Punkty końcowe natywne dla chmury i zasoby lokalne

  • Artykuł

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

  • Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
  • Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasady grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
  • Punkty końcowe natywne dla chmury: punkty końcowe, które są przyłączone do Azure AD. Nie są one przyłączone do lokalnej usługi AD.
  • Obciążenie: dowolny program, usługa lub proces.

Punkty końcowe natywne dla chmury mogą uzyskiwać dostęp do zasobów lokalnych. Ten artykuł zawiera bardziej szczegółowe informacje i odpowiedzi na niektóre typowe pytania.

Ta funkcja ma zastosowanie do:

  • Punkty końcowe natywne dla chmury systemu Windows

Aby zapoznać się z omówieniem punktów końcowych natywnych dla chmury i ich korzyści, przejdź do tematu Co to są punkty końcowe natywne dla chmury.

Wymagania wstępne

Aby natywne dla chmury punkty końcowe systemu Windows uzyskiwały dostęp do lokalnych zasobów i usług korzystających z lokalna usługa Active Directory (AD) na potrzeby uwierzytelniania, wymagane są następujące wymagania wstępne:

Podobnie jak w przypadku lokalnych urządzeń z systemem Windows

W przypadku użytkowników końcowych punkt końcowy natywny dla chmury systemu Windows zachowuje się jak każde inne lokalne urządzenie z systemem Windows.

Poniższa lista jest typowym zestawem zasobów lokalnych, do których użytkownicy mogą uzyskiwać dostęp z urządzeń przyłączonych do Microsoft Entra:

  • Serwer plików: za pomocą protokołu SMB (bloku komunikatów serwera) można mapować dysk sieciowy na serwer będący członkiem domeny, który hostuje udział sieciowy lub serwer NAS (magazyn dołączony do sieci).

    Użytkownicy mogą mapować dyski na dokumenty udostępnione i osobiste.

  • Zasób drukarki na serwerze będącym członkiem domeny: użytkownicy mogą drukować na lokalnej lub najbliższej drukarce.

  • Serwer internetowy na serwerze należącym do domeny, który korzysta ze zintegrowanych zabezpieczeń systemu Windows: użytkownicy mogą uzyskiwać dostęp do dowolnej aplikacji win32 lub aplikacji internetowej.

  • Chcesz zarządzać lokalną domeną usługi AD z punktu końcowego przyłączonego do Microsoft Entra: Zainstaluj narzędzia administracji zdalnej serwera:

    • Użyj przystawki Użytkownicy i komputery usługi Active Directory (ADUC), aby administrować wszystkimi obiektami usługi AD. Musisz ręcznie wprowadzić domenę, z którą chcesz nawiązać połączenie.
    • Użyj przystawki DHCP, aby administrować serwerem DHCP przyłączonym do usługi AD. Może być konieczne wprowadzenie nazwy lub adresu serwera DHCP.

Porada

Aby zrozumieć, w jaki sposób urządzenia przyłączone Microsoft Entra korzystają z poświadczeń buforowanych w podejściu natywnym dla chmury, watch OPS108: Wewnętrzne uwierzytelnianie systemu Windows w świecie hybrydowym (syfuhs.net) (otwiera zewnętrzną witrynę internetową).

Uwierzytelnianie i dostęp do zasobów lokalnych

W poniższych krokach opisano sposób, w jaki przyłączony do Microsoft Entra punkt końcowy uwierzytelnia zasób lokalny i uzyskuje do nich dostęp (na podstawie uprawnień).

Poniżej przedstawiono omówienie. Aby uzyskać bardziej szczegółowe informacje, w tym szczegółowe grafiki torowe opisujące pełny proces, przejdź do tematu Podstawowy token odświeżania (PRT) i Microsoft Entra.

  1. Gdy użytkownicy się logują, ich poświadczenia są wysyłane do dostawcy uwierzytelniania w chmurze (CloudAP) i menedżera kont sieci Web (WAM).

  2. Wtyczka CloudAP wysyła poświadczenia użytkownika i urządzenia do Microsoft Entra. Lub uwierzytelnia się przy użyciu Windows Hello dla firm.

  3. Podczas logowania do systemu Windows wtyczka Microsoft Entra CloudAP żąda podstawowego tokenu odświeżania (PRT) od Microsoft Entra przy użyciu poświadczeń użytkownika. Buforuje również żądanie ściągnięcia, które umożliwia logowanie w pamięci podręcznej, gdy użytkownicy nie mają połączenia z Internetem. Gdy użytkownicy próbują uzyskać dostęp do aplikacji, wtyczka Microsoft Entra WAM używa prt do włączenia logowania jednokrotnego.

  4. Microsoft Entra uwierzytelnia użytkownika i urządzenie oraz zwraca żądanie ściągnięcia & token identyfikatora. Token identyfikatora zawiera następujące atrybuty dotyczące użytkownika:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Te atrybuty są synchronizowane z lokalnej usługi AD przy użyciu programu Microsoft Entra Connect.

    Dostawca uwierzytelniania Kerberos odbiera poświadczenia i atrybuty. Na urządzeniu usługa Windows Local Security Authority (LSA) umożliwia uwierzytelnianie Kerberos i NTLM.

  5. Podczas próby uzyskania dostępu do zasobu lokalnego żądającego uwierzytelniania Protokołu Kerberos lub NTLM urządzenie używa atrybutów związanych z nazwą domeny do znalezienia kontrolera domeny (DC) przy użyciu lokalizatora kontrolera domeny.

    • Jeśli kontroler domeny zostanie znaleziony, wysyła poświadczenia i sAMAccountName do kontrolera domeny w celu uwierzytelnienia.
    • Jeśli używasz Windows Hello dla firm, robi PKINIT z certyfikatem Windows Hello dla firm.
    • Jeśli kontroler domeny nie zostanie znaleziony, uwierzytelnianie lokalne nie nastąpi.

    Uwaga

    PKINIT to mechanizm wstępnego uwierzytelniania dla protokołu Kerberos 5, który używa certyfikatów X.509 do uwierzytelniania centrum dystrybucji kluczy (KDC) na klientach i na odwrót.

    MS-PKCA: Kryptografia klucza publicznego na potrzeby uwierzytelniania początkowego (PKINIT) w protokole Kerberos

  6. Kontroler domeny uwierzytelnia użytkownika. Kontroler domeny zwraca bilet protokołu Kerberos Ticket-Granting (TGT) lub token NTLM oparty na protokole obsługiwanym przez lokalny zasób lub aplikację. System Windows buforuje zwrócony token TGT lub NTLM do użycia w przyszłości.

    Jeśli próba uzyskania tokenu TGT protokołu Kerberos lub NTLM dla domeny zakończy się niepowodzeniem (powiązany limit czasu dclocatora może spowodować opóźnienie), ponów próbę menedżera poświadczeń systemu Windows. Użytkownik może również otrzymać wyskakujące okienko uwierzytelniania z żądaniem poświadczeń dla zasobu lokalnego.

  7. Wszystkie aplikacje korzystające ze zintegrowanego uwierzytelniania systemu Windows (WIA) automatycznie używają logowania jednokrotnego, gdy użytkownik próbuje uzyskać dostęp do aplikacji. Usługa WIA obejmuje standardowe uwierzytelnianie użytkowników w lokalnej domenie usługi AD przy użyciu protokołu NTLM lub Kerberos podczas uzyskiwania dostępu do lokalnych usług lub zasobów.

    Aby uzyskać więcej informacji, zobacz How SSO to on-premises resources works on Microsoft Entra joined devices (Jak działa logowania jednokrotnego do zasobów lokalnych na urządzeniach przyłączonych Microsoft Entra).

    Ważne jest, aby podkreślić wartość zintegrowanego uwierzytelniania systemu Windows. Natywne punkty końcowe chmury po prostu "działają" z dowolną aplikacją skonfigurowaną pod kątem WIA.

    Gdy użytkownicy uzyskują dostęp do zasobu korzystającego z usługi WIA (serwera plików, drukarki, serwera internetowego itp.), bilet TGT jest wymieniany z biletem usługi Kerberos, który jest zwykłym przepływem pracy protokołu Kerberos.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

  1. Omówienie: Co to są punkty końcowe natywne dla chmury?
  2. Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
  3. Koncepcja: przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe
  4. 🡺 Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne (jesteś tutaj)
  5. Przewodnik planowania wysokiego poziomu
  6. Znane problemy i ważne informacje

Przydatne zasoby online