Сквозная проверка подлинности Azure Active Directory Часто задаваемые вопросыAzure Active Directory Pass-through Authentication: Frequently asked questions

В этой статье приводятся ответы на часто задаваемые вопросы о сквозной аутентификации Azure Active Directory (Azure AD).This article addresses frequently asked questions about Azure Active Directory (Azure AD) Pass-through Authentication. Следите за обновлениями содержимого.Keep checking back for updated content.

Какой из методов входа в Azure AD следует выбрать: сквозную аутентификацию, синхронизацию хэша паролей или службы федерации Active Directory (AD FS)?Which of the methods to sign in to Azure AD, Pass-through Authentication, password hash synchronization, and Active Directory Federation Services (AD FS), should I choose?

В этом руководстве вы можете ознакомиться со сравнением различных методов входа Azure AD и узнать, как выбрать правильный метод входа в систему для своей организации.Review this guide for a comparison of the various Azure AD sign-in methods and how to choose the right sign-in method for your organization.

Функция сквозной проверки подлинности является бесплатной?Is Pass-through Authentication a free feature?

Функция сквозной аутентификации предоставляется бесплатно.Pass-through Authentication is a free feature. Для ее использования не требуются платные выпуски Azure AD.You don't need any paid editions of Azure AD to use it.

Доступна ли сквозная аутентификация в Microsoft Azure — Германия и Azure для государственных организаций?Is Pass-through Authentication available in the Microsoft Azure Germany cloud and the Microsoft Azure Government cloud?

Нет.No. Сквозная аутентификация доступна только в доступном по всему миру экземпляре Azure AD.Pass-through Authentication is only available in the worldwide instance of Azure AD.

Работает ли условный доступ со сквозной проверкой подлинности?Does Conditional Access work with Pass-through Authentication?

Да.Yes. Все возможности условного доступа, включая многофакторную идентификацию Azure, работают с сквозной проверкой подлинности.All Conditional Access capabilities, including Azure Multi-Factor Authentication, work with Pass-through Authentication.

Поддерживает ли сквозная проверка подлинности в качестве имени пользователя "Alternate ID", а не "userPrincipalName"?Does Pass-through Authentication support "Alternate ID" as the username, instead of "userPrincipalName"?

Да, сквозная проверка подлинности поддерживает Alternate ID в качестве имени пользователя, если это настроено в Azure AD Connect.Yes, Pass-through Authentication supports Alternate ID as the username when configured in Azure AD Connect. В качестве предварительного требования Azure AD Connect требуется синхронизировать локальный атрибут UserPrincipalName Active Directory с Azure AD.As a pre-requisite, Azure AD Connect needs to synchronize the on-premises Active Directory UserPrincipalName attribute to Azure AD. Дополнительные сведения см. в статье Выборочная установка Azure AD Connect.For more information, see Custom installation of Azure AD Connect. Не все приложения Office 365 поддерживают Alternate ID.Not all Office 365 applications support Alternate ID. Ознакомьтесь с заявлением о поддержке в документации по конкретным приложениям.Refer to the specific application's documentation support statement.

Действует ли синхронизация хэша паролей как переход на резервный ресурс при сквозной аутентификации?Does password hash synchronization act as a fallback to Pass-through Authentication?

Нет.No. Нет, сквозная аутентификация не выполняет автоматический переход на синхронизацию хэшей паролей.Pass-through Authentication does not automatically failover to password hash synchronization. Чтобы избежать ошибок входа пользователей, следует настроить высокий уровень доступности сквозной проверки подлинности.To avoid user sign-in failures, you should configure Pass-through Authentication for high availability.

Что происходит при переключении с синхронизации хэша паролей на сквозную проверку подлинности?What happens when I switch from password hash synchronization to Pass-through Authentication?

При использовании Azure AD Connect для переключения метода входа с синхронизации хэша паролей на сквозную аутентификацию сквозная проверка подлинности станет основным методом входа для пользователей в управляемых доменах.When you use Azure AD Connect to switch the sign-in method from password hash synchronization to Pass-through Authentication, Pass-through Authentication becomes the primary sign-in method for your users in managed domains. Обратите внимание, что для всех хэшей паролей пользователей, которые ранее были синхронизированы при синхронизации хэша паролей, сохраняются в Azure AD.Please note that all users' password hashes which were previously synchronized by password hash synchronization remain stored on Azure AD.

Можно ли установить соединитель прокси приложения Azure AD на одном сервере с агентом сквозной проверки подлинности?Can I install an Azure AD Application Proxy connector on the same server as a Pass-through Authentication Agent?

Да.Yes. Эта конфигурация поддерживается в переработанной версии агента сквозной аутентификации (версия 1.5.193.0 или более поздняя).The rebranded versions of the Pass-through Authentication Agent, version 1.5.193.0 or later, support this configuration.

Какие версии Azure AD Connect и агента сквозной проверки подлинности необходимы?What versions of Azure AD Connect and Pass-through Authentication Agent do you need?

Для работы этой функции требуется Azure AD Connect 1.1.750.0 или более поздней версии и агент сквозной аутентификации версии 1.5.193.0 или более поздней версии.For this feature to work, you need version 1.1.750.0 or later for Azure AD Connect and 1.5.193.0 or later for the Pass-through Authentication Agent. Все программное обеспечение следует устанавливать на серверы Windows Server 2012 R2 или более поздней версии.Install all the software on servers with Windows Server 2012 R2 or later.

Что произойдет, если срок действия паролей истек и пользователи пытаются выполнить вход с использованием сквозной аутентификации?What happens if my user's password has expired and they try to sign in by using Pass-through Authentication?

Если вы настроили обратную запись паролей для конкретного пользователя, то когда пользователь будет выполнять вход с использованием сквозной аутентификации, он сможет изменить или сбросить пароль.If you have configured password writeback for a specific user, and if the user signs in by using Pass-through Authentication, they can change or reset their passwords. Пароли будут записаны обратно в локальный каталог Active Directory, как ожидается.The passwords are written back to on-premises Active Directory as expected.

Если обратная запись паролей не настроена для определенного пользователя или ему не назначена действительная лицензия Azure AD, то он не сможет обновить свой пароль в облаке.If you have not configured password writeback for a specific user or if the user doesn't have a valid Azure AD license assigned, the user can't update their password in the cloud. Он не сможет обносить свой пароль, даже если истек срок его действия.They can't update their password, even if their password has expired. Вместо этого пользователь увидит следующее сообщение: "Ваша организация запрещает обновлять пароль на этом сайте.The user instead sees this message: "Your organization doesn't allow you to update your password on this site. Обновите пароль рекомендованным организацией способом или обратитесь за помощью к администратору".Update it according to the method recommended by your organization, or ask your admin if you need help." Пользователь или администратор должен сбросить свой пароль в локальной службе Active Directory.The user or the administrator must reset their password in on-premises Active Directory.

Каким образом сквозная аутентификация обеспечивает защиту от атак методом подбора пароля?How does Pass-through Authentication protect you against brute-force password attacks?

Прочитайте сведения о смарт-блокировке.Read information about Smart Lockout.

Какие данные передают агенты сквозной проверки подлинности через порты 80 и 443?What do Pass-through Authentication Agents communicate over ports 80 and 443?

  • Агенты аутентификации выполняют HTTPS-запросы через порт 443 для всех операций этой функции.The Authentication Agents make HTTPS requests over port 443 for all feature operations.

  • Агенты аутентификации выполняют HTTP-запросы через порт 80 для скачивания списков отзыва SSL-сертификатов (CLR).The Authentication Agents make HTTP requests over port 80 to download the SSL certificate revocation lists (CRLs).

    Примечание

    В последних обновлениях было сокращено количество портов, необходимых для работы этой функции.Recent updates reduced the number of ports that the feature requires. Если вы используете предыдущие версии Azure AD Connect или агента аутентификации, также не закрывайте следующие порты: 5671, 8080, 9090, 9091, 9350, 9352 и 10100-10120.If you have older versions of Azure AD Connect or the Authentication Agent, keep these ports open as well: 5671, 8080, 9090, 9091, 9350, 9352, and 10100-10120.

Могут ли агенты сквозной проверки подлинности взаимодействовать через сервер веб-прокси для исходящего трафика?Can the Pass-through Authentication Agents communicate over an outbound web proxy server?

Да.Yes. Если в локальной среде включена служба WPAD (автоматическое обнаружение веб-прокси), агенты аутентификации автоматически пытаются обнаружить и использовать сервер веб-прокси в сети.If Web Proxy Auto-Discovery (WPAD) is enabled in your on-premises environment, Authentication Agents automatically attempt to locate and use a web proxy server on the network.

Если в вашей среде нет WPAD, можно добавить данные прокси-сервера (как показано ниже), чтобы разрешить агенту сквозной проверки подлинности взаимодействовать с Azure AD.If you don't have WPAD in your environment, you can add proxy information (as shown below) to allow a Pass-through Authentication Agent to communicate with Azure AD:

  • Укажите сведения о прокси-сервере в Internet Explorer, прежде чем устанавливать агент сквозной проверки подлинности на сервере.Configure proxy information in Internet Explorer before you install the Pass-through Authentication Agent on the server. Это позволит завершить установку агента проверки подлинности, но его состояние по-прежнему будет отображатся как Неактивно на портале администрирования.This will allow you to complete the installation of the Authentication Agent, but it will still show up as Inactive on the Admin portal.
  • На сервере перейдите в каталог "C:\Program Files\Агент проверки подлинности Microsoft Azure AD Connect".On the server, navigate to "C:\Program Files\Microsoft Azure AD Connect Authentication Agent".
  • Измените файл конфигурации "AzureADConnectAuthenticationAgentService" и добавьте такие строки (замените "http://contosoproxy.com:8080" фактическим адресом своего прокси-сервера).Edit the "AzureADConnectAuthenticationAgentService" configuration file and add the following lines (replace "http://contosoproxy.com:8080" with your actual proxy address):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Можно ли установить два или более агентов сквозной проверки подлинности на одном сервере?Can I install two or more Pass-through Authentication Agents on the same server?

Нет, на одном сервере можно установить только один агент сквозной проверки подлинности.No, you can only install one Pass-through Authentication Agent on a single server. Если вы хотите настроить сквозную аутентификацию для обеспечения высокой доступности, следуйте этим инструкциям.If you want to configure Pass-through Authentication for high availability, follow the instructions here.

Нужно ли вручную продлевать сертификаты, используемые агентами сквозной проверки подлинности?Do I have to manually renew certificates used by Pass-through Authentication Agents?

Обмен данными между каждым агентом сквозной проверки подлинности и Azure AD защищен с помощью проверки подлинности на основе сертификата.The communication between each Pass-through Authentication Agent and Azure AD is secured using certificate-based authentication. Эти [сертификаты автоматически продлеваются каждые несколько месяцев средствами Azure AD](how-to-connect-pta-security-deep-dive.md#operational-security-of -the-authentication-agents).These [certificates are automatically renewed every few months by Azure AD](how-to-connect-pta-security-deep-dive.md#operational-security-of -the-authentication-agents). Нет необходимости вручную продлевать их действие.There is no need to manually renew these certificates. Старые просроченные сертификаты при необходимости можно удалить.You can clean up older expired certificates as required.

Ка удалить агент сквозной аутентификации?How do I remove a Pass-through Authentication Agent?

Если агент сквозной аутентификации выполняется, он остается активным и постоянно обрабатывает запросы на вход пользователей.As long as a Pass-through Authentication Agent is running, it remains active and continually handles user sign-in requests. Если вы хотите удалить агент аутентификации, выберите Панель управления > Программы > Программы и компоненты и удалите программы Microsoft Azure AD Connect Authentication Agent и Microsoft Azure AD Connect Agent Updater.If you want to uninstall an Authentication Agent, go to Control Panel -> Programs -> Programs and Features and uninstall both the Microsoft Azure AD Connect Authentication Agent and the Microsoft Azure AD Connect Agent Updater programs.

Если открыть колонку "Сквозная проверка подлинности" в центре администрирования Azure Active Directory после завершения предыдущего шага, то вы увидите, что агент аутентификации неактивен.If you check the Pass-through Authentication blade on the Azure Active Directory admin center after completing the preceding step, you'll see the Authentication Agent showing as Inactive. Это ожидаемое поведение.This is expected. Агент аутентификации будет автоматически удален из списка через несколько дней.The Authentication Agent is automatically dropped from the list after a few days.

Я уже использую AD FS для входа в Azure AD.I already use AD FS to sign in to Azure AD. Как изменить этот метод на сквозную проверку подлинности?How do I switch it to Pass-through Authentication?

Если выполняется переход с AD FS (или других технологий федерации) на сквозную аутентификацию, мы настоятельно рекомендуем следовать нашему подробному руководству по развертыванию, опубликованному здесь.If you are migrating from AD FS (or other federation technologies) to Pass-through Authentication, we highly recommend that you follow our detailed deployment guide published here.

Можно ли использовать сквозную аутентификацию в среде с несколькими лесами Active Directory?Can I use Pass-through Authentication in a multi-forest Active Directory environment?

Да.Yes. Среды с несколькими лесами поддерживаются, если между лесами Active Directory существуют отношения доверия и правильно настроена маршрутизация по суффиксу имени.Multi-forest environments are supported if there are forest trusts between your Active Directory forests and if name suffix routing is correctly configured.

Обеспечивает ли сквозная проверка подлинности балансировку нагрузки в нескольких агентах проверки подлинности?Does Pass-through Authentication provide load balancing across multiple Authentication Agents?

Нет, установка нескольких агентов сквозной проверки подлинности обеспечивает высокий уровень доступности.No, installing multiple Pass-through Authentication Agents ensures only high availability. Эта установка не поддерживает детерминированную балансировку нагрузки между агентами проверки подлинности.It does not provide deterministic load balancing between the Authentication Agents. Любой агент проверки подлинности (в произвольном порядке) может обработать запрос на вход в систему от определенного пользователя.Any Authentication Agent (at random) can process a particular user sign-in request.

Сколько агентов сквозной аутентификации следует установить?How many Pass-through Authentication Agents do I need to install?

Установка нескольких агентов сквозной аутентификации обеспечивает высокий уровень доступности.Installing multiple Pass-through Authentication Agents ensures high availability. Но эта установка не поддерживает детерминированную балансировку нагрузки между агентами аутентификации.But, it does not provide deterministic load balancing between the Authentication Agents.

Рассмотрим ожидаемую пиковую и среднюю нагрузку запросов на вход для клиента.Consider the peak and average load of sign-in requests that you expect to see on your tenant. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.As a benchmark, a single Authentication Agent can handle 300 to 400 authentications per second on a standard 4-core CPU, 16-GB RAM server.

Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:To estimate network traffic, use the following sizing guidance:

  • Размер полезных данных каждого запроса составляет (0.5K + 1K * число_агентов) байт, т. е. отправляемых данных из Azure AD в агент аутентификации.Each request has a payload size of (0.5K + 1K * num_of_agents) bytes; i.e., data from Azure AD to the Authentication Agent. Здесь "число_агентов" указывает количество агентов аутентификации, зарегистрированных в клиенте.Here, "num_of_agents" indicates the number of Authentication Agents registered on your tenant.
  • Размер полезных данных каждого ответа составляет 1 КБ, т. е. отправляемых данных из агента аутентификации в Azure AD.Each response has a payload size of 1K bytes; i.e., data from the Authentication Agent to Azure AD.

Для большинства клиентов двух или трех агентов аутентификации будет достаточно, чтобы обеспечить высокий уровень доступности и емкость.For most customers, two or three Authentication Agents in total are sufficient for high availability and capacity. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.You should install Authentication Agents close to your domain controllers to improve sign-in latency.

Примечание

Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента.There is a system limit of 40 Authentication Agents per tenant.

Можно ли установить первый агент сквозной проверки подлинности на сервере, отличном от того, на котором выполняется Azure AD Connect?Can I install the first Pass-through Authentication Agent on a server other than the one that runs Azure AD Connect?

Нет, этот сценарий не поддерживается.No, this scenario is not supported.

Зачем для включения сквозной аутентификации нужна облачная учетная запись глобального администратора?Why do I need a cloud-only Global Administrator account to enable Pass-through Authentication?

Рекомендуется включать или отключать сквозную аутентификацию, используя облачную учетную запись глобального администратора.It is recommended that you enable or disable Pass-through Authentication using a cloud-only Global Administrator account. См. дополнительные сведения о добавлении облачной учетной записи глобального администратора.Learn about adding a cloud-only Global Administrator account. Выполните эти инструкции, чтобы не потерять доступ к клиенту.Doing it this way ensures that you don't get locked out of your tenant.

Как можно отключить сквозную проверку подлинности?How can I disable Pass-through Authentication?

Повторно запустите мастер Azure AD Connect и измените метод входа пользователя со сквозной проверки подлинности на другой метод.Rerun the Azure AD Connect wizard and change the user sign-in method from Pass-through Authentication to another method. Это позволит отключить сквозную проверку подлинности на клиенте и удалить агент проверки подлинности с сервера.This change disables Pass-through Authentication on the tenant and uninstalls the Authentication Agent from the server. Необходимо вручную удалить агенты аутентификации с других серверов.You must manually uninstall the Authentication Agents from the other servers.

Что происходит при удалении агента сквозной проверки подлинности?What happens when I uninstall a Pass-through Authentication Agent?

Если удалить агент сквозной аутентификации с сервера, то этот сервер прекратит принимать запросы на вход.If you uninstall a Pass-through Authentication Agent from a server, it causes the server to stop accepting sign-in requests. Чтобы избежать нарушения функции входа пользователей в клиенте, перед удалением агента сквозной аутентификации убедитесь, что запущен другой агент аутентификации.To avoid breaking the user sign-in capability on your tenant, ensure that you have another Authentication Agent running before you uninstall a Pass-through Authentication Agent.

У меня есть старый клиент, изначально настроенный с помощью AD FS.I have an older tenant that was originally setup using AD FS. Мы недавно перешли на PTA, но теперь изменения нашего имени участника-пользователя не синхронизируются с Azure AD.We recently migrated to PTA but now are not seeing our UPN changes synchronizing to Azure AD. Почему так происходит?Why are our UPN changes not being synchronized?

Ответ. Изменения локального имени участника-пользователя могут не синхронизироваться при следующих условиях:A: Under the following circumstances your on-premises UPN changes may not synchronize if:

  • клиент Azure AD создан до 15 июня 2015 г.;Your Azure AD tenant was created prior to June 15th 2015
  • вы изначально включены в федерацию с клиентом Azure AD и используете AD FS для проверки подлинности;You initially were federated with your Azure AD tenant using AD FS for authentication
  • вы перешли на управляемых пользователей, используя PTA в качестве механизма проверки подлинности.You switched to having managed users using PTA as authentication

Это обусловлено тем, что по умолчанию в клиентах, созданных до 15 июня 2015 г., блокируются изменения имени участника-пользователя.This is because the default behavior of tenants created prior to June 15th 2015 was to block UPN changes. Если необходимо разблокировать изменения имени участника-пользователя, нужно выполнить следующий командлет PowerShell:If you need to un-block UPN changes you need to run the following PowerShell cmdlt:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers-Enable $True

Клиенты, созданные после 15 июня 2015 г., синхронизируют изменения имени участника-пользователя по умолчанию.Tenants created after June 15th 2015 have the default behavior of synchronizing UPN changes.

Следующие шагиNext steps