Como o SSO para recursos locais funciona em dispositivos ingressados no Microsoft Entra
Os dispositivos ingressados no Microsoft Entra fornecem aos usuários uma experiência de SSO (logon único) aos aplicativos de nuvem do seu locatário. Se o seu ambiente tiver o AD DS (Active Directory Domain Services) local, os usuários também podem obter a experiência de SSO em recursos e aplicativos que dependem do Active Directory Domain Services local.
Este artigo explica como isso funciona.
Pré-requisitos
- Um dispositivo ingressado no Microsoft Entra.
- O SSO local requer comunicação de linha de visão com os controladores de domínio do AD DS locais. Se os dispositivos ingressados no Microsoft Entra não estiverem conectados à rede da sua organização, será exigida uma VPN ou outra infraestrutura de rede semelhante.
- O Microsoft Entra Connect ou Sincronização na nuvem do Microsoft Entra Connect: para sincronizar atributos de usuário padrão, como nome da conta SAM, nome de domínio e UPN. Para obter mais informações, confira o artigo Atributos sincronizados pelo Microsoft Entra Connect.
Como ele funciona
Com um dispositivo associado ao Microsoft Entra, seus usuários já têm uma experiência de SSO para os aplicativos na nuvem em seu ambiente. Se seu ambiente tiver o Microsoft Entra ID e o AD DS local, você provavelmente desejará expandir o escopo da sua experiência de SSO para os aplicativos de linha de negócios (LOB), compartilhamentos de arquivos e impressoras no local.
Os dispositivos ingressados no Microsoft Entra não têm conhecimento sobre o ambiente do AD DS local porque não estão associados a ele. No entanto, você pode fornecer informações adicionais sobre seu AD local para esses dispositivos com o Microsoft Entra Connect.
Microsoft Entra Connect ou Sincronização na nuvem do Microsoft Entra Connect: sincronize suas informações de identidade local para a nuvem. Como parte do processo de sincronização, as informações de domínio e usuário local são sincronizadas com o Microsoft Entra ID. Quando um usuário entra em um dispositivo associado ao Microsoft Entra em um ambiente híbrido:
- O Microsoft Entra ID envia os detalhes do domínio local do usuário de volta para o dispositivo, juntamente com o Token de Atualização Primário
- O serviço de autoridade de segurança local (LSA) habilita a autenticação Kerberos e NTLM no dispositivo.
Observação
A configuração adicional é necessária quando a autenticação com senha para dispositivos ingressados no Microsoft Entra é usada.
Pra a autenticação sem senha baseada em chave de segurança FIDO2 e Confiança de Nuvem Híbrida do Windows Hello para Empresas, consulte Habilitar entrada de chave de segurança sem senha para recursos locais com o Microsoft Entra ID.
Para Confiança Kerberos na Nuvem para Windows Hello para Empresas, consulte Configurar e provisionar Windows Hello para Empresas - confiança Kerberos na nuvem.
Para a Confiança de Chave Híbrida do Windows Hello para Empresas, consulte Configurar dispositivos associados do Microsoft Entra para logon único local usando o Windows Hello para Empresa.
Para a Confiança de Certificado Híbrido do Windows Hello para Empresas, consulte usando certificados para o logon único local do AADJ.
Durante uma tentativa de acesso a um recurso local que solicita o Kerberos ou o NTLM, o dispositivo:
- Envia as informações de domínio no local e as credenciais do usuário para o DC localizado para que o usuário seja autenticado.
- Recebe um TGT (tíquete de concessão de tíquete) Kerberos ou um token NTLM com base no protocolo ao qual o recurso ou o aplicativo local dá suporte. Se a tentativa de obter o Kerberos TGT ou o token NTLM para o domínio falhar, as entradas do Gerenciador de Credenciais serão tentadas ou o usuário poderá receber um pop-up de autenticação solicitando credenciais para o recurso de destino. Essa falha pode estar relacionada a um atraso causado por um tempo limite do DCLocator.
Todos os aplicativos configurados para autenticação integrada do Windows obtêm SSO com facilidade quando um usuário tenta acessá-los.
O que você obtém
Com o SSO, em um dispositivo Microsoft Entra ingressado, você pode:
- Acessar um caminho UNC em um servidor membro do AD
- Acessar um servidor Web membro do AD DS configurado para segurança integrada do Windows
Se desejar gerenciar seu AD local a partir de um dispositivo Windows, instale as Ferramentas de Administração de Servidor Remoto.
Você pode usar:
- O snap-in Usuários e Computadores do Active Directory Domain Services (ADUC) para administrar todos os objetos do AD. No entanto, você precisa especificar o domínio ao qual deseja se conectar manualmente.
- O snap-in do DHCP para administrar um servidor DHCP associado à AD. No entanto, talvez seja necessário especificar o nome ou o endereço do servidor DHCP.
O que você deve saber
- Talvez seja necessário ajustar a filtragem baseada em domínio no Microsoft Entra Connect para garantir que os dados sobre os domínios necessários sejam sincronizados se você tiver vários domínios.
- Aplicativos e recursos que dependem da autenticação de máquina do Microsoft Entra não funcionam porque os dispositivos associados ao Microsoft Azure Active Directory Domain Services não têm um objeto de computador no AD DS.
- Você não pode compartilhar arquivos com outros usuários em um dispositivo associado ao Microsoft Entra.
- Aplicativos em execução em seu dispositivo ingressado no Microsoft Entra podem autenticar usuários. Eles devem usar o UPN implícito ou a sintaxe de tipo do NT4 com o FQDN do domínio como a parte do domínio, por exemplo: user@contoso.corp.com ou contoso.corp.com\user.
- Se os aplicativos usarem o nome NETBIOS ou herdado como contoso\user, os erros que o aplicativo receberá serão o erro de NT STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 ou o erro do Windows ERROR_BAD_VALIDATION_CLASS - 1348 "A classe de informações de validação solicitada é inválida". Este erro ocorre mesmo se você conseguir resolver o nome de domínio herdado.
Próximas etapas
Para obter mais informações, confira O que é o gerenciamento de dispositivo no Microsoft Entra ID?