Bulutta yerel uç noktalar ve şirket içi kaynaklar

İpucu

Bulutta yerel uç noktalar hakkında bilgi edinirken aşağıdaki terimleri görürsünüz:

• Uç nokta: Uç nokta, cep telefonu, tablet, dizüstü bilgisayar veya masaüstü bilgisayar gibi bir cihazdır. "Uç noktalar" ve "cihazlar" birbirinin yerine kullanılır.
• Yönetilen uç noktalar: Bir MDM çözümü veya grup ilkesi Nesneleri kullanarak kuruluştan ilke alan uç noktalar. Bu cihazlar genellikle kuruluşa aittir, ancak KCG veya kişisel cihazlar da olabilir.
• Bulutta yerel uç noktalar: Azure AD birleştirilen uç noktalar. Şirket içi AD'ye katılmaz.
• İş yükü: Herhangi bir program, hizmet veya işlem.

Bulutta yerel uç noktalar şirket içi kaynaklara erişebilir. Bu makale daha ayrıntılı bir şekilde incelenip sık sorulan bazı soruları yanıtlar.

Bu özellik şu platformlarda geçerlidir:

• Windows buluta özel uç noktalar

Bulutta yerel uç noktalara ve bunların avantajlarına genel bakış için Bulutta yerel uç noktalar nedir? bölümüne gidin.

Önkoşullar

Bulutta yerel Windows uç noktalarının kimlik doğrulaması için şirket içi Active Directory (AD) kullanan şirket içi kaynaklara ve hizmetlere erişmesi için aşağıdaki önkoşullar gereklidir:

• İstemci uygulamalarının Windows tümleşik kimlik doğrulaması (WIA) kullanması gerekir. Daha ayrıntılı bilgi için Windows Tümleşik Kimlik Doğrulaması (WIA) bölümüne gidin.

• Microsoft Entra Connect'i yapılandırın. Microsoft Entra Connect, şirket içi AD'den Microsoft Entra kullanıcı hesaplarını eşitler. Daha ayrıntılı bilgi için Microsoft Entra Connect sync: Eşitlemeyi anlama ve özelleştirme bölümüne gidin.

  Microsoft Entra Connect'te, gerekli etki alanı verilerinin Microsoft Entra eşitlendiğini onaylamak için etki alanı tabanlı filtrelemenizi ayarlamanız gerekebilir.

• Cihazın AD etki alanından bir etki alanı denetleyicisine ve erişilmekte olan hizmete veya kaynağa görüş hattı bağlantısı (doğrudan veya VPN aracılığıyla) vardır.

Şirket içi Windows cihazlarına benzer

Son kullanıcılar için, Windows buluta özel uç nokta diğer şirket içi Windows cihazları gibi davranır.

Aşağıdaki liste, kullanıcıların Microsoft Entra katılmış cihazlarından erişebileceği yaygın bir şirket içi kaynak kümesidir:

• Dosya sunucusu: SMB (Sunucu İleti Bloğu) kullanarak, bir ağ sürücüsünü bir ağ paylaşımını veya NAS'ı (Ağa Bağlı Depolama) barındıran bir etki alanı üyesi sunucuyla eşleyebilirsiniz.

  Kullanıcılar, sürücüleri paylaşılan ve kişisel belgelerle eşleyebilir.

• Etki alanı üyesi bir sunucudaki yazıcı kaynağı: Kullanıcılar yerel veya en yakın yazıcılarına yazdırabilir.

• Windows Tümleşik güvenliği kullanan bir etki alanı üyesi sunucudaki bir web sunucusu: Kullanıcılar herhangi bir Win32 veya web tabanlı uygulamaya erişebilir.

• Şirket içi AD etki alanınızı Microsoft Entra katılmış bir uç noktadan yönetmek istiyorsanız: Uzak Sunucu Yönetim Araçları'nı yükleyin:

  • Tüm AD nesnelerini yönetmek için Active Directory Kullanıcıları ve Bilgisayarları (ADUC) ek bileşenini kullanın. Bağlanmak istediğiniz etki alanını el ile girmeniz gerekir.
  • AD'ye katılmış bir DHCP sunucusunu yönetmek için DHCP ek bileşenini kullanın. DHCP sunucusu adını veya adresini girmeniz gerekebilir.

İpucu

Birleştirilmiş Microsoft Entra cihazların bulutta yerel bir yaklaşımda önbelleğe alınmış kimlik bilgilerini nasıl kullandığını anlamak için OPS108 watch: Karma dünyada Windows kimlik doğrulaması iç işlevleri (syfuhs.net) (dış web sitesi açar).

Kimlik doğrulaması ve şirket içi kaynaklara erişim

Aşağıdaki adımlarda, bir Microsoft Entra katılmış uç noktanın şirket içi kaynağın kimliğini nasıl doğrulayıp eriştiği (izinlere göre) açıklanmaktadır.

Aşağıdaki adımlar genel bir bakıştır. İşlemin tamamını açıklayan ayrıntılı kulvar grafikleri de dahil olmak üzere daha ayrıntılı bilgi için Birincil Yenileme Belirteci (PRT) bölümüne gidin ve Microsoft Entra.

1. Kullanıcılar oturum açarken kimlik bilgileri Bulut Kimlik Doğrulama Sağlayıcısı'na (CloudAP) ve Web Hesabı Yöneticisi'ne (WAM) gönderilir.

2. CloudAP eklentisi kullanıcı ve cihaz kimlik bilgilerini Microsoft Entra gönderir. Veya İş İçin Windows Hello kullanarak kimlik doğrulaması yapar.

3. Windows oturum açma sırasında, Microsoft Entra CloudAP eklentisi kullanıcı kimlik bilgilerini kullanarak Microsoft Entra bir Birincil Yenileme Belirteci (PRT) ister. Kullanıcıların İnternet bağlantısı olmadığında önbelleğe alınmış oturum açmayı sağlayan PRT'yi de önbelleğe alır. Kullanıcılar uygulamalara erişmeye çalıştığında, Microsoft Entra WAM eklentisi SSO'nun etkinleştirilmesi için PRT kullanır.

4. Microsoft Entra kullanıcının ve cihazın kimliğini doğrular ve kimlik belirteci & bir PRT döndürür. Kimlik belirteci, kullanıcı hakkında aşağıdaki öznitelikleri içerir:

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Bu öznitelikler, Microsoft Entra Connect kullanılarak şirket içi AD'den eşitlenir.

   Kerberos Kimlik Doğrulama Sağlayıcısı kimlik bilgilerini ve öznitelikleri alır. Cihazda, Windows Yerel Güvenlik Yetkilisi (LSA) hizmeti Kerberos ve NTLM kimlik doğrulamasını etkinleştirir.

5. Kerberos veya NTLM kimlik doğrulaması isteyen bir şirket içi kaynağa erişim girişimi sırasında cihaz, DC Bulucu kullanarak bir Etki Alanı Denetleyicisi (DC) bulmak için etki alanı adıyla ilgili öznitelikleri kullanır.

   • Bir DC bulunursa kimlik bilgilerini ve sAMAccountName kimlik doğrulaması için DC'ye gönderir.
   • İş İçin Windows Hello kullanıyorsanız, PKINIT'i İş İçin Windows Hello sertifikasıyla yapar.
   • DC bulunmazsa, şirket içi kimlik doğrulaması gerçekleşmez.

   Not

   PKINIT, Anahtar Dağıtım Merkezi'nin (KDC) istemcilerinde kimlik doğrulaması yapmak için X.509 sertifikalarını kullanan Kerberos 5 için bir ön kimlik doğrulama mekanizmasıdır ve bunun tersi de geçerlidir.

   MS-PKCA: Kerberos Protokolünde İlk Kimlik Doğrulaması (PKINIT) için Ortak Anahtar Şifrelemesi

6. DC kullanıcının kimliğini doğrular. DC, şirket içi kaynağın veya uygulamanın desteklediği protokole göre bir Kerberos Ticket-Granting Anahtarı (TGT) veya NTLM belirteci döndürür. Windows, döndürülen TGT veya NTLM belirtecini gelecekte kullanmak üzere önbelleğe alır.

   Etki alanı için Kerberos TGT veya NTLM belirtecini alma girişimi başarısız olursa (ilgili DCLocator zaman aşımı gecikmeye neden olabilir), Windows Kimlik Bilgileri Yöneticisi yeniden dener. Veya kullanıcı, şirket içi kaynağın kimlik bilgilerini isteyen bir kimlik doğrulaması açılır penceresi alabilir.

7. Bir kullanıcı uygulamalara erişmeye çalıştığında Windows Tümleşik Kimlik Doğrulaması (WIA) kullanan tüm uygulamalar otomatik olarak SSO kullanır. WIA, şirket içi hizmetlere veya kaynaklara erişirken NTLM veya Kerberos kullanarak şirket içi AD etki alanında standart kullanıcı kimlik doğrulaması içerir.

   Daha fazla bilgi için şirket içi kaynaklara yönelik SSO'nun katılmış Microsoft Entra cihazlarda nasıl çalıştığı bölümüne gidin.

   Windows Tümleşik Kimlik Doğrulaması'nın değerini vurgu etmek önemlidir. Yerel bulut uç noktaları, WIA için yapılandırılmış tüm uygulamalarla "çalışır".

   Kullanıcılar WIA (dosya sunucusu, yazıcı, web sunucusu vb.) kullanan bir kaynağa eriştiğinde, TGT her zamanki Kerberos iş akışı olan bir Kerberos hizmet biletiyle değiştirilir.

Bulutta yerel uç noktalar kılavuzunu izleyin

1. Genel bakış: Bulutta yerel uç noktalar nelerdir?
2. Öğretici: Bulutta yerel Windows uç noktalarını kullanmaya başlama
3. Kavram: Microsoft Entra birleştirilmiş ile Karma Microsoft Entra birleştirilmiş karşılaştırması
4. 🡺 Kavram: Bulutta yerel uç noktalar ve şirket içi kaynaklar (Buradasınız)
5. Üst düzey planlama kılavuzu
6. Bilinen sorunlar ve önemli bilgiler

Yararlı çevrimiçi kaynaklar

• Birincil Yenileme Belirteci (PRT) ve Microsoft Entra
• Şirket içi kaynaklara yönelik SSO Microsoft Entra birleştirilmiş cihazlarda nasıl çalışır?
• İş İçin Windows Hello nasıl çalışır - Kimlik doğrulaması - Windows güvenliği
• Tümleşik Windows Kimlik Doğrulaması
• Kerberos kimlik doğrulama Microsoft Entra (Önizleme)
• Microsoft Entra Kimlik Doğrulaması belgeleri