Share via

Natív felhőbeli végpontok és helyszíni erőforrások

  • Cikk

Tipp

A natív felhőbeli végpontok olvasásakor a következő kifejezések jelennek meg:

  • Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
  • Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy Csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
  • Natív felhőbeli végpontok: A Azure AD csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
  • Számítási feladat: Bármely program, szolgáltatás vagy folyamat.

A natív felhőbeli végpontok hozzáférhetnek a helyszíni erőforrásokhoz. Ez a cikk részletesebben is foglalkozik, és választ ad néhány gyakori kérdésre.

Ez a funkció az alábbiakra vonatkozik:

  • Natív Windows-felhőbeli végpontok

A natív felhőbeli végpontokról és azok előnyeiről a Mi a natív felhőbeli végpontok? című témakörben talál áttekintést.

Előfeltételek

Ahhoz, hogy a natív felhőbeli Windows-végpontok hozzáférjenek az helyi Active Directory (AD) hitelesítéshez használt helyszíni erőforrásokhoz és szolgáltatásokhoz, a következő előfeltételek szükségesek:

  • Az ügyfélalkalmazások windowsos integrált hitelesítést (WIA) kell használniuk. További információt a Windows integrált hitelesítés (WIA) című témakörben talál.

  • Konfigurálja Microsoft Entra Connectet. Microsoft Entra Connect szinkronizálja a felhasználói fiókokat a helyszíni AD-ből a Microsoft Entra. További információ: Microsoft Entra Szinkronizálás csatlakoztatása: A szinkronizálás ismertetése és testreszabása.

    Előfordulhat, hogy a Microsoft Entra Connectben módosítania kell a tartományalapú szűrést annak ellenőrzéséhez, hogy a szükséges tartományadatok szinkronizálva vannak-e Microsoft Entra.

  • Az eszköz közvetlen vagy VPN-kapcsolattal rendelkezik egy tartományvezérlőhöz az AD-tartományból, valamint az elérni kívánt szolgáltatáshoz vagy erőforráshoz.

Hasonló a helyszíni Windows-eszközökhöz

A végfelhasználók számára a Windows felhőbeli natív végpontja ugyanúgy viselkedik, mint bármely más helyszíni Windows-eszköz.

Az alábbi lista gyakori helyszíni erőforrásokat sorol fel, amelyeket a felhasználók a Microsoft Entra csatlakoztatott eszközeikről érhetnek el:

  • Fájlkiszolgáló: Az SMB (kiszolgálói üzenetblokk) használatával hálózati meghajtót képezhet le egy olyan tartománytag kiszolgálóra, amely hálózati megosztást vagy NAS-ot (hálózati csatlakoztatott tárolót) üzemeltet.

    A felhasználók meghajtókat képezhetnek le megosztott és személyes dokumentumokra.

  • Nyomtató-erőforrás egy tartománytag kiszolgálón: A felhasználók a helyi vagy a legközelebbi nyomtatójukra nyomtathatnak.

  • A windowsos integrált biztonságot használó tartománytag kiszolgáló webkiszolgálója: A felhasználók bármely Win32- vagy webalapú alkalmazást elérhetnek.

  • A helyszíni AD-tartományt egy Microsoft Entra csatlakoztatott végpontról szeretné kezelni: Telepítse a távoli kiszolgálófelügyelet eszközeit:

    • Az összes AD-objektum felügyeletéhez használja a Active Directory - felhasználók és számítógépek (ADUC) beépülő modult. Manuálisan kell megadnia azt a tartományt, amelyhez csatlakozni szeretne.
    • A DHCP beépülő modullal felügyelhet egy AD-hez csatlakoztatott DHCP-kiszolgálót. Előfordulhat, hogy meg kell adnia a DHCP-kiszolgáló nevét vagy címét.

Tipp

Annak megértéséhez, hogy Microsoft Entra csatlakoztatott eszközök hogyan használják a gyorsítótárazott hitelesítő adatokat natív felhőbeli megközelítésben, watch OPS108: A Windows-hitelesítés belső elemei hibrid világban (syfuhs.net) (külső webhely megnyitása).

Hitelesítés és hozzáférés a helyszíni erőforrásokhoz

Az alábbi lépések azt mutatják be, hogy egy Microsoft Entra csatlakoztatott végpont hogyan hitelesíti és éri el (engedélyek alapján) a helyszíni erőforrásokat.

Az alábbi lépések áttekintést adnak. További információkért, beleértve a teljes folyamatot leíró részletes sávos ábrákat, lépjen az Elsődleges frissítési jogkivonat (PRT) területre, és Microsoft Entra.

  1. Amikor a felhasználók bejelentkeznek, a rendszer elküldi a hitelesítő adataikat a felhőhitelesítési szolgáltatónak (CloudAP) és a webfiók-kezelőnek (WAM).

  2. A CloudAP beépülő modul elküldi a felhasználó és az eszköz hitelesítő adatait a Microsoft Entra. Vagy Vállalati Windows Hello használatával hitelesíti magát.

  3. A Windows-bejelentkezés során a Microsoft Entra CloudAP beépülő modul elsődleges frissítési jogkivonatot (PRT) kér Microsoft Entra a felhasználói hitelesítő adatokkal. Emellett gyorsítótárazza a PRT-t is, amely lehetővé teszi a gyorsítótárazott bejelentkezést, ha a felhasználók nem rendelkeznek internetkapcsolattal. Amikor a felhasználók megpróbálnak hozzáférni az alkalmazásokhoz, a Microsoft Entra WAM beépülő modul a PRT használatával engedélyezi az egyszeri bejelentkezést.

  4. Microsoft Entra hitelesíti a felhasználót és az eszközt, és egy PRT-& egy azonosító jogkivonatot ad vissza. Az azonosító jogkivonat a következő attribútumokat tartalmazza a felhasználóról:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Ezek az attribútumok a helyszíni AD-ből szinkronizálódnak a Microsoft Entra Connect használatával.

    A Kerberos-hitelesítésszolgáltató megkapja a hitelesítő adatokat és az attribútumokat. Az eszközön a Windows Helyi biztonsági szolgáltató (LSA) szolgáltatás engedélyezi a Kerberos- és az NTLM-hitelesítést.

  5. Kerberos- vagy NTLM-hitelesítést kérő helyszíni erőforrás elérésére tett kísérlet során az eszköz a tartománynévhez kapcsolódó attribútumokkal keres egy tartományvezérlőt (DC) a DC Locator használatával.

    • Ha talál egy tartományvezérlőt, elküldi a hitelesítő adatokat és a sAMAccountName tartományvezérlőt hitelesítés céljából.
    • Ha Vállalati Windows Hello használ, akkor a PKINIT a Vállalati Windows Hello tanúsítvánnyal működik.
    • Ha nem található tartományvezérlő, akkor nem történik helyszíni hitelesítés.

    Megjegyzés:

    A PKINIT a Kerberos 5 előhitelesítési mechanizmusa, amely X.509-tanúsítványokat használ a kulcsterjesztési központ (KDC) ügyfelek általi hitelesítéséhez, és fordítva.

    MS-PKCA: Nyilvános kulcsú titkosítás kezdeti hitelesítéshez (PKINIT) a Kerberos protokollban

  6. A tartományvezérlő hitelesíti a felhasználót. A tartományvezérlő egy Kerberos Ticket-Granting Ticket (TGT) vagy egy NTLM-jogkivonatot ad vissza a helyszíni erőforrás vagy alkalmazás által támogatott protokoll alapján. A Windows gyorsítótárazza a visszaadott TGT- vagy NTLM-jogkivonatot későbbi használatra.

    Ha a Tartomány Kerberos TGT- vagy NTLM-jogkivonatának lekérésére tett kísérlet meghiúsul (a DCLocator kapcsolódó időtúllépése késést okozhat), akkor a Windows Hitelesítőadat-kezelő újra próbálkozik. Vagy a felhasználó kaphat egy hitelesítési előugró ablakot, amely hitelesítő adatokat kér a helyszíni erőforráshoz.

  7. Az integrált Windows-hitelesítést (WIA) használó alkalmazások automatikusan SSO-t használnak, amikor egy felhasználó megpróbál hozzáférni az alkalmazásokhoz. A WIA szabványos felhasználói hitelesítést tartalmaz egy helyszíni AD-tartományhoz NTLM vagy Kerberos használatával helyszíni szolgáltatások vagy erőforrások elérésekor.

    További információ: How SSO to on-premises resources works on Microsoft Entra joined devices (Hogyan működik a helyszíni erőforrások egyszeri bejelentkezése Microsoft Entra csatlakoztatott eszközökön).

    Fontos hangsúlyozni az integrált Windows-hitelesítés értékét. A natív felhővégpontok egyszerűen "működnek" a WIA-hoz konfigurált alkalmazásokkal.

    Ha a felhasználók egy WIA-t (fájlkiszolgálót, nyomtatót, webkiszolgálót stb.) használó erőforráshoz férnek hozzá, a TGT-t egy Kerberos-szolgáltatásjegy váltja fel, amely a szokásos Kerberos-munkafolyamat.

Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót

  1. Áttekintés: Mik azok a natív felhőbeli végpontok?
  2. Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
  3. Fogalom: Microsoft Entra csatlakoztatott és hibrid Microsoft Entra csatlakoztatott
  4. 🡺 Fogalom: Natív felhőbeli végpontok és helyszíni erőforrások (Ön itt van)
  5. Magas szintű tervezési útmutató
  6. Ismert problémák és fontos információk

Hasznos online források