Molnbaserade slutpunkter och lokala resurser

Tips

När du läser om molnbaserade slutpunkter visas följande termer:

• Slutpunkt: En slutpunkt är en enhet, till exempel en mobiltelefon, surfplatta, bärbar dator eller stationär dator. "Slutpunkter" och "enheter" används utan åtskillnad.
• Hanterade slutpunkter: Slutpunkter som tar emot principer från organisationen med hjälp av en MDM-lösning eller grupprincip objekt. Dessa enheter är vanligtvis organisationsägda, men kan också vara BYOD- eller personligt ägda enheter.
• Molnbaserade slutpunkter: Slutpunkter som är anslutna till Azure AD. De är inte anslutna till lokal AD.
• Arbetsbelastning: Alla program, tjänster eller processer.

Molnbaserade slutpunkter kan komma åt lokala resurser. Den här artikeln går in mer i detalj och besvarar några vanliga frågor.

Den här funktionen gäller för:

• Windows molnbaserade slutpunkter

En översikt över molnbaserade slutpunkter och deras fördelar finns i Vad är molnbaserade slutpunkter.

Förutsättningar

För molnbaserade Windows-slutpunkter för åtkomst till lokala resurser och tjänster som använder lokal Active Directory (AD) för autentisering krävs följande krav:

• Klientappar måste använda Windows-integrerad autentisering (WIA). Mer specifik information finns i Windows-integrerad autentisering (WIA).

• Konfigurera Microsoft Entra Connect. Microsoft Entra Connect synkroniserar användarkonton från den lokala AD till Microsoft Entra. Mer specifik information finns i Microsoft Entra Connect-synkronisering: Förstå och anpassa synkronisering.

  I Microsoft Entra Connect kan du behöva justera din domänbaserade filtrering för att bekräfta att nödvändiga domändata synkroniseras till Microsoft Entra.

• Enheten har en anslutning (antingen direkt eller via VPN) till en domänkontrollant från AD-domänen och till den tjänst eller resurs som används.

Liknar lokala Windows-enheter

För slutanvändare fungerar en molnbaserad Windows-slutpunkt som alla andra lokala Windows-enheter.

Följande lista är en gemensam uppsättning lokala resurser som användarna kan komma åt från sina Microsoft Entra anslutna enheter:

• En filserver: Med SMB (Server Message Block) kan du mappa en nätverksenhet till en domänmedlemsserver som är värd för en nätverksresurs eller NAS (nätverksansluten lagring).

  Användare kan mappa enheter till delade och personliga dokument.

• En skrivarresurs på en domänmedlemsserver: Användare kan skriva ut till sin lokala eller närmaste skrivare.

• En webbserver på en domänmedlemsserver som använder windowsintegrerad säkerhet: Användare kan komma åt alla Win32- eller webbaserade program.

• Vill du hantera din lokala AD-domän från en Microsoft Entra ansluten slutpunkt: Installera verktyg för fjärrserveradministration:

  • Använd snapin-modulen Active Directory - användare och datorer (ADUC) för att administrera alla AD-objekt. Du måste ange den domän som du vill ansluta till manuellt.
  • Använd DHCP-snapin-modulen för att administrera en AD-ansluten DHCP-server. Du kan behöva ange DHCP-serverns namn eller adress.

Tips

För att förstå hur Microsoft Entra anslutna enheter använder cachelagrade autentiseringsuppgifter i en molnbaserad metod watch OPS108: Windows-autentisering internt i en hybridvärld (syfuhs.net) (öppnar en extern webbplats).

Autentisering och åtkomst till lokala resurser

Följande steg beskriver hur en Microsoft Entra ansluten slutpunkt autentiserar och använder (baserat på behörigheter) en lokal resurs.

Följande steg är en översikt. Mer specifik information, inklusive detaljerad simbanegrafik som beskriver hela processen, finns i Primär uppdateringstoken (PRT) och Microsoft Entra.

1. När användarna loggar in skickas deras autentiseringsuppgifter till Cloud Authentication Provider (CloudAP) och Web Account Manager (WAM).

2. CloudAP-plugin-programmet skickar användarens och enhetens autentiseringsuppgifter till Microsoft Entra. Eller så autentiseras den med hjälp av Windows Hello för företag.

3. Under Windows-inloggning begär Microsoft Entra CloudAP-plugin-programmet en primär uppdateringstoken (PRT) från Microsoft Entra med användarautentiseringsuppgifterna. Den cachelagrar också PRT, vilket möjliggör cachelagrad inloggning när användarna inte har någon Internetanslutning. När användare försöker komma åt program använder Microsoft Entra WAM-plugin-programmet PRT för att aktivera enkel inloggning.

4. Microsoft Entra autentiserar användaren och enheten och returnerar en PRT-& en ID-token. ID-token innehåller följande attribut om användaren:

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   Dessa attribut synkroniseras från lokal AD med hjälp av Microsoft Entra Connect.

   Kerberos-autentiseringsprovidern tar emot autentiseringsuppgifterna och attributen. På enheten aktiverar tjänsten Windows Local Security Authority (LSA) Kerberos- och NTLM-autentisering.

5. Under ett åtkomstförsök till en lokal resurs som begär Kerberos- eller NTLM-autentisering använder enheten de domännamnsrelaterade attributen för att hitta en domänkontrollant (DC) med dc-positionerare.

   • Om en domänkontrollant hittas skickar den autentiseringsuppgifterna och till domänkontrollanten sAMAccountName för autentisering.
   • Om du använder Windows Hello för företag utför den PKINIT med Windows Hello för företag-certifikatet.
   • Om ingen domänkontrollant hittas sker ingen lokal autentisering.

   Obs!

   PKINIT är en förautentiseringsmekanism för Kerberos 5 som använder X.509-certifikat för att autentisera Key Distribution Center (KDC) till klienter och vice versa.

   MS-PKCA: Kryptografi med offentlig nyckel för inledande autentisering (PKINIT) i Kerberos-protokollet

6. Domänkontrollanten autentiserar användaren. Domänkontrollanten returnerar en Kerberos Ticket-Granting Ticket (TGT) eller en NTLM-token baserat på det protokoll som den lokala resursen eller programmet stöder. Windows cachelagrar den returnerade TGT- eller NTLM-token för framtida användning.

   Om försöket att hämta Kerberos TGT- eller NTLM-token för domänen misslyckas (relaterad tidsgräns för DCLocator kan orsaka en fördröjning) försöker Windows Credential Manager igen. Eller så kan användaren få ett popup-fönster för autentisering som begär autentiseringsuppgifter för den lokala resursen.

7. Alla appar som använder Windows-integrerad autentisering (WIA) använder automatiskt enkel inloggning när en användare försöker komma åt apparna. WIA innehåller standardautentisering av användare till en lokal AD-domän med NTLM eller Kerberos vid åtkomst till lokala tjänster eller resurser.

   Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Microsoft Entra anslutna enheter.

   Det är viktigt att betona värdet för Windows-integrerad autentisering. Interna molnslutpunkter "fungerar" med alla program som konfigurerats för WIA.

   När användare får åtkomst till en resurs som använder WIA (filserver, skrivare, webbserver osv.) utbyts TGT med en Kerberos-tjänstbiljett, vilket är det vanliga Kerberos-arbetsflödet.

Följ vägledningen för molnbaserade slutpunkter

1. Översikt: Vad är molnbaserade slutpunkter?
2. Självstudie: Komma igång med molnbaserade Windows-slutpunkter
3. Koncept: Microsoft Entra ansluten jämfört med Hybrid Microsoft Entra ansluten
4. 🡺 Koncept: Molnbaserade slutpunkter och lokala resurser (du är här)
5. Planeringsguide på hög nivå
6. Kända problem och viktig information

Användbara onlineresurser

• Primär uppdateringstoken (PRT) och Microsoft Entra
• Så här fungerar enkel inloggning till lokala resurser på Microsoft Entra anslutna enheter
• Så här fungerar Windows Hello för företag – Autentisering – Windows-säkerhet
• Integrerad Windows-autentisering
• Microsoft Entra Kerberos-autentisering (förhandsversion)
• dokumentation om Microsoft Entra-autentisering