Cloudeigen eindpunten en on-premises resources
Tip
Wanneer u leest over cloudeigen eindpunten, ziet u de volgende termen:
- Eindpunt: Een eindpunt is een apparaat, zoals een mobiele telefoon, tablet, laptop of desktopcomputer. 'Eindpunten' en 'apparaten' worden door elkaar gebruikt.
- Beheerde eindpunten: eindpunten die beleidsregels van de organisatie ontvangen met behulp van een MDM-oplossing of groepsbeleidsobjecten. Deze apparaten zijn doorgaans eigendom van de organisatie, maar kunnen ook BYOD- of persoonlijke apparaten zijn.
- Cloudeigen eindpunten: eindpunten die zijn gekoppeld aan Microsoft Entra. Ze zijn niet gekoppeld aan on-premises AD.
- Workload: elk programma, elke service of elk proces.
Cloudeigen eindpunten hebben toegang tot on-premises resources. In dit artikel wordt dieper ingegaan en worden enkele veelgestelde vragen beantwoord.
Deze functie is van toepassing op:
- Windows-cloudeigen eindpunten
Ga naar Wat zijn cloudeigen eindpunten voor een overzicht van cloudeigen eindpunten en hun voordelen.
Vereisten
Voor cloudeigen Windows-eindpunten voor toegang tot on-premises resources en services die gebruikmaken van on-premises Active Directory (AD) voor verificatie, zijn de volgende vereisten vereist:
Client-apps moeten gebruikmaken van geïntegreerde Windows-verificatie (WIA). Ga naar Windows Integrated Authentication (WIA) voor meer specifieke informatie.
Configureer Microsoft Entra Connect. Microsoft Entra Connect synchroniseert gebruikersaccounts van de on-premises AD met Microsoft Entra. Ga voor meer specifieke informatie naar Microsoft Entra Connect-synchronisatie: Synchronisatie begrijpen en aanpassen.
In Microsoft Entra Connect moet u mogelijk uw domeinfilter aanpassen om te bevestigen dat de vereiste domeinengegevens worden gesynchroniseerd met Microsoft Entra.
Het apparaat heeft line-of-sight-connectiviteit (rechtstreeks of via VPN) met een domeincontroller vanuit het AD-domein en met de service of resource die wordt geopend.
Vergelijkbaar met on-premises Windows-apparaten
Voor eindgebruikers gedraagt een cloudeigen Windows-eindpunt zich als elk ander on-premises Windows-apparaat.
De volgende lijst bevat een algemene set on-premises resources waartoe gebruikers toegang hebben vanaf hun aan Microsoft Entra gekoppelde apparaten:
Een bestandsserver: met behulp van SMB (Server Message Block) kunt u een netwerkstation toewijzen aan een domeinlidserver die als host fungeert voor een netwerkshare of NAS (Network Attached Storage).
Gebruikers kunnen stations toewijzen aan gedeelde en persoonlijke documenten.
Een printerresource op een domeinlidserver: gebruikers kunnen afdrukken op hun lokale of dichtstbijzijnde printer.
Een webserver op een domeinlidserver die gebruikmaakt van geïntegreerde Windows-beveiliging: gebruikers hebben toegang tot elke Win32- of webtoepassing.
Wilt u uw on-premises AD-domein beheren vanaf een eindpunt dat is gekoppeld aan Microsoft Entra: Installeer de beheerhulpprogramma's voor externe servers:
- Gebruik de ADUC-module (Active Directory: gebruikers en computers) om alle AD-objecten te beheren. U moet handmatig het domein invoeren waarmee u verbinding wilt maken.
- Gebruik de DHCP-module om een AD-gekoppelde DHCP-server te beheren. Mogelijk moet u de naam of het adres van de DHCP-server invoeren.
Tip
Bekijk OPS108: Windows authentication internals in a hybrid world (syfuhs.net) ( hiermee opent u een externe website) om te begrijpen hoe microsoft Entra-gekoppelde apparaten referenties in de cache gebruiken in een cloudeigen benadering.
Verificatie en toegang tot on-premises resources
In de volgende stappen wordt beschreven hoe een aan Microsoft Entra gekoppeld eindpunt een on-premises resource verifieert en opent (op basis van machtigingen).
De volgende stappen zijn een overzicht. Voor meer specifieke informatie, waaronder gedetailleerde zwembaanafbeeldingen die het volledige proces beschrijven, gaat u naar Primair vernieuwingstoken (PRT) en Microsoft Entra.
Wanneer gebruikers zich aanmelden, worden hun referenties verzonden naar de Cloud Authentication Provider (CloudAP) en de Web Account Manager (WAM).
De CloudAP-invoegtoepassing verzendt de referenties van de gebruiker en het apparaat naar Microsoft Entra. Of het wordt geverifieerd met Windows Hello voor Bedrijven.
Tijdens het aanmelden bij Windows vraagt de Microsoft Entra CloudAP-invoegtoepassing een PRT (Primary Refresh Token) aan bij Microsoft Entra met behulp van de gebruikersreferenties. Ook wordt de PRT in de cache opgeslagen, waardoor aanmelding in de cache mogelijk is wanneer gebruikers geen internetverbinding hebben. Wanneer gebruikers toegang proberen te krijgen tot toepassingen, gebruikt de Microsoft Entra WAM-invoegtoepassing de PRT om eenmalige aanmelding in te schakelen.
Microsoft Entra verifieert de gebruiker en het apparaat en retourneert een PRT-& een id-token. Het id-token bevat de volgende kenmerken over de gebruiker:
sAMAccountName
netBIOSDomainName
dnsDomainName
Deze kenmerken worden gesynchroniseerd vanuit on-premises AD met behulp van Microsoft Entra Connect.
De Kerberos-verificatieprovider ontvangt de referenties en de kenmerken. Op het apparaat maakt de LSA-service (Windows Local Security Authority) Kerberos- en NTLM-verificatie mogelijk.
Tijdens een toegangspoging tot een on-premises resource die Kerberos- of NTLM-verificatie aanvraagt, gebruikt het apparaat de domeinnaamgerelateerde kenmerken om een domeincontroller (DC) te vinden met behulp van DC-locator.
- Als er een DC wordt gevonden, worden de referenties en de
sAMAccountName
voor verificatie naar de domeincontroller verzonden. - Als u Windows Hello voor Bedrijven gebruikt, voert het PKINIT uit met het Windows Hello voor Bedrijven-certificaat.
- Als er geen DC wordt gevonden, vindt er geen on-premises verificatie plaats.
Opmerking
PKINIT is een mechanisme voor verificatie vooraf voor Kerberos 5 dat gebruikmaakt van X.509-certificaten om het Key Distribution Center (KDC) te verifiëren bij clients en vice versa.
MS-PKCA: Public Key Cryptography for Initial Authentication (PKINIT) in Kerberos Protocol
- Als er een DC wordt gevonden, worden de referenties en de
De domeincontroller verifieert de gebruiker. De domeincontroller retourneert een Kerberos Ticket-Granting Ticket (TGT) of een NTLM-token op basis van het protocol dat de on-premises resource of toepassing ondersteunt. Windows slaat het geretourneerde TGT- of NTLM-token op in de cache voor toekomstig gebruik.
Als de poging om het Kerberos TGT- of NTLM-token voor het domein op te halen mislukt (een gerelateerde TIME-out van DCLocator kan een vertraging veroorzaken), voert Windows Credential Manager een nieuwe poging uit. Of de gebruiker ontvangt mogelijk een pop-up voor verificatie met het verzoek om referenties voor de on-premises resource.
Alle apps die gebruikmaken van Windows Integrated Authentication (WIA) gebruiken automatisch eenmalige aanmelding wanneer een gebruiker toegang probeert te krijgen tot de apps. WIA bevat standaardgebruikersverificatie voor een on-premises AD-domein met behulp van NTLM of Kerberos bij het openen van on-premises services of resources.
Ga voor meer informatie naar How SSO to on-premises resources works on-premises resources on-premises devices on-premises devices (SSO to on-premises resources works on-premises resources on-premises) voor meer informatie.
Het is belangrijk om de waarde van geïntegreerde Windows-verificatie te benadrukken. Systeemeigen cloudeindpunten 'werken' gewoon met elke toepassing die is geconfigureerd voor WIA.
Wanneer gebruikers toegang krijgen tot een resource die gebruikmaakt van WIA (bestandsserver, printer, webserver, enzovoort), wordt de TGT uitgewisseld met een Kerberos-serviceticket, de gebruikelijke Kerberos-werkstroom.
Volg de richtlijnen voor cloudeigen eindpunten
- Overzicht: Wat zijn cloudeigen eindpunten?
- Zelfstudie: Aan de slag met cloudeigen Windows-eindpunten
- Concept: Aan Microsoft Entra gekoppeld versus hybride Microsoft Entra
- 🡺 Concept: Cloudeigen eindpunten en on-premises resources (U bent hier)
- Planningshandleiding op hoog niveau
- Bekende problemen en belangrijke informatie
Nuttige onlinebronnen
- Primair vernieuwingstoken (PRT) en Microsoft Entra
- Hoe eenmalige aanmelding voor on-premises-bronnen werkt op Microsoft Entra gekoppelde apparaten
- Hoe Windows Hello voor Bedrijven werkt - Verificatie - Windows-beveiliging
- Geïntegreerde Windows-verificatie
- Microsoft Entra Kerberos-verificatie
- Overzicht van Microsoft Entra Authentication