Aracılığıyla paylaş

Microsoft Entra katılımlı cihazlarda yerel kaynaklara tekli oturum açmanın (SSO) nasıl çalıştığı

  • Makale

Microsoft Entra'ya katılmış cihazlar, kullanıcılara kiracınızın bulut uygulamalarında çoklu oturum açma (SSO) deneyimi sunar. Ortamınızda şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) varsa, kullanıcılar şirket içi Active Directory Etki Alanı Hizmetleri'ne dayanan kaynaklara ve uygulamalara da SSO yapabilir.

Bu makalede bunun nasıl çalıştığı açıklanmaktadır.

Önkoşullar

  • Microsoft Entra'ya katılmış bir cihaz.
  • Şirket içi SSO, şirket içi AD DS etki alanı denetleyicilerinizle görüş hattı iletişimi gerektirir. Microsoft Entra'ya katılmış cihazlar kuruluşunuzun ağına bağlı değilse vpn veya başka bir ağ altyapısı gerekir.
  • Microsoft Entra Connect veya Microsoft Entra Connect bulut eşitlemesi: SAM Hesabı Adı, Etki Alanı Adı ve UPN gibi varsayılan kullanıcı özniteliklerini eşitlemek için. Daha fazla bilgi için Microsoft Entra Connect tarafından eşitlenen öznitelikler makalesine bakın.

Nasıl çalışır?

Microsoft Entra'ya katılmış bir cihazla, kullanıcılarınız ortamınızdaki bulut uygulamalarında zaten bir SSO deneyimine sahiptir. Ortamınızda Microsoft Entra Id ve şirket içi AD DS varsa, SSO deneyiminizin kapsamını şirket içi İş Kolu (LOB) uygulamalarınıza, dosya paylaşımlarınıza ve yazıcılarınıza genişletmek isteyebilirsiniz.

Microsoft Entra'ya katılmış cihazlar şirket içi AD DS ortamınız hakkında bilgi sahibi değildir çünkü bunlara katılmamışlardır. Ancak, Microsoft Entra Connect ile bu cihazlara şirket içi AD'niz hakkında ek bilgi sağlayabilirsiniz.

Microsoft Entra Connect veya Microsoft Entra Connect bulut eşitlemesi, şirket içi kimlik bilgilerinizi bulutla eşitler. Eşitleme işleminin bir parçası olarak, şirket içi kullanıcı ve etki alanı bilgileri Microsoft Entra Id ile eşitlenir. Kullanıcı karma bir ortamda Microsoft Entra'ya katılmış bir cihazda oturum açtığında:

  1. Microsoft Entra Id, kullanıcının şirket içi etki alanının ayrıntılarını, Birincil Yenileme Belirteci ile birlikte cihaza geri gönderir
  2. Yerel güvenlik yetkilisi (LSA) hizmeti cihazda Kerberos ve NTLM kimlik doğrulamasını etkinleştirir.

Not

Microsoft Entra'ya katılmış cihazlarda parolasız kimlik doğrulaması kullanıldığında ek yapılandırma gerekir.

FIDO2 güvenlik anahtarı tabanlı parolasız kimlik doğrulaması ve Windows Hello İş için Hibrit Bulut Güvenilirliği için Microsoft Entra ID ile şirket içi kaynaklarda parolasız güvenlik anahtarı oturum açmayı etkinleştirme konusuna bakın.

İş İçin Windows Hello Bulut Kerberos Güveni için bkz İş İçin Windows Hello yapılandırma ve sağlama - Bulut Kerberos Güveni.

İş İçin Windows Hello Karma Anahtar Güveni için bkz. İş İçin Windows Hello kullanarak Şirket İçi Çoklu Oturum Açma için Microsoft Entra'ya katılmış cihazları yapılandırma.

İş İçin Windows Hello Karma Sertifika Güveni için bkz. AADJ Yerinde Tek Oturum Açma için Sertifikaları Kullanma

Kerberos veya NTLM isteyen bir şirket içi kaynağa erişim girişimi sırasında cihaz:

  1. Kullanıcının kimliğini doğrulamak için şirket içi etki alanı bilgilerini ve kullanıcı kimlik bilgilerini bulunan DC'ye gönderir.
  2. Şirket içi kaynağın veya uygulamanın desteklediği protokolü temel alan bir Kerberos Ticket-Granting Ticket (TGT) veya NTLM belirteci alır. Eğer etki alanında Kerberos TGT veya NTLM belirtecini alma girişimi başarısız olursa, Credential Manager girdileri denenir veya kullanıcı, hedef kaynak için kimlik bilgileri talep eden bir kimlik doğrulaması açılır penceresi alabilir. Bu hata, DCLocator zaman aşımının neden olduğu gecikmeyle ilgili olabilir.

Windows Tümleşik kimlik doğrulaması için yapılandırılan tüm uygulamalar, bir kullanıcı bunlara erişmeye çalıştığında sorunsuz bir şekilde SSO alır.

Ne alacaksınız

SSO ile Microsoft Entra'ya katılmış bir cihazda şunları yapabilirsiniz:

  • AD üye sunucusunda UNC yoluna erişme
  • Windows ile tümleşik güvenlik için yapılandırılmış bir AD DS üyesi web sunucusuna erişme

Şirket içi AD'nizi bir Windows cihazından yönetmek istiyorsanız Uzak Sunucu Yönetim Araçları'nı yükleyin.

Şunları kullanabilirsiniz:

  • Tüm AD nesnelerini yönetmek için Active Directory Kullanıcıları ve Bilgisayarları (ADUC) ek bileşeni kullanılır. Ancak, el ile bağlanmak istediğiniz etki alanını belirtmeniz gerekir.
  • AD'ye katılmış bir DHCP sunucusunu yönetmek için kullanılan DHCP yönetim aracı. Ancak, DHCP sunucusu adını veya adresini belirtmeniz gerekebilir.

Bilmeniz gerekenler

  • Birden çok etki alanınız varsa gerekli etki alanlarıyla ilgili verilerin eşitlendiğinden emin olmak için Microsoft Entra Connect'te etki alanı tabanlı filtrelemenizi ayarlamanız gerekebilir.
  • Microsoft Entra'ya katılmış cihazların AD DS'de bilgisayar nesnesi olmadığından Active Directory makine kimlik doğrulamasına bağımlı uygulamalar ve kaynaklar çalışmaz.
  • Microsoft Entra'ya katılmış bir cihazda diğer kullanıcılarla dosya paylaşamazsınız.
  • Microsoft Entra'ya katılmış cihazınızda çalışan uygulamalar kullanıcıların kimliğini doğrulayabilir. Etki alanı parçası olarak etki alanı FQDN adını içeren örtük UPN veya NT4 türü söz dizimini kullanmaları gerekmektedir, örneğin: user@contoso.corp.com veya contoso.corp.com\user.
    • Uygulamalar NETBIOS veya eski ad olan contoso\user kullanıyorsa, uygulamanın alacağı hatalar şunlardır: NT hatası STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 veya Windows hatası ERROR_BAD_VALIDATION_CLASS - 1348 "İstenen doğrulama bilgileri sınıfı geçersizdi." Eski etki alanı adını çözümleyebilseniz bile bu hata oluşur.

Sonraki adımlar

Daha fazla bilgi için bkz . Microsoft Entra Id'de cihaz yönetimi nedir?