Sdílet prostřednictvím

Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Microsoft Entra

  • Článek

Zařízení připojená k Microsoft Entra poskytují uživatelům jednotné přihlašování ke cloudovým aplikacím vašeho tenanta. Pokud má vaše prostředí místní Active Directory Domain Services (AD DS), můžou se uživatelé také přidružovat k prostředkům a aplikacím, které spoléhají na místní Active Directory Domain Services.

Tento článek vysvětluje, jak to funguje.

Požadavky

  • Zařízení připojené k Microsoft Entra.
  • Jednotné přihlašování na místě vyžaduje přímou komunikaci s místními řadiči domény služby AD DS. Pokud zařízení připojená k Microsoft Entra nejsou připojená k síti vaší organizace, vyžaduje se síť VPN nebo jiná síťová infrastruktura.
  • Microsoft Entra Connect nebo synchronizace cloudu Microsoft Entra Connect: K synchronizaci výchozích uživatelských atributů, jako jsou název účtu SAM, název domény a hlavní název uživatele (UPN). Další informace naleznete v článku Atributy synchronizované službou Microsoft Entra Connect.

Jak to funguje

S zařízením připojeným k Microsoft Entra už uživatelé mají prostředí jednotného přihlašování ke cloudovým aplikacím ve vašem prostředí. Pokud má vaše prostředí Microsoft Entra ID a místní službu AD DS, můžete rozšířit rozsah prostředí jednotného přihlašování na vaše místní obchodní aplikace, sdílené složky a tiskárny.

Zařízení připojená k Microsoftu Entra nemají žádné znalosti o vašem místním prostředí SLUŽBY AD DS, protože k němu nejsou připojená. Pomocí nástroje Microsoft Entra Connect ale můžete těmto zařízením poskytnout další informace o místní službě AD.

Microsoft Entra Connect nebo Microsoft Entra Connect cloud sync synchronizují vaše místní identity do cloudu. V rámci procesu synchronizace se informace o místním uživateli a doméně synchronizují s ID Microsoft Entra. Když se uživatel přihlásí k zařízení připojenému k Microsoft Entra v hybridním prostředí:

  1. ID Microsoft Entra odešle podrobnosti o místní doméně uživatele zpět do zařízení spolu s primárním obnovovacím tokenem .
  2. Služba místní autority zabezpečení (LSA) umožňuje na zařízení ověřování protokolem Kerberos a NTLM.

Poznámka:

Další konfigurace se vyžaduje, když se použije ověřování bez hesla na zařízeních připojených k Microsoft Entra.

Informace o ověřování bez hesla založeném na klíči zabezpečení FIDO2 a Windows Hello pro firmy v hybridní důvěryhodnosti cloudu najdete v tématu Povolte přihlašování k místním prostředkům bez hesla pomocí Microsoft Entra ID.

Pro informace o Windows Hello pro firmy - důvěra cloudového systému Kerberos se podívejte na Konfigurace a zřízení Windows Hello pro firmy - cloudová důvěra Kerbera.

Informace o Hybrid Key Trust ve Windows Hello pro firmy najdete v Konfiguraci zařízení připojených k Microsoft Entra pro místní jednotné přihlašování pomocí Windows Hello pro firmy.

Informace o Windows Hello for Business a důvěryhodnosti hybridního certifikátu najdete v tématu Použití certifikátů pro jednotné přihlašování AADJ v místní síti.

Během pokusu o přístup k místnímu prostředku, který vyžaduje Kerberos nebo NTLM, zařízení:

  1. Odešle informace o místní doméně a přihlašovací údaje uživatele doménovému kontroleru pro ověření uživatele.
  2. Obdrží Kerberos lístek udělení lístku (Ticket-Granting Ticket, TGT) nebo token NTLM na základě protokolu, který lokální prostředek nebo aplikace podporuje. Pokud pokus o získání tokenu Kerberos TGT nebo NTLM pro doménu selže, jsou vyzkoušeny položky Správce přihlašovacích údajů, nebo uživateli může být zobrazeno vyskakovací okno s žádostí o zadání přihlašovacích údajů pro cílový prostředek. Toto selhání může souviset se zpožděním způsobeným vypršením časového limitu DCLocatoru.

Všechny aplikace nakonfigurované pro integrované ověřování systému Windows bezproblémově získají jednotné přihlašování, když se k nim uživatel pokusí získat přístup.

Co získáte

S SSO můžete na zařízení připojeném k Microsoft Entra:

  • Přístup k cestě UNC na členském serveru AD
  • Přístup k webovému serveru člena služby AD DS nakonfigurovaného pro zabezpečení integrované s Windows

Pokud chcete spravovat místní službu AD ze zařízení s Windows, nainstalujte nástroje pro vzdálenou správu serveru.

Můžete použít:

  • Modul snap-in Uživatelé a počítače služby Active Directory (ADUC) slouží ke správě všech objektů AD. Musíte ale zadat doménu, ke které se chcete připojit ručně.
  • Modul snap-in DHCP pro správu serveru DHCP připojeného ke službě AD. Možná ale budete muset zadat název nebo adresu serveru DHCP.

Co byste měli vědět

  • Možná budete muset upravit filtrování založené na doméně v Microsoft Entra Connect, abyste zajistili synchronizaci dat o požadovaných doménách, pokud máte více domén.
  • Aplikace a prostředky, které závisejí na ověřování počítače služby Active Directory, nefungují, protože zařízení připojená k Microsoft Entra nemají v AD DS objekt počítače.
  • Soubory nemůžete sdílet s ostatními uživateli na zařízení připojeném k Microsoft Entra.
  • Aplikace spuštěné na vašem zařízení připojeném k Microsoft Entra můžou ověřovat uživatele. Musí použít implicitní hlavní název uživatele (UPN) nebo syntaxi typu NT4 s názvem plně kvalifikovaného názvu domény jako součást domény, například: user@contoso.corp.com nebo contoso.corp.com\user.
    • Pokud aplikace používají rozhraní NETBIOS nebo starší název domény, jako je contoso\user, chyby, na které aplikace narazí, budou buď chyba NT STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 nebo chyba systému Windows ERROR_BAD_VALIDATION_CLASS – 1348 "Požadovaná třída ověřovacích informací byla neplatná." K této chybě dochází, i když je možné přeložit starší název domény.

Další kroky

Další informace naleznete v tématu Co je správa zařízení v Microsoft Entra ID?