Natív felhőbeli végpontok és helyszíni erőforrások
Tipp
A natív felhőbeli végpontok olvasásakor a következő kifejezések jelennek meg:
- Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
- Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy Csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
- Natív felhőbeli végpontok: A Azure AD csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
- Számítási feladat: Bármely program, szolgáltatás vagy folyamat.
A natív felhőbeli végpontok hozzáférhetnek a helyszíni erőforrásokhoz. Ez a cikk részletesebben is foglalkozik, és választ ad néhány gyakori kérdésre.
Ez a funkció az alábbiakra vonatkozik:
- Natív Windows-felhőbeli végpontok
A natív felhőbeli végpontokról és azok előnyeiről a Mi a natív felhőbeli végpontok? című témakörben talál áttekintést.
Előfeltételek
Ahhoz, hogy a natív felhőbeli Windows-végpontok hozzáférjenek az helyi Active Directory (AD) hitelesítéshez használt helyszíni erőforrásokhoz és szolgáltatásokhoz, a következő előfeltételek szükségesek:
Az ügyfélalkalmazások windowsos integrált hitelesítést (WIA) kell használniuk. További információt a Windows integrált hitelesítés (WIA) című témakörben talál.
Konfigurálja Microsoft Entra Connectet. Microsoft Entra Connect szinkronizálja a felhasználói fiókokat a helyszíni AD-ből a Microsoft Entra. További információ: Microsoft Entra Szinkronizálás csatlakoztatása: A szinkronizálás ismertetése és testreszabása.
Előfordulhat, hogy a Microsoft Entra Connectben módosítania kell a tartományalapú szűrést annak ellenőrzéséhez, hogy a szükséges tartományadatok szinkronizálva vannak-e Microsoft Entra.
Az eszköz közvetlen vagy VPN-kapcsolattal rendelkezik egy tartományvezérlőhöz az AD-tartományból, valamint az elérni kívánt szolgáltatáshoz vagy erőforráshoz.
Hasonló a helyszíni Windows-eszközökhöz
A végfelhasználók számára a Windows felhőbeli natív végpontja ugyanúgy viselkedik, mint bármely más helyszíni Windows-eszköz.
Az alábbi lista gyakori helyszíni erőforrásokat sorol fel, amelyeket a felhasználók a Microsoft Entra csatlakoztatott eszközeikről érhetnek el:
Fájlkiszolgáló: Az SMB (kiszolgálói üzenetblokk) használatával hálózati meghajtót képezhet le egy olyan tartománytag kiszolgálóra, amely hálózati megosztást vagy NAS-ot (hálózati csatlakoztatott tárolót) üzemeltet.
A felhasználók meghajtókat képezhetnek le megosztott és személyes dokumentumokra.
Nyomtató-erőforrás egy tartománytag kiszolgálón: A felhasználók a helyi vagy a legközelebbi nyomtatójukra nyomtathatnak.
A windowsos integrált biztonságot használó tartománytag kiszolgáló webkiszolgálója: A felhasználók bármely Win32- vagy webalapú alkalmazást elérhetnek.
A helyszíni AD-tartományt egy Microsoft Entra csatlakoztatott végpontról szeretné kezelni: Telepítse a távoli kiszolgálófelügyelet eszközeit:
- Az összes AD-objektum felügyeletéhez használja a Active Directory - felhasználók és számítógépek (ADUC) beépülő modult. Manuálisan kell megadnia azt a tartományt, amelyhez csatlakozni szeretne.
- A DHCP beépülő modullal felügyelhet egy AD-hez csatlakoztatott DHCP-kiszolgálót. Előfordulhat, hogy meg kell adnia a DHCP-kiszolgáló nevét vagy címét.
Tipp
Annak megértéséhez, hogy Microsoft Entra csatlakoztatott eszközök hogyan használják a gyorsítótárazott hitelesítő adatokat natív felhőbeli megközelítésben, watch OPS108: A Windows-hitelesítés belső elemei hibrid világban (syfuhs.net) (külső webhely megnyitása).
Hitelesítés és hozzáférés a helyszíni erőforrásokhoz
Az alábbi lépések azt mutatják be, hogy egy Microsoft Entra csatlakoztatott végpont hogyan hitelesíti és éri el (engedélyek alapján) a helyszíni erőforrásokat.
Az alábbi lépések áttekintést adnak. További információkért, beleértve a teljes folyamatot leíró részletes sávos ábrákat, lépjen az Elsődleges frissítési jogkivonat (PRT) területre, és Microsoft Entra.
Amikor a felhasználók bejelentkeznek, a rendszer elküldi a hitelesítő adataikat a felhőhitelesítési szolgáltatónak (CloudAP) és a webfiók-kezelőnek (WAM).
A CloudAP beépülő modul elküldi a felhasználó és az eszköz hitelesítő adatait a Microsoft Entra. Vagy Vállalati Windows Hello használatával hitelesíti magát.
A Windows-bejelentkezés során a Microsoft Entra CloudAP beépülő modul elsődleges frissítési jogkivonatot (PRT) kér Microsoft Entra a felhasználói hitelesítő adatokkal. Emellett gyorsítótárazza a PRT-t is, amely lehetővé teszi a gyorsítótárazott bejelentkezést, ha a felhasználók nem rendelkeznek internetkapcsolattal. Amikor a felhasználók megpróbálnak hozzáférni az alkalmazásokhoz, a Microsoft Entra WAM beépülő modul a PRT használatával engedélyezi az egyszeri bejelentkezést.
Microsoft Entra hitelesíti a felhasználót és az eszközt, és egy PRT-& egy azonosító jogkivonatot ad vissza. Az azonosító jogkivonat a következő attribútumokat tartalmazza a felhasználóról:
sAMAccountName
netBIOSDomainName
dnsDomainName
Ezek az attribútumok a helyszíni AD-ből szinkronizálódnak a Microsoft Entra Connect használatával.
A Kerberos-hitelesítésszolgáltató megkapja a hitelesítő adatokat és az attribútumokat. Az eszközön a Windows Helyi biztonsági szolgáltató (LSA) szolgáltatás engedélyezi a Kerberos- és az NTLM-hitelesítést.
Kerberos- vagy NTLM-hitelesítést kérő helyszíni erőforrás elérésére tett kísérlet során az eszköz a tartománynévhez kapcsolódó attribútumokkal keres egy tartományvezérlőt (DC) a DC Locator használatával.
- Ha talál egy tartományvezérlőt, elküldi a hitelesítő adatokat és a
sAMAccountName
tartományvezérlőt hitelesítés céljából. - Ha Vállalati Windows Hello használ, akkor a PKINIT a Vállalati Windows Hello tanúsítvánnyal működik.
- Ha nem található tartományvezérlő, akkor nem történik helyszíni hitelesítés.
Megjegyzés:
A PKINIT a Kerberos 5 előhitelesítési mechanizmusa, amely X.509-tanúsítványokat használ a kulcsterjesztési központ (KDC) ügyfelek általi hitelesítéséhez, és fordítva.
MS-PKCA: Nyilvános kulcsú titkosítás kezdeti hitelesítéshez (PKINIT) a Kerberos protokollban
- Ha talál egy tartományvezérlőt, elküldi a hitelesítő adatokat és a
A tartományvezérlő hitelesíti a felhasználót. A tartományvezérlő egy Kerberos Ticket-Granting Ticket (TGT) vagy egy NTLM-jogkivonatot ad vissza a helyszíni erőforrás vagy alkalmazás által támogatott protokoll alapján. A Windows gyorsítótárazza a visszaadott TGT- vagy NTLM-jogkivonatot későbbi használatra.
Ha a Tartomány Kerberos TGT- vagy NTLM-jogkivonatának lekérésére tett kísérlet meghiúsul (a DCLocator kapcsolódó időtúllépése késést okozhat), akkor a Windows Hitelesítőadat-kezelő újra próbálkozik. Vagy a felhasználó kaphat egy hitelesítési előugró ablakot, amely hitelesítő adatokat kér a helyszíni erőforráshoz.
Az integrált Windows-hitelesítést (WIA) használó alkalmazások automatikusan SSO-t használnak, amikor egy felhasználó megpróbál hozzáférni az alkalmazásokhoz. A WIA szabványos felhasználói hitelesítést tartalmaz egy helyszíni AD-tartományhoz NTLM vagy Kerberos használatával helyszíni szolgáltatások vagy erőforrások elérésekor.
További információ: How SSO to on-premises resources works on Microsoft Entra joined devices (Hogyan működik a helyszíni erőforrások egyszeri bejelentkezése Microsoft Entra csatlakoztatott eszközökön).
Fontos hangsúlyozni az integrált Windows-hitelesítés értékét. A natív felhővégpontok egyszerűen "működnek" a WIA-hoz konfigurált alkalmazásokkal.
Ha a felhasználók egy WIA-t (fájlkiszolgálót, nyomtatót, webkiszolgálót stb.) használó erőforráshoz férnek hozzá, a TGT-t egy Kerberos-szolgáltatásjegy váltja fel, amely a szokásos Kerberos-munkafolyamat.
Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót
- Áttekintés: Mik azok a natív felhőbeli végpontok?
- Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
- Fogalom: Microsoft Entra csatlakoztatott és hibrid Microsoft Entra csatlakoztatott
- 🡺 Fogalom: Natív felhőbeli végpontok és helyszíni erőforrások (Ön itt van)
- Magas szintű tervezési útmutató
- Ismert problémák és fontos információk
Hasznos online források
- Elsődleges frissítési jogkivonat (PRT) és Microsoft Entra
- A helyszíni erőforrásokba történő egyszeri bejelentkezés működése Microsoft Entra csatlakoztatott eszközökön
- A Vállalati Windows Hello működése – Hitelesítés – Windows-biztonság
- Integrált Windows-hitelesítés
- Kerberos-hitelesítés Microsoft Entra (előzetes verzió)
- Microsoft Entra-hitelesítés dokumentációja
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: