Azure Active Directory 傳遞驗證:快速入門

部署 Azure AD 傳遞驗證

Azure Active Directory (Azure AD) 傳遞驗證可讓您的使用者以相同密碼登入內部部署和雲端式應用程式。 傳遞驗證會直接向內部部署 Active Directory 驗證使用者的密碼,以決定是否讓使用者登入。

重要

如果您要從 AD FS (或其他同盟技術) 遷移至傳遞驗證,強烈建議您遵循我們在此處 \(英文\) 發佈的詳細部署指南。

注意

如果您使用 Azure Government 雲端來部署 Pass 驗證,請參閱 Azure Government 的混合式身分識別考慮

請依照下列指示,在您的租用戶上部署傳遞驗證:

步驟 1:檢查必要條件

請確保已具備下列必要條件。

重要

從安全性的觀點來看,系統管理員應該將執行 PTA 代理程式的伺服器視為網域控制站。 PTA 代理程式伺服器應該依照保護網域控制站免于攻擊的相同程式列來強化

於 Azure Active Directory 管理中心

  1. 在 Azure AD 租用戶上建立僅限雲端的全域管理員帳戶。 如此一來,如果您的內部部署服務失敗或無法使用,您便可以管理租用戶組態。 了解如何新增僅限雲端管理員帳戶。 這是確保您不會遭租用戶封鎖的關鍵步驟。
  2. 將一或多個自訂網域名稱新增至 Azure AD 租用戶。 您的使用者可以使用其中一個網域名稱登入。

在內部部署環境中

  1. 識別執行 Windows Server 2016 或更新版本的伺服器,以執行 Azure AD 連線。 若尚未啟用,請在伺服器上啟用 TLS 1.2。 根據需要驗證密碼之使用者所在的 Active Directory 樹系,將伺服器新增至同一個樹系。 請注意,不支援 Windows Server Core 版本上的 Pass-Through Authentication 代理程式安裝。

  2. 在上一個步驟中識別的伺服器上,安裝最新版本的 Azure AD Connect。 如果您已執行 Azure AD Connect,請確定版本是 1.1.750.0 或更新版本。

    注意

    Azure AD Connect 版本 1.1.557.0、1.1.558.0、1.1.561.0 和 1.1.614.0 具有與密碼雜湊同步處理相關的問題。 如果您「不」想要使用密碼雜湊同步處理搭配傳遞驗證,請閱讀 Azure AD Connect 版本資訊

  3. 找出一或多部額外的伺服器 (執行 Windows Server 2016 或更新版本,並啟用 TLS 1.2) 讓您可以執行獨立驗證代理程式。 需要有這些額外的伺服器,才能確保登入要求的高可用性。 根據需要驗證密碼之使用者所在的 Active Directory 樹系,將伺服器新增至同一個樹系。

    重要

    在生產環境中,我們建議至少要有 3 個驗證代理程式在您的租用戶上執行。 系統限制每個租用戶只能有 40 個驗證代理程式。 因此,最佳做法是將執行驗證代理程式的所有伺服器視為階層 0 的系統 (請參閱參考 \(機器翻譯\))。

  4. 如果您的伺服器和 Azure AD 之間有防火牆,請設定下列項目:

    • 確定驗證代理程式會透過以下連接埠對 Azure AD 提出輸出要求:

      連接埠號碼 使用方式
      80 驗證 TLS/SSL 憑證時下載憑證撤銷清單 (CRL)
      443 處理所有與服務之間的輸出通訊
      8080 (選擇性) 如果無法使用連接埠 443,則驗證代理程式會透過連接埠 8080 每隔十分鐘報告其狀態。 此狀態會顯示在 Azure 入口網站上。 埠 8080 會用於使用者登入。

      如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。

    • 如果您的防火牆或 proxy 可讓您將 DNS 專案新增至允許清單,請將連接新增至 *. msappproxy.net*. servicebus.windows.net。 如果不允許建立,請允許存取每週更新的 Azure 資料中心 IP 範圍

    • 避免在 Azure 傳遞代理程式與 Azure 端點之間的輸出 TLS 通訊上進行所有形式的內嵌檢查和終止。

    • 如果您有連出的 HTTP proxy,請確定此 URL autologon.microsoftazuread-sso.com 是在允許的清單上。 您應該明確指定此 URL,因為可能不接受萬用字元。

    • 您的驗證代理程式必須存取 login.windows.netlogin.microsoftonline.com才能進行初始註冊, 因此也請針對這些 URL 開啟您的防火牆。

    • 針對憑證驗證,請將下列 Url 解除封鎖: crl3.digicert.com:80crl4.digicert.com:80ocsp.digicert.com:80www.d-trust.net:80root-c3-ca2-2009.ocsp.d-trust.net:80crl.microsoft.com:80oneocsp.microsoft.com:80ocsp.msocsp.com:80。 由於這些 URL 會用於其他 Microsoft 產品的憑證驗證,因此您可能已將這些 URL 解除封鎖。

Azure Government 雲端先決條件

在使用步驟2的 Azure AD 連線啟用傳遞驗證之前,請從 Azure 入口網站下載最新版本的 PTA 代理程式。 您必須確定您的代理程式是 1.5.1742.0 版或更新版本。 若要確認您的代理程式,請參閱升級驗證代理程式

下載最新版的代理程式之後,請繼續進行下列指示,以透過 Azure AD 連線設定 Pass-Through Authentication。

步驟 2︰啟用功能

透過Azure AD 連線啟用傳遞驗證。

重要

您可以在 Azure AD Connect 主要或暫存伺服器上啟用傳遞驗證。 強烈建議您從主要伺服器啟用此功能。 如果您未來要設定 Azure AD Connect 預備伺服器,您必須繼續選擇傳遞驗證做為登入選項;選擇另一個選項將會停用租用戶上的傳遞驗證,並覆寫主要伺服器中的設定。

如果您是第一次安裝 Azure AD Connect,請選擇自訂安裝路徑。 在 使用者登入 頁面上,選擇 [ 傳遞驗證 ] 作為登入 方法。 成功完成時,傳遞驗證代理程式會安裝在 Azure AD Connect 所在的同一部伺服器上。 此外,您的租用戶上也會啟用傳遞驗證功能。

Azure AD Connect: User sign-in

如果您已經使用快速安裝自訂安裝路徑安裝 Azure AD 連線,請在 Azure AD 連線上選取 [變更使用者登入工作],然後選取[下一步]。 然後選取 [ 傳遞驗證 ] 作為登入方法。 成功完成時,傳遞驗證代理程式會安裝在 Azure AD Connect 所在的同一部伺服器上,且您的租用戶上會啟用此功能。

Azure AD Connect: Change user sign-in

重要

傳遞驗證是租用戶層級的功能。 開啟此功能會影響租使用者中 所有 受控網域的使用者登入。 如果您從 Active Directory Federation Services (AD FS) 改為使用傳遞驗證,應等候至少 12 個小時再關閉 AD FS 基礎結構。 這裡的等候時間可確保使用者在轉換期間依然可以繼續登入 Exchange ActiveSync。 如需從 AD FS 遷移到傳遞驗證的詳細說明,請查看我們在這裡發佈的詳細部署計劃。

步驟 3:測試功能

請遵循下列指示來確認您已正確啟用傳遞驗證:

  1. 使用租用戶的全域管理員認證來登入 Azure Active Directory 管理中心
  2. 在左窗格中,選取 [Azure Active Directory]
  3. 選取 [Azure AD Connect]
  4. 確認 [傳遞驗證] 功能顯示為 [已啟用]
  5. 選取 [傳遞驗證]。 [傳遞驗證] 窗格會列出安裝驗證代理程式的伺服器。

Azure Active Directory admin center: Azure AD Connect pane

Azure Active Directory admin center: Pass-through Authentication pane

在此階段,租用戶中所有受控網域的使用者都可以使用傳遞驗證來登入。 不過,同盟網域的使用者會繼續使用 ADFS 或您先前設定的其他同盟提供者來登入。 如果您將同盟網域轉換成受控網域,該網域中的所有使用者都會自動開始使用傳遞驗證來登入。 傳遞驗證功能不會影響僅限雲端的使用者。

步驟 4:確保高可用性

如果您打算在生產環境中部署傳遞驗證,您應該安裝額外的獨立驗證代理程式。 請在執行 Azure AD Connect「以外」的伺服器上安裝這些「驗證代理程式」。 此設定可提供高可用性來滿足使用者登入要求。

重要

在生產環境中,我們建議至少要有 3 個驗證代理程式在您的租用戶上執行。 系統限制每個租用戶只能有 40 個驗證代理程式。 因此,最佳做法是將執行驗證代理程式的所有伺服器視為階層 0 的系統 (請參閱參考 \(機器翻譯\))。

安裝多個傳遞驗證代理程式可確保高可用性,但不會在驗證代理程式之間提供決定性的負載平衡。 若要判斷您的租使用者需要多少個驗證代理程式,請考慮您預期會在租使用者上看到的登入要求的尖峰和平均負載。 在標準的 4 核心 CPU、16-GB RAM 伺服器上,單一驗證代理程式每秒可處理 300 到 400 次驗證,乃是效能評定的基準。

若要估計網路流量,請使用下列調整大小指導方針:

  • 每個要求的承載大小都 (0.5 k + 1k * num_of_agents) 個位元組,也就是從 Azure AD 到驗證代理程式的資料。 在這裡,"num_of_agents" 表示已在您的租用戶上註冊的驗證代理程式數目。
  • 每個回應都有1千位元組的承載大小,也就是從驗證代理程式到 Azure AD 的資料。

對於大部分的客戶而言,總共有三個驗證代理程式就足以應付高可用性和容量。 應在靠近網域控制站的地方安裝驗證代理程式,以改善登入的延遲情形。

若要開始,請遵循下列指示來下載驗證代理程式軟體:

  1. 若要下載最新版「驗證代理程式」(1.5.193.0 版或更新版本),請使用您租用戶的全域管理員認證來登入 Azure Active Directory 管理中心
  2. 在左窗格中,選取 [Azure Active Directory]
  3. 依序選取 [Azure AD Connect]、[傳遞驗證] 及 [下載代理程式]
  4. 選取 [ 接受條款 下載 ] 按鈕。

Azure Active Directory admin center: Download Authentication Agent button

Azure Active Directory admin center: Download Agent pane

注意

您也可以直接下載驗證代理程式軟體。 請在安裝「驗證代理程式」之前,先檢閱並接受「驗證代理程式」的服務條款 \(英文\)。

部署獨立「驗證代理程式」的方式有兩種:

第一種,您可以直接執行所下載的「驗證代理程式」可執行檔,並在出現提示時提供您租用戶的全域管理員認證,以互動方式進行部署。

第二種,您可以建立並執行自動部署指令碼。 當您想要一次部署多個「驗證代理程式」,或是在未啟用使用者介面或您無法使用「遠端桌面」來存取的 Windows 伺服器上安裝「驗證代理程式」時,這會相當有用。 以下是有關如何使用此方法的指示:

  1. 執行下列命令來安裝「驗證代理程式」:AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q
  2. 您可以使用 Windows PowerShell 來向我們的服務註冊「驗證代理程式」。 建立 PowerShell 認證物件 $cred,其中含有租用戶的全域管理員使用者名稱和密碼。 執行下列命令,並取代使用者 名稱 >和>:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. 移至 C:\Program Files\Microsoft Azure AD Connect 驗證代理程式,然後使用您建立的 物件來執行下列指令碼:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

重要

如果虛擬機器上已安裝驗證代理程式,您就無法複製虛擬機器來設定另一個驗證代理程式。 不支援這個方法。

步驟5:設定智慧鎖定功能

智慧型鎖定可協助鎖定不良的動作專案,而這些動作專案試圖猜測使用者的密碼或使用暴力密碼破解方法來進入。 藉由在內部部署 Active Directory 的 Azure AD 和/或適當的鎖定設定中設定智慧鎖定設定,就可以在使用者到達 Active Directory 之前,先篩選出攻擊。 請 閱讀本文 ,以深入瞭解如何在您的租使用者上設定智慧鎖定設定,以保護您的使用者帳戶。

下一步