Как работает единая система входа для локальных ресурсов на устройствах, подключённых к Microsoft Entra
Устройства, присоединенные к Microsoft Entra, предоставляют пользователям возможность единого входа в облачные приложения клиента. Если в вашей среде есть локальные доменные службы Active Directory (AD DS), пользователи также могут выполнять единый вход в ресурсы и приложения, использующие локальные доменные службы Active Directory.
В этой статье описано, как это работает.
Предварительные условия
- Устройство, подключенное к Microsoft Entra.
- Для локальной реализации единого входа требуется прямая связь с вашими локальными контроллерами домена AD DS. Если устройства, присоединенные к Microsoft Entra, не подключены к сети вашей организации, требуется VPN или другая сетевая инфраструктура.
- Microsoft Entra Connect или облачная синхронизация Microsoft Entra Connect: для синхронизации атрибутов пользователей по умолчанию, таких как имя учетной записи SAM, доменное имя и UPN (имя пользователя). Дополнительные сведения см. в статье "Атрибуты, синхронизированные Microsoft Entra Connect".
Принцип работы
Устройства, присоединенные к Microsoft Entra, уже предоставляют пользователям опыт единого входа в облачные приложения в вашей среде. Если в вашей среде есть Microsoft Entra ID и локальные службы Active Directory Domain Services (AD DS), возможно, вы захотите расширить область единого входа до локальных бизнес-приложений, общих папок и принтеров.
Присоединенные к Microsoft Entra устройства не имеют знаний о локальной среде AD DS, так как они не присоединяются к нему. Однако вы можете предоставить дополнительные сведения о вашем локальном AD этим устройствам с помощью Microsoft Entra Connect.
Microsoft Entra Connect или облачная синхронизация Microsoft Entra Connect синхронизируют данные о локальном удостоверении с облаком. В рамках процесса синхронизации локальные сведения о пользователе и домене синхронизируются с идентификатором Microsoft Entra. Когда пользователь входит на устройство, присоединенное к Microsoft Entra, в гибридной среде:
- Идентификатор Microsoft Entra отправляет сведения о локальном домене пользователя обратно на устройство вместе с основным маркером обновления
- Служба локальной системы безопасности обеспечивает аутентификацию Kerberos и NTLM на устройстве.
Примечание.
Дополнительная конфигурация необходима, если используется безпарольная проверка подлинности в устройствах, присоединенных к Microsoft Entra.
Сведения о проверке подлинности без пароля на основе ключа безопасности FIDO2 и Windows Hello для бизнеса в гибридном облачном доверии см. в статье "Включение входа без пароля в локальные ресурсы с помощью Microsoft Entra ID".
Сведения о Windows Hello для бизнеса с облачным доверием Kerberos см. в разделе Настройка и подготовка Windows Hello для бизнеса - облачное доверие Kerberos.
Сведения о доверии на основе гибридных сертификатов Windows Hello для бизнеса см. в статье Использование сертификатов для локального единого входа на устройства, присоединенные к Azure AD.
Во время попытки доступа к локальному ресурсу, запрашивающего Kerberos или NTLM, устройство:
- Отправляет сведения о локальном домене и учетные данные пользователя к обнаруженному контроллеру домена, чтобы выполнить аутентификацию пользователя.
- Получает билет TGT Kerberos или токен NTLM в зависимости от протокола, поддерживаемого локальным ресурсом или приложением. Если попытка получить маркер Kerberos TGT или NTLM для домена завершается неудачей, пробуются записи из Диспетчера учетных данных, или пользователь может получить всплывающее окно, запрашивающее учетные данные для доступа к ресурсу. Этот сбой может быть связан с задержкой, вызванной тайм-аутом DCLocator.
Все приложения, на которых настроена встроенная проверка подлинности Windows, автоматически обеспечивают единый вход, когда пользователь обращается к ним.
Что вы получаете
С помощью единого входа (SSO) на устройстве, подключенном к Microsoft Entra, вы можете:
- Получите доступ к UNC пути на сервере-члене Active Directory.
- Доступ к веб-серверу-члену AD DS, настроенном для безопасности, интегрированной с Windows
Если вы хотите управлять локальной службой AD с устройства Windows, установите средства удаленного администрирования сервера.
Вы можете использовать:
- Для администрирования всех объектов AD используйте оснастку "Active Directory — пользователи и компьютеры (ADUC)". Но для этого нужно вручную указать домен, к которому вы хотите подключиться.
- Оснастка DHCP для управления сервером DHCP, присоединенным к домену Active Directory (AD). Однако может потребоваться указать имя или адрес DHCP-сервера.
Что нужно знать
- Возможно, потребуется настроить фильтрацию на основе домена в Microsoft Entra Connect, чтобы убедиться, что данные о обязательных доменах синхронизируются, если у вас несколько доменов.
- Приложения и ресурсы, зависящие от проверки подлинности компьютера Active Directory, не работают, так как устройства, присоединенные к Microsoft Entra, не имеют объекта компьютера в AD DS.
- Вы не можете совместно использовать файлы с другими пользователями на устройстве, присоединенном к Microsoft Entra.
- Приложения, работающие на устройстве, присоединенном к Microsoft Entra, могут проходить проверку подлинности пользователей. Они должны использовать неявный UPN или синтаксис типа NT4 с полным доменным именем (FQDN) в качестве доменной части, например: user@contoso.corp.com или contoso.corp.com\user.
- Если приложения используют имя NETBIOS или устаревшее имя, такое как contoso\user, то ошибка, которую получает приложение, будет либо NT error STATUS_BAD_VALIDATION_CLASS - 0xc00000a7, либо Windows error ERROR_BAD_VALIDATION_CLASS - 1348, "Запрошенный класс сведений проверки был недопустим". Эта ошибка возникает, даже если удаётся разрешить устаревшее доменное имя.
Следующие шаги
Дополнительные сведения см. в разделе "Что такое управление устройствами в идентификаторе Microsoft Entra?