Microsoft Entra 傳遞驗證:快速入門

  • 發行項

部署 Microsoft Entra 傳遞驗證

Microsoft Entra 傳遞驗證允許使用者以相同密碼同時登入內部部署和雲端式應用程式。 傳遞驗證會透過直接驗證其密碼來登入 內部部署的 Active Directory。

重要

如果您要從 AD FS(或其他同盟技術)移轉至傳遞驗證,請檢視 將應用程式移轉至 Microsoft Entra ID 的資源。

注意

如果您使用 Azure Government 雲端部署傳遞驗證,請檢視 Azure Government 的混合式身分識別考慮。

請遵循下列指示,在您的租使用者上部署傳遞驗證:

步驟 1:檢查必要條件

請確定下列必要條件已就緒。

重要

從安全性的觀點來看,系統管理員應該將執行 PTA 代理程式的伺服器視為域控制器。 PTA 代理程式伺服器應該與保護域控制器防範攻擊中所述 的相同行強化

在 Microsoft Entra 系統管理中心

  1. 在 Microsoft Entra 租使用者上建立僅限雲端的混合式身分識別 管理員 istrator 帳戶或混合式身分識別系統管理員帳戶。 如此一來,如果內部部署服務失敗或無法使用,您可以管理租用戶的設定。 瞭解如何新增僅限雲端的混合式身分識別 管理員 istrator 帳戶。 完成此步驟對於確保您不會鎖定租用戶至關重要。
  2. 將一或多個 自定義功能變數名稱 新增至您的 Microsoft Entra 租使用者。 您的使用者可以使用下列其中一個功能變數名稱登入。

在您的內部部署環境中

  1. 識別執行 Windows Server 2016 或更新版本的伺服器,以執行 Microsoft Entra 連線。 如果尚未啟用, 請在伺服器上啟用 TLS 1.2。 將伺服器新增至與需要驗證其密碼的使用者相同的 Active Directory 樹系。 請注意,不支援在 Windows Server Core 版本上安裝傳遞驗證代理程式。

  2. 上一個步驟中識別的伺服器上安裝最新版本的 Microsoft Entra 連線。 如果您已經執行 Microsoft Entra 連線,請確定支援版本。

    注意

    Microsoft Entra 連線 1.1.557.0、1.1.558.0、1.1.561.0 和 1.1.614.0 版與密碼哈希同步處理有問題。 如果您不想搭配傳遞驗證使用密碼哈希同步處理,請閱讀 Microsoft Entra 連線 版本資訊

  3. 識別一或多個額外的伺服器(執行 Windows Server 2016 或更新版本,並啟用 TLS 1.2),您可以在其中執行獨立驗證代理程式。 需要這些額外的伺服器,以確保要求登入的高可用性。 將伺服器新增至與需要驗證其密碼的使用者相同的 Active Directory 樹系。

    重要

    在生產環境中,我們建議您在租使用者上至少執行 3 個驗證代理程式。 每個租使用者有 40 個驗證代理程式的系統限制。 最佳作法是,將執行驗證代理程式的所有伺服器視為第 0 層系統(請參閱 參考)。

  4. 如果您的伺服器與 Microsoft Entra ID 之間有防火牆,請設定下列專案:

    • 確定驗證代理程式可以透過下列埠對 Microsoft Entra ID 提出 輸出 要求:

      連接埠號碼 使用方式
      80 在驗證 TLS/SSL 憑證時下載憑證時下載憑證 ( CRL)
      443 處理所有與服務之間的輸出通訊
      8080 (選用) 如果埠 443 無法使用,驗證代理程式會每隔 10 分鐘報告其狀態。 此狀態會顯示在 Microsoft Entra 系統管理中心。 埠 8080 不會 用於使用者登入。

      如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。

    • 如果您的防火牆或 Proxy 可讓您將 DNS 專案新增至允許清單,請將連線新增至 *.msappproxy.net*.servicebus.windows.net。 如果沒有,請允許存取每周更新的 Azure 資料中心 IP 範圍

    • 避免在 Azure 傳遞代理程式與 Azure 端點之間的輸出 TLS 通訊上,進行所有形式的內嵌檢查和終止。

    • 如果您有傳出 HTTP Proxy,請確定此 URL autologon.microsoftazuread-sso.com 位於允許的清單上。 您應該明確指定此 URL,因為可能不接受通配符。

    • 您的驗證代理程式需要存取 login.windows.netlogin.microsoftonline.com 以進行初始註冊。 因此也請針對這些 URL 開啟您的防火牆。

    • 針對憑證驗證,請解除封鎖下列 URL:crl3.digicert.com:80、crl4.digicert.com:80、ocsp.digicert.com:80、www.d-trust.net:80root-c3-ca2-2009.ocsp.d-trust.net:80crl.microsoft.com:80、oneocsp.microsoft.com:80ocsp.msocsp.com:80。 由於這些 URL 會用於與其他 Microsoft 產品的憑證驗證,因此您可能已經解除封鎖這些 URL。

Azure Government 雲端必要條件

使用步驟 2 啟用透過 Microsoft Entra 連線 傳遞驗證之前,請從 Microsoft Entra 系統管理中心下載最新版的 PTA 代理程式。 您必須確定代理程式是 1.5.1742.0 版或更新版本。 若要確認您的代理程式,請參閱 升級驗證代理程式

下載最新版的代理程序之後,請繼續進行下列指示,以透過 Microsoft Entra 連線 設定傳遞驗證。

步驟 2:啟用功能

透過 Microsoft Entra 連線 啟用傳遞驗證

重要

您可以在 Microsoft Entra 連線 主要或預備伺服器上啟用傳遞驗證。 強烈建議您從主伺服器啟用它。 如果您要在未來設定 Microsoft Entra 連線 預備伺服器,您必須繼續選擇 [傳遞驗證] 作為登入選項;選擇另一個選項將會停用租使用者上的傳遞驗證,並覆寫主伺服器中的設定。

如果您是第一次安裝 Microsoft Entra Connect,請選擇自訂安裝路徑。 在 [ 使用者登入 ] 頁面上,選擇 [傳遞驗證 ] 作為 [登入] 方法。 成功完成時,傳遞驗證代理程式會安裝在與 Microsoft Entra 連線 相同的伺服器上。 此外,您的租使用者上已啟用傳遞驗證功能。

Microsoft Entra Connect: User sign-in

如果您已經使用快速安裝自定義安裝路徑安裝 Microsoft Entra 連線,請選取 [變更 Microsoft Entra 連線 上的使用者登入工作,然後選取 [下一步]。 然後選取 [傳遞驗證 ] 作為登入方法。 成功完成時,傳遞驗證代理程式會安裝在與 Microsoft Entra 連線 相同的伺服器上,並在您的租用戶上啟用此功能。

Microsoft Entra Connect: Change user sign-in

重要

傳遞驗證是租用戶層級的功能。 開啟它會影響租使用者中所有受控網域的使用者登入。 如果您要從 Active Directory 同盟服務 (AD FS) 切換至傳遞驗證,您應該等待至少 12 小時,再關閉 AD FS 基礎結構。 此等候時間是確保使用者可以在轉換期間持續登入 Exchange ActiveSync。 如需從 AD FS 移轉至傳遞驗證的詳細資訊,請參閱這裡發佈的部署計劃。

步驟 3:測試功能

請遵循下列指示,確認您已正確啟用傳遞驗證:

  1. 使用租使用者的混合式身分識別 管理員 istrator 認證登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]

  3. 選取 [Microsoft Entra 連線]。

  4. 確認 傳遞驗證 功能顯示為 [已啟用]。

  5. 選取 [傳遞驗證]。 [ 傳遞驗證 ] 窗格會列出安裝驗證代理程式的伺服器。

    Screenhot shows Microsoft Entra admin center: Microsoft Entra Connect pane.

    Screenshot shows Microsoft Entra admin center: Pass-through Authentication pane.

在這個階段,租使用者中所有受控網域的使用者都可以使用傳遞驗證來登入。 不過,來自同盟網域的用戶會繼續使用AD FS或您先前設定的另一個同盟提供者登入。 如果您將網域從同盟轉換成受控網域,則來自該網域的所有用戶都會使用傳遞驗證自動開始登入。 傳遞驗證功能不會影響僅限雲端的使用者。

步驟 4:確保高可用性

如果您打算在生產環境中部署傳遞驗證,您應該安裝其他獨立驗證代理程式。 在執行 Microsoft Entra 連線 以外的伺服器安裝這些驗證代理程式。 此設定提供您使用者登入要求的高可用性。

重要

在生產環境中,我們建議您在租使用者上至少執行 3 個驗證代理程式。 每個租使用者有 40 個驗證代理程式的系統限制。 最佳作法是,將執行驗證代理程式的所有伺服器視為第 0 層系統(請參閱 參考)。

安裝多個傳遞驗證代理程式可確保高可用性,但無法確定驗證代理程式之間的負載平衡。 若要判斷租使用者所需的驗證代理程式數目,請考慮您預期在您的租使用者上看到登入要求的尖峰和平均負載。 作為基準檢驗,單一驗證代理程式可以在標準 4 核心 CPU、16 GB RAM 伺服器上處理每秒 300 到 400 個驗證。

若要估計網路流量,請使用下列大小調整指引:

  • 每個要求都有承載大小 (0.5K + 1K * num_of_agents) 位元組,也就是從 Microsoft Entra ID 到驗證代理程序的數據。 在這裡,“num_of_agents”表示在租用戶上註冊的驗證代理程式數目。
  • 每個回應都有 1K 位元組的承載大小,也就是從驗證代理程式到 Microsoft Entra 識別符的數據。

對大多數客戶而言,總共有三個驗證代理程式足以達到高可用性和容量。 您應該安裝靠近域控制器的驗證代理程式,以改善登入延遲。

若要開始,請遵循下列指示來下載驗證代理程式軟體:

  1. 若要下載最新版的驗證代理程式(1.5.193.0 版或更新版本),請使用租使用者的混合式身分識別 管理員 istrator 認證登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]

  3. 選取 [Microsoft Entra 連線],選取 [傳遞驗證],然後選取 [下載代理程式]。

  4. 選取 [ 接受條款與下載 ] 按鈕。

    Screenshot shows Microsoft Entra admin center: Download Authentication Agent button.

注意

您也可以直接 下載驗證代理程式軟體。 在安裝驗證代理程式之前,請先檢閱並接受驗證代理程式的服務條款

有兩種方式可以部署獨立驗證代理程式:

首先,您可以執行下載的驗證代理程式可執行檔,並在出現提示時提供租使用者的全域管理員認證,以互動方式執行。

其次,您可以建立並執行自動部署腳本。 當您想要一次部署多個驗證代理程式,或在未啟用使用者介面的 Windows 伺服器上安裝驗證代理程式,或是無法使用遠端桌面存取時,這會很有用。 以下是如何使用此方法的指示:

  1. 執行下列命令以安裝驗證代理程式: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q
  2. 您可以透過PowerShell向我們的服務註冊驗證代理程式。 建立 PowerShell 認證物件 $cred ,其中包含租使用者的全域管理員使用者名稱和密碼。 執行下列命令,取代 <username><password>
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. 移至 C:\Program Files\Microsoft Azure AD 連線 驗證代理程式,並使用$cred您所建立的物件執行下列腳本:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

重要

如果驗證代理程式安裝在虛擬機上,您就無法複製虛擬機來設定另一個驗證代理程式。 不支援此方法

步驟 5:設定智慧鎖定功能

智慧鎖定可協助鎖定嘗試猜測用戶密碼或使用暴力密碼破解方法來進入的不良動作專案。 藉由在 Microsoft Entra ID 和 /或 內部部署的 Active Directory 中設定適當的鎖定設定,攻擊可以在到達 Active Directory 之前篩選掉。 請閱讀 本文 以深入瞭解如何在租用戶上設定智慧鎖定設定,以保護用戶帳戶。

下一步