Punkty końcowe natywne dla chmury i zasoby lokalne

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

• Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
• Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasad grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
• Punkty końcowe natywne dla chmury: punkty końcowe przyłączone do usługi Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.
• Obciążenie: dowolny program, usługa lub proces.

Punkty końcowe natywne dla chmury mogą uzyskiwać dostęp do zasobów lokalnych. Ten artykuł zawiera bardziej szczegółowe informacje i odpowiedzi na niektóre typowe pytania.

Ta funkcja ma zastosowanie do:

• Punkty końcowe natywne dla chmury systemu Windows

Aby zapoznać się z omówieniem punktów końcowych natywnych dla chmury i ich korzyści, przejdź do tematu Co to są punkty końcowe natywne dla chmury.

Wymagania wstępne

Aby punkty końcowe systemu Windows natywne dla chmury uzyskiwały dostęp do lokalnych zasobów i usług korzystających z lokalnej usługi Active Directory (AD) na potrzeby uwierzytelniania, wymagane są następujące wymagania wstępne:

• Aplikacje klienckie muszą używać zintegrowanego uwierzytelniania systemu Windows (WIA). Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Zintegrowane uwierzytelnianie systemu Windows (WIA).

• Skonfiguruj program Microsoft Entra Connect. Program Microsoft Entra Connect synchronizuje konta użytkowników z lokalnej usługi AD z usługą Microsoft Entra. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Synchronizacja programu Microsoft Entra Connect: Omówienie i dostosowanie synchronizacji.

  W programie Microsoft Entra Connect może być konieczne dostosowanie filtrowania opartego na domenie w celu potwierdzenia, że wymagane dane domen są synchronizowane z usługą Microsoft Entra.

• Urządzenie ma łączność z siecią wzrokową (bezpośrednio lub za pośrednictwem sieci VPN) z kontrolerem domeny z domeny usługi AD oraz z usługą lub dostępnym zasobem.

Podobnie jak w przypadku lokalnych urządzeń z systemem Windows

W przypadku użytkowników końcowych punkt końcowy natywny dla chmury systemu Windows zachowuje się jak każde inne lokalne urządzenie z systemem Windows.

Poniższa lista jest typowym zestawem zasobów lokalnych, do których użytkownicy mogą uzyskiwać dostęp z urządzeń przyłączonych do usługi Microsoft Entra:

• Serwer plików: za pomocą protokołu SMB (bloku komunikatów serwera) można mapować dysk sieciowy na serwer będący członkiem domeny, który hostuje udział sieciowy lub serwer NAS (magazyn dołączony do sieci).

  Użytkownicy mogą mapować dyski na dokumenty udostępnione i osobiste.

• Zasób drukarki na serwerze będącym członkiem domeny: użytkownicy mogą drukować na lokalnej lub najbliższej drukarce.

• Serwer internetowy na serwerze należącym do domeny, który korzysta ze zintegrowanych zabezpieczeń systemu Windows: użytkownicy mogą uzyskiwać dostęp do dowolnej aplikacji win32 lub aplikacji internetowej.

• Chcesz zarządzać lokalną domeną usługi AD z punktu końcowego przyłączonego do usługi Microsoft Entra: Zainstaluj narzędzia administracji zdalnej serwera:

  • Użyj przystawki Użytkownicy i komputery usługi Active Directory (ADUC), aby administrować wszystkimi obiektami usługi AD. Musisz ręcznie wprowadzić domenę, z którą chcesz nawiązać połączenie.
  • Użyj przystawki DHCP, aby administrować serwerem DHCP przyłączonym do usługi AD. Może być konieczne wprowadzenie nazwy lub adresu serwera DHCP.

Porada

Aby zrozumieć, jak urządzenia przyłączone do usługi Microsoft Entra używają poświadczeń buforowanych w podejściu natywnym dla chmury, obejrzyj artykuł OPS108: Internals authentication Windows in a hybrid world (syfuhs.net) (open an external website) (OpS108: Windows authentication internals in a hybrid world (syfuhs.net) ( Otwiera zewnętrzną witrynę internetową).

Uwierzytelnianie i dostęp do zasobów lokalnych

W poniższych krokach opisano sposób, w jaki przyłączony do usługi Microsoft Entra punkt końcowy uwierzytelnia zasób lokalny i uzyskuje do nich dostęp (na podstawie uprawnień).

Poniżej przedstawiono omówienie. Aby uzyskać bardziej szczegółowe informacje, w tym szczegółowe grafiki torowe opisujące pełny proces, przejdź do pozycji Podstawowy token odświeżania (PRT) i Microsoft Entra.

1. Gdy użytkownicy się logują, ich poświadczenia są wysyłane do dostawcy uwierzytelniania w chmurze (CloudAP) i menedżera kont sieci Web (WAM).

2. Wtyczka CloudAP wysyła poświadczenia użytkownika i urządzenia do usługi Microsoft Entra. Można też uwierzytelnić się przy użyciu usługi Windows Hello dla firm.

3. Podczas logowania w systemie Windows wtyczka Microsoft Entra CloudAP żąda podstawowego tokenu odświeżania (PRT) od firmy Microsoft Entra przy użyciu poświadczeń użytkownika. Buforuje również żądanie ściągnięcia, które umożliwia logowanie w pamięci podręcznej, gdy użytkownicy nie mają połączenia z Internetem. Gdy użytkownicy próbują uzyskać dostęp do aplikacji, wtyczka Microsoft Entra WAM używa prt do włączenia logowania jednokrotnego.

4. Usługa Microsoft Entra uwierzytelnia użytkownika i urządzenie oraz zwraca żądanie ściągnięcia & token identyfikatora. Token identyfikatora zawiera następujące atrybuty dotyczące użytkownika:

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Te atrybuty są synchronizowane z lokalnej usługi AD przy użyciu programu Microsoft Entra Connect.

   Dostawca uwierzytelniania Kerberos odbiera poświadczenia i atrybuty. Na urządzeniu usługa Windows Local Security Authority (LSA) umożliwia uwierzytelnianie Kerberos i NTLM.

5. Podczas próby uzyskania dostępu do zasobu lokalnego żądającego uwierzytelniania Protokołu Kerberos lub NTLM urządzenie używa atrybutów związanych z nazwą domeny do znalezienia kontrolera domeny (DC) przy użyciu lokalizatora kontrolera domeny.

   • Jeśli kontroler domeny zostanie znaleziony, wysyła poświadczenia i sAMAccountName do kontrolera domeny w celu uwierzytelnienia.
   • W przypadku korzystania z usługi Windows Hello dla firm funkcja PKINIT jest używana z certyfikatem Windows Hello dla firm.
   • Jeśli kontroler domeny nie zostanie znaleziony, uwierzytelnianie lokalne nie nastąpi.

   Uwaga

   PKINIT to mechanizm wstępnego uwierzytelniania dla protokołu Kerberos 5, który używa certyfikatów X.509 do uwierzytelniania centrum dystrybucji kluczy (KDC) na klientach i na odwrót.

   MS-PKCA: Kryptografia klucza publicznego na potrzeby uwierzytelniania początkowego (PKINIT) w protokole Kerberos

6. Kontroler domeny uwierzytelnia użytkownika. Kontroler domeny zwraca bilet protokołu Kerberos Ticket-Granting (TGT) lub token NTLM oparty na protokole obsługiwanym przez lokalny zasób lub aplikację. System Windows buforuje zwrócony token TGT lub NTLM do użycia w przyszłości.

   Jeśli próba uzyskania tokenu TGT protokołu Kerberos lub NTLM dla domeny zakończy się niepowodzeniem (powiązany limit czasu dclocatora może spowodować opóźnienie), ponów próbę menedżera poświadczeń systemu Windows. Użytkownik może również otrzymać wyskakujące okienko uwierzytelniania z żądaniem poświadczeń dla zasobu lokalnego.

7. Wszystkie aplikacje korzystające ze zintegrowanego uwierzytelniania systemu Windows (WIA) automatycznie używają logowania jednokrotnego, gdy użytkownik próbuje uzyskać dostęp do aplikacji. Usługa WIA obejmuje standardowe uwierzytelnianie użytkowników w lokalnej domenie usługi AD przy użyciu protokołu NTLM lub Kerberos podczas uzyskiwania dostępu do lokalnych usług lub zasobów.

   Aby uzyskać więcej informacji, zobacz How SSO to on-premises resources works on Microsoft Entra joined devices (Jak działa logowania jednokrotnego do zasobów lokalnych na urządzeniach przyłączonych do usługi Microsoft Entra).

   Ważne jest, aby podkreślić wartość zintegrowanego uwierzytelniania systemu Windows. Natywne punkty końcowe chmury po prostu "działają" z dowolną aplikacją skonfigurowaną pod kątem WIA.

   Gdy użytkownicy uzyskują dostęp do zasobu korzystającego z usługi WIA (serwera plików, drukarki, serwera internetowego itp.), bilet TGT jest wymieniany z biletem usługi Kerberos, który jest zwykłym przepływem pracy protokołu Kerberos.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

1. Omówienie: Co to są punkty końcowe natywne dla chmury?
2. Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
3. Koncepcja: Dołączono do aplikacji Microsoft Entra, a dołączono do hybrydowej aplikacji Microsoft Entra
4. 🡺 Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne (jesteś tutaj)
5. Przewodnik planowania wysokiego poziomu
6. Znane problemy i ważne informacje

Przydatne zasoby online

• Podstawowy token odświeżania (PRT) i Microsoft Entra
• Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do usługi Microsoft Entra
• Jak działa funkcja Windows Hello dla firm — uwierzytelnianie — zabezpieczenia systemu Windows
• Zintegrowane uwierzytelnianie systemu Windows
• Uwierzytelnianie protokołu Kerberos w usłudze Microsoft Entra
• Omówienie uwierzytelniania w usłudze Microsoft Entra