Autentisering via direktströmning i Microsoft Entra: Vanliga frågor och svar

I den här guiden får du en jämförelse av de olika inloggningsmetoderna för Microsoft Entra och hur du väljer rätt inloggningsmetod för din organisation.

Direktautentisering är en kostnadsfri funktion. Du behöver inga betalda utgåvor av Microsoft Entra-ID för att använda det.

Ja. Alla funktioner för villkorlig åtkomst , inklusive Microsoft Entra multifaktorautentisering, fungerar med direktautentisering.

Ja, både direktautentisering (PTA) och synkronisering av lösenordshash (PHS) stöder inloggning med ett icke-UPN-värde, till exempel ett alternativt e-postmeddelande. Mer information om alternativt inloggnings-ID.

Nej. Direktautentisering redundansväxlar inte automatiskt till synkronisering av lösenordshash. För att undvika fel vid användarinloggning bör du konfigurera direktautentisering för hög tillgänglighet.

När du använder Microsoft Entra Anslut för att växla inloggningsmetoden från synkronisering av lösenordshash till direktautentisering blir direktautentisering den primära inloggningsmetoden för dina användare i hanterade domäner. Alla användares lösenordshashvärden som tidigare synkroniserats med synkronisering av lösenordshash lagras fortfarande på Microsoft Entra-ID.

Ja. De omdöpta versionerna av direktautentiseringsagenten, version 1.5.193.0 eller senare, stöder den här konfigurationen.

För att den här funktionen ska fungera behöver du version 1.1.750.0 eller senare för Microsoft Entra Anslut och 1.5.193.0 eller senare för direktautentiseringsagenten. Installera all programvara på servrar med Windows Server 2012 R2 eller senare.

Detta kan bero på att uppdateringstjänsten inte fungerar korrekt eller om det inte finns några nya uppdateringar tillgängliga som tjänsten kan installera. Uppdateringstjänsten är felfri om den körs och det inte finns några fel registrerade i händelseloggen (program- och tjänstloggar –> Microsoft –> AzureAD Anslut-Agent –> Updater –> Admin).

Endast större versioner släpps för automatisk uppgradering. Vi rekommenderar att du uppdaterar din agent manuellt endast om det behövs. Du kan till exempel inte vänta på en större version, eftersom du måste åtgärda ett känt problem eller om du vill använda en ny funktion. Mer information om nya versioner, typen av version (nedladdning, automatisk uppgradering), felkorrigeringar och nya funktioner finns i Microsoft Entra direktautentiseringsagent: Versionshistorik.

Så här uppgraderar du en anslutningsapp manuellt:

• Ladda ned den senaste versionen av agenten. (Du hittar den under Microsoft Entra Anslut Direktautentisering i administrationscentret för Microsoft Entra. Du hittar även länken i Microsoft Entra-direktautentisering: Versionshistorik.
• Installationsprogrammet startar om Microsoft Entra Anslut Authentication Agent-tjänsterna. I vissa fall krävs en serveromstart om installationsprogrammet inte kan ersätta alla filer. Därför rekommenderar vi att du stänger alla program som Loggboken innan du startar uppgraderingen.
• Kör installationsprogrammet. Uppgraderingsprocessen går snabbt och kräver inga autentiseringsuppgifter och agenten registreras inte på nytt.

Om du har konfigurerat tillbakaskrivning av lösenord för en viss användare, och om användaren loggar in med direktautentisering, kan de ändra eller återställa sina lösenord. Lösenorden skrivs tillbaka till lokal Active Directory som förväntat.

Om du inte har konfigurerat tillbakaskrivning av lösenord för en viss användare eller om användaren inte har tilldelats en giltig Microsoft Entra-ID-licens kan användaren inte uppdatera sitt lösenord i molnet. De kan inte uppdatera sitt lösenord, även om lösenordet har upphört att gälla. Användaren ser i stället det här meddelandet: "Din organisation tillåter inte att du uppdaterar lösenordet på den här webbplatsen. Uppdatera den enligt den metod som rekommenderas av din organisation eller fråga administratören om du behöver hjälp." Användaren eller administratören måste återställa sitt lösenord i lokal Active Directory.

Lösenordets giltighetstid utlöser inte återkallande av autentiseringstoken eller cookies. Tills token eller cookies är giltiga kan användaren använda dem. Detta gäller oavsett autentiseringstyp (PTA, PHS och federerade scenarier).

Mer information finns i dokumentationen nedan:

Microsofts identitetsplattform åtkomsttoken – Microsofts identitetsplattform | Microsoft Docs

Läs information om Smart Lockout.

• Autentiseringsagenterna gör HTTPS-begäranden via port 443 för alla funktionsåtgärder.

• Autentiseringsagenterna gör HTTP-begäranden via port 80 för att ladda ned listan över återkallade TLS/SSL-certifikat (CRL).

  Kommentar

  De senaste uppdateringarna har minskat antalet portar som krävs för funktionen. Om du har äldre versioner av Microsoft Entra Anslut eller autentiseringsagenten håller du även dessa portar öppna: 5671, 8080, 9090, 9091, 9350, 9352 och 10100-10120.

Ja. Om WPAD (Web Proxy Auto-Discovery) är aktiverat i din lokala miljö försöker autentiseringsagenter automatiskt hitta och använda en webbproxyserver i nätverket. Mer information om hur du använder den utgående proxyservern finns i Arbeta med befintliga lokala proxyservrar.

Om du inte har WPAD i din miljö kan du lägga till proxyinformation (som visas nedan) så att en direktautentiseringsagent kan kommunicera med Microsoft Entra-ID:

• Konfigurera proxyinformation i Internet Explorer innan du installerar direktautentiseringsagenten på servern. På så sätt kan du slutföra installationen av autentiseringsagenten, men den visas fortfarande som Inaktiv på administratörsportalen.
• På servern navigerar du till "C:\Program Files\Microsoft Azure AD Anslut Authentication Agent".
• Redigera konfigurationsfilen "AzureAD Anslut AuthenticationAgentService" och lägg till följande rader (ersätt "http://contosoproxy.com:8080" med din faktiska proxyadress):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Nej, du kan bara installera en direktautentiseringsagent på en enda server. Om du vill konfigurera direktautentisering för hög tillgänglighet följer du anvisningarna här.

Kommunikationen mellan varje direktautentiseringsagent och Microsoft Entra-ID skyddas med hjälp av certifikatbaserad autentisering. Dessa certifikat förnyas automatiskt med några månaders mellanrum av Microsoft Entra-ID. Du behöver inte förnya dessa certifikat manuellt. Du kan rensa äldre utgångna certifikat efter behov.

Så länge en direktautentiseringsagent körs förblir den aktiv och hanterar kontinuerligt begäranden om användarinloggning. Om du vill avinstallera en autentiseringsagent går du till Kontrollpanelen – Program –>> Program och funktioner och avinstallerar både Microsoft Entra Anslut Authentication Agent och Microsoft Entra Anslut Agent Updater-program.

Om du kontrollerar bladet Direktautentisering i administrationscentret för Microsoft Entra som minst hybrididentitetsadministratör. När du har slutfört föregående steg visas autentiseringsagenten som inaktiv. Detta är förväntat. Autentiseringsagenten tas automatiskt bort från listan efter 10 dagar.

Om du migrerar från AD FS (eller andra federationstekniker) till direktautentisering rekommenderar vi starkt att du följer vår snabbstartsguide.

Ja. Miljöer med flera skogar stöds om det finns skogsförtroenden (dubbelriktade) mellan dina Active Directory-skogar och om namnsuffixroutning är korrekt konfigurerat.

Nej, installation av flera direktautentiseringsagenter garanterar endast hög tillgänglighet. Den ger inte deterministisk belastningsutjämning mellan autentiseringsagenterna. Alla autentiseringsagenter (slumpmässigt) kan bearbeta en viss användarinloggningsbegäran.

Om du installerar flera direktautentiseringsagenter säkerställs hög tillgänglighet. Men den ger inte deterministisk belastningsutjämning mellan autentiseringsagenterna.

Överväg den högsta och genomsnittliga belastningen på inloggningsbegäranden som du förväntar dig att se i din klientorganisation. Som riktmärke kan en enda autentiseringsagent hantera 300 till 400 autentiseringar per sekund på en standard 4-kärns CPU, 16 GB RAM-server.

Använd följande storleksvägledning för att uppskatta nätverkstrafiken:

• Varje begäran har en nyttolaststorlek på (0,5 000 + 1 000 * num_of_agents) byte. data från Microsoft Entra-ID till autentiseringsagenten. Här anger "num_of_agents" antalet autentiseringsagenter som registrerats i din klientorganisation.
• Varje svar har en nyttolaststorlek på 1 000 byte. data från autentiseringsagenten till Microsoft Entra-ID.

För de flesta kunder räcker det med två eller tre autentiseringsagenter för hög tillgänglighet och kapacitet. I produktionsmiljöer rekommenderar vi dock att du har minst 3 autentiseringsagenter som körs på din klientorganisation. Du bör installera autentiseringsagenter nära dina domänkontrollanter för att förbättra inloggningsfördröjningen.

Vi rekommenderar att du aktiverar eller inaktiverar direktautentisering med hjälp av ett molnbaserat globalt administratörskonto. Lär dig mer om att lägga till ett globalt administratörskonto endast för molnet. Om du gör det på det här sättet blir du inte utelåst från din klientorganisation.

Kör guiden Microsoft Entra Anslut igen och ändra användarinloggningsmetoden från Direktautentisering till en annan metod. Den här ändringen inaktiverar direktautentisering i klientorganisationen och avinstallerar autentiseringsagenten från servern. Du måste avinstallera autentiseringsagenterna manuellt från de andra servrarna.

Om du avinstallerar en direktautentiseringsagent från en server slutar servern att acceptera inloggningsbegäranden. Se till att du har en annan autentiseringsagent som körs innan du avinstallerar en agent för autentisering via direktströmning för att undvika att användarinloggningen i din klientorganisation bryts.

Under följande omständigheter kanske dina lokala UPN-ändringar inte synkroniseras om:

• Din Microsoft Entra-klientorganisation skapades före den 15 juni 2015.
• Du federerades ursprungligen med din Microsoft Entra-klientorganisation med hjälp av AD FS för autentisering.
• Du övergick till att ha hanterade användare som använde PTA som autentisering.

Det beror på att standardbeteendet för klienter som skapades före den 15 juni 2015 var att blockera UPN-ändringar. Om du behöver avblockera UPN-ändringar måste du köra följande PowerShell-cmdlet. Hämta ID:t med cmdleten Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Klienter som skapats efter den 15 juni 2015 har standardbeteendet att synkronisera UPN-ändringar.

Så här verifierar du vilken lokal server eller autentiseringsagent som användes för en specifik inloggningshändelse:

1. I administrationscentret för Microsoft Entra går du till inloggningshändelsen.

2. Välj Autentiseringsinformation. I kolumnen Information om autentiseringsmetod visas agent-ID-information i formatet "Direktautentisering; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX".

3. Om du vill hämta agent-ID-information för agenten som är installerad på den lokala servern loggar du in på den lokala servern och kör följande cmdlet:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   GUID-värdet som returneras är agent-ID för autentiseringsagenten som är installerad på den specifika servern. Om du har flera agenter i din miljö kan du köra den här cmdleten på varje agentserver och samla in agent-ID-information.

4. Korrelera agent-ID:t som du får från den lokala servern och från Inloggningsloggarna för Microsoft Entra för att verifiera vilken agent eller server som bekräftade inloggningsbegäran.

Nästa steg

• Aktuella begränsningar: Lär dig vilka scenarier som stöds och vilka som inte stöds.
• Snabbstart: Kom igång med Microsoft Entra-direktautentisering.
• Migrera dina appar till Microsoft Entra-ID: Resurser som hjälper dig att migrera programåtkomst och autentisering till Microsoft Entra-ID.
• Smart lockout: Lär dig hur du konfigurerar funktionen Smart Lockout på klientorganisationen för att skydda användarkonton.
• Teknisk djupdykning: Förstå hur funktionen direktautentisering fungerar.
• Felsökning: Lär dig hur du löser vanliga problem med direktautentiseringsfunktionen.
• Djupdykning i säkerhet: Få detaljerad teknisk information om funktionen direktautentisering.
• Microsoft Entra-hybridanslutning: Konfigurera Microsoft Entra-hybridanslutningsfunktionen i din klientorganisation för enkel inloggning i dina molnresurser och lokala resurser.
• Sömlös enkel inloggning i Microsoft Entra: Läs mer om den här kompletterande funktionen.
• UserVoice: Använd Microsoft Entra-forumet för att skicka nya funktionsförfrågningar.