¿Cómo habilitar la autenticación PassThrough de Azure AD? – 2xsoftware

Con Azure AD, puede usar una de las tres opciones para autenticar a los usuarios de la nube en el Active Directory local:

  • Sincronización de hash de contraseña (PHS).
  • Autenticación de paso (PTA).
  • Servicios de federación de Active Directory (AD FS).

Después de implementar Azure AD Connect, puede habilitar la sincronización de hash de contraseña para sincronizar contraseñas de Active Directory local con Azure AD. Si no desea sincronizar hashes de contraseñas de AD local a la nube por razones de seguridad, Autenticación de paso se puede utilizar como una alternativa a PHS.

Nota. Cuando se usa AD FS, toda la autenticación siempre se realiza en el lado de AD local. Sin embargo, esta opción es la más difícil de configurar y mantener.

La autenticación PassThrough de Azure permite a los usuarios usar una sola contraseña para acceder tanto a los servicios locales como a los servicios en la nube de Azure. La contraseña y el hash de contraseña no se envían a través de la red. Con PTA, el hash de la contraseña no se transfiere a la nube porque la autenticación se realiza localmente contra Active Directory. ¿Como funciona?

  1. El administrador implementa un agente ligero en el dispositivo que ejecuta Azure AD Connect en su red local (se pueden implementar varios agentes de PTA para lograr una alta disponibilidad). Estos agentes establecen una conexión saliente persistente a Azure AD y pasan solicitudes de autenticación al Active Directory local (los puertos 443/TCP y 80/TCP se usan para la interacción);
  2. Cuando un usuario se autentica en un recurso en la nube, Azure cifra la contraseña ingresada con las claves públicas del agente y la envía al agente de autenticación de Azure AD Connect;
  3. El agente de PTA se autentica en ADDS local y devuelve información a Azure: si la autenticación se realizó correctamente; información de caducidad de la contraseña. Si la cuenta de usuario está bloqueada o deshabilitada en AD local, el usuario no podrá autenticarse en la aplicación M365 basada en la nube;
  4. Si un usuario de Azure AD tiene MFA habilitado, deberá confirmar la autenticación y luego podrá acceder a la aplicación.

Luego habilite la PTA en el host de Windows donde está instalado Azure AD Connect:

  1. Ejecute Azure AD Connect y seleccione Configurar;
  2. Seleccione Cambiar inicio de sesión de usuario > Siguiente;
  3. Habilitar la opción Autenticación de paso;
  4. Azure AD Connect descargará e instalará automáticamente los siguientes servicios adicionales en su host de Windows:
    Actualizador del agente de Microsoft Azure AD Connect
    Agente de autenticación de Microsoft Azure AD Connect
    Paquete de autenticación de Microsoft Azure AD Connect
    pasar a través de la autenticación

Nota. Puede descargar directamente el archivo de instalación AAADConnectAuthAgentSetup.exe desde https://aka.ms/getauthagent.

Compruebe si PTA ahora está habilitado en Azure Portal:

  1. Registrarse en https://portal.azure.com/;
  2. Vaya a Azure Active Directory > Azure AD Connect;
  3. Verifique que la autenticación de paso a través ahora esté habilitada. También puede ver la lista de hosts donde AAADConnectAuthAgent esta instalado.
    paso azul a través de la autenticación

Si desinstaló el Agente de autenticación de Azure AD Connect en cualquier servidor, se vuelve Inactivo. No puede quitar manualmente una PTA inactiva de un portal de Azure. Espere unos días y se eliminará automáticamente.

azure ad connect pase a través de la autenticación

Si necesita solucionar problemas de PTA, consulte los registros de autenticación PassThrough en el Visor de eventos (Registros de aplicaciones y servicios > Microsoft > AzureAdConnect > AuthenticationAgent > Admin) y el archivo %ProgramData%MicrosoftAzure AD Connect Authentication AgentTrace.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *