Pontos de extremidade nativos em nuvem e recursos locais

  • Artigo

Dica

Ao ler sobre pontos de extremidade nativos de nuvem, você verá os seguintes termos:

  • Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
  • Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
  • Pontos de extremidade nativos de nuvem: pontos de extremidade que ingressaram no Azure AD. Eles não estão ingressados no AD local.
  • Carga de trabalho: qualquer programa, serviço ou processo.

Os pontos de extremidade nativos em nuvem podem acessar recursos locais. Este artigo entra em mais detalhes e responde a algumas perguntas comuns.

Esse recurso aplica-se a:

  • Pontos de extremidade nativos em nuvem do Windows

Para uma visão geral dos pontos de extremidade nativos em nuvem, e seus benefícios, vá para O que são pontos de extremidade nativos em nuvem.

Pré-requisitos

Para que os pontos de extremidade nativos em nuvem do Windows tenham acesso aos recursos e serviços locais que usam o Active Directory (AD) local para autenticação, são necessários os seguintes requisitos:

  • Os aplicativos do cliente devem usar a autenticação integrada do Windows (WIA). Para obter mais informações específicas, acesse Autenticação Integrada do Windows (WIA).

  • Configure Microsoft Entra Connect. Microsoft Entra Connect sincroniza contas de usuário do AD local para Microsoft Entra. Para obter informações mais específicas, acesse Microsoft Entra Sincronização do Connect: entender e personalizar a sincronização.

    No Microsoft Entra Connect, talvez seja necessário ajustar a filtragem baseada em domínio para confirmar se os dados de domínios necessários são sincronizados com Microsoft Entra.

  • O dispositivo tem conectividade de frequência (diretamente ou através de VPN) para um controlador de domínio do domínio do AD e para o serviço ou recurso sendo acessado.

Semelhante aos dispositivos Windows no loca

Para usuários finais, um ponto de extremidade nativo em nuvem do Windows se comporta como qualquer outro dispositivo Windows local.

A lista a seguir é um conjunto comum de recursos locais que os usuários podem acessar de seus Microsoft Entra dispositivos ingressados:

  • Um servidor de arquivos: usando SMB (Bloco de Mensagens do Servidor), você pode mapear uma unidade de rede para um servidor membro do domínio que hospeda um compartilhamento de rede ou NAS (Armazenamento Anexado à Rede).

    Os usuários podem mapear unidades para documentos compartilhados e pessoais.

  • Um recurso de impressora em um servidor membro do domínio: os usuários podem imprimir para sua impressora local ou mais próxima.

  • Um servidor Web em um servidor membro do domínio que usa Segurança Integrada Windows: os usuários podem acessar qualquer aplicativo baseado no Win32 ou na Web.

  • Deseja gerenciar seu domínio do AD local a partir de um ponto de extremidade Microsoft Entra ingressado: Instale as Ferramentas de Administração do Servidor Remoto:

    • Use o snap-in de Usuários e Computadores do Active Directory (ADUC) para administrar todos os objetos do AD. Você deve inserir manualmente no domínio que você deseja conectar.
    • Use o snap-in de DHCP para administrar um servidor DHCP ingressado no AD. Talvez seja necessário inserir o nome ou endereço do servidor DHCP.

Dica

Para entender como Microsoft Entra dispositivos ingressados usam credenciais armazenadas em cache em uma abordagem nativa da nuvem, watch OPS108: autenticação do Windows internos em um mundo híbrido (syfuhs.net) (abre um site externo).

Autenticação e acesso para recursos locais

As etapas a seguir descrevem como um ponto de extremidade ingressado Microsoft Entra autentica e acessa (com base em permissões) um recurso local.

As seguintes etapas são uma visão geral. Para obter informações mais específicas, incluindo gráficos detalhados do swimlane que descrevem o processo completo, acesse PRT (Token de Atualização Primária) e Microsoft Entra.

  1. Quando os usuários entram, suas credenciais são enviadas para o Provedor de Autenticação em Nuvem (CloudAP) e para o Gerenciador de Contas da Web (WAM).

  2. O plug-in do CloudAP envia as credenciais do usuário e do dispositivo para Microsoft Entra. Ou, ele autentica usando o Windows Hello para Empresas.

  3. Durante a entrada do Windows, o plug-in Microsoft Entra CloudAP solicita um PRT (Token de Atualização Primária) de Microsoft Entra usando as credenciais do usuário. Ele também armazena em cache o PRT, que permite a entrada em cache quando os usuários não têm uma conexão com a Internet. Quando os usuários tentam acessar aplicativos, o plug-in WAM Microsoft Entra usa o PRT para habilitar o SSO.

  4. Microsoft Entra autentica o usuário e o dispositivo e retorna um prt & um token de ID. O token de ID inclui os seguintes atributos sobre o usuário:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Esses atributos são sincronizados do AD local usando Microsoft Entra Connect.

    O Provedor do Kerberos recebe as credenciais e os atributos. No dispositivo, o serviço de Autoridade de Segurança Local (LSA) do Windows habilita a autenticação Kerberos e NTLM.

  5. Durante uma tentativa de acesso para um recurso local que solicita Kerberos ou a NTLM, o dispositivo usa os atributos relacionados ao nome de domínio para localizar um Controlador de Domínio (DC) usando o Localizador de DC.

    • Se um DC for encontrado, ele envia as credenciais e o sAMAccountName para o DC para autenticação.
    • Se estiver usando o Windows Hello para Empresas, ele fará PKINIT com o certificado do Windows Hello para Empresas.
    • Se nenhum DC for encontrado, então não acontece nenhuma autenticação local.

    Observação

    PKINIT é um mecanismo de pré-autenticação do Kerberos 5 que usa certificados X.509 para autenticar o Centro de Distribuição de Chaves (KDC) para clientes e vice-versa.

    MS-PKCA: Criptografia de Chave Pública para Autenticação Inicial (PKINIT) no Protocolo Kerberos

  6. O DC autentica o usuário. O DC retorna um Tíquete Concedendo Tíquete (TGT) do Kerberos ou um token NTLM com base no protocolo que o recurso ou aplicativo local dá suporte. O Windows armazena em cache o TGT devolvido ou o token NTLM para uso futuro.

    Se a tentativa de obter o TGT do Kerberos ou o token NTLM para o domínio falhar (o tempo limite do DCLocator relacionado pode causar um atraso), então o Gerenciador de Credenciais do Windows tenta novamente. Ou, o usuário pode receber um pop-up de autenticação solicitando credenciais para o recurso local.

  7. Todos os aplicativos que usam a Autenticação Integrada do Windows (WIA) usam automaticamente logon único quando um usuário tenta acessar os aplicativos. O WIA inclui a autenticação de usuário padrão para um domínio do AD local usando NTLM ou Kerberos ao acessar serviços ou recursos no local.

    Para obter mais informações, acesse Como o SSO para recursos locais funciona em Microsoft Entra dispositivos ingressados.

    É importante enfatizar o valor da Autenticação Integrada do Windows. Os pontos de extremidade nativos em nuvem simplesmente "funcionam" com qualquer aplicativo configurado para WIA.

    Quando os usuários acessam um recurso que usa WIA (servidor de arquivos, impressora, servidor Web, etc.), então o TGT é trocado por um tíquete de serviço Kerberos, que é o fluxo de trabalho normal do Kerberos.

Siga as diretrizes de pontos de extremidade nativos em nuvem

  1. Visão geral: o que são pontos de extremidade nativos de nuvem?
  2. Tutorial: Introdução aos pontos de extremidade nativos em nuvem do Windows
  3. Conceito: ingressado Microsoft Entra vs. Hybrid Microsoft Entra ingressado
  4. 🡺 Conceito: pontos de extremidade nativos em nuvem e recursos no local (Você está aqui)
  5. Guia de planejamento de alto nível
  6. Problemas conhecidos e informações importantes

Recursos online úteis