De werking van SSO voor on-premises resources op Microsoft Entra gekoppelde apparaten

Aan Microsoft Entra gekoppelde apparaten bieden gebruikers eenmalige aanmelding (SSO) voor de cloud-apps van uw tenant. Als uw omgeving on-premises Active Directory-domein Services (AD DS) heeft, kunnen gebruikers ook eenmalige aanmelding instellen voor resources en toepassingen die afhankelijk zijn van on-premises Active Directory-domein Services.

In dit artikel wordt uitgelegd hoe dit werkt.

Vereisten

• Een apparaat dat is toegevoegd aan Microsoft Entra.
• On-premises SSO vereist line-of-sight-communicatie met uw on-premises AD DS-domeincontrollers. Als aan Microsoft Entra gekoppelde apparaten niet zijn verbonden met het netwerk van uw organisatie, is een VPN of een andere netwerkinfrastructuur vereist.
• Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie: standaardgebruikerskenmerken synchroniseren, zoals SAM-accountnaam, domeinnaam en UPN. Zie het artikel Kenmerken die zijn gesynchroniseerd door Microsoft Entra Verbinding maken voor meer informatie.

Hoe het werkt

Met een apparaat dat is toegevoegd aan Microsoft Entra, hebben uw gebruikers al een SSO-ervaring voor de cloud-apps in uw omgeving. Als uw omgeving Microsoft Entra ID en on-premises AD DS heeft, kunt u het bereik van uw SSO-ervaring uitbreiden naar uw on-premises LOB-apps (Line-Of-Business), bestandsshares en printers.

Microsoft Entra-gekoppelde apparaten hebben geen kennis over uw on-premises AD DS-omgeving omdat ze er niet aan zijn toegevoegd. U kunt echter aanvullende informatie over uw on-premises AD opgeven voor deze apparaten met Microsoft Entra Verbinding maken.

Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie synchroniseert uw on-premises identiteitsgegevens naar de cloud. Als onderdeel van het synchronisatieproces worden on-premises gebruikers- en domeingegevens gesynchroniseerd met Microsoft Entra-id. Wanneer een gebruiker zich aanmeldt bij een apparaat dat is toegevoegd aan Microsoft Entra in een hybride omgeving:

1. Microsoft Entra-id verzendt de details van het on-premises domein van de gebruiker terug naar het apparaat, samen met het primaire vernieuwingstoken
2. De LSA-service (Local Security Authority) maakt Kerberos- en NTLM-verificatie op het apparaat mogelijk.

Notitie

Aanvullende configuratie is vereist wanneer verificatie zonder wachtwoord voor aan Microsoft Entra gekoppelde apparaten wordt gebruikt.

Zie Voor FIDO2-beveiligingssleutel gebaseerde verificatie zonder wachtwoord en Windows Hello voor Bedrijven Hybrid Cloud Trust aanmelding zonder wachtwoord inschakelen voor on-premises resources met Microsoft Entra ID.

Zie Windows Hello voor Bedrijven configureren en inrichten voor Windows Hello voor Bedrijven Cloud Kerberos Trust voor Windows Hello voor Bedrijven Cloud Kerberos Trust.

Zie Microsoft Entra-gekoppelde apparaten configureren voor on-premises eenmalige aanmelding met behulp van Windows Hello voor Bedrijven voor Windows Hello voor Bedrijven Hybrid Key Trust.

Zie Certificaten voor on-premises eenmalige aanmelding gebruiken voor Windows Hello voor Bedrijven Hybrid Certificate Trust.

Tijdens een toegangspoging naar een on-premises resource die Kerberos of NTLM aanvraagt, is het apparaat:

1. Hiermee worden de on-premises domeingegevens en gebruikersreferenties naar de opgeslagen domeincontroller verzonden om de gebruiker te verifiëren.
2. Ontvangt een Kerberos Ticket-Granting Ticket (TGT) of NTLM-token op basis van het protocol dat door de on-premises resource of toepassing wordt ondersteund. Als de poging om het Kerberos TGT- of NTLM-token voor het domein op te halen mislukt, worden referentiebeheervermeldingen geprobeerd of ontvangt de gebruiker mogelijk een pop-upvenster voor verificatie waarbij referenties voor de doelresource worden aangevraagd. Deze fout kan betrekking hebben op een vertraging die wordt veroorzaakt door een time-out van de DCLocator.

Alle apps die zijn geconfigureerd voor geïntegreerde Windows-verificatie krijgen naadloos eenmalige aanmelding wanneer een gebruiker deze probeert te openen.

Wat u krijgt

Met eenmalige aanmelding kunt u het volgende doen op een apparaat dat is gekoppeld aan Microsoft Entra:

• Toegang tot een UNC-pad op een AD-lidserver
• Toegang krijgen tot een AD DS-lidwebserver die is geconfigureerd voor geïntegreerde Windows-beveiliging

Als u uw on-premises AD wilt beheren vanaf een Windows-apparaat, installeert u de Remote Server Beheer istration Tools.

U kunt gebruikmaken van:

• De module Active Directory (ADUC) om alle AD-objecten te beheren. U moet echter het domein opgeven waarmee u handmatig verbinding wilt maken.
• De DHCP-module voor het beheren van een AD-gekoppelde DHCP-server. Mogelijk moet u echter de naam of het adres van de DHCP-server opgeven.

Wat u moet weten

• Mogelijk moet u uw domeinfiltering aanpassen in Microsoft Entra Verbinding maken om ervoor te zorgen dat de gegevens over de vereiste domeinen worden gesynchroniseerd als u meerdere domeinen hebt.
• Apps en resources die afhankelijk zijn van Active Directory-computerverificatie werken niet omdat aan Microsoft Entra gekoppelde apparaten geen computerobject in AD DS hebben.
• U kunt geen bestanden delen met andere gebruikers op een apparaat dat is gekoppeld aan Microsoft Entra.
• Toepassingen die worden uitgevoerd op uw aan Microsoft Entra gekoppelde apparaat kunnen gebruikers verifiëren. Ze moeten de impliciete UPN of de syntaxis van het NT4-type gebruiken met de FQDN-naam van het domein als domeinonderdeel, bijvoorbeeld: user@contoso.corp.com of contoso.corp.com\gebruiker.
  • Als toepassingen de NETBIOS- of verouderde naam gebruiken, zoals contoso\user, zijn de fouten die de toepassing krijgt, NT-fout STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 of Windows-fout ERROR_BAD_VALIDATION_CLASS - 1348 'De aangevraagde validatiegegevensklasse is ongeldig'. Deze fout treedt ook op als u de verouderde domeinnaam kunt oplossen.

Volgende stappen

Zie Wat is apparaatbeheer in Microsoft Entra ID voor meer informatie?