Delen via

De werking van SSO voor on-premises resources op Microsoft Entra gekoppelde apparaten

  • Artikel

Aan Microsoft Entra gekoppelde apparaten bieden gebruikers een Single Sign-On (SSO) ervaring voor de cloud-apps van tenant. Als uw omgeving on-premises Active Directory-domein Services (AD DS) heeft, kunnen gebruikers ook single sign-on (SSO) gebruiken tot resources en toepassingen die afhankelijk zijn van Active Directory-domein Services.

In dit artikel wordt uitgelegd hoe dit werkt.

Vereisten

  • Een Microsoft Entra-verbonden apparaat.
  • On-premises SSO vereist line-of-sight-communicatie met uw on-premises AD DS-domeincontrollers. Als aan Microsoft Entra gekoppelde apparaten niet zijn verbonden met het netwerk van uw organisatie, is een VPN of een andere netwerkinfrastructuur vereist.
  • Microsoft Entra Connect of Microsoft Entra Connect-cloudsynchronisatie: standaardgebruikerskenmerken zoals SAM-accountnaam, domeinnaam en UPN synchroniseren. Zie het artikel Kenmerken die zijn gesynchroniseerd door Microsoft Entra Connect voor meer informatie.

Hoe het werkt

Met een apparaat dat is toegevoegd aan Microsoft Entra, hebben uw gebruikers al een SSO-ervaring voor de cloud-apps in uw omgeving. Als uw omgeving Microsoft Entra ID en on-premises AD DS heeft, kunt u het bereik van uw SSO-ervaring uitbreiden naar uw on-premises LOB-apps (Line-Of-Business), bestandsshares en printers.

Microsoft Entra-gekoppelde apparaten hebben geen kennis over uw on-premises AD DS-omgeving omdat ze er niet aan zijn toegevoegd. U kunt echter aanvullende informatie over uw on-premises AD verstrekken aan deze apparaten met Microsoft Entra Connect.

Microsoft Entra Connect of Microsoft Entra Connect cloudsynchronisatie synchroniseert uw on-premises identiteitsgegevens met de cloud. Als onderdeel van het synchronisatieproces worden on-premises gebruikers- en domeingegevens gesynchroniseerd met Microsoft Entra-id. Wanneer een gebruiker zich aanmeldt bij een apparaat dat is toegevoegd aan Microsoft Entra in een hybride omgeving:

  1. Microsoft Entra ID verzendt de details van het on-premises domein van de gebruiker terug naar het apparaat, samen met de Primary Refresh Token.
  2. De LSA-service (Local Security Authority) maakt Kerberos- en NTLM-verificatie op het apparaat mogelijk.

Notitie

Aanvullende configuratie is vereist wanneer verificatie zonder wachtwoord voor aan Microsoft Entra gekoppelde apparaten wordt gebruikt.

Voor op FIDO2-beveiligingssleutels gebaseerde wachtwoordloze verificatie en Windows Hello voor Bedrijven hybride cloudvertrouwen, zie aanmelding zonder wachtwoord inschakelen voor on-premises resources met Microsoft Entra ID.

Zie Windows Hello voor Bedrijven configureren en inrichten - cloud Kerberos Trust.

Zie Microsoft Entra-gekoppelde apparaten configureren voor on-premises eenmalige aanmelding met behulp van Windows Hello voor Bedrijven voor Windows Hello voor Bedrijven Hybrid Key Trust.

Zie voor Windows Hello voor Bedrijven Hybrid Certificate Trust Certificaten gebruiken voor AADJ On-premises eenmalige aanmelding.

Tijdens een poging toegang te krijgen tot een on-premises resource die om Kerberos- of NTLM-authenticatie vraagt, is het apparaat:

  1. Hiermee worden de on-premises domeingegevens en gebruikersreferenties naar de gevonden DC verzonden voor gebruikersauthenticatie.
  2. Ontvangt een Kerberos Ticket-Granting Ticket (TGT) of NTLM-token op basis van het protocol dat door de on-premises resource of toepassing wordt ondersteund. Als de poging om het Kerberos TGT- of NTLM-token voor het domein op te halen mislukt, worden referentiebeheervermeldingen geprobeerd of ontvangt de gebruiker mogelijk een pop-upvenster voor verificatie waarbij referenties voor de doelresource worden aangevraagd. Deze fout kan betrekking hebben op een vertraging die wordt veroorzaakt door een time-out van de DCLocator.

Alle apps die zijn geconfigureerd voor geïntegreerde Windows-verificatie krijgen naadloos eenmalige aanmelding wanneer een gebruiker deze probeert te openen.

Wat u krijgt

Op een apparaat dat is gekoppeld aan Microsoft Entra, kunt u met SSO het volgende doen:

  • Toegang tot een UNC-pad op een AD-lidserver
  • Toegang krijgen tot een AD DS-lidwebserver die is geconfigureerd voor geïntegreerde Windows-beveiliging

Als u uw on-premises AD wilt beheren vanaf een Windows-apparaat, installeert u de externe-serverbeheerprogramma's.

U kunt gebruikmaken van:

  • De Active Directory Users and Computers (ADUC) snap-in module om alle AD-objecten te beheren. U moet echter het domein opgeven waarmee u handmatig verbinding wilt maken.
  • De DHCP-snap-in voor het beheren van een AD-gekoppelde DHCP-server. Mogelijk moet u echter de naam of het adres van de DHCP-server opgeven.

Wat u moet weten

  • Mogelijk moet u het filteren op basis van een domein aanpassen in Microsoft Entra Connect om ervoor te zorgen dat de gegevens over de vereiste domeinen worden gesynchroniseerd als u meerdere domeinen hebt.
  • Apps en resources die afhankelijk zijn van Active Directory-computerverificatie werken niet omdat aan Microsoft Entra gekoppelde apparaten geen computerobject in AD DS hebben.
  • U kunt geen bestanden delen met andere gebruikers op een apparaat dat is gekoppeld aan Microsoft Entra.
  • Toepassingen die worden uitgevoerd op uw aan Microsoft Entra gekoppelde apparaat kunnen gebruikers verifiëren. Ze moeten de impliciete UPN of de syntaxis van het NT4-type gebruiken met de FQDN-naam van het domein als domeinonderdeel, bijvoorbeeld: user@contoso.corp.com of contoso.corp.com\gebruiker.
    • Als toepassingen de NETBIOS- of verouderde naam gebruiken, zoals contoso\user, zijn de fouten die de toepassing krijgt, NT-fout STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 of Windows-fout ERROR_BAD_VALIDATION_CLASS - 1348 'De aangevraagde validatiegegevensklasse is ongeldig'. Deze fout treedt ook op als u de verouderde domeinnaam kunt oplossen.

Volgende stappen

Zie Wat is apparaatbeheer in Microsoft Entra ID voor meer informatie?