Předávací ověřování Microsoft Entra: Nejčastější dotazy

Tento článek se zabývá nejčastějšími dotazy k předávacímu ověřování Microsoft Entra. Pokračujte v kontrole aktualizovaného obsahu.

Kterou z metod přihlášení k Microsoft Entra ID, předávacímu ověřování, synchronizaci hodnot hash hesel a Active Directory Federation Services (AD FS) (AD FS) mám zvolit?

Projděte si tuto příručku , kde najdete porovnání různých metod přihlašování Microsoft Entra a způsobu výběru správné metody přihlašování pro vaši organizaci.

Je předávací ověřování bezplatnou funkcí?

Předávací ověřování je bezplatná funkce. K jeho použití nepotřebujete žádné placené edice Microsoft Entra ID.

Funguje podmíněný přístup s předávacím ověřováním?

Ano. Všechny možnosti podmíněného přístupu , včetně vícefaktorového ověřování Microsoft Entra, fungují s předávacím ověřováním.

Podporuje předávací ověřování jako uživatelské jméno alternativní ID místo userPrincipalName?

Ano, předávací ověřování (PTA) i synchronizace hodnot hash hesel (PHS) podporují přihlášení pomocí jiné hodnoty než UPN, jako je alternativní e-mail. Další informace o alternativním přihlašovacím ID.

Funguje synchronizace hodnot hash hesel jako záložní pro předávací ověřování?

Ne. Předávací ověřování neprovádí automatické převzetí služeb při selhání synchronizace hodnot hash hesel. Abyste se vyhnuli chybám přihlašování uživatelů, měli byste nakonfigurovat předávací ověřování pro zajištění vysoké dostupnosti.

Co se stane, když přepnu ze synchronizace hodnot hash hesel na předávací ověřování?

Když použijete Microsoft Entra Connect k přepnutí přihlašovací metody ze synchronizace hodnot hash hesel na předávací ověřování, předávací ověřování se stane primární metodou přihlašování pro uživatele ve spravovaných doménách. Hodnoty hash hesel všech uživatelů, které byly dříve synchronizovány synchronizací hodnot hash hesel, zůstanou uloženy v Microsoft Entra ID.

Můžu nainstalovat privátní síťový konektor Microsoft Entra na stejný server jako předávací ověřovací agent?

Ano. Tuto konfiguraci podporují verze předávacího ověřovacího agenta verze 1.5.193.0 nebo novější.

Jaké verze microsoft Entra Connect a předávacího ověřovacího agenta potřebujete?

Aby tato funkce fungovala, potřebujete pro agenta předávacího ověřování verzi 1.1.750.0 nebo novější pro Microsoft Entra Connect a 1.5.193.0 nebo novější. Nainstalujte veškerý software na servery s Windows Serverem 2012 R2 nebo novějším.

Proč můj konektor stále používá starší verzi a neupgraduje se na nejnovější verzi?

Příčinou může být to, že služba aktualizátoru nefunguje správně nebo pokud nejsou k dispozici žádné nové aktualizace, které může služba nainstalovat. Služba aktualizátoru je v pořádku, pokud je spuštěná a v protokolu událostí nejsou zaznamenány žádné chyby (protokoly aplikací a služeb –> Microsoft –> AzureADConnect-Agent –> Updater –> Admin).

Pro automatický upgrade se vydávají pouze hlavní verze. Agenta doporučujeme aktualizovat ručně jenom v případě potřeby. Například nemůžete čekat na hlavní verzi, protože musíte opravit známý problém nebo chcete použít novou funkci. Další informace o nových verzích, typ vydané verze (stažení, automatický upgrade), opravy chyb a nové funkce naleznete v tématu Microsoft Entra předávací ověřovací agent: Historie verzí.

Ruční upgrade konektoru:

  • Stáhněte si nejnovější verzi agenta. (Najdete ho v části Microsoft Entra Connect Předávací ověřování na stránce Centrum pro správu Microsoft Entra Odkaz najdete také na předávacím ověřování Microsoft Entra: Historie verzí.
  • Instalační program restartuje služby agenta Microsoft Entra Connect Authentication Agent. V některých případech se vyžaduje restartování serveru, pokud instalační program nemůže nahradit všechny soubory. Před zahájením upgradu doporučujeme zavřít všechny aplikace.
  • Spusťte instalační program. Proces upgradu je rychlý a nevyžaduje zadání přihlašovacích údajů a agent se znovu nezaregistruje.

Co se stane, když vypršela platnost hesla uživatele a pokusí se přihlásit pomocí předávacího ověřování?

Pokud jste pro konkrétního uživatele nakonfigurovali zpětný zápis hesla a pokud se uživatel přihlásí pomocí předávacího ověřování, může změnit nebo resetovat svá hesla. Hesla se zapisují zpět do místní Active Directory podle očekávání.

Pokud jste pro konkrétního uživatele nenakonfigurovali zpětný zápis hesla nebo pokud uživatel nemá přiřazenou platnou licenci Microsoft Entra ID, nemůže uživatel aktualizovat heslo v cloudu. Nemůžou aktualizovat heslo, i když vypršela jeho platnost. Místo toho se uživateli zobrazí tato zpráva: "Vaše organizace neumožňuje aktualizovat heslo na tomto webu. Aktualizujte ji podle metody doporučené vaší organizací nebo se zeptejte správce, jestli potřebujete pomoct." Uživatel nebo správce musí resetovat heslo v místní Active Directory.

Uživatel se přihlásí k Microsoft Entra ID pomocí přihlašovacích údajů (uživatelské jméno, heslo). Do té doby vyprší platnost hesla uživatele, ale uživatel bude mít přístup k prostředkům Microsoft Entra. Proč k tomu dochází?

Vypršení platnosti hesla neaktivuje odvolání ověřovacích tokenů ani souborů cookie. Dokud nebudou tokeny nebo soubory cookie platné, uživatel je bude moct používat. To platí bez ohledu na typ ověřování (PTA, PHS a federované scénáře).

Další podrobnosti najdete v následující dokumentaci:

Přístupové tokeny platformy Microsoft Identity Platform – Microsoft Identity Platform | Microsoft Docs

Jak vás předávací ověřování chrání před útoky hrubou silou na hesla?

Co komunikují předávací ověřovací agenti přes porty 80 a 443?

  • Agenti ověřování pro všechny operace funkcí zpřístupní požadavky HTTPS přes port 443.

  • Ověřovací agenti zasílali požadavky HTTP přes port 80, aby si stáhli seznamy odvolaných certifikátů TLS/SSL (CRLs).

    Poznámka

    Nedávné aktualizace snížily počet portů, které funkce vyžaduje. Pokud máte starší verze microsoft Entra Connect nebo ověřovacího agenta, nechte tyto porty otevřené i: 5671, 8080, 9090, 9091, 9350, 9352 a 10100-10120.

Můžou předávací ověřovací agenti komunikovat přes odchozí webový proxy server?

Ano. Pokud je ve vašem místním prostředí povolené automatické zjišťování webového proxy serveru (WPAD), ověřovací agenti se automaticky pokusí vyhledat a použít webový proxy server v síti. Další informace o používání odchozího proxy serveru najdete v tématu Práce se stávajícími místními proxy servery.

Pokud ve svém prostředí nemáte WPAD, můžete přidat informace o proxy serveru (jak je znázorněno níže), aby předávací ověřovací agent mohl komunikovat s ID Microsoft Entra:

  • Před instalací předávacího ověřovacího agenta na server nakonfigurujte informace o proxy serveru v Internet Exploreru. To vám umožní dokončit instalaci ověřovacího agenta, ale na portálu pro správu se bude stále zobrazovat jako Neaktivní .
  • Na serveru přejděte na C:\Program Files\Microsoft Azure AD Connect Authentication Agent.
  • Upravte konfigurační soubor AzureADConnectAuthenticationAgentService a přidejte následující řádky (nahraďte "http://contosoproxy.com:8080" se skutečnou adresou proxy serveru):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Můžu na stejný server nainstalovat dva nebo více agentů předávacího ověřování?

Ne, na jeden server můžete nainstalovat pouze jednoho předávacího ověřovacího agenta. Pokud chcete nakonfigurovat předávací ověřování pro vysokou dostupnost, postupujte podle zde uvedených pokynů.

Musím ručně obnovit certifikáty používané agenty předávacího ověřování?

Komunikace mezi každým předávacím ověřovacím agentem a ID Microsoft Entra je zabezpečená pomocí ověřování na základě certifikátů. Tyto certifikáty se automaticky obnovují každých několik měsíců pomocí ID Microsoft Entra. Tyto certifikáty není nutné obnovovat ručně. Starší certifikáty s vypršenou platností můžete vyčistit podle potřeby.

Návody odebrání předávacího ověřovacího agenta?

Pokud je spuštěný předávací ověřovací agent, zůstane aktivní a průběžně zpracovává žádosti o přihlášení uživatelů. Pokud chcete odinstalovat ověřovacího agenta, přejděte na Ovládací panely – Programy –>> Programy a funkce a odinstalujte jak agenta Microsoft Entra Connect Authentication Agent, tak programy Microsoft Entra Connect Agent Updater.

Pokud zkontrolujete okno Předávací ověřování v Centru pro správu Microsoft Entra jako alespoň správce hybridní identity. Měl by se zobrazit ověřovací agent, který se zobrazuje jako neaktivní. Očekává se to. Ověřovací agent se automaticky vyřadí ze seznamu po 10 dnech.

K přihlášení k MICROSOFT Entra ID už používám službu AD FS. Návody ho přepnout na předávací ověřování?

Pokud migrujete ze služby AD FS (nebo jiných federačních technologií) na předávací ověřování, důrazně doporučujeme postupovat podle našeho průvodce rychlým startem.

Můžu použít předávací ověřování v prostředí Active Directory s více doménovými strukturami?

Ano. Prostředí s více doménovými strukturami se podporují, pokud mezi doménovými strukturami služby Active Directory existují vztahy důvěryhodnosti (obousměrně) a pokud je správně nakonfigurované směrování přípon názvů.

Poskytuje předávací ověřování vyrovnávání zatížení napříč několika agenty ověřování?

Ne, instalace několika předávaných ověřovacích agentů zajišťuje pouze vysokou dostupnost. Neposkytuje deterministické vyrovnávání zatížení mezi agenty ověřování. Jakýkoli ověřovací agent (náhodně) může zpracovat konkrétní žádost o přihlášení uživatele.

Kolik agentů předávacího ověřování potřebuji nainstalovat?

Instalace několika předávaných ověřovacích agentů zajišťuje vysokou dostupnost. Neposkytuje ale deterministické vyrovnávání zatížení mezi ověřovacími agenty.

Zvažte špičku a průměrné zatížení žádostí o přihlášení, které očekáváte ve vašem tenantovi. Jako srovnávací test může jeden ověřovací agent zpracovat 300 až 400 ověřování za sekundu na standardním 4jádrovým procesoru, 16GB serveru RAM.

K odhadu síťového provozu použijte následující pokyny k určení velikosti:

  • Každý požadavek má velikost datové části (0,5K + 1K * num_of_agents) bajtů; to znamená, že data z Microsoft Entra ID do ověřovacího agenta. V této části "num_of_agents" označuje počet agentů ověřování zaregistrovaných ve vašem tenantovi.
  • Každá odpověď má velikost datové části 1K bajtů; to znamená, že data z ověřovacího agenta do Microsoft Entra ID.

Pro většinu zákazníků jsou celkem dostatečná dvě nebo tři agenty ověřování pro vysokou dostupnost a kapacitu. V produkčních prostředích ale doporučujeme mít ve svém tenantovi spuštěné minimálně 3 ověřovací agenty. Agenty ověřování byste měli nainstalovat blízko řadičů domény, aby se zlepšila latence přihlašování.

Poznámka

Pro tenanta platí limit systému 40 agentů ověřování.

Jakou roli potřebuji k povolení předávacího ověřování?

Doporučujeme povolit nebo zakázat předávací ověřování pomocí účtu správce hybridní identity. Tímto způsobem zajistíte, že se z tenanta nezamknete. ]

Jak můžu předávací ověřování zakázat?

Znovu spusťte průvodce Microsoft Entra Connect a změňte metodu přihlašování uživatele z předávacího ověřování na jinou metodu. Tato změna zakáže předávací ověřování v tenantovi a odinstaluje ověřovacího agenta ze serveru. Agenty ověřování musíte odinstalovat ručně z ostatních serverů.

Co se stane při odinstalaci předávacího ověřovacího agenta?

Pokud odinstalujete předávacího ověřovacího agenta ze serveru, způsobí to, že server přestane přijímat žádosti o přihlášení. Abyste se vyhnuli narušení přihlašovacích funkcí uživatele ve vašem tenantovi, před odinstalací předávacího ověřovacího agenta se ujistěte, že máte spuštěného dalšího ověřovacího agenta.

Mám staršího tenanta, který byl původně nastaven pomocí služby AD FS. Nedávno jsme migrovali na PTA, ale teď se nezobrazují změny hlavního názvu uživatele (UPN) synchronizované s Microsoft Entra ID. Proč se změny hlavního názvu uživatele (UPN) nesynchronují?

Za následujících okolností se vaše místní změny hlavního názvu uživatele (UPN) nemusí synchronizovat, pokud:

  • Tenant Microsoft Entra byl vytvořen před 15. červnem 2015.
  • Původně jste byli federováni s vaším tenantem Microsoft Entra pomocí služby AD FS pro ověřování.
  • Přepnuli jste na uživatele, kteří jako ověřování používají spravované uživatele.

Důvodem je to, že výchozí chování tenantů vytvořených před 15. červnem 2015 bylo blokovat změny hlavního názvu uživatele (UPN). Pokud potřebujete zrušit blokování změn hlavního názvu uživatele (UPN), musíte spustit následující rutinu PowerShellu. Získejte ID pomocí rutiny Get-MgDirectoryOnPremiseSynchronization .

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Tenanti vytvořená po 15. červnu 2015 mají výchozí chování synchronizace změn hlavního názvu uživatele (UPN).

Návody zaznamenání ID agenta PTA z protokolů přihlášení Microsoft Entra a serveru PTA k ověření, který server PTA byl použit pro událost přihlášení?

Ověření, který místní server nebo ověřovací agent se použil pro konkrétní událost přihlášení:

  1. V Centru pro správu Microsoft Entra přejděte na přihlašovací událost.

  2. Vyberte Podrobnosti o ověřování. Ve sloupci Podrobnosti metody ověřování se podrobnosti ID agenta zobrazují ve formátu Předávací ověřování; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

  3. Pokud chcete získat podrobnosti ID agenta pro agenta, který je nainstalovaný na místním serveru, přihlaste se k místnímu serveru a spusťte následující rutinu:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    Vrácená hodnota GUID je ID agenta ověřovacího agenta nainstalovaného na daném serveru. Pokud máte ve svém prostředí více agentů, můžete tuto rutinu spustit na každém serveru agenta a zaznamenat podrobnosti ID agenta.

  4. Korelujte ID agenta, které získáte z místního serveru a z protokolů přihlašování Microsoft Entra, a ověřte, který agent nebo server potvrdily žádost o podepsání.

Další kroky

  • Aktuální omezení: Seznamte se se scénáři, které jsou podporované, a ty, které nejsou podporované.
  • Rychlý start: Zprovoznění předávacího ověřování Microsoft Entra
  • Migrace aplikací do Microsoft Entra ID: Prostředky, které vám pomůžou migrovat přístup k aplikacím a ověřování na Microsoft Entra ID.
  • Inteligentní uzamčení: Zjistěte, jak nakonfigurovat funkci inteligentního uzamčení ve vašem tenantovi za účelem ochrany uživatelských účtů.
  • Podrobné technické informace: Seznamte se s fungováním funkce předávacího ověřování.
  • Řešení potíží: Zjistěte, jak vyřešit běžné problémy s funkcí předávacího ověřování.
  • Podrobné informace o zabezpečení: Získejte podrobné technické informace o funkci předávacího ověřování.
  • Hybridní připojení Microsoft Entra: Nakonfigurujte v tenantovi možnost hybridního připojení Microsoft Entra pro jednotné přihlašování napříč cloudovými a místními prostředky.
  • Bezproblémové jednotné přihlašování microsoftu Entra: Přečtěte si další informace o této doplňkové funkci.
  • UserVoice: K vytvoření nových žádostí o funkce použijte fórum Microsoft Entra.