Points de terminaison natifs cloud et ressources locales

Conseil

Lors de la lecture des points de terminaison natifs cloud, vous voyez les termes suivants :

• Point de terminaison : un point de terminaison est un appareil, tel qu’un téléphone mobile, une tablette, un ordinateur portable ou un ordinateur de bureau. Les « points de terminaison » et les « appareils » sont utilisés indifféremment.
• Points de terminaison managés : points de terminaison qui reçoivent des stratégies de l’organisation à l’aide d’une solution GPM ou d’objets stratégie de groupe. Ces appareils appartiennent généralement à l’organisation, mais peuvent également être des appareils BYOD ou personnels.
• Points de terminaison natifs cloud : points de terminaison joints à Microsoft Entra. Ils ne sont pas joints à AD local.
• Charge de travail : tout programme, service ou processus.

Les points de terminaison natifs cloud peuvent accéder aux ressources locales. Cet article détaille et répond à certaines questions courantes.

Cette fonctionnalité s’applique à :

• Points de terminaison natifs cloud Windows

Pour une vue d’ensemble des points de terminaison natifs cloud et de leurs avantages, accédez à Présentation des points de terminaison natifs cloud.

Conditions préalables

Pour que les points de terminaison Windows natifs du cloud accèdent aux ressources et services locaux qui utilisent Active Directory local (AD) pour l’authentification, les conditions préalables suivantes sont requises :

• Les applications clientes doivent utiliser l’authentification intégrée Windows (WIA). Pour plus d’informations, accédez à l’authentification intégrée Windows (WIA).

• Configurer Microsoft Entra Connect. Microsoft Entra Connect synchronise les comptes d’utilisateur de l’ad local avec Microsoft Entra. Pour plus d’informations, accédez à Synchronisation Microsoft Entra Connect : Comprendre et personnaliser la synchronisation.

  Dans Microsoft Entra Connect, vous devrez peut-être ajuster votre filtrage basé sur un domaine pour confirmer que les données de domaine requises sont synchronisées avec Microsoft Entra.

• L'appareil dispose en visibilité directe d'une connexion (soit directement, soit par le biais d'un VPN) à un contrôleur de domaine du domaine AD et au service ou à la ressource auquel il accède.

Similaire aux appareils Windows locaux

Pour les utilisateurs finaux, un point de terminaison natif cloud Windows se comporte comme n’importe quel autre appareil Windows local.

La liste suivante est un ensemble courant de ressources locales auxquelles les utilisateurs peuvent accéder à partir de leurs appareils joints à Microsoft Entra :

• Un serveur de fichiers : à l’aide de SMB (Server Message Block), vous pouvez mapper un lecteur réseau à un serveur membre du domaine qui héberge un partage réseau ou un NAS (Network Attached Storage).

  Les utilisateurs peuvent mapper des lecteurs à des documents partagés et personnels.

• Ressource d’imprimante sur un serveur membre du domaine : les utilisateurs peuvent imprimer sur leur imprimante locale ou celle la plus proche.

• Un serveur web sur un serveur membre du domaine qui utilise la sécurité intégrée de Windows : les utilisateurs peuvent accéder à n’importe quelle application Win32 ou web.

• Vous souhaitez gérer votre domaine AD local à partir d’un point de terminaison joint à Microsoft Entra : Installez les outils d’administration de serveur distant :

  • Utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory (ADUC) pour administrer tous les objets AD. Vous devez entrer manuellement le domaine auquel vous souhaitez vous connecter.
  • Utilisez le composant logiciel enfichable DHCP pour administrer un serveur DHCP joint à AD. Vous devrez peut-être entrer le nom ou l’adresse du serveur DHCP.

Conseil

Pour comprendre comment les appareils joints à Microsoft Entra utilisent les informations d’identification mises en cache dans une approche native cloud, regardez OPS108 : Windows authentication internals in a hybrid world (syfuhs.net) (ouvre un site web externe).

Authentification et accès aux ressources locales

Les étapes suivantes décrivent comment un point de terminaison joint à Microsoft Entra authentifie et accède (en fonction des autorisations) à une ressource locale.

Les étapes suivantes constituent une vue d’ensemble. Pour obtenir des informations plus spécifiques, notamment des graphiques de couloir détaillés qui décrivent le processus complet, accédez à Jeton d’actualisation principal (PRT) et Microsoft Entra.

1. Lorsque les utilisateurs se connectent, leurs informations d’identification sont envoyées au fournisseur d’authentification cloud (CloudAP) et au gestionnaire de comptes web (WAM).

2. Le plug-in CloudAP envoie les informations d’identification de l’utilisateur et de l’appareil à Microsoft Entra. Ou s’authentifie à l’aide de Windows Hello Entreprise.

3. Lors de la connexion à Windows, le plug-in Microsoft Entra CloudAP demande un jeton d’actualisation principal (PRT) auprès de Microsoft Entra à l’aide des informations d’identification de l’utilisateur. Il met également en cache le PRT, qui active la connexion mise en cache lorsque les utilisateurs n’ont pas de connexion Internet. Lorsque les utilisateurs essaient d’accéder aux applications, le plug-in Microsoft Entra WAM utilise le PRT pour activer l’authentification unique.

4. Microsoft Entra authentifie l’utilisateur et l’appareil, puis retourne un PRT & un jeton d’ID. Le jeton d’ID inclut les attributs suivants concernant l’utilisateur :

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Ces attributs sont synchronisés à partir d’AD local à l’aide de Microsoft Entra Connect.

   Le fournisseur d’authentification Kerberos reçoit les informations d’identification et les attributs. Sur l’appareil, le service LSA (Windows Local Security Authority) active l’authentification Kerberos et NTLM.

5. Lors d’une tentative d’accès à une ressource locale demandant l’authentification Kerberos ou NTLM, l’appareil utilise les attributs liés au nom de domaine pour rechercher un contrôleur de domaine à l’aide du localisateur de contrôleur de domaine.

   • Si un contrôleur de domaine est trouvé, il envoie les informations d’identification et le sAMAccountName au contrôleur de domaine pour l’authentification.
   • Si vous utilisez Windows Hello Entreprise, il effectue PKINIT avec le certificat Windows Hello Entreprise.
   • Si aucun contrôleur de domaine n’est trouvé, aucune authentification locale ne se produit.

   Remarque

   PKINIT est un mécanisme de pré-authentification pour Kerberos 5 qui utilise des certificats X.509 pour authentifier le centre de distribution de clés (KDC) auprès des clients et vice versa.

   MS-PKCA : Chiffrement de clé publique pour l’authentification initiale (PKINIT) dans le protocole Kerberos

6. Le contrôleur de domaine authentifie l’utilisateur. Le contrôleur de domaine retourne un ticket TGT (Ticket-Granting Ticket) Kerberos ou un jeton NTLM basé sur le protocole pris en charge par la ressource ou l’application locale. Windows met en cache le jeton TGT ou NTLM retourné pour une utilisation ultérieure.

   Si la tentative d’obtention du jeton TGT ou NTLM Kerberos pour le domaine échoue (le délai d’expiration dcLocator associé peut entraîner un retard), le Gestionnaire d'Informations d'Identification Windows fait de nouvelles tentatives. Ou bien, l’utilisateur peut recevoir une fenêtre contextuelle d’authentification demandant des informations d’identification pour la ressource locale.

7. Toutes les applications qui utilisent l’authentification intégrée Windows (WIA) utilisent automatiquement l’authentification unique lorsqu’un utilisateur tente d’accéder aux applications. WIA inclut l’authentification utilisateur standard sur un domaine AD local à l’aide de NTLM ou Kerberos lors de l’accès aux services ou ressources locaux.

   Pour plus d’informations, consultez Fonctionnement de l’authentification unique sur les ressources locales sur les appareils joints à Microsoft Entra.

   Il est important de mettre l’accent sur la valeur de l’authentification intégrée Windows. Les points de terminaison cloud natifs « fonctionnent » simplement avec n’importe quelle application configurée pour WIA.

   Lorsque les utilisateurs accèdent à une ressource qui utilise WIA (serveur de fichiers, imprimante, serveur web, etc.), le TGT est échangé avec un ticket de service Kerberos, qui est le flux de travail Kerberos habituel.

Suivez les conseils sur les points de terminaison natifs cloud

1. Vue d’ensemble : que sont les points de terminaison natifs cloud ?
2. Didacticiel : Démarrage avec des points de terminaison Windows natifs cloud
3. Concept : Joint à Microsoft Entra et Joint à Microsoft Entra hybride
4. 🡺 Concept : points de terminaison natifs cloud et ressources locales (vous êtes ici)
5. Guide de planification de haut niveau
6. Problèmes connus et informations importantes

Ressources en ligne utiles

• Jeton d’actualisation principal (PRT) et Microsoft Entra
• Fonctionnement de l’authentification unique sur les ressources locales sur les appareils joints à Microsoft Entra
• Fonctionnement de Windows Hello Entreprise – Authentification – Sécurité Windows
• Authentification Windows intégrée
• Authentification Kerberos Microsoft Entra
• Vue d’ensemble de l’authentification Microsoft Entra