Megosztás a következőn keresztül:

A helyszíni erőforrásokra történő egyszeri bejelentkezés működése Microsoft Entrába léptetett eszközökön

  • Cikk

A Microsoft Entra-hoz csatlakoztatott eszközök egyszeri bejelentkezést (SSO) biztosítanak a felhasználók számára a bérlő felhőalkalmazásai számára. Ha a környezet helyi Active Directory Tartományi szolgáltatásokkal (AD DS) rendelkezik, a felhasználók egyszeri bejelentkezést is végezhetnek az helyi Active Directory Tartományi szolgáltatásokra támaszkodó erőforrásokra és alkalmazásokra.

Ez a cikk a működést ismerteti.

Előfeltételek

  • Egy Microsoft Entra-hez csatlakoztatott eszköz.
  • A helyszíni egyszeri bejelentkezéshez a helyszíni AD DS-tartományvezérlőkkel való kommunikációra van szükség. Ha a Microsoft Entra-hoz csatlakoztatott eszközök nem csatlakoznak a szervezet hálózatához, VPN- vagy egyéb hálózati infrastruktúrára van szükség.
  • Microsoft Entra Connect vagy Microsoft Entra Connect felhőszinkronizálás: Az alapértelmezett felhasználói attribútumok, például a SAM-fióknév, a tartománynév és az UPN szinkronizálása. További információ: A Microsoft Entra Connect által szinkronizált attribútumok.

Hogyan működik?

A Microsoft Entra-hoz csatlakoztatott eszközökkel a felhasználók már rendelkeznek egyszeri bejelentkezéssel a környezetben lévő felhőalkalmazások számára. Ha a környezet rendelkezik Microsoft Entra-azonosítóval és helyszíni AD DS-sel, érdemes lehet kiterjeszteni az egyszeri bejelentkezés funkció hatókörét a helyszíni üzletági (LOB) alkalmazásokra, fájlmegosztásokra és nyomtatókra.

A Microsoft Entra-hoz csatlakoztatott eszközök nem ismerik a helyszíni AD DS-környezetet, mert nem csatlakoznak hozzá. A helyszíni AD-ről azonban további információkat is megadhat ezekhez az eszközökhöz a Microsoft Entra Connect használatával.

A Microsoft Entra Connect vagy a Microsoft Entra Connect felhőszinkronizálása szinkronizálja a helyszíni identitásadatokat a felhőbe. A szinkronizálási folyamat részeként a helyszíni felhasználó és a tartomány adatai szinkronizálódnak a Microsoft Entra-azonosítóval. Amikor egy felhasználó hibrid környezetben jelentkezik be a Microsoft Entra-hoz csatlakoztatott eszközre:

  1. A Microsoft Entra ID visszaküldi a felhasználó helyszíni tartományának adatait az eszközre, valamint az elsődleges frissítési jogkivonatot
  2. A helyi biztonsági szolgáltató (LSA) szolgáltatás engedélyezi a Kerberos- és NTLM-hitelesítést az eszközön.

Feljegyzés

További konfigurációra van szükség a Microsoft Entra csatlakoztatott eszközök jelszó nélküli hitelesítésének használatakor.

A FIDO2 biztonsági kulcson alapuló jelszó nélküli hitelesítés és a hibrid felhőbeli megbízhatóság Vállalati Windows Hello lásd: Jelszó nélküli biztonsági kulcs bejelentkezésének engedélyezése a helyszíni erőforrásokba a Microsoft Entra-azonosítóval.

A Vállalati Windows Hello Felhőalapú Kerberos-megbízhatósági kapcsolatról lásd: Vállalati Windows Hello – felhőbeli Kerberos-megbízhatóság konfigurálása és kiépítése.

A hibrid kulcsok megbízhatóságának Vállalati Windows Hello lásd: A Microsoft Entra-hoz csatlakoztatott eszközök konfigurálása helyszíni egyszeri bejelentkezéshez Vállalati Windows Hello használatával.

A hibrid tanúsítványmegbízhatósági Vállalati Windows Hello lásd: Tanúsítványok használata helyszíni AADJ-hez egyszeri bejelentkezéshez.

A Kerberost vagy NTLM-et kérő helyszíni erőforráshoz való hozzáférési kísérlet során az eszköz:

  1. Elküldi a helyszíni tartomány adatait és felhasználói hitelesítő adatait a tartományvezérlőnek a felhasználó hitelesítésének lekéréséhez.
  2. Kerberos Ticket-Granting Ticket (TGT) vagy NTLM-jogkivonatot kap a helyszíni erőforrás vagy alkalmazás által támogatott protokoll alapján. Ha a Tartomány Kerberos TGT- vagy NTLM-jogkivonatának lekérésére tett kísérlet meghiúsul, a Hitelesítőadat-kezelő bejegyzései megpróbálkoznak, vagy előfordulhat, hogy a felhasználó hitelesítési előugró ablakban kéri a hitelesítő adatokat a célerőforráshoz. Ez a hiba a DCLocator időtúllépése által okozott késéssel függhet össze.

A Windows integrált hitelesítéshez konfigurált összes alkalmazás zökkenőmentesen megkapja az egyszeri bejelentkezést, amikor egy felhasználó megpróbálja elérni őket.

Amihez jut

Az egyszeri bejelentkezéssel a Microsoft Entra-hoz csatlakoztatott eszközökön a következőket teheti:

  • UNC-elérési út elérése egy AD-tagkiszolgálón
  • Hozzáférés a Windows integrált biztonságához konfigurált AD DS-tag webkiszolgálóhoz

Ha windowsos eszközről szeretné felügyelni a helyszíni AD-t, telepítse a távoli kiszolgálófelügyeleti eszközöket.

A következőket használhatja:

  • A Active Directory - felhasználók és számítógépek (ADUC) beépülő modul az összes AD-objektum felügyeletéhez. Azonban meg kell adnia azt a tartományt, amelyhez manuálisan szeretne csatlakozni.
  • A DHCP beépülő modul az AD-hez csatlakoztatott DHCP-kiszolgáló felügyeletéhez. Előfordulhat azonban, hogy meg kell adnia a DHCP-kiszolgáló nevét vagy címét.

Alapismeretek

  • Előfordulhat, hogy módosítania kell a tartományalapú szűrést a Microsoft Entra Connectben, hogy a szükséges tartományok adatai szinkronizálva legyenek, ha több tartománya van.
  • Az Active Directory-alapú számítógép-hitelesítéstől függő alkalmazások és erőforrások nem működnek, mert a Microsoft Entra-hoz csatlakoztatott eszközök nem rendelkeznek számítógép-objektummal az AD DS-ben.
  • Nem oszthat meg fájlokat más felhasználókkal a Microsoft Entra által csatlakoztatott eszközökön.
  • A Microsoft Entra csatlakoztatott eszközön futó alkalmazások hitelesíthetik a felhasználókat. Tartományrészként az implicit UPN vagy az NT4 típusú szintaxist kell használniuk tartományrészként a tartomány teljes tartománynevével, például: user@contoso.corp.com vagy contoso.corp.com\felhasználó.
    • Ha az alkalmazások NETBIOS-t vagy örökölt nevet használnak, például contoso\user, akkor az alkalmazás által kapott hibák vagy az NT-hiba STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 vagy Windows-hiba ERROR_BAD_VALIDATION_CLASS - 1348 "A kért érvényesítési információs osztály érvénytelen volt". Ez a hiba akkor is előfordul, ha meg tudja oldani az örökölt tartománynevet.

Következő lépések

További információ: Mi az eszközkezelés a Microsoft Entra ID-ban?