Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subitoQuesto browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Suggerimento
Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:
Gli endpoint nativi del cloud possono accedere alle risorse locali. Questo articolo descrive in modo più dettagliato e risponde ad alcune domande comuni.
Questa funzionalità si applica a:
Per una panoramica degli endpoint nativi del cloud e dei relativi vantaggi, vedere Informazioni sugli endpoint nativi del cloud.
Per consentire agli endpoint Windows nativi del cloud di accedere a risorse e servizi locali che usano Active Directory (AD) locale per l'autenticazione, sono necessari i prerequisiti seguenti:
Le app client devono usare l'autenticazione integrata di Windows (WIA). Per informazioni più specifiche, passare a Windows Integrated Authentication (WIA).For more specific information, go to Windows Integrated Authentication (WIA).
Configurare Microsoft Entra Connect. Microsoft Entra Connect sincronizza gli account utente da AD locale a Microsoft Entra. Per informazioni più specifiche, passare a Microsoft Entra Connect sync: Understand and customize synchronization (Sincronizzazione di Microsoft Entra Connect: Informazioni e personalizzazione della sincronizzazione).
In Microsoft Entra Connect potrebbe essere necessario modificare il filtro basato su dominio per verificare che i dati dei domini necessari siano sincronizzati con Microsoft Entra.
Il dispositivo dispone di connettività line-of-sight (direttamente o tramite VPN) a un controller di dominio dal dominio DI Active Directory e al servizio o alla risorsa a cui si accede.
Per gli utenti finali, un endpoint nativo del cloud di Windows si comporta come qualsiasi altro dispositivo Windows locale.
L'elenco seguente è un set comune di risorse locali a cui gli utenti possono accedere dai dispositivi aggiunti a Microsoft Entra:
Un file server: usando SMB (Server Message Block), è possibile eseguire il mapping di un'unità di rete a un server membro del dominio che ospita una condivisione di rete o NAS (Network Attached Storage).
Gli utenti possono eseguire il mapping delle unità a documenti condivisi e personali.
Una risorsa stampante in un server membro del dominio: gli utenti possono stampare sulla stampante locale o più vicina.
Un server Web in un server membro di dominio che usa la sicurezza integrata di Windows: gli utenti possono accedere a qualsiasi applicazione Win32 o basata sul Web.
Si vuole gestire il dominio DI Active Directory locale da un endpoint aggiunto a Microsoft Entra: Installare gli strumenti di amministrazione remota del server:
Suggerimento
Per comprendere in che modo i dispositivi aggiunti a Microsoft Entra usano le credenziali memorizzate nella cache in un approccio nativo del cloud, vedere OPS108: Autenticazione di Windows interna in un mondo ibrido (syfuhs.net) (apre un sito Web esterno).
I passaggi seguenti descrivono come un endpoint aggiunto a Microsoft Entra autentica e accede (in base alle autorizzazioni) a una risorsa locale.
I passaggi seguenti sono una panoramica. Per informazioni più specifiche, inclusa la grafica dettagliata delle corsie che descrivono il processo completo, passare a Token di aggiornamento primario (PRT) e Microsoft Entra.
Quando gli utenti accedono, le credenziali vengono inviate al Cloud Authentication Provider (CloudAP) e a Web Account Manager (WAM).
Il plug-in CloudAP invia le credenziali dell'utente e del dispositivo a Microsoft Entra. In alternativa, esegue l'autenticazione usando Windows Hello for Business.
Durante l'accesso a Windows, il plug-in Microsoft Entra CloudAP richiede un token di aggiornamento primario (PRT) a Microsoft Entra usando le credenziali utente. Memorizza anche nella cache il protocollo PRT, che consente l'accesso memorizzato nella cache quando gli utenti non hanno una connessione Internet. Quando gli utenti provano ad accedere alle applicazioni, il plug-in WAM di Microsoft Entra usa PRT per abilitare l'accesso SSO.
Microsoft Entra autentica l'utente e il dispositivo e restituisce un token PRT & un token ID. Il token ID include gli attributi seguenti relativi all'utente:
sAMAccountName
netBIOSDomainName
dnsDomainName
Questi attributi vengono sincronizzati da ACTIVE Directory locale usando Microsoft Entra Connect.
Il provider di autenticazione Kerberos riceve le credenziali e gli attributi. Nel dispositivo il servizio LSA (Windows Local Security Authority) abilita l'autenticazione Kerberos e NTLM.
Durante un tentativo di accesso a una risorsa locale che richiede l'autenticazione Kerberos o NTLM, il dispositivo usa gli attributi correlati al nome di dominio per trovare un controller di dominio (DC) usando il localizzatore di controller di dominio.
sAMAccountName
al controller di dominio per l'autenticazione.Nota
PKINIT è un meccanismo di preautenticazione per Kerberos 5 che usa i certificati X.509 per autenticare il Centro distribuzione chiavi (KDC) ai client e viceversa.
Il controller di dominio autentica l'utente. Il controller di dominio restituisce un ticket di Ticket-Granting Kerberos (TGT) o un token NTLM basato sul protocollo supportato dalla risorsa o dall'applicazione locale. Windows memorizza nella cache il token TGT o NTLM restituito per un uso futuro.
Se il tentativo di ottenere il token TGT o NTLM Kerberos per il dominio ha esito negativo (il timeout DCLocator correlato può causare un ritardo), Windows Credential Manager ritenta. In alternativa, l'utente potrebbe ricevere un popup di autenticazione che richiede le credenziali per la risorsa locale.
Tutte le app che usano Windows Integrated Authentication (WIA) usano automaticamente l'accesso SSO quando un utente tenta di accedere alle app. WIA include l'autenticazione utente standard a un dominio AD locale usando NTLM o Kerberos quando si accede a risorse o servizi locali.
Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.
È importante sottolineare il valore dell'autenticazione integrata di Windows. Gli endpoint cloud nativi semplicemente "funzionano" con qualsiasi applicazione configurata per WIA.
Quando gli utenti accedono a una risorsa che usa WIA (file server, stampante, server Web e così via), il TGT viene scambiato con un ticket di servizio Kerberos, ovvero il normale flusso di lavoro Kerberos.
Eventi
19 nov, 23 - 21 nov, 23
Acquisire competenze su richiesta con sessioni online progettate per soddisfare le sfide del settore in Microsoft Ignite.
Iscriviti subito