичь высокого уровня доступности запросов на вход.

Краткие сведения о возможностях

  • Поддерживает вход пользователей во все браузерные приложения и клиентские приложения Microsoft Office, которые используют современную проверку подлинности.
  • Именем пользователя для входа может быть либо локальное имя пользователя по умолчанию (userPrincipalName), либо другой атрибут, настроенный в Azure AD Connect (известный как Alternate ID).
  • Эта функция прочно связана с функциями условного доступа (такими как многофакторная проверка подлинности, MFA) для защиты пользователей.
  • Она интегрирована с самостоятельным управлением паролями на основе облака, включая обратную запись паролей в локальный каталог Active Directory и защиту пароля с помощью запрета часто используемых паролей.
  • Среды с несколькими лесами поддерживаются, если между лесами AD существуют отношения доверия и правильно настроена маршрутизация по суффиксу имени.
  • Это бесплатная функция, и для ее использования не требуются платные выпуски Azure AD.
  • Функцию можно включить с помощью Azure AD Connect.
  • Она использует упрощенный локальный агент, который прослушивает запросы на проверку пароля и отвечает на них.
  • Установка нескольких агентов обеспечивает высокий уровень доступности запросов на вход.
  • Она защищает локальные учетные записи от атак методом подбора пароля в облаке.

Дальнейшие действия