Cara kerja SSO ke sumber daya lokal di perangkat yang bergabung dengan Microsoft Entra

  • Artikel

Perangkat yang bergabung dengan Microsoft Entra memberi pengguna pengalaman akses menyeluruh (SSO) ke aplikasi cloud penyewa Anda. Jika lingkungan Anda memiliki Active Directory lokal Domain Services (AD DS), pengguna juga dapat SSO ke sumber daya dan aplikasi yang mengandalkan Active Directory lokal Domain Services.

Artikel ini menjelaskan cara kerjanya.

Prasyarat

  • Perangkat yang bergabung dengan Microsoft Entra.
  • SSO lokal memerlukan komunikasi line-of-sight dengan pengontrol domain AD DS lokal Anda. Jika perangkat yang bergabung dengan Microsoft Entra tidak tersambung ke jaringan organisasi Anda, VPN atau infrastruktur jaringan lainnya diperlukan.
  • Sinkronisasi cloud Microsoft Entra Koneksi atau Microsoft Entra Koneksi: Untuk menyinkronkan atribut pengguna default seperti Nama Akun SAM, Nama Domain, dan UPN. Untuk informasi selengkapnya, lihat artikel Atribut yang disinkronkan oleh Microsoft Entra Koneksi.

Cara kerjanya

Dengan perangkat yang bergabung dengan Microsoft Entra, pengguna Anda sudah memiliki pengalaman SSO ke aplikasi cloud di lingkungan Anda. Jika lingkungan Anda memiliki ID Microsoft Entra dan AD DS lokal, Anda mungkin ingin memperluas cakupan pengalaman SSO Anda ke aplikasi, berbagi file, dan printer Line Of Business (LOB) lokal Anda.

Perangkat yang bergabung dengan Microsoft Entra tidak memiliki pengetahuan tentang lingkungan AD DS lokal Anda karena tidak bergabung dengannya. Namun, Anda dapat memberikan informasi tambahan tentang AD lokal Anda ke perangkat ini dengan Microsoft Entra Koneksi.

Sinkronisasi cloud Microsoft Entra Koneksi atau Microsoft Entra Koneksi menyinkronkan informasi identitas lokal Anda ke cloud. Sebagai bagian dari proses sinkronisasi, informasi pengguna dan domain lokal disinkronkan ke ID Microsoft Entra. Saat pengguna masuk ke perangkat yang bergabung dengan Microsoft Entra di lingkungan hibrid:

  1. MICROSOFT Entra ID mengirimkan detail domain lokal pengguna kembali ke perangkat, bersama dengan Token Refresh Utama
  2. Layanan otoritas keamanan lokal (LSA) memungkinkan autentikasi Kerberos dan NTLM pada perangkat.

Catatan

Konfigurasi tambahan diperlukan ketika autentikasi tanpa kata sandi ke perangkat yang bergabung dengan Microsoft Entra digunakan.

Untuk autentikasi tanpa kata sandi berbasis kunci keamanan FIDO2 dan Windows Hello untuk Bisnis Hybrid Cloud Trust, lihat Mengaktifkan masuk kunci keamanan tanpa kata sandi ke sumber daya lokal dengan ID Microsoft Entra.

Untuk Windows Hello untuk Bisnis Cloud Kerberos Trust, lihat Mengonfigurasi dan menyediakan Windows Hello untuk Bisnis - kepercayaan Cloud Kerberos.

Untuk Windows Hello untuk Bisnis Hybrid Key Trust, lihat Mengonfigurasi perangkat yang bergabung dengan Microsoft Entra untuk Akses Menyeluruh Lokal menggunakan Windows Hello untuk Bisnis.

Untuk Windows Hello untuk Business Hybrid Certificate Trust, lihat Menggunakan Sertifikat untuk Akses Menyeluruh AADJ Lokal.

Selama upaya akses ke sumber daya lokal yang meminta Kerberos atau NTLM, perangkat:

  1. Mengirim informasi domain lokal dan informasi masuk pengguna ke DC yang ditemukan untuk mengautentikasi pengguna.
  2. Menerima token Kerberos Ticket-Granting Ticket (TGT) atau NTLM berdasarkan protokol yang didukung sumber daya atau aplikasi lokal. Jika upaya untuk mendapatkan token Kerberos TGT atau NTLM untuk domain gagal, entri Credential Manager dicoba, atau pengguna mungkin menerima pop-up autentikasi yang meminta kredensial untuk sumber daya target. Kegagalan ini dapat terkait dengan penundaan yang disebabkan oleh batas waktu DCLocator.

Semua aplikasi yang dikonfigurasi untuk autentikasi Terintegrasi Windows dengan mulus mendapat SSO ketika pengguna mencoba mengaksesnya.

Hal yang Anda dapatkan

Dengan SSO, pada perangkat yang bergabung dengan Microsoft Entra, Anda dapat:

  • Mengakses jalur UNC pada server anggota AD
  • Mengakses server web anggota AD DS yang dikonfigurasi untuk keamanan terintegrasi Windows

Jika Anda ingin mengelola AD lokal Anda dari perangkat Windows, instal Alat Administrasi Server Jarak Jauh.

Anda dapat menggunakan:

  • Snap-in Active Directory Users and Computers (ADUC) untuk mengelola semua objek AD. Namun, Anda harus menentukan domain yang ingin Anda sambungkan secara manual.
  • Snap-in DHCP untuk mengelola server DHCP yang bergabung dengan AD. Namun, Anda mungkin perlu menentukan nama atau alamat server DHCP.

Yang harus Anda ketahui

  • Anda mungkin harus menyesuaikan pemfilteran berbasis domain di Microsoft Entra Koneksi untuk memastikan bahwa data tentang domain yang diperlukan disinkronkan jika Anda memiliki beberapa domain.
  • Aplikasi dan sumber daya yang bergantung pada autentikasi mesin Direktori Aktif tidak berfungsi karena perangkat yang bergabung dengan Microsoft Entra tidak memiliki objek komputer di AD DS.
  • Anda tidak dapat berbagi file dengan pengguna lain di perangkat yang bergabung dengan Microsoft Entra.
  • Aplikasi yang berjalan di perangkat gabungan Microsoft Entra Anda dapat mengautentikasi pengguna. Pengguna harus menggunakan UPN implisit atau sintaksis tipe NT4 dengan nama FQDN domain sebagai bagian domain, misalnya: user@contoso.corp.com atau contoso.corp.com\user.
    • Jika aplikasi menggunakan NETBIOS atau nama warisan seperti contoso\user, kesalahan yang didapat oleh aplikasi adalah, kesalahan NT STATUS_BAD_VALIDATION_CLASS - 0xc00000a7, atau kesalahan Windows ERROR_BAD_VALIDATION_CLASS - 1348 “Kelas informasi validasi yang diminta tidak valid”. Kesalahan ini terjadi bahkan jika Anda dapat mengatasi nama domain warisan.

Langkah berikutnya

Untuk informasi selengkapnya, lihat Apa itu manajemen perangkat di MICROSOFT Entra ID?