Så fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter

Det är förmodligen ingen överraskning att en Azure Active Directory-ansluten enhet (Azure AD) ger dig en upplevelse med enkel inloggning (SSO) till din klients molnappar. Om din miljö har lokala Active Directory Domain Services (AD DS) kan du även få SSO-upplevelse på Azure AD-anslutna enheter till resurser och program som förlitar sig på lokal AD.

Den här artikeln förklarar hur detta fungerar.

Förutsättningar

  • En Azure AD-ansluten enhet.
  • Lokal enkel inloggning kräver line-of-sight-kommunikation med dina lokala AD DS-domänkontrollanter. Om Azure AD-anslutna enheter inte är anslutna till organisationens nätverk krävs en VPN-anslutning eller annan nätverksinfrastruktur.
  • Azure AD Connect: Synkronisera standardanvändarattribut som SAM-kontonamn, domännamn och UPN. Mer information finns i artikeln Attribut som synkroniseras av Azure AD Connect.

Så här fungerar det

Med en Azure AD-ansluten enhet har användarna redan en SSO-upplevelse för molnapparna i din miljö. Om din miljö har en Azure AD och en lokal AD kanske du vill utöka omfattningen av din SSO-upplevelse till dina lokala verksamhetsspecifika appar, filresurser och skrivare.

Azure AD-anslutna enheter har ingen kunskap om din lokala AD-miljö eftersom de inte är anslutna till den. Du kan dock ange ytterligare information om din lokala AD till dessa enheter med Azure AD Connect.

Om du har en hybridmiljö med både Azure AD och lokal AD är det troligt att du redan har Azure AD Connect- eller Azure AD Connect-molnsynkronisering distribuerad för att synkronisera din lokala identitetsinformation till molnet. Som en del av synkroniseringsprocessen synkroniseras lokal användar- och domäninformation till Azure AD. När en användare loggar in på en Azure AD-ansluten enhet i en hybridmiljö:

  1. Azure AD skickar tillbaka information om användarens lokala domän till enheten, tillsammans med den primära uppdateringstoken
  2. LSA-tjänsten (Local Security Authority) möjliggör Kerberos- och NTLM-autentisering på enheten.

Anteckning

Ytterligare konfiguration krävs när lösenordsfri autentisering till Azure AD-anslutna enheter används.

Information om FIDO2-säkerhetsnyckelbaserad lösenordsfri autentisering och Windows Hello för företag Hybrid Cloud Trust finns i Aktivera lösenordsfri inloggning av säkerhetsnycklar till lokala resurser med Azure Active Directory.

För Windows Hello för företag hybridnyckelförtroende, se Konfigurera Azure AD-anslutna enheter för lokala Single-Sign På med Windows Hello för företag.

För Windows Hello för företag Hybrid Certificate Trust, se Using Certificates for AADJ On-premises Single-sign On (Använda certifikat för lokal AADJ-enkel inloggning).

Under ett åtkomstförsök till en resurs som begär Kerberos eller NTLM i användarens lokala miljö:

  1. Skickar den lokala domäninformationen och autentiseringsuppgifterna till den lokaliserade domänkontrollanten för att få användaren autentiserad.
  2. Tar emot en Kerberos Biljettbeviljande biljett (TGT) eller NTLM-token baserat på det protokoll som den lokala resursen eller programmet stöder. Om försöket att hämta Kerberos TGT- eller NTLM-token för domänen misslyckas (relaterad timeout för DCLocator kan orsaka en fördröjning), försök görs credential Manager-poster eller så kan användaren få ett popup-fönster för autentisering som begär autentiseringsuppgifter för målresursen.

Alla appar som har konfigurerats för Windows-integrerad autentisering får sömlösT enkel inloggning när en användare försöker komma åt dem.

Det här får du

Med enkel inloggning kan du på en Azure AD-ansluten enhet:

  • Få åtkomst till en UNC-sökväg på en AD-medlemsserver
  • Få åtkomst till en AD-medlemswebbserver som konfigurerats för Windows-integrerad säkerhet

Om du vill hantera din lokala AD från en Windows-enhet installerar du verktygen för fjärrserveradministration.

Du kan använda:

  • Snapin-modulen Active Directory Users and Computers (ADUC) för att administrera alla AD-objekt. Du måste dock ange den domän som du vill ansluta till manuellt.
  • DHCP-snapin-modulen för att administrera en AD-ansluten DHCP-server. Du kan dock behöva ange DHCP-serverns namn eller adress.

Det här bör du veta

  • Du kan behöva justera din domänbaserade filtrering i Azure AD Connect för att säkerställa att data om de nödvändiga domänerna synkroniseras om du har flera domäner.
  • Appar och resurser som är beroende av Active Directory-datorautentisering fungerar inte eftersom Azure AD-anslutna enheter inte har något datorobjekt i AD.
  • Du kan inte dela filer med andra användare på en Azure AD-ansluten enhet.
  • Program som körs på din Azure AD-anslutna enhet kan autentisera användare. De måste använda implicit UPN eller NT4-typsyntaxen med domänens FQDN-namn som domändel, till exempel: user@contoso.corp.com eller contoso.corp.com\user.
    • Om program använder NETBIOS eller ett äldre namn som contoso\user blir felen som programmet får antingen NT-fel STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 eller Windows-fel ERROR_BAD_VALIDATION_CLASS – 1348 "Den begärda valideringsinformationsklassen var ogiltig". Detta händer även om du kan matcha det äldre domännamnet.

Nästa steg

Mer information finns i Vad är enhetshantering i Azure Active Directory?