Если вы проверяете блейд сквозной аутентификации в центре администрирования Azure Active Directory после выполнения предыдущего шага, вы увидите, что агент аутентификации показывает Неактивно . Это , ожидается . Агент аутентификации автоматически удаляется из списка через несколько дней.

Я уже использую AD FS для входа в Azure AD. Как мне переключиться на сквозную аутентификацию?

Если вы переходите с AD FS (или других технологий федерации) на сквозную аутентификацию, мы настоятельно рекомендуем вам следовать нашему подробному руководству по развертыванию, опубликованному здесь.

Можно ли использовать сквозную аутентификацию в среде Active Directory с несколькими лесами?

Да. Среды с несколькими лесами поддерживаются, если между лесами Active Directory существуют доверительные отношения между двумя лесами и если правильно настроена маршрутизация суффикса имени.

Обеспечивает ли сквозная аутентификация балансировку нагрузки между несколькими агентами аутентификации?

Нет, установка нескольких агентов сквозной аутентификации обеспечивает только высокую доступность. Он не обеспечивает детерминированную балансировку нагрузки между агентами аутентификации.Любой агент аутентификации (в произвольном порядке) может обработать запрос пользователя на вход в систему.

Сколько агентов сквозной аутентификации мне нужно установить?

Установка нескольких агентов сквозной аутентификации обеспечивает высокую доступность. Но он не обеспечивает детерминированную балансировку нагрузки между агентами аутентификации.

Рассмотрите пиковую и среднюю загрузку запросов на вход, которые вы ожидаете увидеть у своего арендатора. В качестве эталона один агент аутентификации может обрабатывать от 300 до 400 аутентификаций в секунду на стандартном 4-ядерном ЦП и 16-ГБ сервере ОЗУ.

Для оценки сетевого трафика используйте следующие рекомендации по размеру:

• Каждый запрос имеет размер полезной нагрузки (0,5K + 1K * num_of_agents) байтов; то есть данные из Azure AD в агент аутентификации. Здесь «num_of_agents» указывает количество агентов аутентификации, зарегистрированных на вашем клиенте.
• Каждый ответ имеет размер полезной нагрузки 1 Кбайт; то есть данные от агента аутентификации в Azure AD.

Для большинства клиентов для обеспечения высокой доступности и емкости достаточно всего двух или трех агентов аутентификации.Вы должны установить Агенты аутентификации рядом с вашими контроллерами домена, чтобы увеличить задержку входа.

Примечание

Системный лимит составляет 40 агентов аутентификации на каждого арендатора.

Можно ли установить первый агент сквозной аутентификации на сервере, отличном от того, на котором работает Azure AD Connect?

Нет, этот сценарий не поддерживается .

Зачем мне нужна облачная учетная запись глобального администратора для включения сквозной аутентификации?

Рекомендуется включить или отключить сквозную аутентификацию с использованием облачной учетной записи глобального администратора.Узнайте о добавлении облачной учетной записи глобального администратора. Делая это таким образом, вы не будете заблокированы от своего арендатора.

Как отключить сквозную аутентификацию?

Перезапустите мастер Azure AD Connect и измените метод входа пользователя с сквозной аутентификации на другой метод. Это изменение отключает сквозную аутентификацию на клиенте и удаляет агент аутентификации с сервера. Вы должны вручную удалить Агенты аутентификации с других серверов.

Что происходит при удалении агента сквозной аутентификации?

Если вы удаляете агент сквозной аутентификации с сервера, это приводит к тому, что сервер перестает принимать запросы на вход. Чтобы не нарушить возможности входа пользователя в ваш клиент, убедитесь, что у вас запущен другой агент аутентификации перед удалением агента сквозной аутентификации.

У меня есть старый арендатор, который был изначально настроен с использованием AD FS. Мы недавно мигрировали в PTA, но теперь не видим изменений наших UPN, синхронизирующихся с Azure AD.Почему наши изменения UPN не синхронизируются?

A: При следующих обстоятельствах ваши локальные изменения UPN могут не синхронизироваться, если:

• Ваш клиент Azure AD был создан до 15 июня 2015 г.
• Первоначально вы были объединены с клиентом Azure AD, используя AD FS для проверки подлинности
• Вы перешли на использование управляемых пользователей с использованием PTA в качестве аутентификации

Это связано с тем, что стандартным поведением арендаторов, созданных до 15 июня 2015 года, было блокирование изменений UPN.Если вам нужно разблокировать изменения имени участника-пользователя, вам нужно выполнить следующую команду PowerShell:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $ True

Арендаторы, созданные после 15 июня 2015 года, по умолчанию синхронизируют изменения UPN.

Следующие шаги

Azure AD Connect: сквозная аутентификация

• 21.10.2008
• 3 минуты, чтобы прочитать

В этой статье

Что такое сквозная аутентификация Azure Active Directory?

Сквозная аутентификация Azure Active Directory (Azure AD) позволяет пользователям входить в локальные и облачные приложения с использованием одних и тех же паролей.Эта функция обеспечивает пользователям удобство работы - на один пароль меньше запоминается и снижает затраты на поддержку ИТ-служб, поскольку пользователи с меньшей вероятностью забудут, как выполнять вход. Когда пользователи входят в систему с помощью Azure AD, эта функция проверяет пароли пользователей непосредственно по отношению к вашим локальный Active Directory.

Эта функция является альтернативой синхронизации хэша паролей Azure AD, которая обеспечивает те же преимущества облачной аутентификации для организаций. Однако некоторые организации, желающие применить свои локальные политики безопасности и паролей Active Directory, могут вместо этого использовать сквозную аутентификацию.Просмотрите это руководство, чтобы сравнить различные методы входа в Azure AD и узнать, как выбрать правильный метод входа для вашей организации.

Вы можете комбинировать сквозную аутентификацию с функцией единого единого входа. Таким образом, когда ваши пользователи получают доступ к приложениям на своих корпоративных компьютерах внутри вашей корпоративной сети, им не нужно вводить свои пароли для входа.

Основные преимущества использования сквозной аутентификации Azure AD

• Отличный пользовательский опыт
  • Пользователи используют одни и те же пароли для входа как в локальные, так и в облачные приложения.
  • Пользователи тратят меньше времени на общение с ИТ-службой поддержки для решения проблем, связанных с паролями.
  • Пользователи могут выполнять задачи управления паролями самообслуживания в облаке.
• Простота развертывания и администрирования
  • Нет необходимости в сложных локальных развертываниях или конфигурации сети.
  • Требуется простой агент для локальной установки.
  • Нет накладных расходов на управление. Агент автоматически получает улучшения и исправления ошибок.
• Безопасный
  • Локальные пароли никогда не хранятся в облаке в любой форме.
  • Защищает учетные записи пользователей, беспрепятственно работая с политиками условного доступа Azure AD, включая многофакторную проверку подлинности (MFA), блокируя устаревшую проверку подлинности и отфильтровывая атаки методом перебора паролей.
  • Агент устанавливает исходящие соединения только из вашей сети. Следовательно, нет необходимости устанавливать агент в сети периметра, также известной как DMZ.
  • Связь между агентом и Azure AD защищена с помощью проверки подлинности на основе сертификатов. Azure AD автоматически обновляет эти сертификаты каждые несколько месяцев.
• В наличии
  • Дополнительные агенты могут быть установлены на нескольких локальных серверах для обеспечения высокой доступности запросов на вход.

Основные характеристики

• Поддерживает вход пользователя во все приложения на основе веб-браузера и в клиентские приложения Microsoft Office, использующие современную аутентификацию.
• Имена пользователей для входа могут быть локальным именем пользователя по умолчанию ( userPrincipalName ) или другим атрибутом, настроенным в Azure AD Connect (известный как Alternate ID ).
• Эта функция беспрепятственно работает с функциями условного доступа, такими как многофакторная аутентификация (MFA), для обеспечения безопасности ваших пользователей.
• Интегрирован с облачным управлением паролями самообслуживания, включая обратную запись паролей в локальную Active Directory и защиту паролем путем запрета часто используемых паролей.
• Поддерживаются среды с несколькими лесами, если между лесами AD существуют доверительные отношения лесов и если правильно настроена маршрутизация суффикса имени.
• Это бесплатная функция, и вам не нужны платные выпуски Azure AD для ее использования.
• Это можно включить через Azure AD Connect.
• Он использует легкий локальный агент, который прослушивает и отвечает на запросы проверки пароля.
• Установка нескольких агентов обеспечивает высокую доступность запросов на вход.
• Он защищает ваши локальные учетные записи от атак методом перебора паролей в облаке.

Следующие шаги