Şirket içi kaynaklara yönelik SSO, Azure AD 'ye katılmış cihazlarda nasıl çalışacaktır?How SSO to on-premises resources works on Azure AD joined devices

Azure Active Directory (Azure AD) katılmış bir cihazın, kiracının bulut uygulamalarına çoklu oturum açma (SSO) deneyimi sunabilme olasılığı da vardır.It is probably not a surprise that an Azure Active Directory (Azure AD) joined device gives you a single sign-on (SSO) experience to your tenant's cloud apps. Ortamınızda şirket içi Active Directory (AD) varsa, bu cihazlardaki SSO deneyimini bu cihazlarda genişletebilirsiniz.If your environment has an on-premises Active Directory (AD), you can extend the SSO experience on these devices to it.

Bu makalede bunun nasıl çalıştığı açıklanır.This article explains how this works.

Nasıl çalışır?How it works

Yalnızca tek bir kullanıcı adını ve parolayı hatırlamanız gerektiğinden, SSO kaynaklarınızın erişimini basitleştirir ve ortamınızın güvenliğini geliştirir.Because you need to remember just one single user name and password, SSO simplifies access to your resources and improves the security of your environment. Azure AD 'ye katılmış bir cihazla, kullanıcılarınız ortamınızdaki bulut uygulamalarına yönelik SSO deneyimine sahiptir.With an Azure AD joined device, your users already have an SSO experience to the cloud apps in your environment. Ortamınızda bir Azure AD ve şirket içi AD varsa, muhtemelen, SSO deneyiminizin kapsamını şirket içi Iş kolu (LOB) Uygulamalarınız, dosya paylaşımlarınız ve yazıcılar için genişletebilirsiniz.If your environment has an Azure AD and an on-premises AD, you probably want to expand the scope of your SSO experience to your on-premises Line Of Business (LOB) apps, file shares, and printers.

Azure AD 'ye katılmış cihazlarda, şirket içi AD ortamınız hakkında hiçbir bilgi bulunmamaktadır.Azure AD joined devices have no knowledge about your on-premises AD environment because they aren't joined to it. Ancak, Azure AD Connect ile şirket içi AD 'niz hakkında bu cihazlara ek bilgiler sağlayabilirsiniz.However, you can provide additional information about your on-premises AD to these devices with Azure AD Connect. Hem Azure AD hem de şirket içi AD olan bir ortamda karma ortam de vardır.An environment that has both, an Azure AD and an on-premises AD, is also known has hybrid environment. Karma bir ortamınız varsa, şirket içi kimlik bilgilerinizi buluta eşitlemeye yönelik Azure AD Connect zaten dağıtılmış olması olasıdır.If you have a hybrid environment, it is likely that you already have Azure AD Connect deployed to synchronize your on-premises identity information to the cloud. Eşitleme sürecinin bir parçası olarak, şirket içi etki alanı bilgilerini Azure AD 'ye eşitler Azure AD Connect.As part of the synchronization process, Azure AD Connect synchronizes on-premises domain information to Azure AD. Bir Kullanıcı Karma ortamda Azure AD 'ye katılmış bir cihazda oturum açtığında:When a user signs in to an Azure AD joined device in a hybrid environment:

  1. Azure AD, kullanıcının cihaza geri üye olduğu şirket içi etki alanının adını gönderir.Azure AD sends the name of the on-premises domain the user is a member of back to the device.
  2. Yerel güvenlik yetkilisi (LSA) hizmeti cihazda Kerberos kimlik doğrulamasına izin vermez.The local security authority (LSA) service enables Kerberos authentication on the device.

Kullanıcının şirket içi etki alanındaki bir kaynağa erişim denemesi sırasında cihaz:During an access attempt to a resource in the user's on-premises domain, the device:

  1. , Etki alanı denetleyicisini (DC) bulmak için etki alanı bilgilerini kullanır.Uses the domain information to locate a domain controller (DC).
  2. Kullanıcının kimliğinin doğrulanmasını sağlamak için, bulunan DC 'ye şirket içi etki alanı bilgilerini ve Kullanıcı kimlik bilgilerini gönderir.Sends the on-premises domain information and user credentials to the located DC to get the user authenticated.
  3. AD ile Birleşik kaynaklara erişmek için kullanılan bir Kerberos anahtar verme anahtarı (TGT) alır.Receives a Kerberos Ticket-Granting Ticket (TGT) that is used to access AD-joined resources.

Windows Ile tümleşik kimlik doğrulaması için yapılandırılan tüm uygulamalar, bir Kullanıcı ERIŞMEYE çalıştığında SSO 'yu sorunsuz bir şekilde alır.All apps that are configured for Windows-Integrated authentication seamlessly get SSO when a user tries to access them.

Iş için Windows Hello, Azure AD 'ye katılmış bir cihazdan şirket içi SSO 'yu etkinleştirmek üzere ek yapılandırma gerektirir.Windows Hello for Business requires additional configuration to enable on-premises SSO from an Azure AD joined device. Daha fazla bilgi için bkz. iş Için Windows Hello 'yu kullanarak şirket Içi çoklu oturum açma Için Azure AD 'ye katılmış cihazları yapılandırma.For more information, see Configure Azure AD joined devices for On-premises Single-Sign On using Windows Hello for Business.

Ne alacaksınızWhat you get

SSO ile, bir Azure AD 'ye katılmış cihazda şunları yapabilirsiniz:With SSO, on an Azure AD joined device you can:

  • AD üye sunucusunda bir UNC yoluna erişmeAccess a UNC path on an AD member server
  • Windows ile tümleşik güvenlik için yapılandırılmış bir AD üyesi Web sunucusuna erişinAccess an AD member web server configured for Windows-integrated security

Şirket içi AD 'nizi bir Windows cihazından yönetmek istiyorsanız, uzak sunucu yönetim araçları Windows 10' u yükleyebilirsiniz.If you want to manage your on-premises AD from a Windows device, install the Remote Server Administration Tools for Windows 10.

Şunu kullanabilirsiniz:You can use:

  • Tüm AD nesnelerini yönetmek için Kullanıcı ve bilgisayar (ADUC) ek bileşeni Active Directory.The Active Directory Users and Computers (ADUC) snap-in to administer all AD objects. Ancak, el ile bağlanmak istediğiniz etki alanını belirtmeniz gerekir.However, you have to specify the domain that you want to connect to manually.
  • AD ile Birleşik bir DHCP sunucusunu yönetmek için DHCP ek bileşeni.The DHCP snap-in to administer an AD-joined DHCP server. Ancak, DHCP sunucusunun adını veya adresini belirtmeniz gerekebilir.However, you may need to specify the DHCP server name or address.

Bilmeniz gerekenlerWhat you should know

Gerekli etki alanlarıyla ilgili verilerin eşitlendiğinden emin olmak için Azure AD Connect etki alanı tabanlı filtrelemesini ayarlamanız gerekebilir.You may have to adjust your domain-based filtering in Azure AD Connect to ensure that the data about the required domains is synchronized.

Active Directory makine kimlik doğrulamasına bağımlı olan uygulamalar ve kaynaklar, Azure AD 'ye katılmış cihazların AD 'de bir bilgisayar nesnesi olmadığından çalışmaz.Apps and resources that depend on Active Directory machine authentication don't work because Azure AD joined devices don't have a computer object in AD.

Azure AD 'ye katılmış bir cihazdaki diğer kullanıcılarla dosya paylaşamazsınız.You can't share files with other users on an Azure AD-joined device.

Sonraki adımlarNext steps

Daha fazla bilgi için bkz. Azure Active Directory cihaz yönetimi nedir?For more information, see What is device management in Azure Active Directory?