Cloudnative Endpunkte und lokale Ressourcen

Tipp

Beim Lesen von cloudnativen Endpunkten werden Ihnen die folgenden Begriffe angezeigt:

• Endpunkt: Ein Endpunkt ist ein Gerät, z. B. ein Mobiltelefon, ein Tablet, ein Laptop oder ein Desktopcomputer. „Endpunkte“ und „Geräte“ werden austauschbar verwendet.
• Verwaltete Endpunkte: Endpunkte, die Richtlinien von der Organisation mithilfe einer MDM-Lösung oder von Gruppenrichtlinienobjekten empfangen. Diese Geräte befinden sich in der Regel im Besitz der Organisation, können aber auch BYOD- oder persönliche Geräte sein.
• Cloudnative Endpunkte: Endpunkte, die mit Azure AD verknüpft sind. Sie sind nicht mit dem lokalen AD verknüpft.
• Workload: Alle Programme, Dienste oder Prozesse.

Cloudnative Endpunkte können auf lokale Ressourcen zugreifen. Dieser Artikel geht ausführlicher auf einige häufig gestellte Fragen ein.

Diese Funktion gilt für:

• Cloudnative Windows-Endpunkte

Eine Übersicht über cloudnative Endpunkte und deren Vorteile finden Sie unter Was sind cloudnative Endpunkte?.

Voraussetzungen

Damit cloudnative Windows-Endpunkte auf lokale Ressourcen und Dienste zugreifen können, die lokales Active Directory (AD) für die Authentifizierung verwenden, sind die folgenden Voraussetzungen erforderlich:

• Client-Apps müssen integrierte Windows-Authentifizierung (WIA) verwenden. Ausführlichere Informationen finden Sie unter Integrierte Windows-Authentifizierung (WIA).

• Konfigurieren Sie Microsoft Entra Connect. Microsoft Entra Connect synchronisiert Benutzerkonten aus dem lokalen AD mit Microsoft Entra. Genauere Informationen finden Sie unter Microsoft Entra Connect-Synchronisierung: Grundlegendes und Anpassen der Synchronisierung.

  In Microsoft Entra Connect müssen Sie möglicherweise Ihre domänenbasierte Filterung anpassen, um zu bestätigen, dass die erforderlichen Domänendaten mit Microsoft Entra synchronisiert werden.

• Das Gerät verfügt über eine Sichtlinien-Verbindung (entweder direkt oder über VPN) mit einem Domänencontroller von der AD-Domäne und dem Dienst oder der Ressource, auf den bzw. die zugegriffen wird.

Ähnlich wie lokale Windows-Geräte

Für Endbenutzer verhält sich ein cloudnativer Windows-Endpunkt wie jedes andere lokale Windows-Gerät.

Die folgende Liste enthält einen allgemeinen Satz von lokalen Ressourcen, auf die Benutzer von ihren Microsoft Entra verbundenen Geräten zugreifen können:

• Einen Dateiserver: Mithilfe von SMB (Server Message Block) können Sie ein Netzwerklaufwerk einem Domänenmitgliedsserver zuordnen, der eine Netzwerkfreigabe oder einen NAS (Network Attached Storage) hostet.

  Benutzer können Laufwerke freigegebenen und persönlichen Dokumenten zuordnen.

• Eine Druckerressource auf einem Domänenmitgliedsserver: Benutzer können auf ihrem lokalen oder nächsten Drucker drucken.

• Ein Webserver auf einem Domänenmitgliedsserver, der die integrierte Windows-Sicherheit verwendet: Benutzer können auf jede Win32- oder webbasierte Anwendung zugreifen.

• Möchten Sie Ihre lokale AD-Domäne über einen Microsoft Entra eingebundenen Endpunkt verwalten: Installieren Sie die Remoteserver-Verwaltungstools:

  • Verwenden Sie das Active Directory-Benutzer und -Computer-(ADUC)-Snap-In, um alle AD-Objekte zu verwalten. Sie müssen die Domäne, mit der Sie eine Verbindung herstellen möchten, manuell eingeben.
  • Verwenden Sie das DHCP-Snap-In, um einen in AD eingebundenen DHCP-Server zu verwalten. Möglicherweise müssen Sie den Namen oder die Adresse des DHCP-Servers eingeben.

Tipp

Um zu verstehen, wie Microsoft Entra eingebundenen Geräte zwischengespeicherte Anmeldeinformationen in einem cloudnativen Ansatz verwenden, watch OPS108: Windows-Authentifizierung Internements in einer Hybridwelt (syfuhs.net) (öffnet eine externe Website).

Authentifizierung und Zugriff auf lokale Ressourcen

In den folgenden Schritten wird beschrieben, wie ein Microsoft Entra verknüpfter Endpunkt eine lokale Ressource authentifiziert und (basierend auf Berechtigungen) zugreift.

Die folgenden Schritte sind eine Übersicht. Spezifischere Informationen, einschließlich detaillierter Verantwortlichkeitsgrafiken, die den vollständigen Prozess beschreiben, finden Sie unter Primäres Aktualisierungstoken (PRT) und Microsoft Entra.

1. Wenn sich Benutzer anmelden, werden ihre Anmeldeinformationen an den Cloud-Authentifizierungsanbieter (CloudAP) und den Web Account Manager (WAM) gesendet.

2. Das CloudAP-Plug-In sendet die Anmeldeinformationen für Benutzer und Gerät an Microsoft Entra. Oder es authentifiziert mithilfe von Windows Hello for Business.

3. Während der Windows-Anmeldung fordert das Microsoft Entra CloudAP-Plug-In unter Verwendung der Benutzeranmeldeinformationen ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) von Microsoft Entra an. Außerdem wird das PRT zwischengespeichert, wodurch die zwischengespeicherte Anmeldung ermöglicht wird, wenn Benutzer keine Internetverbindung haben. Wenn Benutzer versuchen, auf Anwendungen zuzugreifen, verwendet das Microsoft Entra WAM-Plug-In das PRT, um einmaliges Anmelden zu aktivieren.

4. Microsoft Entra authentifiziert den Benutzer und das Gerät und gibt einen PRT-& ein ID-Token zurück. Das ID-Token enthält die folgenden Attribute zum Benutzer:

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Diese Attribute werden aus dem lokalen AD mithilfe von Microsoft Entra Connect synchronisiert.

   Der Kerberos-Authentifizierungsanbieter empfängt die Anmeldeinformationen und die Attribute. Auf dem Gerät aktiviert der Dienst der lokalen Windows-Sicherheitsautorität (LSA) die Kerberos- und NTLM-Authentifizierung.

5. Während eines Zugriffsversuchs auf eine lokale Ressource, die Kerberos- oder NTLM-Authentifizierung anfordert, verwendet das Gerät die mit dem Domänennamen verknüpften Attribute, um einen Domänencontroller (DC) mithilfe des DC-Locators zu suchen.

   • Wenn ein Domänencontroller gefunden wird, werden die Anmeldeinformationen und die sAMAccountName zur Authentifizierung an den Domänencontroller gesendet.
   • Bei Verwendung von Windows Hello for Business wird PKINIT mit dem Windows Hello for Business-Zertifikat ausgeführt.
   • Wenn kein Domänencontroller gefunden wird, erfolgt keine lokale Authentifizierung.

   Hinweis

   PKINIT ist ein Vorauthentifizierungsmechanismus für Kerberos 5, der X.509-Zertifikate verwendet, um das Schlüsselverteilungscenter (KDC) bei Clients zu authentifizieren und umgekehrt.

   MS-PKCA: Public Key Cryptography for Initial Authentication (PKINIT) im Kerberos-Protokoll

6. Der DC authentifiziert den Benutzer. Der DC gibt ein Kerberos Ticket-Granting Ticket (TGT) oder ein NTLM-Token basierend auf dem Protokoll zurück, das die lokale Ressource oder Anwendung unterstützt. Windows speichert das zurückgegebene TGT oder NTLM-Token für die zukünftige Verwendung zwischen.

   Wenn der Versuch, das Kerberos-TGT oder NTLM-Token für die Domäne abzurufen, fehlschlägt (das zugehörige DCLocator-Timeout kann zu einer Verzögerung führen), versucht es die Windows-Anmeldeinformationsverwaltung erneut. Oder der Benutzer erhält möglicherweise ein Authentifizierungs-Popup, das Anmeldeinformationen für die lokale Ressource anfordert.

7. Alle Apps, die Windows Integrated Authentication (WIA) verwenden, verwenden automatisch SSO, wenn ein Benutzer versucht, auf die Apps zuzugreifen. WIA umfasst die Standardbenutzerauthentifizierung bei einer lokalen AD-Domäne mit NTLM oder Kerberos beim Zugriff auf lokale Dienste oder Ressourcen.

   Weitere Informationen finden Sie unter Funktionsweise des einmaligen Anmeldens für lokale Ressourcen auf Microsoft Entra verbundenen Geräten.

   Es ist wichtig, den Wert der integrierten Windows-Authentifizierung hervorzuheben. Native Cloudendpunkte „funktionieren“ einfach mit allen Anwendungen, die für WIA konfiguriert sind.

   Wenn Benutzer auf eine Ressource zugreifen, die WIA verwendet (Dateiserver, Drucker, Webserver usw.), wird das TGT gegen ein Kerberos-Dienstticket ausgetauscht, was der übliche Kerberos-Workflow ist.

Befolgen Sie die Anleitungen für cloudnative Endpunkte

1. Überblick: Was sind cloudnative Endpunkte?
2. Tutorial: Erste Schritte mit cloudnativen Windows-Endpunkten
3. Konzept: Microsoft Entra im Vergleich zu hybriden Microsoft Entra
4. 🡺 Konzept: cloudnative Endpunkte und lokale Ressourcen (Sie sind hier)
5. Leitfaden für die Planung auf hohem Niveau
6. Bekannte Probleme und wichtige Informationen

Hilfreiche Onlineressourcen

• Primäres Aktualisierungstoken (PRT) und Microsoft Entra
• Funktionsweise des einmaligen Anmeldens für lokale Ressourcen auf Microsoft Entra verbundenen Geräten
• Funktionsweise von Windows Hello for Business – Authentifizierung – Windows-Sicherheit
• Integrated Windows Authentication
• Microsoft Entra Kerberos-Authentifizierung (Vorschau)
• Dokumentation zur Microsoft Entra-Authentifizierung