Vorbereiten des Zugriffs auf lokale Ressourcen
In Microsoft Managed Desktop werden Geräte automatisch mit microsoft Entra ID verknüpft. Aus diesem Grund müssen Sie bei Verwendung eines lokalen Active Directory sicherstellen, dass Geräte, die mit Microsoft Entra ID verknüpft sind, mit Ihrem lokalen Active Directory kommunizieren können.
Hinweis
Hybrid Microsoft Entra Join wird von Microsoft Managed Desktop nicht unterstützt.
Mit Microsoft Entra ID können Benutzer single Sign-On (SSO) nutzen. Single Sign-On bedeutet, dass sie in der Regel nicht jedes Mal Anmeldeinformationen angeben müssen, wenn sie Ressourcen verwenden.
Informationen zum Beitreten zu Microsoft Entra ID finden Sie unter Vorgehensweise: Planen Ihrer Microsoft Entra Join-Implementierung. Hintergrundinformationen zu Single Sign-On (SSO) auf Geräten, die mit Microsoft Entra ID verknüpft sind, finden Sie unter Funktionsweise des einmaligen Anmeldens für lokale Ressourcen auf in Microsoft Entra eingebundenen Geräten.
In diesem Artikel wird erläutert, was Sie überprüfen müssen, um sicherzustellen, dass Apps und andere Ressourcen, die von der lokalen Active Directory-Konnektivität abhängen, reibungslos mit Microsoft Managed Desktop funktionieren.
Single Sign-On für lokale Ressourcen
Single Sign-On (SSO) mit UPN und Kennwort ist standardmäßig auf Microsoft Managed Desktop Devices aktiviert. Aber Ihre Benutzer können auch Windows Hello for Business verwenden, was einige zusätzliche Einrichtungsschritte erfordert.
Single Sign-On mit UPN und Passwort
In den meisten Organisationen können Ihre Benutzer SSO verwenden, um sich per UPN und Kennwort auf Microsoft Managed Desktop-Geräten zu authentifizieren. Um sicherzustellen, dass diese Funktion funktioniert, sollten Sie die folgenden Dinge überprüfen:
- Vergewissern Sie sich, dass Microsoft Entra Connect eingerichtet ist. Es muss ein lokaler Active Directory-Server verwendet werden, auf dem Windows Server 2008 R2 oder höher ausgeführt wird.
- Vergewissern Sie sich, dass Microsoft Entra Connect eine unterstützte Version ausführt. Es muss so festgelegt werden, dass diese drei Attribute mit der Microsoft Entra-ID synchronisiert werden:
- DNS-Domänenname des lokalen Active Directory (wo sich die Benutzer befinden).
- NetBIOS Ihres lokalen Active Directory (wo sich die Benutzer befinden).
- SAM-Kontoname des Benutzers.
Einmaliges Anmelden mit Windows Hello for Business
Microsoft Managed Desktop-Geräte bieten Ihren Benutzern durch den Einsatz von Windows Hello for Business auch ein schnelles, kennwortloses Erlebnis. Um sicherzustellen, dass Windows Hello for Business funktioniert, ohne dass Ihre Benutzer den entsprechenden UPN und das Kennwort angeben müssen, besuchen Sie Konfigurieren von in Microsoft Entra eingebundenen Geräten für lokale Single-Sign Ein mithilfe von Windows Hello for Business , um die Anforderungen zu überprüfen, und führen Sie dann die dort angegebenen Schritte aus.
Apps und Ressourcen, die Authentifizierung verwenden
Unter Grundlegendes zu Überlegungen zu Anwendungen und Ressourcen im Azure-Inhaltssatz finden Sie eine vollständige Anleitung zum Einrichten von Apps für die Verwendung von Microsoft Entra ID. Zusammenfassend:
App oder Dienst | Aufgabe |
---|---|
Cloudbasierte Apps | Wenn Sie cloudbasierte Apps verwenden, z. B. solche, die dem Microsoft Entra-App-Katalog hinzugefügt wurden, benötigen die meisten keine weiteren Vorbereitungen für die Arbeit mit Microsoft Managed Desktop. Alle Win32-Apps, die Web Account Manager (WAM) nicht verwenden, fordern Benutzer jedoch möglicherweise weiterhin zur Authentifizierung auf. |
Lokal gehostete Apps | Stellen Sie bei lokal gehosteten Apps sicher, dass Sie diese Apps zur Liste der vertrauenswürdigen Websites in Ihren Browsern hinzufügen. Dieser Schritt sorgt dafür, dass die Windows-Authentifizierung nahtlos funktioniert, ohne dass Benutzer zur Eingabe von Anmeldeinformationen aufgefordert werden. Informationen zum Hinzufügen von Apps finden Sie unter Vertrauenswürdige Sites in der Referenz zu den konfigurierbaren Einstellungen. |
Active Directory Verbunddienste | Wenn Sie Active Directory-Verbunddienste verwenden, überprüfen Sie, ob SSO aktiviert ist, indem Sie die Schritte unter Überprüfen und Verwalten des einmaligen Anmeldens mit AD FS ausführen. |
Lokale Apps mit älteren Protokollen | Für lokale Apps, die ältere Protokolle verwenden, ist keine zusätzliche Einrichtung erforderlich, solange die Geräte Zugriff auf einen lokalen Domänencontroller haben, um sich zu authentifizieren. Um sicheren Zugriff für diese Anwendungen bereitzustellen, sollten Sie jedoch den Microsoft Entra-Anwendungsproxy bereitstellen. Weitere Informationen finden Sie unter Remotezugriff auf lokale Anwendungen über den Microsoft Entra-Anwendungsproxy. |
Lokale Apps mit On-Machine-Authentifizierung | Apps, die lokal ausgeführt werden und auf Computerauthentifizierung angewiesen sind, werden nicht unterstützt, daher sollten Sie erwägen, sie durch neuere Versionen zu ersetzen. |
Netzwerkfreigaben, die Authentifizierung verwenden
Es ist keine zusätzliche Einrichtung erforderlich, damit Benutzer auf Netzwerkfreigaben zugreifen können, solange die Geräte über einen UNC-Pfad Zugriff auf einen lokalen Domänencontroller haben.
Drucker
Microsoft Managed Desktop-Geräte können keine Verbindung zu Druckern herstellen, die in Ihrem lokalen Active Directory veröffentlicht sind, es sei denn, Sie haben Hybrid Cloud Print konfiguriert.
Während Drucker in einer reinen Cloudumgebung nicht automatisch erkannt werden können, können Ihre Benutzer lokale Drucker verwenden, indem sie den Druckerpfad oder den Druckerwarteschlangenpfad verwenden, solange die Geräte Zugriff auf einen lokalen Domänencontroller haben.