Pontos de extremidade nativos em nuvem e recursos locais

Dica

Ao ler sobre pontos finais nativos da cloud, verá os seguintes termos:

• Ponto de extremidade: um ponto de extremidade é um dispositivo, como um celular, tablet, laptop ou computador desktop. "Pontos de extremidade" e "dispositivos" são usados de forma intercambiável.
• Pontos de extremidade gerenciados: pontos de extremidade que recebem políticas da organização usando uma solução MDM ou Objetos de Política de grupo. Esses dispositivos normalmente são de propriedade da organização, mas também podem ser BYOD ou dispositivos de propriedade pessoal.
• Pontos finais nativos da cloud: pontos finais que estão associados ao Microsoft Entra. Eles não estão ingressados no AD local.
• Carga de trabalho: qualquer programa, serviço ou processo.

Os pontos de extremidade nativos em nuvem podem acessar recursos locais. Este artigo entra em mais detalhes e responde a algumas perguntas comuns.

Esse recurso aplica-se a:

• Pontos de extremidade nativos em nuvem do Windows

Para uma visão geral dos pontos de extremidade nativos em nuvem, e seus benefícios, vá para O que são pontos de extremidade nativos em nuvem.

Pré-requisitos

Para que os pontos de extremidade nativos em nuvem do Windows tenham acesso aos recursos e serviços locais que usam o Active Directory (AD) local para autenticação, são necessários os seguintes requisitos:

• Os aplicativos do cliente devem usar a autenticação integrada do Windows (WIA). Para obter mais informações específicas, acesse Autenticação Integrada do Windows (WIA).

• Configurar o Microsoft Entra Connect. O Microsoft Entra Connect sincroniza as contas de utilizador do AD no local com o Microsoft Entra. Para obter informações mais específicas, aceda a Sincronização do Microsoft Entra Connect: Compreender e personalizar a sincronização.

  No Microsoft Entra Connect, poderá ter de ajustar a filtragem baseada no domínio para confirmar que os dados de domínios necessários são sincronizados com o Microsoft Entra.

• O dispositivo tem conectividade de frequência (diretamente ou através de VPN) para um controlador de domínio do domínio do AD e para o serviço ou recurso sendo acessado.

Semelhante aos dispositivos Windows no loca

Para usuários finais, um ponto de extremidade nativo em nuvem do Windows se comporta como qualquer outro dispositivo Windows local.

A lista seguinte é um conjunto comum de recursos no local aos quais os utilizadores podem aceder a partir dos respetivos dispositivos associados ao Microsoft Entra:

• Um servidor de arquivos: usando SMB (Bloco de Mensagens do Servidor), você pode mapear uma unidade de rede para um servidor membro do domínio que hospeda um compartilhamento de rede ou NAS (Armazenamento Anexado à Rede).

  Os usuários podem mapear unidades para documentos compartilhados e pessoais.

• Um recurso de impressora em um servidor membro do domínio: os usuários podem imprimir para sua impressora local ou mais próxima.

• Um servidor Web em um servidor membro do domínio que usa Segurança Integrada Windows: os usuários podem acessar qualquer aplicativo baseado no Win32 ou na Web.

• Quer gerir o seu domínio do AD no local a partir de um ponto final associado ao Microsoft Entra: Instale as Ferramentas de Administração Remota do Servidor:

  • Use o snap-in de Usuários e Computadores do Active Directory (ADUC) para administrar todos os objetos do AD. Você deve inserir manualmente no domínio que você deseja conectar.
  • Use o snap-in de DHCP para administrar um servidor DHCP ingressado no AD. Talvez seja necessário inserir o nome ou endereço do servidor DHCP.

Dica

Para compreender como os dispositivos associados ao Microsoft Entra utilizam credenciais em cache numa abordagem nativa da cloud, veja OPS108: Autenticação do Windows interna num mundo híbrido (syfuhs.net) (abre um site externo).

Autenticação e acesso para recursos locais

Os passos seguintes descrevem como um ponto final associado ao Microsoft Entra autentica e acede (com base em permissões) a um recurso no local.

As seguintes etapas são uma visão geral. Para obter informações mais específicas, incluindo gráficos de pista de diagrama detalhados que descrevem o processo completo, aceda a Token de Atualização Primária (PRT) e Microsoft Entra.

1. Quando os usuários entram, suas credenciais são enviadas para o Provedor de Autenticação em Nuvem (CloudAP) e para o Gerenciador de Contas da Web (WAM).

2. O plug-in CloudAP envia as credenciais do utilizador e do dispositivo para o Microsoft Entra. Ou, ele autentica usando o Windows Hello para Empresas.

3. Durante o início de sessão do Windows, o plug-in Microsoft Entra CloudAP solicita um Token de Atualização Primária (PRT) do Microsoft Entra com as credenciais de utilizador. Ele também armazena em cache o PRT, que permite a entrada em cache quando os usuários não têm uma conexão com a Internet. Quando os utilizadores tentam aceder a aplicações, o plug-in do Microsoft Entra WAM utiliza o PRT para ativar o SSO.

4. O Microsoft Entra autentica o utilizador e o dispositivo e devolve um PRT & um token de ID. O token de ID inclui os seguintes atributos sobre o usuário:

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Estes atributos são sincronizados a partir do AD no local com o Microsoft Entra Connect.

   O Provedor do Kerberos recebe as credenciais e os atributos. No dispositivo, o serviço de Autoridade de Segurança Local (LSA) do Windows habilita a autenticação Kerberos e NTLM.

5. Durante uma tentativa de acesso para um recurso local que solicita Kerberos ou a NTLM, o dispositivo usa os atributos relacionados ao nome de domínio para localizar um Controlador de Domínio (DC) usando o Localizador de DC.

   • Se um DC for encontrado, ele envia as credenciais e o sAMAccountName para o DC para autenticação.
   • Se estiver usando o Windows Hello para Empresas, ele fará PKINIT com o certificado do Windows Hello para Empresas.
   • Se nenhum DC for encontrado, então não acontece nenhuma autenticação local.

   Observação

   PKINIT é um mecanismo de pré-autenticação do Kerberos 5 que usa certificados X.509 para autenticar o Centro de Distribuição de Chaves (KDC) para clientes e vice-versa.

   MS-PKCA: Criptografia de Chave Pública para Autenticação Inicial (PKINIT) no Protocolo Kerberos

6. O DC autentica o usuário. O DC retorna um Tíquete Concedendo Tíquete (TGT) do Kerberos ou um token NTLM com base no protocolo que o recurso ou aplicativo local dá suporte. O Windows armazena em cache o TGT devolvido ou o token NTLM para uso futuro.

   Se a tentativa de obter o TGT do Kerberos ou o token NTLM para o domínio falhar (o tempo limite do DCLocator relacionado pode causar um atraso), então o Gerenciador de Credenciais do Windows tenta novamente. Ou, o usuário pode receber um pop-up de autenticação solicitando credenciais para o recurso local.

7. Todos os aplicativos que usam a Autenticação Integrada do Windows (WIA) usam automaticamente logon único quando um usuário tenta acessar os aplicativos. O WIA inclui a autenticação de usuário padrão para um domínio do AD local usando NTLM ou Kerberos ao acessar serviços ou recursos no local.

   Para obter mais informações, aceda a Como funciona o SSO para recursos no local em dispositivos associados ao Microsoft Entra.

   É importante enfatizar o valor da Autenticação Integrada do Windows. Os pontos de extremidade nativos em nuvem simplesmente "funcionam" com qualquer aplicativo configurado para WIA.

   Quando os usuários acessam um recurso que usa WIA (servidor de arquivos, impressora, servidor Web, etc.), então o TGT é trocado por um tíquete de serviço Kerberos, que é o fluxo de trabalho normal do Kerberos.

Siga as diretrizes de pontos de extremidade nativos em nuvem

1. Visão geral: o que são pontos de extremidade nativos de nuvem?
2. Tutorial: Introdução aos pontos de extremidade nativos em nuvem do Windows
3. Conceito: Microsoft Entra associado vs. Híbrido Microsoft Entra associado
4. 🡺 Conceito: pontos de extremidade nativos em nuvem e recursos no local (Você está aqui)
5. Guia de planejamento de alto nível
6. Problemas conhecidos e informações importantes

Recursos online úteis

• Token de Atualização Principal (PRT) e Microsoft Entra
• Como funciona o SSO para recursos no local em dispositivos associados ao Microsoft Entra
• Como o Windows Hello para Empresas funciona – Autenticação – Segurança do Windows
• Autenticação Integrada do Windows
• Autenticação Do Microsoft Entra Kerberos
• Microsoft Entra Authentication overview (Descrição geral da Autenticação do Microsoft Entra)