Puntos de conexión nativos en la nube y recursos locales

Sugerencia

Al leer sobre los puntos de conexión nativos en la nube, verá los siguientes términos:

• Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
• Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
• Puntos de conexión nativos en la nube: puntos de conexión unidos a Azure AD. No están unidos a AD local.
• Carga de trabajo: cualquier programa, servicio o proceso.

Los puntos de conexión nativos en la nube pueden acceder a recursos locales. En este artículo, se explica en detalle y se responden algunas preguntas comunes.

Esta característica se aplica a:

• Puntos de conexión de Windows nativos en la nube

Para obtener información general sobre los puntos de conexión nativos de la nube y sus ventajas, vaya a Qué son los puntos de conexión nativos de la nube.

Requisitos previos

Para que los puntos de conexión de Windows nativos en la nube puedan acceder a los recursos y servicios locales que usen Active Directory (AD) local para la autenticación, se requerirán los siguientes requisitos previos:

• Las aplicaciones cliente deberán usar la autenticación integrada de Windows (WIA). Para obtener información más específica, vaya a Autenticación integrada de Windows (WIA).

• Configure Microsoft Entra Connect. Microsoft Entra Connect sincroniza las cuentas de usuario de AD local con Microsoft Entra. Para obtener información más específica, vaya a Microsoft Entra Conectar sincronización: Descripción y personalización de la sincronización.

  En Microsoft Entra Connect, es posible que tenga que ajustar el filtrado basado en dominio para confirmar que los datos de dominios necesarios se sincronizan con Microsoft Entra.

• El dispositivo tiene conectividad de línea de visión (ya sea directamente o a través de VPN) a un controlador de dominio desde el dominio de AD y al servicio o recurso al que se acceda.

Similar a los dispositivos de Windows locales

Para los usuarios finales, un punto de conexión nativo en la nube de Windows se comportará como cualquier otro dispositivo de Windows local.

La lista siguiente es un conjunto común de recursos locales a los que los usuarios pueden acceder desde sus dispositivos unidos a Microsoft Entra:

• Un servidor de archivos: mediante pyme (bloque de mensajes del servidor), podrá asignar una unidad de red a un servidor miembro del dominio que hospede un recurso compartido de red o NAS (almacenamiento conectado a la red).

  Los usuarios pueden asignar unidades a documentos compartidos y personales.

• Un recurso de impresora en un servidor miembro del dominio: los usuarios podrán imprimir en su impresora local o en la más cercana.

• Un servidor web en un servidor miembro del dominio que use la seguridad integrada de Windows: los usuarios podrán acceder a cualquier aplicación basada en la web o Win32.

• Desea administrar el dominio de AD local desde un punto de conexión unido a Microsoft Entra: Instale las herramientas de administración remota del servidor:

  • Use el complemento Usuarios y equipos de Active Directory (ADUC) para administrar todos los objetos de AD. Deberá escribir manualmente el dominio al que desee conectarse.
  • Use el complemento DHCP para administrar un servidor DHCP unido a AD. Es posible que tenga que escribir el nombre o la dirección del servidor DHCP.

Sugerencia

Para comprender cómo los dispositivos unidos a Microsoft Entra usan credenciales almacenadas en caché en un enfoque nativo de la nube, watch OPS108: autenticación de Windows internos en un mundo híbrido (syfuhs.net) (abre un sitio web externo).

Autenticación y acceso a recursos locales

En los pasos siguientes se describe cómo un punto de conexión unido Microsoft Entra autentica y accede (en función de los permisos) a un recurso local.

Los pasos siguientes son una introducción. Para obtener información más específica, incluidos los gráficos detallados de swimlane que describen el proceso completo, vaya a Token de actualización principal (PRT) y Microsoft Entra.

1. Cuando los usuarios inicien sesión, sus credenciales se enviarán al proveedor de autenticación en la nube (CloudAP) y al Administrador de cuentas web (WAM).

2. El complemento CloudAP envía las credenciales de usuario y dispositivo a Microsoft Entra. O bien, se autentica mediante Windows Hello para empresas.

3. Durante el inicio de sesión de Windows, el complemento Microsoft Entra CloudAP solicita un token de actualización principal (PRT) de Microsoft Entra con las credenciales de usuario. También almacenará en caché el PRT, lo que permitirá el inicio de sesión en caché cuando los usuarios no tengan una conexión a Internet. Cuando los usuarios intentan acceder a las aplicaciones, el complemento WAM de Microsoft Entra usa el PRT para habilitar el inicio de sesión único.

4. Microsoft Entra autentica el usuario y el dispositivo, y devuelve un PRT & un token de identificador. El token de identificador incluirá los siguientes atributos sobre el usuario:

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Estos atributos se sincronizan desde AD local mediante Microsoft Entra Connect.

   El proveedor de autenticación Kerberos recibe las credenciales y los atributos. En el dispositivo, el servicio Local Security Authority (LSA) de Windows habilitará la autenticación Kerberos y NTLM.

5. Durante un intento de acceso a un recurso local que solicitará la autenticación Kerberos o NTLM, el dispositivo usará los atributos relacionados con el nombre de dominio para buscar un controlador de dominio (DC) mediante el localizador de controlador de dominio.

   • Si se encuentra un controlador de dominio, enviará las credenciales y sAMAccountName al controlador de dominio para la autenticación.
   • Si usa Windows Hello para empresas, realizará PKINIT con el certificado de Windows Hello para empresas.
   • Si no se encuentra ningún controlador de dominio, no se producirá ninguna autenticación local.

   Nota:

   PKINIT es un mecanismo de autenticación previa para Kerberos 5 que usa certificados X.509 para autenticar el centro de distribución de claves (KDC) a los clientes y viceversa.

   MS-PKCA: criptografía de clave pública para la autenticación inicial (PKINIT) en el protocolo Kerberos

6. El controlador de dominio autentica al usuario. El controlador de dominio devuelve un vale de concesión de vales de Kerberos (TGT) o un token NTLM basado en el protocolo que admite el recurso o la aplicación local. Windows almacena en caché el token TGT o NTLM devuelto para su uso futuro.

   Si se produce un error al intentar obtener el token TGT o NTLM de Kerberos para el dominio (el tiempo de espera de DCLocator relacionado podría provocar un retraso), entonces se reintentará el administrador de credenciales de Windows. O bien, el usuario podría recibir una ventana emergente de autenticación que solicite las credenciales para el recurso local.

7. Todas las aplicaciones que usen la autenticación integrada de Windows (WIA) usarán automáticamente el inicio de sesión único cuando un usuario intente acceder a las aplicaciones. WIA incluirá la autenticación de usuario estándar en un dominio de AD local mediante NTLM o Kerberos al acceder a servicios o recursos locales.

   Para obtener más información, vaya a Cómo funciona el inicio de sesión único en los recursos locales en Microsoft Entra dispositivos unidos.

   Es importante enfatizar el valor de la autenticación integrada de Windows. Los puntos de conexión en la nube nativos simplemente "funcionarán" con cualquier aplicación configurada para WIA.

   Cuando los usuarios accedan a un recurso que use WIA (servidor de archivos, impresora, servidor web, etc.), el TGT se intercambiará con un vale de servicio de Kerberos, que es el flujo de trabajo de Kerberos habitual.

Siga las instrucciones de puntos de conexión nativos de la nube

1. Información general: ¿qué son los puntos de conexión nativos de la nube?
2. Tutorial: Introducción a los puntos de conexión de Windows nativos en la nube
3. Concepto: Microsoft Entra unidos frente a Microsoft Entra híbridos unidos
4. 🡺 Concepto: puntos de conexión nativos de la nube y recursos locales (usted está aquí)
5. Guía de planificación de alto nivel
6. Problemas conocidos e información importante

Recursos en línea útiles

• Token de actualización principal (PRT) y Microsoft Entra
• Funcionamiento del inicio de sesión único en los recursos locales en Microsoft Entra dispositivos unidos
• Funcionamiento de Windows Hello para empresas: autenticación y seguridad de Windows
• Autenticación integrada de Windows
• Microsoft Entra autenticación Kerberos (versión preliminar)
• Documentación de autenticación de Microsoft Entra