Udostępnij za pośrednictwem

Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do usługi Microsoft Entra

  • Artykuł

Urządzenia dołączone do Microsoft Entra zapewniają użytkownikom jednokrotne logowanie do aplikacji w chmurze powiązanych z dzierżawą. Jeśli środowisko ma lokalne usługi Active Directory Domain Services (AD DS), użytkownicy mogą również korzystać z logowania jednokrotnego do zasobów i aplikacji korzystających z lokalnych usług Active Directory Domain Services.

W tym artykule wyjaśniono, jak to działa.

Wymagania wstępne

  • Urządzenie dołączone do Microsoft Entra
  • Logowanie jednokrotne w siedzibie firmy wymaga komunikacji w zasięgu wzroku z lokalnymi kontrolerami domen usługi Active Directory Domain Services (AD DS). Jeśli urządzenia dołączone do firmy Microsoft Entra nie są połączone z siecią organizacji, wymagana jest sieć VPN lub inna infrastruktura sieciowa.
  • Microsoft Entra Connect lub synchronizacja w chmurze Microsoft Entra Connect: aby zsynchronizować domyślne atrybuty użytkownika, takie jak nazwa konta SAM, nazwa domeny i Nazwa Główna Użytkownika (UPN). Aby uzyskać więcej informacji, zobacz artykuł Atrybuty synchronizowane przez program Microsoft Entra Connect.

Jak to działa

W przypadku urządzenia dołączonego do Microsoft Entra, użytkownicy mają już doświadczenie jednokrotnego logowania do aplikacji w chmurze w twoim środowisku. Jeśli środowisko ma identyfikator Entra firmy Microsoft i lokalne usługi AD DS, możesz rozszerzyć zakres środowiska logowania jednokrotnego do lokalnych aplikacji biznesowych ,udziałów plików i drukarek.

Urządzenia zarejestrowane w Microsoft Entra nie mają wiedzy na temat lokalnego środowiska usług katalogowych AD DS, ponieważ nie są do niego przyłączone. Możesz jednak podać dodatkowe informacje o lokalnej usłudze AD na tych urządzeniach za pomocą programu Microsoft Entra Connect.

Microsoft Entra Connect oraz synchronizacja z chmurą Microsoft Entra Connect Cloud synchronizują informacje o tożsamości lokalnej z chmurą. W ramach procesu synchronizacji informacje o użytkowniku lokalnym i domenie są synchronizowane z identyfikatorem Entra firmy Microsoft. Gdy użytkownik zaloguje się do urządzenia połączonego z Microsoft Entra w środowisku hybrydowym:

  1. Identyfikator Entra firmy Microsoft wysyła szczegóły domeny lokalnej użytkownika z powrotem do urządzenia wraz z podstawowym tokenem odświeżania
  2. Usługa lokalnego urzędu zabezpieczeń (LSA) umożliwia uwierzytelnianie Kerberos i NTLM na urządzeniu.

Uwaga

Dodatkowa konfiguracja jest wymagana, gdy używane jest uwierzytelnianie bez hasła do urządzeń zarejestrowanych w Microsoft Entra.

W przypadku uwierzytelniania bez hasła opartego na kluczu zabezpieczeń FIDO2 i Windows Hello dla firm w ramach hybrydowego zaufania do chmury, zobacz Włącz logowanie bez hasła do zasobów lokalnych przy użyciu Microsoft Entra ID.

Aby zapoznać się z konfiguracją i aprowizacją Windows Hello dla firm zaufania chmury Kerberos, zobacz Konfigurowanie i aprowizowanie Windows Hello dla firm — zaufanie Kerberos w chmurze.

Aby uzyskać Windows Hello dla Firm Hybrydowe Zaufanie Klucza, zobacz Konfiguracja urządzeń przyłączonych do Microsoft Entra w celu lokalnego jednokrotnego logowania przy użyciu Windows Hello dla Firm.

Dla Windows Hello dla firm – Zaufanie do certyfikatów hybrydowych, zobacz Używanie certyfikatów dla lokalnego jednokrotnego logowania do AADJ.

Podczas próby uzyskania dostępu do zasobu lokalnego, który wymaga protokołu Kerberos lub NTLM, urządzenie:

  1. Wysyła informacje o domenie lokalnej i poświadczenia użytkownika do zlokalizowanego kontrolera domeny, aby uzyskać uwierzytelnienie użytkownika.
  2. Otrzymuje bilet przyznawania biletów (TGT) protokołu Kerberos lub token NTLM w zależności od protokołu obsługiwanego przez zasób lokalny lub aplikację. Jeśli próba uzyskania tokenu TGT protokołu Kerberos lub NTLM dla domeny nie powiedzie się, wpisy menedżera poświadczeń zostaną wypróbowane lub użytkownik może otrzymać wyskakujące okienko uwierzytelniania żądające poświadczeń dla zasobu docelowego. Ten błąd może być związany z opóźnieniem spowodowanym przekroczeniem limitu czasu dcLocator.

Wszystkie aplikacje skonfigurowane do uwierzytelniania zintegrowanego z systemem Windows bezproblemowo uzyskują logowanie jednokrotne, gdy użytkownik próbuje uzyskać do nich dostęp.

Co otrzymujesz

Za pomocą SSO na urządzeniu dołączonym do Microsoft Entra można utworzyć następujące czynności:

  • Uzyskiwanie dostępu do ścieżki UNC na serwerze członkowskim usługi AD
  • Uzyskiwanie dostępu do serwera sieci Web członkowskiego usług AD DS skonfigurowanego pod kątem zabezpieczeń zintegrowanych z systemem Windows

Jeśli chcesz zarządzać lokalną usługą AD z urządzenia z systemem Windows, zainstaluj narzędzia administracji zdalnej serwera.

Możesz użyć:

  • Przystawka Użytkownicy i Komputery usługi Active Directory (ADUC) służy do administrowania wszystkimi obiektami w usłudze AD. Należy jednak określić domenę, z którą chcesz nawiązać połączenie ręcznie.
  • Przystawka DHCP do administrowania serwerem DHCP przyłączonym do usługi AD. Może jednak być konieczne określenie nazwy lub adresu serwera DHCP.

Co należy wiedzieć

  • Może być konieczne dostosowanie filtrowania opartego na domenie w programie Microsoft Entra Connect, aby upewnić się, że dane dotyczące wymaganych domen są synchronizowane, jeśli masz wiele domen.
  • Aplikacje i zasoby, które zależą od uwierzytelniania urządzenia z użyciem Active Directory, nie działają, ponieważ urządzenia połączone z Microsoft Entra nie mają obiektu komputera w usługach domenowych Active Directory (AD DS).
  • Nie można udostępniać plików innym użytkownikom na urządzeniu dołączonym do firmy Microsoft Entra.
  • Aplikacje uruchomione na urządzeniu dołączonym do Microsoft Entra mogą uwierzytelniać użytkowników. Muszą używać niejawnej nazwy UPN lub składni typu NT4 z nazwą FQDN domeny jako częścią domeny, na przykład: user@contoso.corp.com lub contoso.corp.com\user.
    • Jeśli aplikacje używają nazwy NETBIOS lub nazwy starszej wersji, takiej jak contoso\user, błędy, które aplikacja może otrzymać to błąd NT STATUS_BAD_VALIDATION_CLASS — 0xc00000a7 lub błąd systemu Windows ERROR_BAD_VALIDATION_CLASS — 1348 "Żądana klasa informacji walidacji była nieprawidłowa". Ten błąd występuje nawet jeśli można rozpoznać starszą nazwę domeny.

Następne kroki

Aby uzyskać więcej informacji, zobacz Co to jest zarządzanie urządzeniami w usłudze Microsoft Entra ID?