Så fungerar enkel inloggning till lokala resurser på Microsoft Entra-anslutna enheter

  • Artikel

Microsoft Entra-anslutna enheter ger användarna en SSO-upplevelse (enkel inloggning) till klientorganisationens molnappar. Om din miljö har lokal Active Directory Domain Services (AD DS) kan användarna även använda enkel inloggning för resurser och program som är beroende av lokal Active Directory Domain Services.

I den här artikeln beskrivs hur detta fungerar.

Förutsättningar

  • En Microsoft Entra-ansluten enhet.
  • Lokal enkel inloggning kräver line-of-sight-kommunikation med dina lokala AD DS-domänkontrollanter. Om Microsoft Entra-anslutna enheter inte är anslutna till organisationens nätverk krävs en VPN- eller annan nätverksinfrastruktur.
  • Microsoft Entra Anslut eller Microsoft Entra Anslut molnsynkronisering: Synkronisera standardanvändarattribut som SAM-kontonamn, domännamn och UPN. Mer information finns i artikeln Attribut som synkroniseras av Microsoft Entra Anslut.

Hur det fungerar

Med en Microsoft Entra-ansluten enhet har användarna redan en SSO-upplevelse för molnapparna i din miljö. Om din miljö har Microsoft Entra-ID och lokal AD DS kanske du vill utöka omfattningen för din SSO-upplevelse till dina lokala verksamhetsspecifika appar, filresurser och skrivare.

Microsoft Entra-anslutna enheter har ingen kunskap om din lokala AD DS-miljö eftersom de inte är anslutna till den. Du kan dock ge ytterligare information om din lokala AD till dessa enheter med Microsoft Entra Anslut.

Microsoft Entra Anslut eller Microsoft Entra Anslut molnsynkronisering synkroniserar din lokala identitetsinformation till molnet. Som en del av synkroniseringsprocessen synkroniseras lokal användar- och domäninformation till Microsoft Entra-ID. När en användare loggar in på en Microsoft Entra-ansluten enhet i en hybridmiljö:

  1. Microsoft Entra-ID skickar tillbaka information om användarens lokala domän till enheten, tillsammans med den primära uppdateringstoken
  2. Tjänsten lokal säkerhetsmyndighet (LSA) aktiverar Kerberos- och NTLM-autentisering på enheten.

Kommentar

Ytterligare konfiguration krävs när lösenordslös autentisering till Microsoft Entra-anslutna enheter används.

Information om FIDO2-säkerhetsnyckelbaserad lösenordsfri autentisering och Windows Hello för företag Hybrid Cloud Trust finns i Aktivera lösenordsfri inloggning av säkerhetsnyckeln till lokala resurser med Microsoft Entra-ID.

Information om Windows Hello för företag Cloud Kerberos Trust finns i Konfigurera och etablera Windows Hello för företag – Cloud Kerberos-förtroende.

Information om Windows Hello för företag Hybrid Key Trust finns i Konfigurera Microsoft Entra-anslutna enheter för lokal enkel inloggning med hjälp av Windows Hello för företag.

Information om Windows Hello för företag hybridcertifikatförtroende finns i Använda certifikat för lokal AADJ-enkel inloggning.

Under ett åtkomstförsök till en lokal resurs som begär Kerberos eller NTLM, enheten:

  1. Skickar den lokala domäninformationen och användarautentiseringsuppgifterna till den lokaliserade domänkontrollanten för att få användaren autentiserad.
  2. Tar emot en Kerberos-biljettbeviljande biljett (TGT) eller NTLM-token baserat på protokollet som den lokala resursen eller programmet stöder. Om försöket att hämta Kerberos TGT- eller NTLM-token för domänen misslyckas provas autentiseringshanterarens poster, eller så kan användaren få ett popup-fönster för autentisering som begär autentiseringsuppgifter för målresursen. Det här felet kan bero på en fördröjning som orsakas av en timeout för DCLocator.

Alla appar som är konfigurerade för Windows-integrerad autentisering får sömlös enkel inloggning när en användare försöker komma åt dem.

Vad du får

Med enkel inloggning kan du på en Microsoft Entra-ansluten enhet:

  • Få åtkomst till en UNC-sökväg på en AD-medlemsserver
  • Få åtkomst till en AD DS-medlemswebbserver som konfigurerats för Windows-integrerad säkerhet

Om du vill hantera din lokala AD från en Windows-enhet installerar du verktygen för fjärrserveradministration.

Du kan använda:

  • Snapin-modulen Active Directory - användare och datorer (ADUC) för att administrera alla AD-objekt. Du måste dock ange den domän som du vill ansluta till manuellt.
  • DHCP-snapin-modulen för att administrera en AD-ansluten DHCP-server. Du kan dock behöva ange DHCP-serverns namn eller adress.

Det här bör du känna till

  • Du kan behöva justera din domänbaserade filtrering i Microsoft Entra Anslut för att säkerställa att data om de nödvändiga domänerna synkroniseras om du har flera domäner.
  • Appar och resurser som är beroende av Active Directory-datorautentisering fungerar inte eftersom Microsoft Entra-anslutna enheter inte har något datorobjekt i AD DS.
  • Du kan inte dela filer med andra användare på en Microsoft Entra-ansluten enhet.
  • Program som körs på din Microsoft Entra-anslutna enhet kan autentisera användare. De måste använda implicit UPN eller NT4-typsyntaxen med domänens FQDN-namn som domändel, till exempel: user@contoso.corp.com eller contoso.corp.com\användare.
    • Om program använder NETBIOS eller äldre namn som contoso\user, skulle de fel som programmet får vara antingen, NT-fel STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 eller Windows-fel ERROR_BAD_VALIDATION_CLASS – 1348 "Den begärda valideringsinformationsklassen var ogiltig". Det här felet inträffar även om du kan lösa det äldre domännamnet.

Nästa steg

Mer information finns i Vad är enhetshantering i Microsoft Entra-ID?