Funcionamiento del inicio de sesión único en recursos locales de dispositivos unidos a Microsoft Entra

  • Artículo

Los dispositivos unidos a Microsoft Entra ofrecen una experiencia de inicio de sesión único (SSO) para aplicaciones de nube de su inquilino. Si su entorno tiene Active Directory Domain Services (AD DS) local, los usuarios también pueden realizar el primer SSO en recursos y aplicaciones que se basan en Active Directory Domain Services local.

En este artículo se explica cómo funciona.

Requisitos previos

  • Un dispositivo unido a Microsoft Entra.
  • El inicio de sesión único local requiere una comunicación de campo visual con los controladores de dominio de AD DS local. Si los dispositivos unidos a Microsoft Entra no están conectados a la red de su organización, se requiere una red privada virtual u otra infraestructura de red.
  • Microsoft Entra Connect Cloud Sync o Microsoft Entra Connect: para sincronizar atributos de usuario predeterminados, como el nombre de cuenta SAM, el nombre de dominio y el UPN. Para obtener más información, vea el artículo Atributos sincronizados por Microsoft Entra Connect.

Cómo funciona

Con un dispositivo unido a Microsoft Entra, los usuarios ya tienen una experiencia de inicio de sesión único para las aplicaciones de nube en el entorno. Si su entorno tiene Microsoft Entra ID y AD DS local, es posible que quiera ampliar el ámbito de su experiencia de SSO a sus aplicaciones locales de línea de negocio (LOB), recursos compartidos de archivos e impresoras.

Los dispositivos unidos a Microsoft Entra no tienen ningún conocimiento acerca del entorno de AD DS porque no están unidos a él. Sin embargo, puede proporcionar información adicional acerca de su instancia de AD local a estos dispositivos con Microsoft Entra Connect.

Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync sincronizan la información de identidad local con la nube. Como parte del proceso de sincronización, la información del usuario y el dominio locales se sincronizan con Microsoft Entra ID. Cuando un usuario inicia sesión en un dispositivo de Microsoft Entra en un entorno híbrido:

  1. Microsoft Entra ID envía los detalles del dominio local del usuario de nuevo al dispositivo, junto con el token de actualización principal
  2. El servicio de autoridad de seguridad local (LSA) permite la autenticación Kerberos y NTLM en el dispositivo.

Nota:

Se requiere configuración adicional cuando se usa la autenticación sin contraseña para los dispositivos unidos a Microsoft Entra.

Para la autenticación sin contraseña basada en claves de seguridad de FIDO2 y la confianza en la nube híbrida de Windows Hello para empresas, consulte Habilitación del inicio de sesión con una clave de seguridad sin contraseña en recursos locales mediante Microsoft Entra ID.

Para confianza de Kerberos en la nube de Windows Hello para empresas, consulte Configuración y aprovisionamiento de Windows Hello para empresas: confianza de Kerberos en la nube.

Para la confianza de claves híbridas de Windows Hello para empresas, consulte Configurar dispositivos unidos a Microsoft Entra para inicio de sesión único local usando Windows Hello para empresas.

Para la confianza en certificados híbridos de Windows Hello para empresas, consulte Uso de certificados para inicio de sesión único de AADJ local.

Durante un intento de acceso a un recurso local que solicita Kerberos o NTLM, el dispositivo:

  1. Envía las credenciales de usuario y la información de dominio local al controlador de dominio encontrado para autenticar al usuario.
  2. Recibe un vale de concesión de vales (TGT) de Kerberos o un token de NTLM basado en el protocolo que admite la aplicación o el recurso local. Si se produce un error al intentar obtener el identificador TGT de Kerberos o el token de NTLM para el dominio, se intentan las entradas del Administrador de credenciales o el usuario puede recibir una ventana emergente de autenticación que solicita credenciales para el recurso de destino. Este error puede estar relacionado con un retraso causado por un tiempo de espera de DCLocator.

Todas las aplicaciones que están configuradas para la autenticación integrada de Windows tienen un inicio de sesión único perfecto al intentar el usuario acceder.

Lo que obtiene

Con el inicio de sesión único, en un dispositivo unido a Microsoft Entra puede hacer lo siguiente:

  • Acceder a una ruta de acceso UNC de un servidor miembro de AD
  • Acceder a un servidor web miembro de AD DS configurado para la seguridad integrada de Windows

Si desea administrar su AD local desde un dispositivo Windows, instale las Herramientas de administración remota del servidor.

Puede usar:

  • El complemento Usuarios y equipos de Active Directory (ADUC) para administrar todos los objetos de AD. Sin embargo, deberá especificar el dominio al que desea conectarse manualmente.
  • El complemento DHCP para administrar un servidor DHCP unido a AD. Sin embargo, deberá especificar el nombre del servidor DHCP o la dirección.

Qué debería saber

  • Es posible que tenga que ajustar el filtrado basado en dominios en Microsoft Entra Connect para asegurarse de que se sincronizan los datos sobre los dominios necesarios si tiene varios dominios.
  • Las aplicaciones y los recursos que dependen de la autenticación de la máquina en Active Directory no funcionan, ya que los dispositivos unidos a Microsoft Entra no tienen un objeto de equipo en AD DS.
  • No se pueden compartir archivos con otros usuarios en un dispositivo unido a Microsoft Entra.
  • Las aplicaciones que se ejecutan en el dispositivo unido a Microsoft Entra pueden autenticar a los usuarios. Deben usar el UPN implícito o la sintaxis de tipo NT4 con el nombre FQDN de dominio como parte del dominio, por ejemplo: user@contoso.corp.com o contoso.corp.com\user.
    • Si las aplicaciones usan NETBIOS o un nombre heredado como contoso\user, los errores que la aplicación obtiene serían: error de NT STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 o error de Windows ERROR_BAD_VALIDATION_CLASS - 1348 "La clase de información de validación solicitada no era válida". Este error sucede incluso si puede resolver el nombre de dominio heredado.

Pasos siguientes

Para obtener más información, consulte ¿Qué es la administración de dispositivos en Microsoft Entra ID?