Вход в систему пользователя с помощью сквозной проверки подлинности Microsoft Entra

Что такое механизм сквозной проверки подлинности Microsoft Entra?

Сквозная проверка подлинности Microsoft Entra позволяет пользователям входить как в локальные, так и облачные приложения, используя одни и те же пароли. Эта функция улучшает опыт пользователей — им нужно запоминать на один пароль меньше и снижает затраты на службу поддержки IT, поскольку пользователи менее вероятно забудут, как войти. При входе пользователей с помощью идентификатора Microsoft Entra эта функция проверяет пароли пользователей непосредственно в локальной среде Active Directory.

Эта функция является альтернативой синхронизации хэша паролей Microsoft Entra, что обеспечивает те же преимущества облачной проверки подлинности для организаций. Однако некоторые организации, желающие применить локальные политики безопасности и паролей Active Directory, могут вместо этого использовать сквозную проверку подлинности. Ознакомьтесь с этим руководством , чтобы сравнить различные методы входа Microsoft Entra и выбрать подходящий для вашей организации.

Можно объединить функцию сквозной аутентификации с функцией бесшовного единого входа. Если у вас есть компьютеры с Windows 10 или более поздней версии, используйте гибридное соединение Microsoft Entra (AADJ). Таким образом, когда пользователи получают доступ к приложениям на своих корпоративных компьютерах в корпоративной сети, им не нужно вводить пароли для входа.

Основные преимущества использования сквозной проверки подлинности Microsoft Entra

• отличное взаимодействие с пользователем
  • Пользователи используют одни и те же пароли для входа в локальные и облачные приложения.
  • Пользователи тратят меньше времени на общение с ИТ-помощником по устранению проблем, связанных с паролем.
  • Пользователи могут завершать задачи самостоятельного управления паролями в облаке.
• Простое развертывание & администрировать
  • Нет необходимости в сложных локальных развертываниях или конфигурации сети.
  • Требуется установить легковесный агент локально.
  • Нет затрат на управление. Агент автоматически получает улучшения и исправления ошибок.
• Безопасность
  • Локальные пароли никогда не хранятся в облаке в любой форме.
  • Защищает учетные записи пользователей путем простой работы с политиками условного доступа Microsoft Entra, включая многофакторную проверку подлинности (MFA), блокировать устаревшие проверки подлинности и отфильтровывать атаки подбора паролей.
  • Агент выполняет исходящие подключения только из вашей сети. Поэтому не требуется устанавливать агент в периферийной сети, также известной как демилитаризованная зона (DMZ).
  • Обмен данными между агентом и идентификатором Microsoft Entra обеспечивается с помощью проверки подлинности на основе сертификатов. Эти сертификаты автоматически обновляются каждые несколько месяцев идентификатором Microsoft Entra.
• Высокая доступность
  • Дополнительные агенты можно установить на нескольких локальных серверах, чтобы обеспечить высокий уровень доступности запросов на вход.

Основные сведения о функциях

• Поддерживает вход пользователей во все веб-приложения и в клиентские приложения Microsoft Office, использующие современную аутентификацию.
• Имена пользователей входа могут быть локальным именем пользователя по умолчанию (userPrincipalName) или другим атрибутом, настроенным в Microsoft Entra Connect (известный как Alternate ID).
• Эта функция легко работает с функциями условного доступа, такими как многофакторная проверка подлинности (MFA), для повышения безопасности ваших пользователей.
• Интегрирована с облачными самостоятельного управления паролями, включая обратную запись паролей в локальную службу Active Directory и защиту паролей путем запрета часто используемых паролей.
• Среды с несколькими лесами поддерживаются, если между этими лесами AD есть лесные доверительные отношения и правильно настроена маршрутизация суффикса имен.
• Это бесплатная функция, и вам не нужны платные выпуски Идентификатора Microsoft Entra для его использования.
• Его можно включить с помощью Microsoft Entra Connect.
• Он использует упрощенный локальный агент, который прослушивает и отвечает на запросы проверки пароля.
• Установка нескольких агентов обеспечивает высокий уровень доступности запросов на вход.
• Он защищает ваши локальные учетные записи от атак методом грубой силы в облаке.

Дальнейшие действия

• Быстрый старт - Начало работы с сквозной аутентификацией Microsoft Entra.
• Перенос приложений на идентификатор Microsoft Entra ID: ресурсы, помогающие перенести доступ к приложениям и проверку подлинности в идентификатор Microsoft Entra.
• Smart Lockout. Настройте функцию Smart Lockout в тенанте, чтобы защитить учетные записи пользователей.
• гибридное соединение Microsoft Entra. Настройка возможности гибридного соединения Microsoft Entra в клиенте для единого входа в облаке и локальных ресурсах.
• Текущие ограничения - Узнайте, какие сценарии поддерживаются, а какие нет.
• Технический подробный обзор - Понять, как работает эта функция.
• часто задаваемые вопросы — ответы на часто задаваемые вопросы.
• Решение неполадок. Узнайте, как решать распространенные проблемы с этой функцией.
• Углубленное изучение безопасности — дополнительные подробные технические сведения о функции.
• бесшовный единый вход Microsoft Entra. Подробнее об этой комплементарной функции.
• UserVoice — для подачи новых запросов на функции.