Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do usługi Microsoft Entra

  • Artykuł

Urządzenia dołączone do firmy Microsoft Entra zapewniają użytkownikom środowisko logowania jednokrotnego do aplikacji w chmurze dzierżawy. Jeśli środowisko ma usługi lokalna usługa Active Directory Domain Services (AD DS), użytkownicy mogą również korzystać z logowania jednokrotnego do zasobów i aplikacji korzystających z usług lokalna usługa Active Directory Domain Services.

W tym artykule wyjaśniono, jak to działa.

Wymagania wstępne

  • Urządzenie dołączone do firmy Microsoft Entra.
  • Lokalne logowanie jednokrotne wymaga komunikacji z lokalnymi kontrolerami domeny usług AD DS. Jeśli urządzenia dołączone do firmy Microsoft Entra nie są połączone z siecią organizacji, wymagana jest sieć VPN lub inna infrastruktura sieciowa.
  • Microsoft Entra Połączenie lub Microsoft Entra Połączenie synchronizacji w chmurze: aby zsynchronizować domyślne atrybuty użytkownika, takie jak nazwa konta SAM, nazwa domeny i nazwa UPN. Aby uzyskać więcej informacji, zobacz artykuł Atrybuty synchronizowane przez firmę Microsoft Entra Połączenie.

Jak działa

W przypadku urządzenia dołączonego do firmy Microsoft Użytkownicy mają już środowisko logowania jednokrotnego do aplikacji w chmurze w twoim środowisku. Jeśli środowisko ma identyfikator Entra firmy Microsoft i lokalne usługi AD DS, możesz rozszerzyć zakres środowiska logowania jednokrotnego do lokalnych aplikacji biznesowych, udziałów plików i drukarek.

Urządzenia dołączone do firmy Microsoft nie mają wiedzy na temat lokalnego środowiska usług AD DS, ponieważ nie są do niego przyłączone. Możesz jednak podać dodatkowe informacje o lokalnej usłudze AD na tych urządzeniach za pomocą usługi Microsoft Entra Połączenie.

Firma Microsoft Entra Połączenie lub Microsoft Entra Połączenie synchronizacja w chmurze synchronizuj informacje o tożsamości lokalnej z chmurą. W ramach procesu synchronizacji informacje o użytkowniku lokalnym i domenie są synchronizowane z identyfikatorem Entra firmy Microsoft. Gdy użytkownik zaloguje się do urządzenia dołączonego do firmy Microsoft w środowisku hybrydowym:

  1. Identyfikator Entra firmy Microsoft wysyła szczegóły domeny lokalnej użytkownika z powrotem do urządzenia wraz z podstawowym tokenem odświeżania
  2. Usługa lokalnego urzędu zabezpieczeń (LSA) umożliwia uwierzytelnianie Kerberos i NTLM na urządzeniu.

Uwaga

Dodatkowa konfiguracja jest wymagana, gdy jest używane uwierzytelnianie bez hasła do urządzeń dołączonych do firmy Microsoft.

W przypadku uwierzytelniania bez hasła opartego na kluczu zabezpieczeń FIDO2 i Windows Hello dla firm hybrydowego zaufania do chmury hybrydowej zobacz Włączanie logowania bez hasła do zasobów lokalnych przy użyciu identyfikatora Entra firmy Microsoft.

Aby uzyskać Windows Hello dla firm zaufanie kerberos w chmurze, zobacz Konfigurowanie i aprowizuj Windows Hello dla firm — zaufanie protokołu Kerberos w chmurze.

Aby uzyskać Windows Hello dla firm zaufania klucza hybrydowego, zobacz Konfigurowanie urządzeń przyłączonych do firmy Microsoft na potrzeby lokalnego logowania jednokrotnego przy użyciu Windows Hello dla firm.

Aby uzyskać Windows Hello dla firm zaufania certyfikatów hybrydowych, zobacz Using Certificates for AADJ On-premises Single-sign On (Używanie certyfikatów dla lokalnego logowania jednokrotnego usługi AADJ).

Podczas próby uzyskania dostępu do zasobu lokalnego żądającego protokołu Kerberos lub NTLM urządzenie:

  1. Wysyła informacje o domenie lokalnej i poświadczenia użytkownika do zlokalizowanego kontrolera domeny, aby uzyskać uwierzytelnienie użytkownika.
  2. Odbiera bilet przyznania biletu protokołu Kerberos (TGT) lub token NTLM na podstawie protokołu obsługiwanego przez zasób lokalny lub aplikację. Jeśli próba uzyskania tokenu TGT protokołu Kerberos lub NTLM dla domeny nie powiedzie się, wpisy menedżera poświadczeń zostaną wypróbowane lub użytkownik może otrzymać wyskakujące okienko uwierzytelniania żądające poświadczeń dla zasobu docelowego. Ten błąd może być związany z opóźnieniem spowodowanym przekroczeniem limitu czasu dcLocator.

Wszystkie aplikacje skonfigurowane do uwierzytelniania zintegrowanego z systemem Windows bezproblemowo uzyskują logowanie jednokrotne, gdy użytkownik próbuje uzyskać do nich dostęp.

Efekty

Za pomocą logowania jednokrotnego na urządzeniu dołączonym do firmy Microsoft można wykonywać następujące czynności:

  • Uzyskiwanie dostępu do ścieżki UNC na serwerze członkowskim usługi AD
  • Uzyskiwanie dostępu do serwera sieci Web członkowskiego usług AD DS skonfigurowanego pod kątem zabezpieczeń zintegrowanych z systemem Windows

Jeśli chcesz zarządzać lokalną usługą AD z urządzenia z systemem Windows, zainstaluj narzędzia Administracja istration Serwera zdalnego.

Możesz użyć:

  • Przystawka Użytkownicy i komputery usługi Active Directory (ADUC) do administrowania wszystkimi obiektami usługi AD. Należy jednak określić domenę, z którą chcesz nawiązać połączenie ręcznie.
  • Przystawka DHCP do administrowania serwerem DHCP przyłączonym do usługi AD. Może być jednak konieczne określenie nazwy lub adresu serwera DHCP.

Co należy wiedzieć

  • Może być konieczne dostosowanie filtrowania opartego na domenie w usłudze Microsoft Entra Połączenie, aby upewnić się, że dane dotyczące wymaganych domen są synchronizowane, jeśli masz wiele domen.
  • Aplikacje i zasoby, które zależą od uwierzytelniania maszyny usługi Active Directory, nie działają, ponieważ urządzenia dołączone do firmy Microsoft nie mają obiektu komputera w usługach AD DS.
  • Nie można udostępniać plików innym użytkownikom na urządzeniu dołączonym do firmy Microsoft Entra.
  • Aplikacje uruchomione na urządzeniu dołączonym do firmy Microsoft mogą uwierzytelniać użytkowników. Muszą używać niejawnej nazwy UPN lub składni typu NT4 z nazwą FQDN domeny jako częścią domeny, na przykład: user@contoso.corp.com lub contoso.corp.com\user.
    • Jeśli aplikacje używają nazwy NETBIOS lub starszej wersji, takiej jak contoso\user, błędy, które otrzymuje aplikacja, to błąd NT STATUS_BAD_VALIDATION_CLASS — 0xc00000a7 lub błąd systemu Windows ERROR_BAD_VALIDATION_CLASS — 1348 "Żądana klasa informacji walidacji była nieprawidłowa". Ten błąd występuje nawet wtedy, gdy można rozpoznać starszą nazwę domeny.

Następne kroki

Aby uzyskać więcej informacji, zobacz Co to jest zarządzanie urządzeniami w usłudze Microsoft Entra ID?