Jak jednotné přihlašování k místním prostředkům funguje na zařízeních připojených k Microsoft Entra

  • Článek

Zařízení připojená k Microsoft Entra poskytují uživatelům jednotné přihlašování ke cloudovým aplikacím vašeho tenanta. Pokud má vaše prostředí místní Active Directory Domain Services (AD DS), můžou se uživatelé také přidružovat k prostředkům a aplikacím, které spoléhají na místní Active Directory Domain Services.

Tento článek vysvětluje, jak to funguje.

Požadavky

  • Zařízení připojené k Microsoft Entra.
  • Místní jednotné přihlašování vyžaduje komunikaci s místními řadiči domény SLUŽBY AD DS. Pokud zařízení připojená k Microsoft Entra nejsou připojená k síti vaší organizace, vyžaduje se síť VPN nebo jiná síťová infrastruktura.
  • Synchronizace microsoft entra Připojení nebo Microsoft Entra Připojení cloudu: Synchronizace výchozích atributů uživatelů, jako je název účtu SAM, název domény a hlavní název uživatele (UPN). Další informace naleznete v článku Atributy synchronizované společností Microsoft Entra Připojení.

Jak to funguje

S zařízením připojeným k Microsoft Entra už uživatelé mají prostředí jednotného přihlašování ke cloudovým aplikacím ve vašem prostředí. Pokud má vaše prostředí Microsoft Entra ID a místní službu AD DS, můžete rozšířit rozsah prostředí jednotného přihlašování na vaše místní obchodní aplikace, sdílené složky a tiskárny.

Zařízení připojená k Microsoftu Entra nemají žádné znalosti o vašem místním prostředí SLUŽBY AD DS, protože k němu nejsou připojená. Pomocí microsoft Entra Připojení ale můžete těmto zařízením poskytnout další informace o vaší místní službě AD.

Synchronizace místních informací o identitě do cloudu Připojení Microsoft Entra nebo Microsoft Entra Připojení cloudu. V rámci procesu synchronizace se informace o místním uživateli a doméně synchronizují s ID Microsoft Entra. Když se uživatel přihlásí k zařízení připojenému k Microsoft Entra v hybridním prostředí:

  1. ID Microsoft Entra odešle podrobnosti o místní doméně uživatele zpět do zařízení spolu s primárním obnovovacím tokenem .
  2. Služba místní autority zabezpečení (LSA) umožňuje na zařízení ověřování protokolem Kerberos a NTLM.

Poznámka:

Další konfigurace se vyžaduje, když se použije ověřování bez hesla na zařízeních připojených k Microsoft Entra.

Informace o ověřování bez hesla založeném na klíči zabezpečení FIDO2 a Windows Hello pro firmy hybridního cloudového vztahu důvěryhodnosti najdete v tématu Povolení přihlašování k místním prostředkům bez hesla pomocí Microsoft Entra ID.

Informace o Windows Hello pro firmy důvěryhodnosti cloudového protokolu Kerberos najdete v tématu Konfigurace a zřízení Windows Hello pro firmy – vztah důvěryhodnosti cloudového protokolu Kerberos.

Informace o Windows Hello pro firmy důvěryhodnosti hybridních klíčů najdete v tématu Konfigurace zařízení připojených k Microsoft Entra pro místní jednotné přihlašování pomocí Windows Hello pro firmy.

Informace o Windows Hello pro firmy důvěryhodnosti hybridních certifikátů najdete v tématu Použití certifikátů pro místní jednotné přihlašování AADJ.

Během pokusu o přístup k místnímu prostředku, který požaduje Protokol Kerberos nebo NTLM, zařízení:

  1. Odešle informace o místní doméně a přihlašovací údaje uživatele do umístěného řadiče domény, aby se uživatel ověřil.
  2. Obdrží lístek TGT (Kerberos Ticket-Grant Ticket) nebo token NTLM na základě protokolu, který místní prostředek nebo aplikace podporuje. Pokud pokus o získání tokenu TGT protokolu Kerberos nebo NTLM pro doménu selže, pokusí se položky Správce přihlašovacích údajů nebo uživatel může obdržet automaticky otevírané okno s žádostí o ověření pro cílový prostředek. Toto selhání může souviset se zpožděním způsobeným vypršením časového limitu DCLocatoru.

Všechny aplikace nakonfigurované pro integrované ověřování systému Windows bezproblémově získají jednotné přihlašování, když se k nim uživatel pokusí získat přístup.

Co získáte

S jednotným přihlašováním můžete na zařízení připojeném k Microsoft Entra:

  • Přístup k cestě UNC na členském serveru AD
  • Přístup k webovému serveru člena služby AD DS nakonfigurovaného pro zabezpečení integrované s Windows

Pokud chcete spravovat místní službu AD ze zařízení s Windows, nainstalujte vzdáleného serveru Správa istrace nástrojů.

Můžete použít:

  • Modul snap-in Uživatelé a počítače služby Active Directory (ADUC) pro správu všech objektů AD. Musíte ale zadat doménu, ke které se chcete připojit ručně.
  • Modul snap-in DHCP pro správu serveru DHCP připojeného ke službě AD. Možná ale budete muset zadat název nebo adresu serveru DHCP.

Co byste měli vědět

  • Možná budete muset upravit filtrování založené na doméně v Microsoft Entra Připojení, abyste zajistili synchronizaci dat o požadovaných doménách, pokud máte více domén.
  • Aplikace a prostředky, které závisejí na ověřování počítače služby Active Directory, nefungují, protože zařízení připojená k Microsoft Entra nemají v AD DS objekt počítače.
  • Soubory nemůžete sdílet s ostatními uživateli na zařízení připojeném k Microsoft Entra.
  • Aplikace spuštěné na vašem zařízení připojeném k Microsoft Entra můžou ověřovat uživatele. Musí použít implicitní hlavní název uživatele (UPN) nebo syntaxi typu NT4 s názvem plně kvalifikovaného názvu domény jako součást domény, například: user@contoso.corp.com nebo contoso.corp.com\user.
    • Pokud aplikace používají rozhraní NETBIOS nebo starší název, jako je contoso\user, chyby, které aplikace získá, budou buď chyba NT STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 nebo chyba systému Windows ERROR_BAD_VALIDATION_CLASS – 1348 "Požadovaná třída ověřovacích informací byla neplatná". K této chybě dochází i v případě, že můžete přeložit starší název domény.

Další kroky

Další informace naleznete v tématu Co je správa zařízení v Microsoft Entra ID?