Как единый вход для локальных ресурсов работает на устройствах, подключенных к Microsoft Entra

Устройства, присоединенные к Microsoft Entra, предоставляют пользователям возможность единого входа в облачные приложения клиента. Если в вашей среде есть локальная служба Active Directory доменные службы (AD DS), пользователи также могут выполнять единый вход в ресурсы и приложения, использующие доменные службы локальная служба Active Directory.

В этой статье описано, как это работает.

Необходимые компоненты

  • Устройство , присоединенное к Microsoft Entra.
  • Для локальной системы единого входа необходима возможность непосредственного доступа к контроллерами домена локальной среды AD DS. Если устройства, присоединенные к Microsoft Entra, не подключены к сети вашей организации, требуется VPN или другая сетевая инфраструктура.
  • Облачная синхронизация Microsoft Entra Connect или Microsoft Entra Connect: синхронизация атрибутов пользователей по умолчанию, таких как имя учетной записи SAM, доменное имя и имя участника-пользователя. Дополнительные сведения см. в статье "Атрибуты, синхронизированные Microsoft Entra Connect".

Принцип работы

При присоединении к устройству Microsoft Entra пользователи уже имеют единый вход в облачные приложения в вашей среде. Если в вашей среде есть идентификатор Microsoft Entra ИД и локальные доменные службы AD DS, возможно, потребуется расширить область единого входа в локальные приложения бизнес-приложения, общие папки и принтеры.

Присоединенные к Microsoft Entra устройства не имеют знаний о локальной среде AD DS, так как они не присоединяются к нему. Однако вы можете предоставить дополнительные сведения о локальном AD на этих устройствах с помощью Microsoft Entra Connect.

Microsoft Entra Connect или облачная синхронизация Microsoft Entra Connect синхронизируют данные о локальном удостоверении с облаком. В рамках процесса синхронизации локальные сведения о пользователе и домене синхронизируются с идентификатором Microsoft Entra. Когда пользователь входит на устройство, присоединенное к Microsoft Entra, в гибридной среде:

  1. Идентификатор Microsoft Entra отправляет сведения о локальном домене пользователя обратно на устройство вместе с основным маркером обновления
  2. Локальная система безопасности включает на устройстве проверку подлинности Kerberos и NTLM.

Примечание.

Дополнительная конфигурация необходима, если используется бессерверная проверка подлинности на устройствах, присоединенных к Microsoft Entra.

Сведения о проверке подлинности без пароля на основе ключа безопасности FIDO2 и Windows Hello для бизнеса гибридном облачном доверии см. в статье "Включение входа без пароля" в локальные ресурсы с помощью идентификатора Microsoft Entra.

Сведения о Windows Hello для бизнеса Cloud Kerberos Trust см. в разделе "Настройка и подготовка Windows Hello для бизнеса" — доверие к облачным Kerberos.

Сведения о Windows Hello для бизнеса доверии гибридных ключей см. в статье "Настройка присоединенных к Microsoft Entra устройств для локального единого входа с помощью Windows Hello для бизнеса".

Сведения о гибридном доверии на основе сертификатов Windows Hello для бизнеса см. в статье Использование сертификатов локального единого входа на устройства, присоединенные к Azure AD.

Во время попытки доступа к локальному ресурсу, запрашивающего Kerberos или NTLM, устройство:

  1. Отправляет сведения о локальном домене и учетные данные пользователя в обнаруженный контроллер домена, чтобы выполнить аутентификацию пользователя.
  2. Получает билет предоставления билета (TGT) Kerberos или токен NTLM на основе протокола, поддерживаемого локальным ресурсом или приложением. Если попытка получить маркер Kerberos TGT или NTLM для домена завершается ошибкой, выполняется попытка записи Диспетчера учетных данных или пользователь может получить всплывающее окно проверки подлинности, запрашивающее учетные данные целевого ресурса. Этот сбой может быть связан с задержкой, вызванной временем ожидания DCLocator.

Все приложения, на которых настроена встроенная проверка подлинности Windows, прозрачно применяют единый вход, когда пользователь обращается к ним.

Что вы получаете

С помощью единого входа на устройстве, присоединенном к Microsoft Entra, вы можете:

  • получать доступ к UNC-пути на рядовом сервере AD;
  • Доступ к веб-серверу-члену AD DS, настроенном для безопасности, интегрированной с Windows

Если вы хотите управлять локальной службой AD с устройства Windows, установите средства удаленного администрирования сервера.

Вы можете использовать:

  • Оснастку "Active Directory — пользователи и компьютеры (ADUC)" для администрирования любых объектов AD. Но для этого нужно вручную указать домен, к которому вы хотите подключиться.
  • Оснастку DHCP для администрирования сервера DHCP, присоединенного к домену AD. Однако может потребоваться указать имя или адрес DHCP-сервера.

Что нужно знать

  • Возможно, потребуется настроить фильтрацию на основе домена в Microsoft Entra Connect, чтобы убедиться, что данные о обязательных доменах синхронизируются, если у вас несколько доменов.
  • Приложения и ресурсы, зависящие от проверки подлинности компьютера Active Directory, не работают, так как устройства, присоединенные к Microsoft Entra, не имеют объекта компьютера в AD DS.
  • Вы не можете совместно использовать файлы с другими пользователями на устройстве, присоединенном к Microsoft Entra.
  • Приложения, работающие на устройстве, присоединенном к Microsoft Entra, могут проходить проверку подлинности пользователей. Они должны использовать неявное имя участника-пользователя или синтаксис типа NT4 с полным доменным именем домена, например: user@contoso.corp.com или contoso.corp.com\user.
    • Если приложения используют имя NETBIOS или устаревшее имя, например contoso\user, то ошибки, которые приложение получает, будет либо, nt error STATUS_BAD_VALIDATION_CLASS - 0xc00000a7, либо ошибка Windows ERROR_BAD_VALIDATION_CLASS - 1348 "Запрошенный класс сведений проверки был недопустим". Эта ошибка возникает, даже если можно разрешить устаревшее доменное имя.

Следующие шаги

Дополнительные сведения см. в разделе "Что такое управление устройствами в идентификаторе Microsoft Entra?