云原生终结点和本地资源

  • 项目

提示

阅读有关云本机终结点的信息时,你将看到以下术语:

  • 终结点:终结点是一种设备,例如移动电话、平板电脑、笔记本电脑或台式计算机。 “终结点”和“设备”可互换使用。
  • 托管终结点:使用 MDM 解决方案或组策略对象从组织接收策略的终结点。 这些设备通常是组织拥有的,但也可以是 BYOD 或个人拥有的设备。
  • 云本机终结点:已加入 Azure AD 的终结点。 它们未加入本地 AD。
  • 工作负载:任何程序、服务或进程。

云原生终结点可以访问本地资源。 本文将更详细地介绍并回答一些常见问题。

此功能适用于:

  • Windows 云原生终结点

有关云原生终结点及其优点的概述,请转到什么是云原生终结点

先决条件

要使云原生 Windows 终结点能够访问使用本地 Active Directory (AD) 进行身份验证的本地资源和服务,需要满足以下先决条件:

  • 客户端应用必须使用 Windows 集成身份验证 (WIA)。 有关更具体的信息,请转到 Windows 集成身份验证 (WIA)

  • 配置 Microsoft Entra Connect。 Microsoft Entra Connect 会将用户帐户从本地 AD 同步到Microsoft Entra。 有关更具体的信息,请转到Microsoft Entra Connect 同步:了解和自定义同步

    在 Microsoft Entra Connect 中,可能需要调整基于域的筛选,以确认所需的域数据已同步到Microsoft Entra。

  • 设备有从 AD 域到被访问的服务或资源的到域控制器的视线连接(直接或通过 VPN)

类似于本地 Windows 设备

对于最终用户,Windows 云原生终结点的行为类似于任何其他本地 Windows 设备。

以下列表是一组常见的本地资源,用户可以从其已加入Microsoft Entra的设备访问这些资源:

  • 文件服务器:使用 SMB(服务器消息块),可以将网络驱动器映射到托管网络共享或 NAS(网络附加存储)的域成员服务器。

    用户可以将驱动器映射到共享文档和个人文档。

  • 域成员服务器上的打印机资源:用户可以打印到其本地或最近的打印机。

  • 使用 Windows 集成安全性的域成员服务器上的 Web 服务器:用户可以访问任何 Win32 或基于 Web 的应用程序。

  • 想要从已加入Microsoft Entra终结点管理本地 AD 域:安装远程服务器管理工具

    • 使用 Active Directory 用户和计算机 (ADUC) 管理单元管理所有 AD 对象。 必须手动输入要连接到的域。
    • 使用 DHCP 管理单元管理已加入 AD 的 DHCP 服务器。 可能需要输入 DHCP 服务器名称或地址。

提示

若要了解已加入Microsoft Entra的设备如何在云原生方法中使用缓存凭据,watch OPS108:混合世界中Windows 身份验证内部 (syfuhs.net) (打开外部网站) 。

对本地资源的身份验证和访问

以下步骤介绍了已加入Microsoft Entra的终结点如何根据本地资源) 权限对 (进行身份验证和访问。

以下步骤为概述。 有关更具体的信息(包括描述整个过程的详细泳道图形),请转到主刷新令牌 (PRT) 和Microsoft Entra

  1. 用户登录时,其凭据将发送到云身份验证提供程序 (CloudAP) 和 Web 帐户管理器 (WAM)。

  2. CloudAP 插件将用户和设备凭据发送到Microsoft Entra。 或者,它会使用 Windows Hello 企业版进行身份验证

  3. 在 Windows 登录期间,Microsoft Entra CloudAP 插件使用用户凭据从Microsoft Entra请求主刷新令牌 (PRT) 。 它还将缓存 PRT,以便在用户没有 Internet 连接时启用缓存登录。 当用户尝试访问应用程序时,Microsoft Entra WAM 插件使用 PRT 来启用 SSO。

  4. Microsoft Entra对用户和设备进行身份验证,并返回 PRT & ID 令牌。 ID 令牌包含用户相关的以下属性:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    这些属性使用 Microsoft Entra Connect 从本地 AD 同步。

    Kerberos 身份验证提供程序将接收凭据和属性。 在设备上,Windows 本地安全机构 (LSA) 服务会启用 Kerberos 和 NTLM 身份验证。

  5. 在尝试访问请求 Kerberos 或 NTLM 身份验证的本地资源期间,设备会使用与域名相关的属性来查找使用 DC 定位器的域控制器 (DC)。

    • 如果找到了 DC,它会将凭据和 sAMAccountName 发送到 DC 进行身份验证。
    • 如果使用的是 Windows Hello 企业版,它会使用 Windows Hello 企业版证书进行 PKINIT
    • 如果找不到 DC,则不会进行本地身份验证。

    注意

    PKINIT 是 Kerberos 5 的预身份验证机制,它使用 X.509 证书向客户端验证密钥发行中心 (KDC),反之亦然。

    MS-PKCA:Kerberos 协议中初始身份验证 (PKINIT) 的公钥加密

  6. DC 对用户进行身份验证。 DC 基于本地资源或应用程序支持的协议返回 Kerberos 票证授予票证 (TGT) 或 NTLM 令牌。 Windows 会缓存返回的 TGT 或 NTLM 令牌以供将来使用。

    如果尝试获取域的 Kerberos TGT 或 NTLM 令牌失败(相关的 DCLocator 超时可能会导致延迟),则 Windows 凭据管理器将会重试。 或者,用户可能会收到身份验证弹出窗口,请求本地资源的凭据。

  7. 当用户尝试访问应用时,使用 Windows 集成身份验证 (WIA) 的所有应用会自动使用 SSO。 WIA 包括在访问本地服务或资源时使用 NTLM 或 Kerberos 对本地 AD 域的标准用户身份验证。

    有关详细信息,请转到如何对本地资源的 SSO 在已加入Microsoft Entra设备上工作

    请务必强调 Windows 集成身份验证的价值。 本机云终结点会简单地与任何为 WIA 配置的应用程序配合“工作”。

    当用户访问使用 WIA(文件服务器、打印机、Web 服务器等)的资源时,TGT 将与 Kerberos 服务票证(即通常的 Kerberos 工作流)交换。

遵循云原生终结点的指南

  1. 概述:什么是云原生终结点?
  2. 教程 - 云原生 Windows 终结点入门
  3. 概念:Microsoft Entra联接与混合Microsoft Entra联接
  4. 概念:云原生终结点和本地资源你在此处
  5. 高级规划指南
  6. 已知问题和重要信息

有用的联机资源