A helyszíni erőforrásokra történő egyszeri bejelentkezés működése Azure AD-be léptetett eszközökönHow SSO to on-premises resources works on Azure AD joined devices

Valószínűleg nem meglepő, hogy egy Azure Active Directory (Azure AD) csatlakoztatott eszköz egyszeri bejelentkezéses (SSO) élményt biztosít a bérlő felhőalapú alkalmazásai számára.It is probably not a surprise that an Azure Active Directory (Azure AD) joined device gives you a single sign-on (SSO) experience to your tenant's cloud apps. Ha a környezet helyszíni Active Directory (AD), kiterjesztheti ezen eszközök egyszeri bejelentkezéses felületét olyan erőforrásokra és alkalmazásokra, amelyek helyszíni AD-t is használnak.If your environment has an on-premises Active Directory (AD), you can extend the SSO experience on these devices to resources and applications that rely on on-premises AD as well.

Ez a cikk a működésének módját ismerteti.This article explains how this works.

ElőfeltételekPrerequisites

Ha az Azure AD-hez csatlakoztatott gépek nincsenek csatlakoztatva a szervezet hálózatához, VPN-vagy egyéb hálózati infrastruktúrára van szükség.If Azure AD joined machines are not connected to your organization's network, a VPN or other network infrastructure is required. A helyszíni egyszeri bejelentkezéshez a helyszíni AD DS tartományvezérlőkkel való helyszíni kommunikáció szükséges.On-premises SSO requires line-of-sight communication with your on-premises AD DS domain controllers.

MűködésHow it works

Az Azure AD-hez csatlakoztatott eszközzel a felhasználók már rendelkeznek egyszeri bejelentkezéssel a környezetében lévő felhőalapú alkalmazásokhoz.With an Azure AD joined device, your users already have an SSO experience to the cloud apps in your environment. Ha a környezet rendelkezik Azure AD-val és helyszíni AD-vel, érdemes kiterjesztenie az SSO-élmény hatókörét a helyszíni üzletági (LOB) alkalmazások, a fájlmegosztás és a nyomtatók számára.If your environment has an Azure AD and an on-premises AD, you may want to expand the scope of your SSO experience to your on-premises Line Of Business (LOB) apps, file shares, and printers.

Az Azure AD-hez csatlakoztatott eszközök nem rendelkeznek a helyszíni AD-környezettel kapcsolatos ismeretekkel, mivel azok nem csatlakoznak hozzá.Azure AD joined devices have no knowledge about your on-premises AD environment because they aren't joined to it. A helyszíni AD-vel kapcsolatos további információkat azonban Azure AD Connect használatával is megadhat.However, you can provide additional information about your on-premises AD to these devices with Azure AD Connect.

Az Azure AD-t és a helyszíni AD-t egyaránt tartalmazó környezetek is ismertek hibrid környezettel.An environment that has both, an Azure AD and an on-premises AD, is also known has hybrid environment. Ha hibrid környezettel rendelkezik, valószínű, hogy már rendelkezik Azure AD Connect központilag, hogy szinkronizálja a helyszíni identitás adatait a felhőbe.If you have a hybrid environment, it is likely that you already have Azure AD Connect deployed to synchronize your on-premises identity information to the cloud. A szinkronizálási folyamat részeként Azure AD Connect szinkronizálja a helyszíni felhasználói adatokat az Azure AD-vel.As part of the synchronization process, Azure AD Connect synchronizes on-premises user information to Azure AD. Amikor egy felhasználó egy hibrid környezetben jelentkezik be egy Azure AD-hez csatlakoztatott eszközre:When a user signs in to an Azure AD joined device in a hybrid environment:

  1. Az Azure AD a felhasználó helyszíni tartományának adatait visszaküldi az eszközre az elsődleges frissítési jogkivonattal együtt.Azure AD sends the details of the user's on-premises domain back to the device, along with the Primary Refresh Token
  2. A helyi biztonsági szervezet (LSA) szolgáltatás lehetővé teszi a Kerberos és az NTLM hitelesítés használatát az eszközön.The local security authority (LSA) service enables Kerberos and NTLM authentication on the device.

A Kerberost vagy NTLM-t kérő erőforráshoz való hozzáférési kísérlet során a felhasználó helyszíni környezetében az eszköz:During an access attempt to a resource requesting Kerberos or NTLM in the user's on-premises environment, the device:

  1. Elküldi a helyszíni tartományi adatokat és a felhasználói hitelesítő adatokat a helyi tartományvezérlőnek a hitelesített felhasználó beszerzéséhez.Sends the on-premises domain information and user credentials to the located DC to get the user authenticated.
  2. Kerberos -jegy (TGT) vagy NTLM-token fogadása a helyszíni erőforrás vagy alkalmazás által támogatott protokoll alapján.Receives a Kerberos Ticket-Granting Ticket (TGT) or NTLM token based on the protocol the on-premises resource or application supports. Ha a tartomány Kerberos-TGT vagy NTLM-jogkivonatának beolvasására tett kísérlet meghiúsul (a kapcsolódó DCLocator időtúllépése késleltetést okozhat), a Hitelesítőadat-kezelő bejegyzéseinek megkeresése vagy a felhasználó kaphat egy hitelesítési felugró ablakot, amely a cél erőforráshoz tartozó hitelesítő adatokat kér le.If the attempt to get the Kerberos TGT or NTLM token for the domain fails (related DCLocator timeout can cause a delay), Credential Manager entries are attempted, or the user may receive an authentication popup requesting credentials for the target resource.

Minden, a Windows rendszerhez integrált hitelesítéshez konfigurált alkalmazás ZÖKKENŐMENTESEN egyszeri bejelentkezést kap, amikor egy felhasználó megpróbál hozzáférni azokhoz.All apps that are configured for Windows-Integrated authentication seamlessly get SSO when a user tries to access them.

A vállalati Windows Hello használatához további konfiguráció szükséges, amely lehetővé teszi a helyszíni egyszeri bejelentkezést egy Azure AD-hez csatlakoztatott eszközről.Windows Hello for Business requires additional configuration to enable on-premises SSO from an Azure AD joined device. További információ: az Azure ad-hez csatlakoztatott eszközök konfigurálása helyszíni Single-Signhoz a Windows Hello for Business használatával.For more information, see Configure Azure AD joined devices for On-premises Single-Sign On using Windows Hello for Business.

Amihez jutWhat you get

Az SSO-val egy Azure AD-hez csatlakoztatott eszközön a következőket teheti:With SSO, on an Azure AD joined device you can:

  • UNC elérési út elérése egy AD-tagkiszolgálónAccess a UNC path on an AD member server
  • Hozzáférés a Windows rendszerhez integrált biztonsági szolgáltatáshoz konfigurált AD tag webkiszolgálóhozAccess an AD member web server configured for Windows-integrated security

Ha Windowsos eszközről szeretné felügyelni a helyszíni AD-t, telepítse a Windows 10-es Távoli kiszolgálófelügyelet eszközei.If you want to manage your on-premises AD from a Windows device, install the Remote Server Administration Tools for Windows 10.

Az alábbi eszközöket használhatja:You can use:

  • A Active Directory felhasználók és számítógépek (ADUC) beépülő modul az összes AD objektum felügyeletéhez.The Active Directory Users and Computers (ADUC) snap-in to administer all AD objects. Azonban meg kell adnia azt a tartományt, amelyhez manuálisan szeretne csatlakozni.However, you have to specify the domain that you want to connect to manually.
  • Az AD-hez csatlakoztatott DHCP-kiszolgáló felügyeletére szolgáló DHCP beépülő modul.The DHCP snap-in to administer an AD-joined DHCP server. Előfordulhat azonban, hogy meg kell adnia a DHCP-kiszolgáló nevét vagy címeit.However, you may need to specify the DHCP server name or address.

AlapismeretekWhat you should know

Előfordulhat, hogy módosítania kell a tartományalapú szűrést Azure ad Connect a szükséges tartományokkal kapcsolatos információk szinkronizálásának biztosítása érdekében.You may have to adjust your domain-based filtering in Azure AD Connect to ensure that the data about the required domains is synchronized.

A Active Directory számítógép-hitelesítéstől függő alkalmazások és erőforrások nem működnek, mert az Azure AD-hez csatlakoztatott eszközök nem rendelkeznek számítógép-objektummal az AD-ben.Apps and resources that depend on Active Directory machine authentication don't work because Azure AD joined devices don't have a computer object in AD.

Egy Azure AD-hez csatlakoztatott eszközön nem oszthat meg fájlokat más felhasználókkal.You can't share files with other users on an Azure AD-joined device.

Következő lépésekNext steps

További információ: Mi az Eszközkezelés a Azure Active Directory?For more information, see What is device management in Azure Active Directory?