Endpoint nativi del cloud e risorse locali

Suggerimento

Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:

  • Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
  • Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
  • Endpoint nativi del cloud: endpoint aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.
  • Carico di lavoro: qualsiasi programma, servizio o processo.

Gli endpoint nativi del cloud possono accedere alle risorse locali. Questo articolo descrive in modo più dettagliato e risponde ad alcune domande comuni.

Questa funzionalità si applica a:

  • Endpoint nativi del cloud di Windows

Per una panoramica degli endpoint nativi del cloud e dei relativi vantaggi, vedere Informazioni sugli endpoint nativi del cloud.

Prerequisiti

Per consentire agli endpoint Windows nativi del cloud di accedere a risorse e servizi locali che usano Active Directory (AD) locale per l'autenticazione, sono necessari i prerequisiti seguenti:

Simile ai dispositivi Windows locali

Per gli utenti finali, un endpoint nativo del cloud di Windows si comporta come qualsiasi altro dispositivo Windows locale.

L'elenco seguente è un set comune di risorse locali a cui gli utenti possono accedere dai dispositivi aggiunti a Microsoft Entra:

  • Un file server: usando SMB (Server Message Block), è possibile eseguire il mapping di un'unità di rete a un server membro del dominio che ospita una condivisione di rete o NAS (Network Attached Storage).

    Gli utenti possono eseguire il mapping delle unità a documenti condivisi e personali.

  • Una risorsa stampante in un server membro del dominio: gli utenti possono stampare sulla stampante locale o più vicina.

  • Un server Web in un server membro di dominio che usa la sicurezza integrata di Windows: gli utenti possono accedere a qualsiasi applicazione Win32 o basata sul Web.

  • Si vuole gestire il dominio DI Active Directory locale da un endpoint aggiunto a Microsoft Entra: Installare gli strumenti di amministrazione remota del server:

    • Usare lo snap-in Utenti e computer di Active Directory (ADUC) per amministrare tutti gli oggetti AD. È necessario immettere manualmente il dominio a cui si vuole connettersi.
    • Usare lo snap-in DHCP per amministrare un server DHCP aggiunto ad AD. Potrebbe essere necessario immettere il nome o l'indirizzo del server DHCP.

Suggerimento

Per comprendere in che modo i dispositivi aggiunti a Microsoft Entra usano le credenziali memorizzate nella cache in un approccio nativo del cloud, vedere OPS108: Autenticazione di Windows interna in un mondo ibrido (syfuhs.net) (apre un sito Web esterno).

Autenticazione e accesso alle risorse locali

I passaggi seguenti descrivono come un endpoint aggiunto a Microsoft Entra autentica e accede (in base alle autorizzazioni) a una risorsa locale.

I passaggi seguenti sono una panoramica. Per informazioni più specifiche, inclusa la grafica dettagliata delle corsie che descrivono il processo completo, passare a Token di aggiornamento primario (PRT) e Microsoft Entra.

  1. Quando gli utenti accedono, le credenziali vengono inviate al Cloud Authentication Provider (CloudAP) e a Web Account Manager (WAM).

  2. Il plug-in CloudAP invia le credenziali dell'utente e del dispositivo a Microsoft Entra. In alternativa, esegue l'autenticazione usando Windows Hello for Business.

  3. Durante l'accesso a Windows, il plug-in Microsoft Entra CloudAP richiede un token di aggiornamento primario (PRT) a Microsoft Entra usando le credenziali utente. Memorizza anche nella cache il protocollo PRT, che consente l'accesso memorizzato nella cache quando gli utenti non hanno una connessione Internet. Quando gli utenti provano ad accedere alle applicazioni, il plug-in WAM di Microsoft Entra usa PRT per abilitare l'accesso SSO.

  4. Microsoft Entra autentica l'utente e il dispositivo e restituisce un token PRT & un token ID. Il token ID include gli attributi seguenti relativi all'utente:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Questi attributi vengono sincronizzati da ACTIVE Directory locale usando Microsoft Entra Connect.

    Il provider di autenticazione Kerberos riceve le credenziali e gli attributi. Nel dispositivo il servizio LSA (Windows Local Security Authority) abilita l'autenticazione Kerberos e NTLM.

  5. Durante un tentativo di accesso a una risorsa locale che richiede l'autenticazione Kerberos o NTLM, il dispositivo usa gli attributi correlati al nome di dominio per trovare un controller di dominio (DC) usando il localizzatore di controller di dominio.

    • Se viene trovato un controller di dominio, invia le credenziali e sAMAccountName al controller di dominio per l'autenticazione.
    • Se si usa Windows Hello for Business, esegue PKINIT con il certificato Windows Hello for Business.
    • Se non viene trovato alcun controller di dominio, non viene eseguita alcuna autenticazione locale.

    Nota

    PKINIT è un meccanismo di preautenticazione per Kerberos 5 che usa i certificati X.509 per autenticare il Centro distribuzione chiavi (KDC) ai client e viceversa.

    MS-PKCA: crittografia a chiave pubblica per l'autenticazione iniziale (PKINIT) nel protocollo Kerberos

  6. Il controller di dominio autentica l'utente. Il controller di dominio restituisce un ticket di Ticket-Granting Kerberos (TGT) o un token NTLM basato sul protocollo supportato dalla risorsa o dall'applicazione locale. Windows memorizza nella cache il token TGT o NTLM restituito per un uso futuro.

    Se il tentativo di ottenere il token TGT o NTLM Kerberos per il dominio ha esito negativo (il timeout DCLocator correlato può causare un ritardo), Windows Credential Manager ritenta. In alternativa, l'utente potrebbe ricevere un popup di autenticazione che richiede le credenziali per la risorsa locale.

  7. Tutte le app che usano Windows Integrated Authentication (WIA) usano automaticamente l'accesso SSO quando un utente tenta di accedere alle app. WIA include l'autenticazione utente standard a un dominio AD locale usando NTLM o Kerberos quando si accede a risorse o servizi locali.

    Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.

    È importante sottolineare il valore dell'autenticazione integrata di Windows. Gli endpoint cloud nativi semplicemente "funzionano" con qualsiasi applicazione configurata per WIA.

    Quando gli utenti accedono a una risorsa che usa WIA (file server, stampante, server Web e così via), il TGT viene scambiato con un ticket di servizio Kerberos, ovvero il normale flusso di lavoro Kerberos.

Seguire le indicazioni per gli endpoint nativi del cloud

  1. Panoramica: Che cosa sono gli endpoint nativi del cloud?
  2. Esercitazione: Introduzione agli endpoint windows nativi del cloud
  3. Concetto: microsoft entra a far parte di Microsoft Entra e ibrido Microsoft Entra aggiunto
  4. 🡺 Concetto: endpoint nativi del cloud e risorse locali (si è qui)
  5. Guida alla pianificazione di alto livello
  6. Problemi noti e informazioni importanti

Risorse online utili