Condividi tramite

Come funziona l'accesso Single Sign-On alle risorse locali nei dispositivi aggiunti a Microsoft Entra

  • Articolo

I dispositivi aggiunti a Microsoft Entra offrono agli utenti un'esperienza di accesso Single Sign-On (SSO) alle app cloud del tenant. Se l'ambiente dispone di Active Directory Domain Services (AD DS) locale, gli utenti possono anche eseguire l'accesso SSO a risorse e applicazioni basate su Active Directory Domain Services locale.

Questo articolo illustra il funzionamento di questa caratteristica.

Prerequisiti

  • Un dispositivo aggiunto a Microsoft Entra.
  • L'accesso SSO locale richiede la comunicazione line-of-sight con i controller di dominio Active Directory Domain Services locale. Se i dispositivi aggiunti a Microsoft Entra non sono connessi alla rete dell'organizzazione, è richiesta una VPN o un'altra infrastruttura di rete.
  • Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync: per sincronizzare gli attributi utente predefiniti, quali nome dell'account Software Assurance Membership (SAM), nome di dominio e UPN. Per altre informazioni, vedere l'articolo Attributi sincronizzati da Microsoft Entra Connect.

Funzionamento

Con un dispositivo aggiunto a Microsoft Entra, gli utenti possono già usufruire dell'esperienza SSO per le app cloud nell'ambiente. Se l'ambiente include Microsoft Entra ID e un'istanza locale di Active Directory Domain Services, è possibile espandere l'ambito dell'esperienza SSO alle app line-of-business (LOB) locali, alle condivisioni file e alle stampanti.

I dispositivi aggiunti a Microsoft Entra non riconoscono l'ambiente Active Directory Domain Services locale perché non sono stati aggiunti in tale ambiente. Tuttavia, è possibile fornire a questi dispositivi informazioni aggiuntive sull'ambiente AD locale tramite Microsoft Entra Connect.

Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync sincronizzano le informazioni sull'identità locale nel cloud. Nell'ambito del processo di sincronizzazione, le informazioni locali sull'utente e sul dominio vengono sincronizzate per Microsoft Entra ID. Se un utente accede a un dispositivo aggiunto a Microsoft Entra in un ambiente ibrido:

  1. Microsoft Entra ID rinvia i dettagli del dominio locale dell'utente al dispositivo, insieme al Token di aggiornamento primario
  2. Il servizio di autorità di protezione locale (LSA) abilita l'autenticazione Kerberos e l'autenticazione integrata di Windows nel dispositivo.

Nota

Se si utilizza l'autenticazione senza password per i dispositivi aggiunti a Microsoft Entra, è richiesta una configurazione aggiuntiva.

Per l'autenticazione senza password basata su chiave di sicurezza FIDO2 e per l'attendibilità cloud ibrido di Windows Hello for Business, vedere Abilitare l'accesso con chiave di sicurezza senza password alle risorse locali con Microsoft Entra ID.

Per l'attendibilità Kerberos cloud di Windows Hello for Business, vedere Configurare ed eseguire il provisioning di Windows Hello for Business - attendibilità Kerberos cloud.

Per l'attendibilità della chiave ibrida di Windows Hello for Business, vedere Configurare i dispositivi aggiunti a Microsoft Entra per l'accesso Single Sign-On locale con Windows Hello for Business.

Per l'attendibilità dei certificati ibridi di Windows Hello for Business, vedere Uso dei certificati per l'accesso Single Sign-On locale di AADJ.

Durante un tentativo di accesso a una risorsa locale che richiede Kerberos o NTLM, il dispositivo:

  1. Invia le informazioni sul dominio locale e le credenziali utente al controller di dominio individuato per ottenere l'autenticazione dell'utente.
  2. Riceve un token TGT (Ticket-Granting Ticket) Kerberos o NTLM basato sul protocollo supportato dalla risorsa o dall'applicazione locale. Se non il tentativo di ottenere il token TGT Kerberos o NTLM per il dominio ha esito negativo, si tenta con gli elementi di Gestione credenziali, oppure l'utente potrebbe ricevere un elemento popup di autenticazione che richiede le credenziali per la risorsa di destinazione. L'esito negativo può essere correlato a un ritardo causato da un timeout DCLocator.

Tutte le app configurate per l'autenticazione integrata di Windows ottengono facilmente l'accesso SSO quando un utente prova ad accedervi.

Risultato finale

Con l'accesso Single Sign-On, in un dispositivo aggiunto a Microsoft Entra è possibile:

  • Accedere a un percorso UNC in un server membro di AD
  • Accedere a un server Web membro di Active Directory Domain Services configurato per la sicurezza integrata di Windows

Se si vuole gestire l'istanza locale di AD da un dispositivo Windows, installare gli Strumenti di amministrazione remota del server.

Puoi usare:

  • Lo snap-in Utenti e computer di Active Directory per amministrare tutti gli oggetti di AD. Tuttavia, è necessario specificare il dominio a cui ci si vuole connettere manualmente.
  • Lo snap-in DHCP per amministrare un server DHCP aggiunto ad AD. Tuttavia, potrebbe essere necessario specificare il nome o l'indirizzo del server DHCP.

Informazioni utili

  • Potrebbe essere necessario modificare il filtro basato su dominio in Microsoft Entra Connect, per assicurarsi che i dati relativi ai domini richiesti vengano sincronizzati in presenza di più domini.
  • App e risorse che dipendono dall'autenticazione del computer di Active Directory non funzionano perché i dispositivi aggiunti a Microsoft Entra non hanno un oggetto computer in Active Directory Domain Services.
  • Non è possibile condividere file con altri utenti in un dispositivo aggiunto a Microsoft Entra.
  • Le applicazioni eseguite nel dispositivo aggiunto a Microsoft Entra potrebbero autenticare gli utenti. Devono usare l'UPN implicito o la sintassi di tipo NT4 con il nome FQDN del dominio come parte del dominio, ad esempio, user@contoso.corp.com o contoso.corp.com\user.
    • Se le applicazioni usano netBIOS o il nome legacy, ad esempio contoso\user, gli errori che l'applicazione ottiene saranno, l'errore NT STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 o l'errore di Windows ERROR_BAD_VALIDATION_CLASS - 1348 "La classe di informazioni di convalida richiesta non è valida". Questo errore si verifica anche se è possibile risolvere il nome di dominio legacy.

Passaggi successivi

Per altre informazioni, vedere Informazioni sulla gestione dei dispositivi in Microsoft Entra ID.