Share via

Cloudeigen eindpunten en on-premises resources

  • Artikel

Tip

Wanneer u leest over cloudeigen eindpunten, ziet u de volgende termen:

  • Eindpunt: Een eindpunt is een apparaat, zoals een mobiele telefoon, tablet, laptop of desktopcomputer. 'Eindpunten' en 'apparaten' worden door elkaar gebruikt.
  • Beheerde eindpunten: eindpunten die beleidsregels van de organisatie ontvangen met behulp van een MDM-oplossing of groepsbeleid-objecten. Deze apparaten zijn doorgaans eigendom van de organisatie, maar kunnen ook BYOD- of persoonlijke apparaten zijn.
  • Cloudeigen eindpunten: eindpunten die zijn gekoppeld aan Azure AD. Ze zijn niet gekoppeld aan on-premises AD.
  • Workload: elk programma, elke service of elk proces.

Cloudeigen eindpunten hebben toegang tot on-premises resources. In dit artikel wordt dieper ingegaan en worden enkele veelgestelde vragen beantwoord.

Deze functie is van toepassing op:

  • Windows-cloudeigen eindpunten

Ga naar Wat zijn cloudeigen eindpunten voor een overzicht van cloudeigen eindpunten en hun voordelen.

Vereisten

Voor cloudeigen Windows-eindpunten voor toegang tot on-premises resources en services die gebruikmaken van on-premises Active Directory (AD) voor verificatie, zijn de volgende vereisten vereist:

  • Client-apps moeten gebruikmaken van geïntegreerde Windows-verificatie (WIA). Ga naar Windows Integrated Authentication (WIA) voor meer specifieke informatie.

  • Configureer Microsoft Entra Connect. Microsoft Entra Connect synchroniseert gebruikersaccounts van de on-premises AD naar Microsoft Entra. Ga voor meer specifieke informatie naar Microsoft Entra Synchronisatie verbinden: Synchronisatie begrijpen en aanpassen.

    In Microsoft Entra Connect moet u mogelijk uw domeinfilter aanpassen om te bevestigen dat de vereiste domeinengegevens worden gesynchroniseerd met Microsoft Entra.

  • Het apparaat heeft line-of-sight-connectiviteit (rechtstreeks of via VPN) met een domeincontroller vanuit het AD-domein en met de service of resource die wordt geopend.

Vergelijkbaar met on-premises Windows-apparaten

Voor eindgebruikers gedraagt een cloudeigen Windows-eindpunt zich als elk ander on-premises Windows-apparaat.

De volgende lijst bevat een algemene set on-premises resources waartoe gebruikers toegang hebben vanaf hun Microsoft Entra gekoppelde apparaten:

  • Een bestandsserver: met behulp van SMB (Server Message Block) kunt u een netwerkstation toewijzen aan een domeinlidserver die als host fungeert voor een netwerkshare of NAS (Network Attached Storage).

    Gebruikers kunnen stations toewijzen aan gedeelde en persoonlijke documenten.

  • Een printerresource op een domeinlidserver: gebruikers kunnen afdrukken op hun lokale of dichtstbijzijnde printer.

  • Een webserver op een domeinlidserver die gebruikmaakt van geïntegreerde Windows-beveiliging: gebruikers hebben toegang tot elke Win32- of webtoepassing.

  • Wilt u uw on-premises AD-domein beheren vanaf een Microsoft Entra gekoppeld eindpunt: Installeer de beheerhulpprogramma's voor externe servers:

    • Gebruik de module Active Directory: gebruikers en computers (ADUC) om alle AD-objecten te beheren. U moet handmatig het domein invoeren waarmee u verbinding wilt maken.
    • Gebruik de DHCP-module om een AD-gekoppelde DHCP-server te beheren. Mogelijk moet u de naam of het adres van de DHCP-server invoeren.

Tip

Als u wilt begrijpen hoe Microsoft Entra gekoppelde apparaten referenties in de cache gebruiken in een cloudeigen benadering, watch OPS108: Interne Windows-verificatie in een hybride wereld (syfuhs.net) (hiermee opent u een externe website).

Verificatie en toegang tot on-premises resources

In de volgende stappen wordt beschreven hoe een Microsoft Entra gekoppeld eindpunt een on-premises resource verifieert en opent (op basis van machtigingen).

De volgende stappen zijn een overzicht. Voor meer specifieke informatie, waaronder gedetailleerde zwembaanafbeeldingen die het volledige proces beschrijven, gaat u naar Primair vernieuwingstoken (PRT) en Microsoft Entra.

  1. Wanneer gebruikers zich aanmelden, worden hun referenties verzonden naar de Cloud Authentication Provider (CloudAP) en de Web Account Manager (WAM).

  2. De CloudAP-invoegtoepassing verzendt de referenties van de gebruiker en het apparaat naar Microsoft Entra. Of wordt geverifieerd met behulp van Windows Hello voor Bedrijven.

  3. Tijdens windows-aanmelding vraagt de Microsoft Entra CloudAP-invoegtoepassing een PRT (Primary Refresh Token) aan bij Microsoft Entra met behulp van de gebruikersreferenties. Ook wordt de PRT in de cache opgeslagen, waardoor aanmelding in de cache mogelijk is wanneer gebruikers geen internetverbinding hebben. Wanneer gebruikers toegang proberen te krijgen tot toepassingen, gebruikt de Microsoft Entra WAM-invoegtoepassing de PRT om eenmalige aanmelding in te schakelen.

  4. Microsoft Entra verifieert de gebruiker en het apparaat en retourneert een PRT-& een id-token. Het id-token bevat de volgende kenmerken over de gebruiker:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Deze kenmerken worden gesynchroniseerd vanuit on-premises AD met behulp van Microsoft Entra Connect.

    De Kerberos-verificatieprovider ontvangt de referenties en de kenmerken. Op het apparaat maakt de LSA-service (Windows Local Security Authority) Kerberos- en NTLM-verificatie mogelijk.

  5. Tijdens een toegangspoging tot een on-premises resource die Kerberos- of NTLM-verificatie aanvraagt, gebruikt het apparaat de domeinnaamgerelateerde kenmerken om een domeincontroller (DC) te vinden met behulp van DC-locator.

    • Als er een DC wordt gevonden, worden de referenties en de sAMAccountName voor verificatie naar de domeincontroller verzonden.
    • Als u Windows Hello voor Bedrijven gebruikt, doet dit PKINIT met het Windows Hello voor Bedrijven-certificaat.
    • Als er geen DC wordt gevonden, vindt er geen on-premises verificatie plaats.

    Opmerking

    PKINIT is een mechanisme voor verificatie vooraf voor Kerberos 5 dat gebruikmaakt van X.509-certificaten om het Key Distribution Center (KDC) te verifiëren bij clients en vice versa.

    MS-PKCA: Public Key Cryptography for Initial Authentication (PKINIT) in Kerberos Protocol

  6. De domeincontroller verifieert de gebruiker. De domeincontroller retourneert een Kerberos Ticket-Granting Ticket (TGT) of een NTLM-token op basis van het protocol dat de on-premises resource of toepassing ondersteunt. Windows slaat het geretourneerde TGT- of NTLM-token op in de cache voor toekomstig gebruik.

    Als de poging om het Kerberos TGT- of NTLM-token voor het domein op te halen mislukt (een gerelateerde TIME-out van DCLocator kan een vertraging veroorzaken), voert Windows Credential Manager een nieuwe poging uit. Of de gebruiker ontvangt mogelijk een pop-up voor verificatie met het verzoek om referenties voor de on-premises resource.

  7. Alle apps die gebruikmaken van Windows Integrated Authentication (WIA) gebruiken automatisch eenmalige aanmelding wanneer een gebruiker toegang probeert te krijgen tot de apps. WIA bevat standaardgebruikersverificatie voor een on-premises AD-domein met behulp van NTLM of Kerberos bij het openen van on-premises services of resources.

    Ga voor meer informatie naar Hoe eenmalige aanmelding voor on-premises resources werkt op Microsoft Entra gekoppelde apparaten.

    Het is belangrijk om de waarde van geïntegreerde Windows-verificatie te benadrukken. Systeemeigen cloudeindpunten 'werken' gewoon met elke toepassing die is geconfigureerd voor WIA.

    Wanneer gebruikers toegang krijgen tot een resource die gebruikmaakt van WIA (bestandsserver, printer, webserver, enzovoort), wordt de TGT uitgewisseld met een Kerberos-serviceticket, de gebruikelijke Kerberos-werkstroom.

Volg de richtlijnen voor cloudeigen eindpunten

  1. Overzicht: Wat zijn cloudeigen eindpunten?
  2. Zelfstudie: Aan de slag met cloudeigen Windows-eindpunten
  3. Concept: Microsoft Entra gekoppeld versus hybride Microsoft Entra gekoppeld
  4. 🡺 Concept: Cloudeigen eindpunten en on-premises resources (U bent hier)
  5. Planningshandleiding op hoog niveau
  6. Bekende problemen en belangrijke informatie

Nuttige onlinebronnen