De werking van SSO voor on-premises resources op apparaten die zijn toegevoegd aan Azure AD

  • Artikel
  • 3 minuten om te lezen

Azure Active Directory-gekoppelde apparaten (Azure AD) bieden gebruikers een ervaring met eenmalige aanmelding (SSO) voor de cloud-apps van uw tenant. Als uw omgeving on-premises Active Directory Domain Services (AD DS) heeft, kunnen gebruikers ook eenmalige aanmelding uitvoeren voor resources en toepassingen die afhankelijk zijn van on-premises Active Directory Domain Services.

In dit artikel wordt uitgelegd hoe dit werkt.

Vereisten

  • Een Azure AD gekoppeld apparaat.
  • On-premises SSO vereist line-of-sight-communicatie met uw on-premises AD DS-domeincontrollers. Als Azure AD gekoppelde apparaten niet zijn verbonden met het netwerk van uw organisatie, is een VPN of een andere netwerkinfrastructuur vereist.
  • Azure AD Connect of Azure AD Connect-cloudsynchronisatie: standaardgebruikerskenmerken synchroniseren, zoals SAM-accountnaam, domeinnaam en UPN. Zie het artikel Kenmerken gesynchroniseerd door Azure AD Connect voor meer informatie.

Uitleg

Met een Azure AD gekoppeld apparaat hebben uw gebruikers al een SSO-ervaring voor de cloud-apps in uw omgeving. Als uw omgeving Azure AD en on-premises AD DS heeft, kunt u het bereik van uw SSO-ervaring uitbreiden naar uw on-premises Lob-apps (Line Of Business), bestandsshares en printers.

Azure AD gekoppelde apparaten hebben geen kennis van uw on-premises AD DS-omgeving omdat ze er niet aan zijn gekoppeld. U kunt echter aanvullende informatie over uw on-premises AD aan deze apparaten verstrekken met Azure AD Connect.

Azure AD Connect of Azure AD Connect cloudsynchronisatie uw on-premises identiteitsgegevens synchroniseren met de cloud. Als onderdeel van het synchronisatieproces worden on-premises gebruikers- en domeingegevens gesynchroniseerd met Azure AD. Wanneer een gebruiker zich aanmeldt bij een Azure AD gekoppeld apparaat in een hybride omgeving:

  1. Azure AD verzendt de details van het on-premises domein van de gebruiker terug naar het apparaat, samen met het primaire vernieuwingstoken
  2. De LSA-service (Local Security Authority) maakt Kerberos- en NTLM-verificatie op het apparaat mogelijk.

Notitie

Aanvullende configuratie is vereist wanneer verificatie zonder wachtwoord voor Azure AD gekoppelde apparaten wordt gebruikt.

Zie Aanmelding zonder wachtwoordsleutel inschakelen voor on-premises resources met Azure Active Directory voor verificatie zonder wachtwoord en Windows Hello voor Bedrijven Hybrid Cloud Trust.

Zie Azure AD gekoppelde apparaten configureren voor on-premises Single-Sign aan voor Windows Hello voor Bedrijven hybride sleutelvertrouwen met behulp van Windows Hello voor Bedrijven.

Zie Certificaten gebruiken voor AADJ On-premises eenmalige aanmelding voor Windows Hello voor Bedrijven hybride certificaatvertrouwen.

Tijdens een toegangspoging tot een on-premises resource die Kerberos of NTLM aanvraagt, gaat het apparaat:

  1. Hiermee worden de on-premises domeingegevens en gebruikersreferenties naar de domeincontroller verzonden om de gebruiker te verifiëren.
  2. Ontvangt een TGT-token (Kerberos Ticket-Granting Ticket) of NTLM-token op basis van het protocol dat de on-premises resource of toepassing ondersteunt. Als de poging om het Kerberos TGT- of NTLM-token voor het domein op te halen mislukt, worden referentiebeheervermeldingen geprobeerd of ontvangt de gebruiker mogelijk een pop-up voor verificatie met een verzoek om referenties voor de doelresource. Deze fout kan te maken hebben met een vertraging die wordt veroorzaakt door een time-out van de DCLocator.

Alle apps die zijn geconfigureerd voor windows-geïntegreerde verificatie krijgen naadloos eenmalige aanmelding wanneer een gebruiker toegang tot deze apps probeert te krijgen.

Wat u krijgt

Met eenmalige aanmelding kunt u op een Azure AD gekoppeld apparaat het volgende doen:

  • Toegang tot een UNC-pad op een AD-lidserver
  • Toegang tot een webserver van AD DS-leden die is geconfigureerd voor met Windows geïntegreerde beveiliging

Als u uw on-premises AD wilt beheren vanaf een Windows-apparaat, installeert u de Beheerhulpprogramma's voor externe servers.

U kunt gebruikmaken van:

  • De module Active Directory: gebruikers en computers (ADUC) om alle AD-objecten te beheren. U moet echter het domein opgeven waarmee u handmatig verbinding wilt maken.
  • De DHCP-module voor het beheren van een AAN AD gekoppelde DHCP-server. Mogelijk moet u echter de naam of het adres van de DHCP-server opgeven.

Wat u moet weten

  • Mogelijk moet u het filteren op basis van domeinen in Azure AD Connect aanpassen om ervoor te zorgen dat de gegevens over de vereiste domeinen worden gesynchroniseerd als u meerdere domeinen hebt.
  • Apps en resources die afhankelijk zijn van Active Directory-computerverificatie werken niet omdat Azure AD gekoppelde apparaten geen computerobject in AD DS hebben.
  • U kunt geen bestanden delen met andere gebruikers op een Azure AD-gekoppeld apparaat.
  • Toepassingen die worden uitgevoerd op uw Azure AD gekoppelde apparaat, kunnen gebruikers verifiëren. Ze moeten de impliciete UPN of de syntaxis van het NT4-type gebruiken met de FQDN-naam van het domein als het domeinonderdeel, bijvoorbeeld: user@contoso.corp.com of contoso.corp.com\gebruiker.
    • Als toepassingen de NETBIOS-naam of verouderde naam gebruiken, zoals contoso\gebruiker, zijn de fouten die de toepassing krijgt, NT-fout STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 of Windows-fout ERROR_BAD_VALIDATION_CLASS - 1348 'De aangevraagde validatiegegevensklasse is ongeldig'. Deze fout treedt zelfs op als u de verouderde domeinnaam kunt omzetten.

Volgende stappen

Zie Wat is apparaatbeheer in Azure Active Directory? voor meer informatie.