Microsoft Entra Connect 用户登录选项

Microsoft Entra Connect 可让用户使用同一组密码登录云和本地资源。 本文介绍每个标识模型的重要概念,帮助选择登录到 Microsoft Entra ID 时需要使用的标识。

如果你已熟悉 Microsoft Entra 标识模型,并且想详细了解某个特定的方法,则请参阅相应的链接:

注意

请务必记住,为 Microsoft Entra ID 配置联合后,可以在 Microsoft Entra 租户和联合域之间建立信任。 拥有此信任的联合域用户将有权访问该租户内的 Microsoft Entra 云资源。

为组织选择用户登录方法

实现 Microsoft Entra Connect 的第一个决策是选择用户用于登录的身份验证方法。 必须确保选择符合组织安全要求和高级要求的适当方法。 身份验证至关重要,因为它用于验证访问云中应用和数据的用户的身份。 若要选择适当的身份验证方法,需要考虑时间、现有基础结构、复杂性和实现所选内容的成本。 这些因素对每个组织都不同,并可能随时间变化。

Microsoft Entra ID 支持以下身份验证方法:

  • 云身份验证:选择此身份验证方法时,Microsoft Entra ID 处理用户登录的身份验证过程。 使用云身份验证时,可以选择:

    • 密码哈希同步 (PHS) - 通过密码哈希同步,用户可使用与其在本地使用的相同用户名和密码,不必部署除 Microsoft Entra Connect 外的任意其他基础结构。
  • 联合身份验证 - 选择此身份验证方法时,Microsoft Entra ID 将身份验证过程移交给单独的受信任身份验证系统(例如 AD FS 或第三方联合身份验证系统)来验证用户登录。

对于只想让用户登录 Microsoft 365 和其他基于 Microsoft Entra ID 的资源的大多数组织,我们建议使用默认的密码哈希同步选项。

密码哈希同步

凭借密码哈希同步,可将用户密码的哈希从本地 Active Directory 同步到 Microsoft Entra ID。 当在本地更改或重置密码时,新密码哈希将立即同步到 Microsoft Entra ID,以便用户始终可用相同密码访问云资源与本地资源。 密码永远不会发送到 Microsoft Entra ID,也不会以明文形式存储在 Microsoft Entra ID 中。 你可将密码哈希同步与密码写回一起使用,以在 Microsoft Entra ID 中启用自助式密码重置。

Password hash synchronization

有关详细信息,请参阅密码哈希同步一文。

在 Windows Server 2012 R2 中使用新的或现有 AD FS 场进行联合身份验证

凭借联合登录,用户可以使用其本地密码登录到基于 Microsoft Entra ID 的服务。 当用户处于企业网络上时,他们甚至无需输入其密码。 使用 AD FS 的联合身份验证选项,可在 Windows Server 2012 R2 中部署新的或现有的 AD FS 场。 如果你选择指定现有场,Microsoft Entra Connect 将配置该场和 Microsoft Entra ID 之间的信任,以便用户可以登录。

Federation with AD FS in Windows Server 2012 R2

在 Windows Server 2012 R2 中部署使用 AD FS 的联合身份验证

如果要部署新场,则需要:

  • 用于联合服务器的 Windows Server 2012 R2 服务器。
  • 用于 Web 应用程序代理的 Windows Server 2012 R2 服务器。
  • 一个 .pfx 文件,其中包含一个所需联合服务名称的 TLS/SSL 证书。 例如:fs.contoso.com。

如果要部署新场或使用现有场,则需要:

  • 联合服务器上的本地管理员凭据。
  • 要将 Web 应用程序代理角色部署在上面的任何工作组服务器(未加入域)上的本地管理员凭据。
  • 运行向导的计算机能够通过 Windows 远程管理连接到要安装 AD FS 或 Web 应用程序代理的任何其他计算机。

使用 PingFederate 进行联合身份验证

凭借联合登录,用户可以使用其本地密码登录到基于 Microsoft Entra ID 的服务。 当用户处于企业网络上时,他们甚至无需输入其密码。

有关配置 PingFederate 以便与 Microsoft Entra ID 配合使用的详细信息,请参阅 PingFederate 与 Microsoft Entra ID 和 Microsoft 365 的集成

有关使用 PingFederate 设置 Microsoft Entra Connect 的信息,请参阅 Microsoft Entra Connect 自定义安装

使用早期版本的 AD FS 或第三方解决方案登录

如果已使用早期版本的 AD FS(例如 AD FS 2.0)或第三方联合身份验证提供程序配置了云登录,则可以通过 Microsoft Entra Connect 选择跳过用户登录配置。 这样,便可以获取最新的同步和 Microsoft Entra Connect 的其他功能,同时仍可使用现有的解决方案进行登录。

有关详细信息,请参阅 Microsoft Entra 第三方联合身份验证兼容性列表

用户登录名和用户主体名

了解用户主体名

在 Active Directory 中,默认的用户主体名 (UPN) 后缀是在其中创建用户帐户的域的 DNS 名称。 在大多数情况下,这是在 Internet 上注册为企业域的域名。 但是,可以使用 Active Directory 域和信任来添加更多的 UPN 后缀。

用户的 UPN 的格式为 username@domain。 例如,对于名为“contoso.com”的 Active Directory 域,名为 John 的用户的 UPN 可能是“john@contoso.com”。 用户的 UPN 基于 RFC 822。 尽管 UPN 和电子邮件共享相同的格式,但用户的 UPN 值与用户的电子邮件地址可能相同,也可能不相同。

Microsoft Entra ID 中的用户主体名称

Microsoft Entra Connect 向导使用 userPrincipalName 属性,或让你从本地指定(在自定义安装中)要用作 Microsoft Entra ID 中的用户主体名的属性。 这是用于登录到 Microsoft Entra ID 的值。 如果 userPrincipalName 属性的值不对应于 Microsoft Entra ID 中已验证的域,则 Microsoft Entra ID 会将该值替换为默认的 .partner.onmschina.cn 值。

Microsoft Entra ID 中的每个目录随附内置域名,格式为 contoso.partner.onmschina.cn,可让你开始使用 Azure 或其他 Microsoft 服务。 可以使用自定义域来改善和简化登录体验。 有关 Microsoft Entra ID 中的自定义域名以及如何验证域的信息,请参阅将自定义域名添加到 Microsoft Entra ID

Microsoft Entra 登录配置

使用 Microsoft Entra Connect 进行 Microsoft Entra 登录配置

Microsoft Entra 登录体验取决于 Microsoft Entra ID 是否可与正在同步到 Microsoft Entra 目录中已验证自定义域之一的用户的用户主体名称后缀相匹配。 在配置 Microsoft Entra 登录设置时 Microsoft Entra Connect 将提供帮助,使用户在云中能获得类似于本地登录的登录体验。

Microsoft Entra Connect 列出了为域定义的 UPN 后缀,并尝试在 Microsoft Entra ID 中将其与自定义域进行匹配。 然后它会帮助你执行需要执行的相应操作。 Microsoft Entra 登录页列出了为本地 Active directory 定义的 UPN 后缀,并根据每个后缀显示相应的状态。 状态值可以是下列其中一项:

状态 说明 所需操作
已验证 Microsoft Entra Connect 在 Microsoft Entra ID 中找到了匹配的已验证域。 此域的所有用户均可使用其本地凭据登录。 无需采取任何措施。
未验证 Microsoft Entra Connect 在 Microsoft Entra ID 中找到了匹配的自定义域,但该域尚未验证。 如果域未验证,则在同步后此域的用户的 UPN 后缀将更改为默认的 .partner.onmschina.cn 后缀。 在 Microsoft Entra ID 中验证自定义域。
未添加 Microsoft Entra Connect 未找到对应于 UPN 后缀的自定义域。 如果未在 Azure 中添加域且域未进行验证,则此域的用户的 UPN 后缀将更改为默认的 .partner.onmschina.cn 后缀。 添加和验证与 UPN 后缀相对应的自定义域。

Microsoft Entra 登录页列出了针对本地 Active Directory 定义的 UPN 后缀,以及 Microsoft Entra ID 中对应的自定义域与当前验证状态。 在自定义安装中,现在可以在“Microsoft Entra 登录”页上选择用户主体名的属性。

Microsoft Entra sign-in page

可以单击“刷新”按钮,从 Microsoft Entra ID 中重新提取自定义域最新的状态。

在 Microsoft Entra ID 中选择用户主体名称的属性

属性 userPrincipalName 是用户登录到 Microsoft Entra ID 和 Microsoft 365 时使用的属性。 应在同步处理用户之前对在 Microsoft Entra ID 中使用的域(也称为 UPN 后缀)进行验证。

强烈建议保留默认属性 userPrincipalName。 如果此属性不可路由且无法验证,则可以选择另一个属性(例如 email)作为保存登录 ID 的属性。 这就是所谓的备用 ID。 “备用 ID”属性值必须遵循 RFC 822 标准。

注意

所有 Microsoft 365 工作负荷都不允许使用替代 ID。 有关详细信息,请参阅配置备用登录 ID

不同的自定义域状态及其对 Azure 登录体验的影响

请务必要了解 Microsoft Entra 目录中的自定义域状态与本地定义的 UPN 后缀之间的关系。 让我们逐步了解当使用 Microsoft Entra Connnect 设置同步时可能遇到的不同 Azure 登录体验。

对于下面的信息,假设我们所关注的是 UPN 后缀 contoso.com,它在本地目录中用作 UPN 的一部分,例如 user@contoso.com。

快速设置/密码哈希同步
状态 对 Azure 用户登录体验的影响
未添加 在这种情况下,并未在 Microsoft Entra 目录中针对 contoso.com 添加任何自定义域。 在本地具有后缀 @contoso.com 的 UPN 的用户将无法使用其本地 UPN 来登录 Azure。 他们必须改用 Microsoft Entra ID 通过添加默认 Microsoft Entra 目录的后缀提供给他们的新 UPN。 例如,如果要将用户同步到 Microsoft Entra 目录 azurecontoso.partner.onmschina.cn,则会为本地用户 user@contoso.com 指定 UPN user@azurecontoso.partner.onmschina.cn。
未验证 在这种情况下,我们拥有已添加在 Microsoft Entra 目录中的自定义域 contoso.com。 但是,该域尚未验证。 如果在没有验证域的情况下继续同步用户,则 Microsoft Entra ID 将为用户分配新 UPN,如同“未添加”方案中所做的一样。
已验证 在这种情况下,我们拥有已在 Microsoft Entra ID 中为 UPN 后缀添加并验证了的自定义域 contoso.com。 在用户被同步到 Microsoft Entra ID 后,他们可以使用其本地用户主体名(例如 user@contoso.com)登录到 Azure。
AD FS 联合

无法使用 Microsoft Entra ID 中的默认 .partner.onmschina.cn 域或 Microsoft Entra ID 中未验证的自定义域创建联合。 在运行 Microsoft Entra Connect 向导时,如果选择要与未验证的域创建联合,Microsoft Entra Connect 将发出提示,并提供要创建的其中包含为域托管 DNS 位置的所需记录。 有关详细信息,请参阅验证选择用于联合的 Microsoft Entra 域

如果选择的用户登录选项为“与 AD FS 联合”,则必须有一个自定义域才能继续在 Microsoft Entra ID 中创建联合。 针对我们的讨论,这意味着我们应在 Microsoft Entra 目录中添加自定义域 contoso.com。

状态 对 Azure 用户登录体验的影响
未添加 在这种情况下,Microsoft Entra Connect 在 Microsoft Entra 目录中将找不到与 UPN 后缀 contoso.com 匹配的自定义域。 如果需要让用户在 AD FS 中使用其本地 UPN(例如 user@contoso.com)登录,则需要添加自定义域 contoso.com。
未验证 在这种情况下,Microsoft Entra Connect 将发出提示,并提供有关如何在后面的阶段验证域的相应详细信息。
已验证 在这种情况下,可以继续进行配置,而不需要采取任何进一步的操作。

更改用户登录方法

在使用向导完成 Microsoft Entra Connect 的初始配置后,可以使用 Microsoft Entra Connect 中的可用任务将用户的登录方法从“联合身份验证”、“密码哈希同步”更改为其他方法。 再次运行 Microsoft Entra Connect 向导,随后将看到可执行的任务列表。 在任务列表中选择“更改用户登录”。

Change user sign-in

在下一页上,系统将要求提供 Microsoft Entra ID 的凭据。

Screenshot that shows where you should type the credentials for Microsoft Entra ID.

在“用户登录” 页上,选择所需的用户登录选项。

Connect to Microsoft Entra ID

注意

如果只是要暂时切换到密码哈希同步,请选中“请勿切换用户帐户” 复选框。 不选中该选项会将每个用户转换为联合用户,并且该操作可能需要花费几小时。

后续步骤