Облачные конечные точки и локальные ресурсы

  • Статья

Совет

При чтении об облачных собственных конечных точках вы увидите следующие термины:

  • Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
  • Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
  • Собственные облачные конечные точки: конечные точки, присоединенные к Azure AD. Они не присоединены к локальной AD.
  • Рабочая нагрузка: любая программа, служба или процесс.

Облачные конечные точки могут получать доступ к локальным ресурсам. В этой статье вы найдете более подробную информацию и ответы на некоторые распространенные вопросы.

Данная функция применяется к:

  • Облачные конечные точки Windows

Обзор облачных конечных точек и их преимуществ см. в статье Что такое облачные конечные точки..

Предварительные условия

Чтобы облачные конечные точки Windows могли получить доступ к локальным ресурсам и службам, которые используют локальную Active Directory (AD) для проверки подлинности, необходимы следующие предварительные условия:

  • Клиентские приложения должны использовать встроенную проверку подлинности Windows (WIA). Дополнительные сведения см. в статье Встроенная проверка подлинности Windows (WIA).

  • Настройка Microsoft Entra Connect. Microsoft Entra Connect синхронизирует учетные записи пользователей из локальной службы AD с Microsoft Entra. Дополнительные сведения см. в разделе Microsoft Entra Синхронизация подключения: Общие сведения о синхронизации и настройке синхронизации.

    В Microsoft Entra Connect может потребоваться настроить фильтрацию на основе домена, чтобы убедиться, что необходимые данные доменов синхронизированы с Microsoft Entra.

  • Устройство имеет прямое подключение (напрямую или через VPN) к контроллеру домена из домена AD и со службой или ресурсом, к которому осуществляется доступ.

Аналогично локальным устройствам Windows

Для конечных пользователей собственная облачная конечная точка Windows ведет себя как любое другое локальное устройство Windows.

Ниже приведен общий набор локальных ресурсов, к которым пользователи могут получить доступ с Microsoft Entra присоединенных устройств.

  • Файловый сервер: с помощью SMB (блока сообщений сервера) можно сопоставить сетевой диск с сервером-членом домена, на котором размещена сетевая папка или NAS (сетевое хранилище).

    Пользователи могут сопоставлять диски с общими и личными документами.

  • Ресурс принтера на сервере-члене домена: пользователи могут печатать на своем локальном или ближайшем принтере.

  • Веб-сервер на сервере-члене домена, который использует встроенную безопасность Windows: пользователи могут получить доступ к любому Win32 или веб-приложению.

  • Хотите управлять локальным доменом AD из подключенной к Microsoft Entra конечной точке: установите средства удаленного администрирования сервера:

    • Используйте оснастку «Пользователи и компьютеры Active Directory» (ADUC) для администрирования всех объектов AD. Необходимо вручную ввести домен, к которому хотите подключиться.
    • Используйте оснастку DHCP для администрирования DHCP-сервера, присоединенного к AD. Может потребоваться ввести имя или адрес DHCP-сервера.

Совет

Чтобы понять, как устройства, присоединенные к Microsoft Entra, используют кэшированные учетные данные в облачном подходе, watch OPS108: внутренние проверка подлинности Windows в гибридном мире (syfuhs.net) (открывает внешний веб-сайт).

Проверка подлинности и доступ к локальным ресурсам

Ниже описано, как присоединенная к Microsoft Entra конечная точка проходит проверку подлинности и обращается (на основе разрешений) к локальному ресурсу.

Ниже приведены общие сведения. Дополнительные сведения, включая подробные графики дорожки, описывающие весь процесс, см. в разделе Основной маркер обновления (PRT) и Microsoft Entra.

  1. При входе пользователей их учетные данные отправляются поставщику облачной проверки подлинности (CloudAP) и веб-диспетчеру учетных записей (WAM).

  2. Подключаемый модуль CloudAP отправляет учетные данные пользователя и устройства в Microsoft Entra. Или он выполняет проверку подлинности с помощью Windows Hello для бизнеса.

  3. Во время входа в Windows подключаемый модуль cloudAP Microsoft Entra запрашивает основной маркер обновления (PRT) у Microsoft Entra, используя учетные данные пользователя. Он также кэширует PRT, что позволяет кэшировать вход, когда у пользователей нет подключения к Интернету. Когда пользователи пытаются получить доступ к приложениям, подключаемый модуль Microsoft Entra WAM использует PRT для включения единого входа.

  4. Microsoft Entra выполняет проверку подлинности пользователя и устройства и возвращает prt & маркер идентификатора. Маркер идентификатора содержит следующие атрибуты о пользователе:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Эти атрибуты синхронизируются из локальной службы AD с помощью Microsoft Entra Connect.

    Поставщик проверки подлинности Kerberos получает учетные данные и атрибуты. На устройстве служба локальной системы подлинности Windows (LSA) включает проверку подлинности Kerberos и NTLM.

  5. Во время попытки получения доступа к локальному ресурсу, запрашивающему проверку подлинности Kerberos или NTLM, устройство использует атрибуты, связанные с доменным именем, для поиска контроллера домена (DC) с помощью локатора контроллеров домена.

    • Если контроллер домена найден, он отправляет учетные данные и sAMAccountName на контроллер домена для проверки подлинности.
    • При использовании Windows Hello для бизнеса выполняется PKINIT с сертификатом Windows Hello для бизнеса.
    • Если контроллер домена не найден, локальная проверка подлинности не выполняется.

    Примечание.

    PKINIT — это механизм предварительной проверки подлинности для Kerberos 5, который использует сертификаты X.509 для проверки подлинности центра распространения ключей (KDC) для клиентов и наоборот.

    MS-PKCA: криптография с открытым ключом для начальной проверки подлинности (PKINIT) в протоколе Kerberos

  6. Контроллер домена выполняет проверку подлинности пользователя. Контроллер домена возвращает билет на предоставление билетов Kerberos (TGT) или маркер NTLM на основе протокола, который поддерживает локальный ресурс или приложение. Windows кэширует возвращенный маркер TGT или NTLM для использования в будущем.

    Если попытка получить маркер Kerberos TGT или NTLM для домена не удалась (соответствующий тайм-аут DCLocator может вызвать задержку), диспетчер учетных данных Windows повторяет попытку. Или пользователь может получить всплывающее окно проверки подлинности с запросом учетных данных для локального ресурса.

  7. Все приложения, использующие встроенную проверку подлинности Windows (WIA), автоматически используют единый вход, когда пользователь пытается получить доступ к приложениям. WIA включает стандартную проверку подлинности пользователя в локальном домене AD с использованием NTLM или Kerberos при доступе к локальным службам или ресурсам.

    Дополнительные сведения см. в статье Как работает единый вход в локальные ресурсы на Microsoft Entra присоединенных устройствах.

    Важно подчеркнуть значение встроенной проверки подлинности Windows. Собственные облачные конечные точки просто «работают» с любым приложением, настроенным для WIA.

    Когда пользователи получают доступ к ресурсу, который использует WIA (файловый сервер, принтер, веб-сервер и т. д.), TGT обменивается билетом службы Kerberos, который является обычным рабочим процессом Kerberos.

Следуйте рекомендациям по облачным конечным точкам

  1. Обзор. Что такое облачные конечные точки?
  2. Руководство. Начало работы с облачными конечными точками Windows
  3. Концепция: присоединено Microsoft Entra и гибридное Microsoft Entra присоединено
  4. 🡺 Концепция: облачные конечные точки и локальные ресурсы (вы здесь)
  5. Руководство по планированию высокого уровня
  6. Известные проблемы и важные сведения

Полезные веб-ресурсы