Como o SSO para recursos no local funciona em dispositivos associados ao Microsoft Entra

Os dispositivos associados ao Microsoft Entra oferecem aos usuários uma experiência de logon único (SSO) para os aplicativos de nuvem do seu locatário. Se o seu ambiente tiver Serviços de Domínio Ative Directory (AD DS) locais, os usuários também poderão SSO para recursos e aplicativos que dependem dos Serviços de Domínio Ative Directory locais.

Este artigo explica como isso funciona.

Pré-requisitos

  • Um dispositivo associado ao Microsoft Entra.
  • O SSO local requer comunicação de linha de visão com os controladores de domínio do AD DS locais. Se os dispositivos associados ao Microsoft Entra não estiverem conectados à rede da sua organização, será necessária uma VPN ou outra infraestrutura de rede.
  • Sincronização na nuvem do Microsoft Entra Connect ou Microsoft Entra Connect: para sincronizar atributos de usuário padrão, como Nome da Conta SAM, Nome de Domínio e UPN. Para obter mais informações, consulte o artigo Atributos sincronizados pelo Microsoft Entra Connect.

Como funciona

Com um dispositivo associado ao Microsoft Entra, seus usuários já têm uma experiência de SSO para os aplicativos de nuvem em seu ambiente. Se o seu ambiente tiver a ID do Microsoft Entra e o AD DS local, convém expandir o escopo da sua experiência de SSO para seus aplicativos de Linha de Negócios (LOB) locais, compartilhamentos de arquivos e impressoras.

Os dispositivos associados ao Microsoft Entra não têm conhecimento sobre seu ambiente AD DS local porque não estão associados a ele. No entanto, você pode fornecer informações adicionais sobre seu AD local para esses dispositivos com o Microsoft Entra Connect.

A sincronização na nuvem do Microsoft Entra Connect ou do Microsoft Entra Connect sincroniza suas informações de identidade local com a nuvem. Como parte do processo de sincronização, as informações de usuário e domínio locais são sincronizadas com o ID do Microsoft Entra. Quando um usuário entra em um dispositivo ingressado do Microsoft Entra em um ambiente híbrido:

  1. O Microsoft Entra ID envia os detalhes do domínio local do usuário de volta para o dispositivo, juntamente com o Token de Atualização Primário
  2. O serviço de autoridade de segurança local (LSA) permite a autenticação Kerberos e NTLM no dispositivo.

Nota

A configuração adicional é necessária quando a autenticação sem senha para dispositivos associados ao Microsoft Entra é usada.

Para autenticação sem senha baseada em chave de segurança FIDO2 e confiança na nuvem híbrida do Windows Hello for Business, consulte Habilitar entrada de chave de segurança sem senha em recursos locais com o Microsoft Entra ID.

Para o Windows Hello for Business Cloud Kerberos Trust, consulte Configurar e provisionar o Windows Hello for Business - confiança Kerberos na nuvem.

Para a Confiança de Chave Híbrida do Windows Hello for Business, consulte Configurar dispositivos associados do Microsoft Entra para logon único local usando o Windows Hello for Business.

Para a Confiança de Certificado Híbrido do Windows Hello for Business, consulte Usando certificados para logon único local AADJ.

Durante uma tentativa de acesso a um recurso local solicitando Kerberos ou NTLM, o dispositivo:

  1. Envia as informações de domínio local e as credenciais do usuário para o controlador de domínio localizado para que o usuário seja autenticado.
  2. Recebe um tíquete de concessão de tíquete Kerberos (TGT) ou token NTLM com base no protocolo suportado pelo recurso ou aplicativo local. Se a tentativa de obter o token Kerberos TGT ou NTLM para o domínio falhar, as entradas do Gerenciador de Credenciais serão tentadas ou o usuário poderá receber um pop-up de autenticação solicitando credenciais para o recurso de destino. Essa falha pode estar relacionada a um atraso causado por um tempo limite de DCLocator.

Todos os aplicativos configurados para autenticação integrada ao Windows obtêm SSO sem problemas quando um usuário tenta acessá-los.

O que obtém

Com o SSO, em um dispositivo associado ao Microsoft Entra você pode:

  • Acessar um caminho UNC em um servidor membro do AD
  • Aceder a um servidor Web membro do AD DS configurado para segurança integrada do Windows

Se pretender gerir o AD no local a partir de um dispositivo Windows, instale as Ferramentas de Administração de Servidor Remoto.

Pode utilizar:

  • O snap-in Usuários e Computadores do Ative Directory (ADUC) para administrar todos os objetos do AD. No entanto, você precisa especificar o domínio ao qual deseja se conectar manualmente.
  • O snap-in DHCP para administrar um servidor DHCP associado ao AD. No entanto, talvez seja necessário especificar o nome ou endereço do servidor DHCP.

O que deve saber

  • Talvez seja necessário ajustar a filtragem baseada em domínio no Microsoft Entra Connect para garantir que os dados sobre os domínios necessários sejam sincronizados se você tiver vários domínios.
  • Os aplicativos e recursos que dependem da autenticação de máquina do Ative Directory não funcionam porque os dispositivos associados ao Microsoft Entra não têm um objeto de computador no AD DS.
  • Não é possível compartilhar arquivos com outros usuários em um dispositivo associado ao Microsoft Entra.
  • As aplicações em execução no seu dispositivo associado ao Microsoft Entra podem autenticar utilizadores. Eles devem usar o UPN implícito ou a sintaxe de tipo NT4 com o nome FQDN do domínio como parte do domínio, por exemplo: user@contoso.corp.com ou contoso.corp.com\user.
    • Se os aplicativos usarem o NETBIOS ou o nome herdado como contoso\user, os erros que o aplicativo obterá serão STATUS_BAD_VALIDATION_CLASS de erro NT - 0xc00000a7 ou ERROR_BAD_VALIDATION_CLASS de erro do Windows - 1348 "A classe de informações de validação solicitada era inválida." Este erro acontece mesmo se você puder resolver o nome de domínio herdado.

Próximos passos

Para obter mais informações, consulte O que é o gerenciamento de dispositivos no Microsoft Entra ID?