A helyszíni erőforrásokra történő egyszeri bejelentkezés működése Microsoft Entrába léptetett eszközökön

A Microsoft Entra-hoz csatlakoztatott eszközök egyszeri bejelentkezést (SSO) biztosítanak a felhasználók számára a bérlő felhőalkalmazásai számára. Ha a környezet helyi Active Directory Tartományi szolgáltatásokkal (AD DS) rendelkezik, a felhasználók egyszeri bejelentkezést is végezhetnek az helyi Active Directory Tartományi szolgáltatásokra támaszkodó erőforrásokra és alkalmazásokra.

Ez a cikk a működést ismerteti.

Előfeltételek

• Egy Microsoft Entra-hez csatlakoztatott eszköz.
• A helyszíni egyszeri bejelentkezéshez a helyszíni AD DS-tartományvezérlőkkel való kommunikációra van szükség. Ha a Microsoft Entra-hoz csatlakoztatott eszközök nem csatlakoznak a szervezet hálózatához, VPN- vagy egyéb hálózati infrastruktúrára van szükség.
• Microsoft Entra Csatlakozás vagy Microsoft Entra Csatlakozás felhőszinkronizálás: Az alapértelmezett felhasználói attribútumok, például a SAM-fióknév, a tartománynév és az UPN szinkronizálása. További információ: A Microsoft Entra Csatlakozás által szinkronizált attribútumok.

Hogyan működik?

A Microsoft Entra-hoz csatlakoztatott eszközökkel a felhasználók már rendelkeznek egyszeri bejelentkezéssel a környezetben lévő felhőalkalmazások számára. Ha a környezet rendelkezik Microsoft Entra-azonosítóval és helyszíni AD DS-sel, érdemes lehet kiterjeszteni az egyszeri bejelentkezés funkció hatókörét a helyszíni üzletági (LOB) alkalmazásokra, fájlmegosztásokra és nyomtatókra.

A Microsoft Entra-hoz csatlakoztatott eszközök nem ismerik a helyszíni AD DS-környezetet, mert nem csatlakoznak hozzá. A helyszíni AD-ről azonban további információkat is megadhat ezekhez az eszközökhöz a Microsoft Entra Csatlakozás.

A Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálása szinkronizálja a helyszíni identitásadatokat a felhőbe. A szinkronizálási folyamat részeként a helyszíni felhasználó és a tartomány adatai szinkronizálódnak a Microsoft Entra-azonosítóval. Amikor egy felhasználó hibrid környezetben jelentkezik be a Microsoft Entra-hoz csatlakoztatott eszközre:

1. A Microsoft Entra ID visszaküldi a felhasználó helyszíni tartományának adatait az eszközre, valamint az elsődleges frissítési jogkivonatot
2. A helyi biztonsági szolgáltató (LSA) szolgáltatás engedélyezi a Kerberos- és NTLM-hitelesítést az eszközön.

Megjegyzés:

További konfigurációra van szükség a Microsoft Entra csatlakoztatott eszközök jelszó nélküli hitelesítésének használatakor.

A FIDO2 biztonsági kulcson alapuló jelszó nélküli hitelesítés és a hibrid felhőbeli megbízhatóság Vállalati Windows Hello lásd: Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése a helyszíni erőforrásokba a Microsoft Entra-azonosítóval.

A Vállalati Windows Hello Felhőalapú Kerberos-megbízhatósági kapcsolatról lásd: Vállalati Windows Hello – felhőbeli Kerberos-megbízhatóság konfigurálása és kiépítése.

A hibrid kulcsok megbízhatóságának Vállalati Windows Hello lásd: A Microsoft Entra-hoz csatlakoztatott eszközök konfigurálása helyszíni egyszeri bejelentkezéshez Vállalati Windows Hello használatával.

A hibrid tanúsítványmegbízhatósági Vállalati Windows Hello lásd: Tanúsítványok használata helyszíni AADJ-hez egyszeri bejelentkezéshez.

A Kerberost vagy NTLM-et kérő helyszíni erőforráshoz való hozzáférési kísérlet során az eszköz:

1. Elküldi a helyszíni tartomány adatait és felhasználói hitelesítő adatait a tartományvezérlőnek a felhasználó hitelesítésének lekéréséhez.
2. Kerberos Ticket-Granting Ticket (TGT) vagy NTLM-jogkivonatot kap a helyszíni erőforrás vagy alkalmazás által támogatott protokoll alapján. Ha a Tartomány Kerberos TGT- vagy NTLM-jogkivonatának lekérésére tett kísérlet meghiúsul, a Hitelesítőadat-kezelő bejegyzései megpróbálkoznak, vagy a felhasználó egy hitelesítő adatokat kérő előugró előugró példányt kap a célerőforráshoz. Ez a hiba a DCLocator időtúllépése által okozott késéssel függhet össze.

A Windows integrált hitelesítéshez konfigurált összes alkalmazás zökkenőmentesen megkapja az egyszeri bejelentkezést, amikor egy felhasználó megpróbálja elérni őket.

Amihez jut

Az egyszeri bejelentkezéssel a Microsoft Entra-hoz csatlakoztatott eszközökön a következőket teheti:

• UNC-elérési út elérése egy AD-tagkiszolgálón
• Hozzáférés a Windows integrált biztonságához konfigurált AD DS-tag webkiszolgálóhoz

Ha windowsos eszközről szeretné felügyelni a helyszíni AD-t, telepítse a Távoli kiszolgáló Rendszergazda istration Tools eszközt.

A következőket használhatja:

• A Active Directory - felhasználók és számítógépek (ADUC) beépülő modul az összes AD-objektum felügyeletéhez. Azonban meg kell adnia azt a tartományt, amelyhez manuálisan szeretne csatlakozni.
• A DHCP beépülő modul az AD-hez csatlakoztatott DHCP-kiszolgáló felügyeletéhez. Előfordulhat azonban, hogy meg kell adnia a DHCP-kiszolgáló nevét vagy címét.

Alapismeretek

• Előfordulhat, hogy módosítania kell a tartományalapú szűrést a Microsoft Entra Csatlakozás, hogy a szükséges tartományok adatai szinkronizálva legyenek, ha több tartománya van.
• Az Active Directory-alapú számítógép-hitelesítéstől függő alkalmazások és erőforrások nem működnek, mert a Microsoft Entra-hoz csatlakoztatott eszközök nem rendelkeznek számítógép-objektummal az AD DS-ben.
• Nem oszthat meg fájlokat más felhasználókkal a Microsoft Entra által csatlakoztatott eszközökön.
• A Microsoft Entra csatlakoztatott eszközön futó alkalmazások hitelesíthetik a felhasználókat. Tartományrészként az implicit UPN vagy az NT4 típusú szintaxist kell használniuk tartományrészként a tartomány teljes tartománynevével, például: user@contoso.corp.com vagy contoso.corp.com\felhasználó.
  • Ha az alkalmazások NETBIOS-t vagy örökölt nevet használnak, például contoso\user, akkor az alkalmazás által kapott hibák vagy az NT-hiba STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 vagy Windows-hiba ERROR_BAD_VALIDATION_CLASS - 1348 "A kért érvényesítési információs osztály érvénytelen volt". Ez a hiba akkor is előfordul, ha meg tudja oldani az örökölt tartománynevet.

További lépések

További információ: Mi az eszközkezelés a Microsoft Entra ID-ban?