So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten

In Microsoft Entra eingebundene Geräte ermöglichen Benutzern das einmalige Anmelden (Single Sign-On, SSO) bei den Cloud-Apps Ihres Mandanten. Falls Ihre Umgebung über eine lokale AD DS-Instanz (Active Directory Domain Services) verfügt, können Benutzer SSO auch für Ressourcen und Anwendungen nutzen, die die lokale AD DS-Instanz verwenden.

In diesem Artikel wird die entsprechende Vorgehensweise beschrieben.

Voraussetzungen

  • Ein in Microsoft Entra eingebundenes Gerät.
  • Für das lokale einmalige Anmelden ist eine Kommunikation in Sichtverbindung mit Ihren lokalen AD DS-Domänencontrollern erforderlich. Wenn in Microsoft Entra eingebundene Geräte nicht mit dem Netzwerk Ihrer Organisation verbunden sind, ist ein VPN oder eine andere Netzwerkinfrastruktur erforderlich.
  • Microsoft Entra Connect oder Microsoft Entra Connect-Cloudsynchronisierung dient zum Synchronisieren von Standardbenutzerattributen wie SAM-Kontoname, Domänenname und UPN. Weitere Informationen finden Sie im Artikel Von Microsoft Entra Connect synchronisierte Attribute.

Funktionsweise

Mit einem in Microsoft Entra eingebundenen Gerät verfügen Ihre Benutzer bereits über eine SSO-Umgebung für die Cloud-Apps in Ihrer Umgebung. Falls Ihre Umgebung über eine Microsoft Entra ID-Instanz und eine lokale AD DS-Instanz verfügt, möchten Sie wahrscheinlich die SSO-Umgebung um lokale Branchen-Apps, Dateifreigaben und Drucker erweitern.

In Microsoft Entra eingebundene Geräte haben keine Informationen zu Ihrer lokalen AD DS-Umgebung, da sie nicht darin eingebunden sind. Sie können aber mit Microsoft Entra Connect zusätzliche Informationen zu Ihrer lokalen AD-Umgebung auf diesen Geräten bereitstellen.

Microsoft Entra Connect oder Microsoft Entra Connect-Cloudsynchronisierung synchronisiert die lokalen Identitätsinformationen mit der Cloud. Im Rahmen des Synchronisierungsprozesses werden lokale Benutzer- und Domäneninformationen mit Microsoft Entra ID synchronisiert. Wenn sich ein Benutzer in einer Hybridumgebung an einem in Microsoft Entra eingebundenen Gerät anmeldet, ist der Ablauf wie folgt:

  1. Microsoft Entra ID sendet die Details der lokalen Domäne des Benutzers zusammen mit dem primären Aktualisierungstoken wieder an das Gerät zurück
  2. Der LSA-Dienst (lokale Sicherheitsautorität) ermöglicht die Kerberos- und NTLM-Authentifizierung auf dem Gerät.

Hinweis

Wenn eine kennwortlose Authentifizierung für verknüpfte Microsoft Entra-Geräte verwendet wird, ist eine zusätzliche Konfiguration erforderlich.

Informationen zur kennwortlosen Authentifizierung mit FIDO2-Sicherheitsschlüsseln und Windows Hello for Business-Hybrid Cloud Trust finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln bei lokalen Ressourcen mit Microsoft Entra ID.

Informationen zu Windows Hello for Business Cloud Kerberos Trust finden Sie unter Konfigurieren und Bereitstellen Windows Hello for Business – Cloud Kerberos Trust.

Informationen zu Windows Hello for Business Hybrid Key Trust finden Sie unter Konfigurieren von verknüpften Microsoft Entra-Geräten für lokales einmaliges Anmelden mit Windows Hello for Business.

Informationen zu Windows Hello for Business Hybrid Certificate Trust finden Sie unter Verwenden von Zertifikaten für lokales einmaliges Anmelden mit AADJ.

Bei einem Zugriffsversuch auf eine lokale Ressource, die Kerberos oder NTLM anfordert, geschieht auf dem Gerät Folgendes:

  1. Die Informationen der lokalen Domäne und die Benutzeranmeldeinformationen werden an den ermittelten DC gesendet, um den Benutzer zu authentifizieren.
  2. Das Gerät empfängt von Kerberos ein Ticket Granting Ticket (TGT) oder ein NTLM-Token, das auf dem von der lokalen Ressource oder Anwendung unterstützten Protokoll basiert. Wenn beim Versuch, das Kerberos-TGT oder das NTLM-Token für die Domäne abzurufen, ein Fehler auftritt, werden Einträge der Anmeldeinformationsverwaltung ausprobiert, oder dem Benutzer wird ein Popupfenster zur Authentifizierung angezeigt, in dem Anmeldeinformationen für die Zielressource angefordert werden. Dieser Fehler kann mit einer Verzögerung zusammenhängen, die durch ein DCLocator-Timeout verursacht wird.

Alle Apps, die für die integrierte Windows-Authentifizierung konfiguriert sind, erhalten SSO auf nahtlose Weise, wenn ein Benutzer darauf zugreift.

Ergebnis

Mit SSO können Sie auf einem Microsoft Entra eingebundenen Gerät:

  • Zugreifen auf einen UNC-Pfad auf einem AD-Mitgliedsserver
  • Zugreifen auf einen AD DS-Mitgliedswebserver, der für integrierte Windows-Sicherheit konfiguriert ist

Falls Sie Ihre lokale AD-Instanz über ein Windows-Gerät verwalten möchten, können Sie die Remoteserver-Verwaltungstools installieren.

Verwenden Sie Folgendes:

  • Snap-In „Active Directory-Benutzer und -Computer“ (ADUC) zum Verwalten aller AD-Objekte. Allerdings müssen Sie die Domäne, mit der eine Verbindung hergestellt werden soll, manuell angeben.
  • DHCP-Snap-In zum Verwalten eines in AD eingebundenen DHCP-Servers. Allerdings müssen Sie ggf. den DHCP-Servernamen oder die -Adresse angeben.

Wichtige Informationen

  • Unter Umständen müssen Sie Ihre domänenbasierte Filterung in Microsoft Entra Connect anpassen, um sicherzustellen, dass die Daten zu den erforderlichen Domänen synchronisiert werden, wenn Sie mehrere Domänen haben.
  • Apps und Ressourcen, die von der Active Directory-Computerauthentifizierung abhängig sind, funktionieren nicht, da in Microsoft Entra eingebundene Geräte nicht über ein Computerobjekt in AD DS verfügen.
  • Es ist nicht möglich, Dateien auf einem in Microsoft Entra eingebundenen Gerät für andere Benutzer freizugeben.
  • Anwendungen, die auf Ihrem in Microsoft Entra eingebundenen Gerät ausgeführt werden, können Benutzer authentifizieren. Diese müssen den impliziten UPN oder die NT4-Typsyntax mit dem Domänen-FQDN als Domänenteil verwenden, z. B. user@contoso.corp.com oder „contoso.corp.com\user“.
    • Wenn Anwendungen den NETBIOS- oder Legacy-Namen wie contoso\user verwenden, erhält die Anwendung entweder den NT-Fehler STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 oder den Windows-Fehler ERROR_BAD_VALIDATION_CLASS - 1348 „Die angeforderte Klasse der Validierungsinformationen war ungültig.“ Dieser Fehler tritt auch dann auf, wenn Sie den Legacy-Domänennamen auflösen können.

Nächste Schritte

Weitere Informationen finden Sie unter Was ist Microsoft Entra-Geräteverwaltung?