Autenticação de Passagem do Microsoft Entra: Perguntas frequentes

Este artigo aborda as respostas para perguntas frequentes sobre a autenticação de passagem do Microsoft Entra. Continue verificando conteúdo atualizado.

Qual dos métodos para entrar no Microsoft Entra ID, Autenticação de Passagem, sincronização de hash de senha e Serviços de Federação do Active Directory (AD FS), devo escolher?

Leia este guia para uma comparação entre os vários métodos de conexão do Microsoft Entra e como escolher o método de entrada certo para a sua organização.

A Autenticação de Passagem é um recurso gratuito?

A Autenticação de Passagem é um recurso gratuito. Você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

O Acesso Condicional funciona com a Autenticação de Passagem?

Sim. Todas as funcionalidades de Acesso Condicional, incluindo a autenticação multifator do Microsoft Entra, funcionam com a autenticação de passagem.

A Autenticação de Passagem dá suporte à "ID alternativa" como nome de usuário, em vez de "userPrincipalName"?

Sim, a PTA (autenticação de passagem) e a PHS (sincronização de hash de senha) dão suporte à entrada por meio de um valor não UPN, como um email alternativo. Para saber mais, confira ID de logon alternativa.

A sincronização de hash de senha funciona como um fallback da Autenticação de Passagem?

Não. A Autenticação de Passagem não realiza o failover automaticamente para a sincronização de hash de senha. Para evitar falhas de entrada do usuário, você deve configurar a Autenticação de Passagem para alta disponibilidade.

O que acontece quando alterno da sincronização de hash de senha para a autenticação de passagem?

Quando você usa o Microsoft Entra Connect para alternar o método de entrada da sincronização de hash de senha para a autenticação de passagem, a autenticação de passagem torna-se o método de entrada primário para seus usuários em domínios gerenciados. Os hashes de senha de todos os usuários que foram sincronizados anteriormente pela sincronização de hash de senha permanecem armazenados no Microsoft Entra ID.

Posso instalar um conector de rede privada do Microsoft Entra no mesmo servidor que um Agente de Autenticação de Passagem?

Sim. As versões remodeladas do Agente de Autenticação de passagem, versões 1.5.193.0 ou posteriores, dão suporte a esta configuração.

De quais versões do Microsoft Entra Connect e do Agente de Autenticação de Passagem você precisa?

Para que esse recurso funcione, você precisa da versão 1.1.750.0 ou posterior para o Microsoft Entra Connect e 1.5.193.0 ou posterior para o Agente de Autenticação de Passagem. Instale o software em servidores com Windows Server 2012 R2 ou posterior.

Por quê meu conector ainda está usando uma versão mais antiga e não é atualizado automaticamente para a versão mais recente?

Isso pode ser porque o serviço atualizador não funciona corretamente ou se não houver nenhuma nova atualização disponível que o serviço possa instalar. O serviço de atualizador estará íntegro se estiver sendo executado e não houver erros registrados no log de eventos (Logs de Serviços e Aplicativos –> Microsoft –> AzureADConnect-Agent –> Atualizador –> Administrador).

Somente as versões principais estão liberadas para atualização automática. É recomendável atualizar o Agente manualmente somente se necessário. Por exemplo, não é possível aguardar uma versão principal, pois é necessário corrigir um problema conhecido ou você deseja usar um novo recurso. Para obter mais informações sobre novas versões, o tipo da versão (download, atualização automática), correções de bugs e novos recursos, confira Agente de autenticação de passagem do Microsoft Entra: Histórico de lançamento de versões.

Para atualizar manualmente um conector:

  • Baixe a versão mais recente do Agente. (Encontre-a em Microsoft Entra Connect Autenticação de Passagem no centro de administração do Microsoft Entra. Você também pode encontrar o link em Autenticação de passagem do Microsoft Entra: histórico de lançamento de versões.
  • O instalador reinicia os serviços do Agente de Autenticação do Microsoft Entra Connect. Em alguns casos, uma reinicialização do servidor é necessária se o instalador não pode substituir todos os arquivos. Recomendamos fechar todos os aplicativos antes de você iniciar a atualização.
  • Execute o instalador. O processo de atualização é rápido e não exige nenhuma credencial, e o Agente não será registrado novamente.

O que acontece se minha senha de usuário tiver expirado e eu tentar entrar usando a Autenticação de Passagem?

Caso você tenha configurado write-back de senha para um usuário específico e o usuário entrar usando a Autenticação de Passagem, ele poderá alterar ou redefinir sua senha. As senhas serão gravadas de volta no Active Directory local conforme o esperado.

Se você não tiver configurado o write-back de senha para um usuário específico ou se o usuário não tiver uma licença válida do Microsoft Entra ID atribuída, ele não poderá atualizar a senha na nuvem. Ele não poderá atualizar a senha mesmo que ela tenha expirado. Em vez disso, o usuário verá essa mensagem: “Sua organização não permite que você atualize sua senha neste site. Atualize-o de acordo com o método recomendado pela sua organização ou pergunte ao administrador se você precisar de ajuda." O usuário ou o administrador deve redefinir sua senha no local Active Directory.

O usuário faz logon no Microsoft Entra ID com as credenciais (nome de usuário e senha). Enquanto isso, a senha do usuário expira, mas o usuário ainda pode acessar recursos do Microsoft Entra. Por que isso acontece?

A expiração da senha não dispara a revogação de tokens de autenticação ou cookies. O usuário poderá usar os tokens ou os cookies até a validade. Isso se aplica independentemente do tipo de autenticação (PTA, PHS e cenários federados).

Para obter mais detalhes, confira a documentação abaixo:

Tokens de acesso à plataforma de identidade da Microsoft – plataforma de identidade da Microsoft | Microsoft Docs

Como a Autenticação de Passagem protege você contra ataques de senha de força bruta?

O que os Agentes de Autenticação de Passagem comunicam pelas portas 80 e 443?

  • Os Agentes de Autenticação fazem solicitações HTTPS pela porta 443 para todas as operações de recurso.

  • Os Agentes de Autenticação fazem solicitações HTTP pela porta 80 para baixar CRLs (listas de certificados revogados) TLS/SSL.

    Observação

    As atualizações recentes reduziram o número de portas exigidas pelo recurso. Se você tiver versões mais antigas do Microsoft Entra Connect ou do Agente de Autenticação, mantenha estas portas abertas também: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Os Agentes de Autenticação de Passagem podem se comunicar através de um servidor proxy da Web de saída?

Sim. Se a Descoberta Automática de Proxy da Web (WPAD) estiver habilitado em seu ambiente local, os Agentes de Autenticação tentarão automaticamente localizar e usar um servidor proxy da Web na rede. Para obter mais informações sobre como usar o servidor proxy de saída, consulte Trabalhar com servidores proxy locais existentes.

Se você não tiver o WPAD em seu ambiente, você pode adicionar informações de proxy (conforme mostrado abaixo) para permitir que um agente de autenticação de passagem para se comunicar com o Microsoft Entra ID:

  • Configure informações de proxy no Internet Explorer antes de instalar o agente de autenticação de passagem no servidor. Isso permite que você conclua a instalação do Agente de Autenticação, mas ele ainda será exibido como Inativo no Portal de administração.
  • No servidor, navegue até "C:\Arquivos de Programas\Microsoft Azure AD Connect Authentication Agent".
  • Edite o arquivo de configuração "AzureADConnectAuthenticationAgentService" e adicione as seguintes linhas (substitua "http://contosoproxy.com:8080" pelo seu endereço de proxy real):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Eu posso instalar dois ou mais Agentes de Autenticação de Passagem no mesmo servidor?

Não, você só pode instalar um Agente de Autenticação de Passagem em um único servidor. Se você quiser configurar a autenticação de passagem para alta disponibilidade, siga as instruções aqui.

Preciso renovar manualmente os certificados usados pelos Agentes de Autenticação de Passagem?

A comunicação entre cada Agente de Autenticação de Passagem e o Microsoft Entra ID é protegida com a autenticação baseada em certificado. Esses certificados são renovados automaticamente a cada poucos meses pelo Microsoft Entra ID. Não é necessário renovar esses certificados manualmente. Você pode limpar os certificados expirados mais antigos, conforme o necessário.

Como fazer para remover um Agente de Autenticação de Passagem?

Enquanto um Agente de Autenticação de Passagem estiver em execução, ele permanecerá ativo e continuamente lidará com solicitações de entrada de usuários. Se você quiser desinstalar um Agente de Autenticação, acesse Painel de Controle -> Programas - > Programas e Recursos e desinstale os programas Agente de Autenticação do Microsoft Entra Connect e o Atualizador do Agente do Microsoft Entra Connect.

Se você verificar a folha de Autenticação de Passagem no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida. Você deve ver o Agente de Autenticação sendo exibido como Inativo. Isso é esperado. O Agente de Autenticação será descartado automaticamente da lista depois de dez dias.

Já uso o AD FS para entrar no Microsoft Entra ID. Como fazer para passar dele para a Autenticação de Passagem?

Caso você esteja migrando do AD FS (ou de outras tecnologias de federação) para a autenticação de passagem, recomendamos fortemente que você siga nosso guia de início rápido.

Eu posso usar a Autenticação de Passagem em um ambiente de várias floresta do Active Directory?

Sim. Ambientes de várias florestas terão suporte se houver relações de confiança (bidirecionais) entre suas florestas do Active Directory e se o roteamento de sufixo de nome estiver configurado corretamente.

A autenticação de passagem fornece balanceamento de carga entre vários Agentes de Autenticação?

Não, a instalação de vários Agentes de Autenticação de Passagem garante a alta disponibilidade. Ele não fornece o balanceamento de carga determinístico entre os Agentes de Autenticação. Qualquer agente de autenticação (aleatório) pode processar uma solicitação de entrada do usuário específico.

Quantos Agentes de Autenticação de Passagem preciso instalar?

A instalação de vários Agentes de Autenticação de Passagem garante a alta disponibilidade. No entanto, ele não fornece o balanceamento de carga determinístico entre os Agentes de Autenticação.

Considere o horário de pico e a carga média de solicitações de entrada que você espera ver no seu locatário. Como um parâmetro de comparação, um único Agente de autenticação pode manipular de 300 a 400 autenticações por segundo em um servidor padrão com CPU de 4 núcleos e 16 GB de RAM.

Para estimar o tráfego de rede, use as seguintes diretrizes de tamanho:

  • Cada solicitação tem um tamanho de carga de (0,5 K + 1 K * num_of_agents) bytes; ou seja, de dados do Microsoft Entra ID para o agente de autenticação. Aqui, "num_of_agents" indica o número de Agentes de autenticação registrado no seu locatário.
  • Cada resposta tem um tamanho de carga de 1 KB; ou seja, de dados do agente de autenticação para o Microsoft Entra ID.

Para a maioria dos clientes, um total de dois ou três agentes de autenticação é o suficiente para alta disponibilidade e capacidade. No entanto, em ambientes de produção, recomendamos ter um mínimo de três agentes de autenticação em execução no locatário. Você deve instalar os Agentes de Autenticação perto de seus controladores de domínio para melhorar a latência de entrada.

Observação

Há um limite do sistema de 40 Agentes de Autenticação por locatário.

De qual função eu preciso para habilitar a autenticação de passagem?

Recomendamos que você habilite ou desabilite a autenticação de passagem usando uma conta de administrador de identidade híbrida. Fazendo dessa maneira garante que você não seja bloqueado de seu locatário. ]

Como posso desabilitar a Autenticação de Passagem?

Execute novamente o assistente Microsoft Entra Connect e altere o método de entrada do usuário de Autenticação de Passagem para outro método. Essa alteração desabilita a Autenticação de Passagem no locatário e desinstala o Agente de Autenticação do servidor. Você deve desinstalar manualmente os Agentes de Autenticação dos outros servidores.

O que acontece quando eu desinstalo um Agente de Autenticação de Passagem?

Se você desinstalar um Agente de Autenticação de Passagem de um servidor, ele faz o servidor parar de aceitar solicitações de entrada. Para evitar desativar o recurso de entrada do usuário em seu locatário, tenha outro Agente de Autenticação em execução antes de desinstalar um Agente de Autenticação de Passagem.

Eu tenho um locatário mais antigo que originalmente foi configurada usando o AD FS. Recentemente migrado para PTA, mas agora não está vendo nossas alterações UPN sincronizando com o Microsoft Entra ID. Por que as nossas mudanças UPN não estão sendo sincronizadas?

Nas seguintes circunstâncias, as alterações do UPN local não podem ser sincronizadas nos seguintes casos:

  • Seu locatário do Microsoft Entra foi criado antes de 15 de junho de 2015.
  • Você inicialmente foi federado com seu locatário do Microsoft Entra usando o AD FS para autenticação.
  • Você passou a ter usuários gerenciados usando PTA como autenticação.

Isso ocorre porque o comportamento padrão dos locatários criados antes de 15 de junho de 2015 era bloquear alterações o UPN. Se você precisar desbloquear as alterações de UPN, deverá executar o seguinte cmdlet do PowerShell. Obtenha a ID usando o cmdlet Get-MgDirectoryOnPremiseSynchronization.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Locatários criados depois de 15 de junho 2015 têm o comportamento padrão da sincronização de alterações UPN.

Como capturar a ID do Agente de PTA dos logs de entrada do Microsoft Entra e do servidor PTA para validar qual servidor PTA foi usado para um evento de entrada?

Para validar qual servidor local ou agente de autenticação foi usado para um evento de entrada específico:

  1. No centro de administração do Microsoft Entra, vá para o evento de entrada.

  2. Selecione Detalhes de Autenticação. Na coluna Detalhes do Método de Autenticação, os detalhes da ID do Agente são mostrados no formato "Autenticação de Passagem; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

  3. Para obter detalhes da ID do Agente para o agente instalado no servidor local, faça logon no servidor local e execute o seguinte cmdlet:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    O valor do GUID retornado é a ID do Agente de autenticação instalado nesse servidor específico. Se você tiver vários agentes no ambiente, poderá executar esse cmdlet em cada servidor do agente e capturar os detalhes da ID do Agente.

  4. Correlacione a ID do Agente obtida do servidor local e dos logs de entrada do Microsoft Entra para validar qual agente ou servidor confirmou a solicitação de assinatura.

Próximas etapas