Microsoft Entra Connect 允许用户使用相同的密码登录到云和本地资源。 本文介绍每个标识模型的关键概念,可帮助你选择要用于登录 Microsoft Entra ID 的标识。
如果已熟悉 Microsoft Entra 标识模型并想要了解有关特定方法的详细信息,请参阅相应的链接:
注释
请务必记住,通过为 Microsoft Entra ID 配置联合身份验证,可以在 Microsoft Entra 租户与联合域之间建立信任。 使用此信任的联合域用户将有权访问租户中的 Microsoft Entra 云资源。
为组织选择用户登录方法
实现 Microsoft Entra Connect 的第一个决定是选择用户用于登录的身份验证方法。 请务必确保选择符合组织安全性和高级要求的正确方法。 身份验证至关重要,因为它将验证用户的标识以访问云中的应用和数据。 若要选择正确的身份验证方法,需要考虑实现选择的时间、现有基础结构、复杂性和成本。 这些因素对每个组织都不同,并可能随时间变化。
Microsoft Entra ID 支持以下身份验证方法:
云身份验证 - 选择此身份验证方法时Microsoft Entra ID 处理用户的登录身份验证过程。 使用云身份验证,可以选择:
- 密码哈希同步 (PHS) - 密码 哈希同步使用户能够使用本地使用的相同用户名和密码,而无需部署除 Microsoft Entra Connect 之外的任何其他基础结构。
联合身份验证 - 选择此身份验证方法时Microsoft Entra ID 会将身份验证过程移交给单独的受信任身份验证系统,例如 AD FS 或第三方联合身份验证系统,以验证用户的登录。
对于大多数只想让用户登录Microsoft 365 和其他 Microsoft基于 Entra ID 的资源的组织,建议使用默认密码哈希同步选项。
密码哈希同步
凭借密码哈希同步,可将用户密码的哈希从本地 Active Directory 同步到 Microsoft Entra ID。 在本地更改或重置密码时,新的密码哈希将立即同步到 Microsoft Entra ID,以便用户始终可以将相同的密码用于云资源和本地资源。 密码永远不会发送到 Microsoft Entra ID 或以明文形式存储在 Microsoft Entra ID 中。 可以将密码哈希同步与密码写回一起使用,以便在 Microsoft Entra ID 中启用自助密码重置。
有关详细信息,请参阅 密码哈希同步 文章。
在 Windows Server 中使用新的或现有 AD FS 场进行联合身份验证
使用联合登录,用户可以使用其本地密码登录基于 Microsoft Entra ID 的服务。 当他们在企业网络上时,他们甚至不必输入密码。 使用 AD FS 的联合身份验证选项,可在 Windows Server 2022 中部署新的或现有的 AD FS 场。 如果选择指定现有服务器场,Microsoft Entra Connect 会配置您的服务器场与 Microsoft Entra ID 之间的信任,以便用户可以登录。
在 Windows Server 2022 中部署使用 AD FS 的联合身份验证
如果要部署新场,需要:
用于联合服务器的 Windows Server 2022 服务器。
用于 Web 应用程序代理的 Windows Server 2022 服务器。
一个 .pfx 文件,其中包含一个用于预期联合身份验证服务名称的 TLS/SSL 证书。 例如:fs.contoso.com。
如果要部署新场或使用现有场,则需要:
- 联合身份验证服务器上的本地管理员凭据。
- 计划部署 Web 应用程序代理角色的任何工作组服务器(未加入域)上的本地管理员凭据。
- 运行向导的计算机,该计算机要能够通过 Windows 远程管理连接到要安装 AD FS 或 Web 应用程序代理的任何其他计算机。
使用 PingFederate 进行联合身份验证
使用联合登录,用户可以通过其本地密码登录到基于 Microsoft Entra ID 的服务。 当他们在企业网络上时,他们甚至不必输入密码。
有关配置 PingFederate 以用于 Microsoft Entra ID 的详细信息,请参阅 Ping 标识支持。
有关使用 PingFederate 设置 Microsoft Entra Connect 的信息,请参阅 Microsoft Entra Connect 自定义安装
使用早期版本的 AD FS 或第三方解决方案登录
如果已使用早期版本的 AD FS(如 AD FS 2.0)或第三方联合身份验证提供程序配置云登录,则可以选择通过 Microsoft Entra Connect 跳过用户登录配置。 这使你能够获取最新同步和 Microsoft Entra Connect 的其他功能,同时仍使用现有解决方案进行登录。
有关详细信息,请参阅 Microsoft Entra 第三方联合兼容性列表。
用户登录和 UserPrincipalName
了解 UserPrincipalName
在 Active Directory 中,默认 UserPrincipalName (UPN) 后缀是创建用户帐户的域的 DNS 名称。 在大多数情况下,这是在 Internet 上注册为企业域的域名。 但是,你可以使用 Active Directory 域和信任管理器来添加更多的 UPN 后缀。
用户的 UPN 具有username@domain格式。 例如,对于名为“contoso.com”的 Active Directory 域,名为 John 的用户可能具有 UPN “”。john@contoso.com 用户的 UPN 基于 RFC 822。 尽管 UPN 和电子邮件共享相同的格式,但用户的 UPN 值可能与用户的电子邮件地址可能不同或可能不相同。
Microsoft Entra ID 中的 UserPrincipalName
Microsoft Entra Connect 向导使用 userPrincipalName 属性,或让你指定要在本地用作 Microsoft Entra ID 中的 UserPrincipalName 的属性(在自定义安装中)。 这是用于登录到 Microsoft Entra ID 的值。 如果 userPrincipalName 属性的值与 Microsoft Entra ID 中的已验证域不对应,则 Microsoft Entra ID 会将它替换为默认的 .partner.onmschina.cn 值。
Microsoft Entra ID 中的每个目录都有一个内置域名,其格式为 contoso.partner.onmschina.cn,使你能够开始使用 Microsoft Entra 或其他Microsoft联机服务。 可以使用自定义域改进和简化登录体验。 有关 Microsoft Entra ID 中的自定义域名以及如何验证域的信息,请参阅 将自定义域名添加到 Microsoft Entra ID。
Microsoft Entra 登录配置
使用 Microsoft Entra Connect 进行 Microsoft Entra 登录配置
Microsoft Entra 登录体验取决于 Microsoft Entra ID 是否可以匹配正在同步到 Microsoft Entra 目录中验证的自定义域之一的用户的 UserPrincipalName 后缀。 Microsoft Entra Connect 在配置 Microsoft Entra 登录设置时提供帮助,以便云中的用户登录体验类似于本地体验。
Microsoft Entra Connect 列出了为域定义的 UPN 后缀,并尝试将其与 Microsoft Entra ID 中的自定义域匹配。 然后它会帮助你执行需要执行的相应操作。 Microsoft Entra 登录页列出了为本地 Active Directory 定义的 UPN 后缀,并针对每个后缀显示相应的状态。 状态值可以是下列值之一:
| 国家 | DESCRIPTION | 所需操作 |
|---|---|---|
| 已验证 | Microsoft Entra Connect 在 Microsoft Entra ID 中找到了匹配的已验证域。 此域的所有用户都可以使用其本地凭据登录。 | 无需执行任何操作。 |
| 未验证 | Microsoft Entra Connect 在 Microsoft Entra ID 中找到了匹配的自定义域,但未验证。 如果域尚未验证,则此域用户的 UPN 后缀将在同步后更改为默认的 .partner.onmschina.cn 后缀。 | 验证Microsoft Entra ID 中的自定义域。 |
| 未添加 | Microsoft Entra Connect 找不到对应于 UPN 后缀的自定义域。 如果未在 Entra ID 中添加并验证该域,则该域用户的 UPN 后缀将更改为默认的 .partner.onmschina.cn 后缀。 | 添加并验证对应于 UPN 后缀的自定义域。 |
Microsoft Entra 登录页列出了为本地 Active Directory 定义的 UPN 后缀,以及具有当前验证状态的 Microsoft Entra ID 中的相应自定义域。 在自定义安装中,现在可以在 Microsoft Entra 登录 页上选择 UserPrincipalName 的属性。
可以单击刷新按钮从 Microsoft Entra ID 中重新获取自定义域的最新状态。
在 Microsoft Entra ID 中选择 UserPrincipalName 的属性
属性 userPrincipalName 是用户在登录 Microsoft Entra ID 和 Microsoft 365 时使用的属性。 在同步用户之前,应验证Microsoft Entra ID 中使用的域(也称为 UPN 后缀)。
强烈建议保留默认属性 userPrincipalName。 如果此属性不可路由且无法验证,则可以选择另一个属性(例如电子邮件),作为保存登录 ID 的属性。 这称为备用 ID。 备用 ID 属性值必须遵循 RFC 822 标准。
注释
使用备用 ID 与所有 Microsoft 365 工作负负荷不兼容。 有关详细信息,请参阅配置备用登录 ID。
不同的自定义域状态及其对 Entra ID 登录体验的影响
了解 Microsoft Entra 目录中的自定义域状态与本地定义的 UPN 后缀之间的关系非常重要。 使用 Microsoft Entra Connect 设置同步时,让我们了解不同的 Entra ID 登录体验。
对于下面的信息,假设我们所关注的是 UPN 后缀 contoso.com,它在本地目录中用作 UPN 的一部分,例如 user@contoso.com。
快速设置/密码哈希同步
| 国家 | 对用户 Entra ID 登录体验的影响 |
|---|---|
| 未添加 | 在这种情况下,Microsoft Entra 目录中没有添加 contoso.com 的自定义域。 具有后缀 @contoso.com 的本地 UPN 的用户无法使用其本地 UPN 登录到 Entra ID。 相反,他们必须使用通过 Microsoft Entra ID 提供给它们的新 UPN,方法是为默认 Microsoft Entra 目录添加后缀。 例如,如果将用户同步到 Microsoft Entra 目录 contoso.partner.onmschina.cn,则本地用户user@contoso.com将被赋予 UPNuser@contoso.partner.onmschina.cn。 |
| 未验证 | 在本例中,我们有一个自定义域 contoso.com,该域已添加到 Microsoft Entra 目录中。 但是,尚未验证。 如果继续同步用户而不验证域,则用户将通过Microsoft Entra ID 分配新的 UPN,就像在“未添加”方案中一样。 |
| 已验证 | 在这种情况下,我们拥有已在 Microsoft Entra ID 中为 UPN 后缀添加并验证了的自定义域 contoso.com。 用户将能够在同步到 Microsoft Entra ID 后,使用其本地 UserPrincipalName,例如 user@contoso.com,登录到 Entra。 |
AD FS 联合身份验证
不能在 Microsoft Entra ID 中创建与默认 .partner.onmschina.cn 域的联合,也不能在 Microsoft Entra ID 中创建未验证的自定义域。 在运行 Microsoft Entra Connect 向导时,如果选择使用未验证的域创建联合身份验证,则 Microsoft Entra Connect 会提示你在为该域托管 DNS 的位置创建必要的记录。 有关详细信息,请参阅验证选择用于联合身份验证的 Microsoft Entra 域。
如果选择了用户登录选项 与 AD FS 的联合身份验证,则必须有一个自定义域才能继续在 Microsoft Entra ID 中创建联合身份验证。 对于我们的讨论,这意味着我们应该在 Microsoft Entra 目录中添加一个自定义域 contoso.com。
| 国家 | 对用户 Entra ID 登录体验的影响 |
|---|---|
| 未添加 | 在这种情况下,Microsoft Entra Connect 在 Microsoft Entra 目录中找不到 UPN 后缀 contoso.com 匹配的自定义域。 如果需要用户使用其本地 UPN(如 user@contoso.com)通过 AD FS 登录,则您需要添加自定义域 contoso.com。 |
| 未验证 | 在这种情况下,Microsoft Entra Connect 将发出提示,提供有关如何在后面的阶段验证域的相应详细信息。 |
| 已验证 | 在这种情况下,可以继续进行配置,而不需要采取任何进一步的操作。 |
更改用户登录方法
使用向导初始配置 Microsoft Entra Connect 后,可以使用 Microsoft Entra Connect 中提供的任务,将用户登录方法从联合身份验证或密码哈希同步更改。 再次运行 Microsoft Entra Connect 向导,你将看到可执行的任务列表。 从任务列表中选择 “更改用户登录 ”。
在下一页上,系统会要求你提供Microsoft Entra ID 的凭据。
在 “用户登录 ”页上,选择所需的用户登录。
注释
如果只是临时切换到密码哈希同步,请选中“ 不转换用户帐户 ”复选框。 不检查此选项会将每个用户转换为联合用户,可能需要几个小时。
后续步骤
- 详细了解如何将本地标识与 Microsoft Entra ID 集成。
- 详细了解 Microsoft Entra Connect 设计概念。