Come funziona l'accesso Single Sign-On alle risorse locali nei dispositivi aggiunti a Microsoft Entra

  • Articolo

I dispositivi aggiunti a Microsoft Entra offrono agli utenti un'esperienza single sign-on (SSO) alle app cloud del tenant. Se l'ambiente ha Active Directory locale Domain Services (AD DS), gli utenti possono anche accedere SSO a risorse e applicazioni che si basano su Active Directory locale Domain Services.

Questo articolo illustra il funzionamento di questa caratteristica.

Prerequisiti

  • Dispositivo aggiunto a Microsoft Entra.
  • L'accesso Single Sign-On locale richiede la comunicazione line-of-sight con i controller di dominio di Active Directory Domain Services locali. Se i dispositivi aggiunti a Microsoft Entra non sono connessi alla rete dell'organizzazione, è necessaria una VPN o un'altra infrastruttura di rete.
  • Microsoft Entra Connessione o Microsoft Entra Connessione cloud sync: per sincronizzare gli attributi utente predefiniti, ad esempio nome account SAM, nome di dominio e UPN. Per altre informazioni, vedere l'articolo Attributi sincronizzati da Microsoft Entra Connessione.

Funzionamento

Con un dispositivo aggiunto a Microsoft Entra, gli utenti hanno già un'esperienza SSO per le app cloud nell'ambiente in uso. Se l'ambiente ha l'ID Microsoft Entra e Active Directory Domain Services locale, è possibile espandere l'ambito dell'esperienza SSO alle app line of business locali, alle condivisioni file e alle stampanti locali.

I dispositivi aggiunti a Microsoft Entra non hanno alcuna conoscenza dell'ambiente di Active Directory Domain Services locale perché non sono aggiunti ad esso. Tuttavia, è possibile fornire informazioni aggiuntive sull'AD locale a questi dispositivi con Microsoft Entra Connessione.

Microsoft Entra Connessione o Microsoft Entra Connessione sincronizzazione cloud sincronizzano le informazioni sull'identità locale nel cloud. Nell'ambito del processo di sincronizzazione, le informazioni sull'utente e sul dominio locali vengono sincronizzate con Microsoft Entra ID. Quando un utente accede a un dispositivo aggiunto a Microsoft Entra in un ambiente ibrido:

  1. Microsoft Entra ID invia i dettagli del dominio locale dell'utente al dispositivo, insieme al token di aggiornamento primario
  2. Il servizio LSA (Local Security Authority) abilita l'autenticazione Kerberos e NTLM nel dispositivo.

Nota

È necessaria una configurazione aggiuntiva quando viene usata l'autenticazione senza password per i dispositivi aggiunti a Microsoft Entra.

Per l'autenticazione senza password basata su chiavi di sicurezza FIDO2 e Attendibilità cloud ibrida di Windows Hello for Business, vedere Abilitare l'accesso tramite chiave di sicurezza senza password alle risorse locali con Microsoft Entra ID.

Per l'attendibilità Kerberos di Windows Hello for Business Cloud, vedere Configurare ed effettuare il provisioning di Attendibilità Kerberos di Windows Hello for Business - cloud.

Per l'attendibilità della chiave ibrida di Windows Hello for Business, vedere Configurare i dispositivi aggiunti a Microsoft Entra per l'accesso Single Sign-On locale con Windows Hello for Business.

Per l'attendibilità dei certificati ibridi di Windows Hello for Business, vedere Uso dei certificati per L'accesso Single Sign-On locale di AADJ.

Durante un tentativo di accesso a una risorsa locale che richiede Kerberos o NTLM, il dispositivo:

  1. Invia le informazioni sul dominio locale e le credenziali utente al controller di dominio individuato per ottenere l'autenticazione dell'utente.
  2. Riceve un token TGT (Ticket-Granting Ticket) Kerberos o NTLM basato sul protocollo supportato dalla risorsa o dall'applicazione locale. Se il tentativo di ottenere il token TGT o NTLM Kerberos per il dominio ha esito negativo, vengono tentate voci di Gestione credenziali oppure l'utente potrebbe ricevere un popup di autenticazione che richiede credenziali per la risorsa di destinazione. Questo errore può essere correlato a un ritardo causato da un timeout DCLocator.

Tutte le app configurate per l'autenticazione integrata di Windows ottengono facilmente l'accesso SSO quando un utente prova ad accedervi.

Risultato finale

Con l'accesso Single Sign-On, in un dispositivo aggiunto a Microsoft Entra è possibile:

  • Accedere a un percorso UNC in un server membro di AD
  • Accedere a un server Web membro di Active Directory Domain Services configurato per la sicurezza integrata di Windows

Se si vuole gestire l'istanza di Active Directory locale da un dispositivo Windows, installare gli strumenti di Amministrazione istration del server remoto.

Puoi usare:

  • Lo snap-in Utenti e computer di Active Directory per amministrare tutti gli oggetti di AD. Tuttavia, è necessario specificare il dominio a cui ci si vuole connettere manualmente.
  • Lo snap-in DHCP per amministrare un server DHCP aggiunto ad AD. Tuttavia, è necessario specificare il nome o l'indirizzo del server DHCP.

Informazioni utili

  • Potrebbe essere necessario modificare il filtro basato su dominio in Microsoft Entra Connessione per assicurarsi che i dati relativi ai domini necessari vengano sincronizzati se si dispone di più domini.
  • Le app e le risorse che dipendono dall'autenticazione del computer di Active Directory non funzionano perché i dispositivi aggiunti a Microsoft Entra non hanno un oggetto computer in Active Directory Domain Services.
  • Non è possibile condividere file con altri utenti in un dispositivo aggiunto a Microsoft Entra.
  • Le applicazioni in esecuzione nel dispositivo aggiunto a Microsoft Entra possono autenticare gli utenti. Devono usare l'UPN implicito o la sintassi del tipo NT4 con il nome FQDN del dominio come parte del dominio, ad esempio, user@contoso.corp.com o contoso.corp.com\user.
    • Se le applicazioni usano netBIOS o il nome legacy, ad esempio contoso\user, gli errori che l'applicazione ottiene saranno, l'errore NT STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 o l'errore di Windows ERROR_BAD_VALIDATION_CLASS - 1348 "La classe di informazioni di convalida richiesta non è valida". Questo errore si verifica anche se è possibile risolvere il nome di dominio legacy.

Passaggi successivi

Per altre informazioni, vedere Che cos'è la gestione dei dispositivi in Microsoft Entra ID?