Şirket içi kaynaklarda çoklu oturum açmanın, Microsoft Entra katılımlı cihazlarda çalışması

  • Makale

Microsoft Entra'ya katılmış cihazlar, kullanıcılara kiracınızın bulut uygulamalarında çoklu oturum açma (SSO) deneyimi sunar. Ortamınızda şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) varsa, kullanıcılar şirket içi Active Directory Etki Alanı Hizmetleri'ne dayanan kaynaklara ve uygulamalara da SSO yapabilir.

Bu makalede bunun nasıl çalıştığı açıklanmaktadır.

Önkoşullar

  • Microsoft Entra'ya katılmış bir cihaz.
  • Şirket içi SSO, şirket içi AD DS etki alanı denetleyicilerinizle görüş hattı iletişimi gerektirir. Microsoft Entra'ya katılmış cihazlar kuruluşunuzun ağına bağlı değilse vpn veya başka bir ağ altyapısı gerekir.
  • Microsoft Entra Bağlan veya Microsoft Entra Bağlan bulut eşitlemesi: SAM Hesap Adı, Etki Alanı Adı ve UPN gibi varsayılan kullanıcı özniteliklerini eşitlemek için. Daha fazla bilgi için Microsoft Entra Bağlan tarafından eşitlenen öznitelikler makalesine bakın.

Nasıl çalışır

Microsoft Entra'ya katılmış bir cihazla, kullanıcılarınız ortamınızdaki bulut uygulamalarında zaten bir SSO deneyimine sahiptir. Ortamınızda Microsoft Entra Id ve şirket içi AD DS varsa, SSO deneyiminizin kapsamını şirket içi İş Kolu (LOB) uygulamalarınıza, dosya paylaşımlarınıza ve yazıcılarınıza genişletmek isteyebilirsiniz.

Microsoft Entra'ya katılmış cihazlar şirket içi AD DS ortamınız hakkında bilgi sahibi değildir çünkü bunlara katılmamışlardır. Ancak, Microsoft Entra Bağlan ile bu cihazlara şirket içi AD'niz hakkında ek bilgi sağlayabilirsiniz.

Microsoft Entra Bağlan veya Microsoft Entra Bağlan bulut eşitlemesi, şirket içi kimlik bilgilerinizi bulutla eşitler. Eşitleme işleminin bir parçası olarak, şirket içi kullanıcı ve etki alanı bilgileri Microsoft Entra Id ile eşitlenir. Kullanıcı karma bir ortamda Microsoft Entra'ya katılmış bir cihazda oturum açtığında:

  1. Microsoft Entra Id, kullanıcının şirket içi etki alanının ayrıntılarını, Birincil Yenileme Belirteci ile birlikte cihaza geri gönderir
  2. Yerel güvenlik yetkilisi (LSA) hizmeti cihazda Kerberos ve NTLM kimlik doğrulamasını etkinleştirir.

Dekont

Microsoft Entra'ya katılmış cihazlarda parolasız kimlik doğrulaması kullanıldığında ek yapılandırma gerekir.

FIDO2 güvenlik anahtarı tabanlı parolasız kimlik doğrulaması ve Karma Bulut Güveni İş İçin Windows Hello için bkz. Microsoft Entra ID ile şirket içi kaynaklarda parolasız güvenlik anahtarı oturum açmayı etkinleştirme.

İş İçin Windows Hello Bulut Kerberos Güveni için bkz. İş İçin Windows Hello yapılandırma ve sağlama - bulut Kerberos güveni.

İş İçin Windows Hello Karma Anahtar Güveni için bkz. İş İçin Windows Hello kullanarak Şirket İçi Çoklu Oturum Açma için Microsoft Entra'ya katılmış cihazları yapılandırma.

İş İçin Windows Hello Karma Sertifika Güveni için bkz. AADJ Şirket İçi Çoklu Oturum Açma için Sertifikaları Kullanma.

Kerberos veya NTLM isteyen bir şirket içi kaynağa erişim girişimi sırasında cihaz:

  1. Kullanıcının kimliğini doğrulamak için şirket içi etki alanı bilgilerini ve kullanıcı kimlik bilgilerini bulunan DC'ye gönderir.
  2. Şirket içi kaynağın veya uygulamanın desteklediği protokolü temel alan bir Kerberos Anahtar Verme Anahtarı (TGT) veya NTLM belirteci alır. Etki alanı için Kerberos TGT veya NTLM belirtecini alma girişimi başarısız olursa, Kimlik Bilgisi Yöneticisi girişleri denenirse veya kullanıcı hedef kaynak için kimlik bilgileri isteyen bir kimlik doğrulaması açılır penceresi alabilir. Bu hata, DCLocator zaman aşımının neden olduğu gecikmeyle ilgili olabilir.

Windows Tümleşik kimlik doğrulaması için yapılandırılan tüm uygulamalar, bir kullanıcı bunlara erişmeye çalıştığında sorunsuz bir şekilde SSO alır.

Ne alacaksınız

SSO ile Microsoft Entra'ya katılmış bir cihazda şunları yapabilirsiniz:

  • AD üye sunucusunda UNC yoluna erişme
  • Windows ile tümleşik güvenlik için yapılandırılmış bir AD DS üyesi web sunucusuna erişme

Şirket içi AD'nizi bir Windows cihazından yönetmek istiyorsanız, Uzak Sunucu Yönetici Sağlama Araçları'nı yükleyin.

Şunları kullanabilirsiniz:

  • Tüm AD nesnelerini yönetmek için Active Directory Kullanıcıları ve Bilgisayarları (ADUC) ek bileşeni. Ancak, el ile bağlanmak istediğiniz etki alanını belirtmeniz gerekir.
  • AD'ye katılmış bir DHCP sunucusunu yönetmek için DHCP ek bileşeni. Ancak, DHCP sunucusu adını veya adresini belirtmeniz gerekebilir.

Bilmeniz gerekenler

  • Birden çok etki alanınız varsa gerekli etki alanlarıyla ilgili verilerin eşitlendiğinden emin olmak için Microsoft Entra Bağlan'de etki alanı tabanlı filtrelemenizi ayarlamanız gerekebilir.
  • Microsoft Entra'ya katılmış cihazların AD DS'de bilgisayar nesnesi olmadığından Active Directory makine kimlik doğrulamasına bağımlı uygulamalar ve kaynaklar çalışmaz.
  • Microsoft Entra'ya katılmış bir cihazda diğer kullanıcılarla dosya paylaşamazsınız.
  • Microsoft Entra'ya katılmış cihazınızda çalışan uygulamalar kullanıcıların kimliğini doğrular. Etki alanı bölümü olarak etki alanı FQDN adıyla örtük UPN veya NT4 türü söz dizimini kullanmalıdır, örneğin: user@contoso.corp.com veya contoso.corp.com\user.
    • Uygulamalar NETBIOS veya contoso\user gibi eski adı kullanıyorsa, uygulamanın aldığı hatalar NT hatası STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 veya Windows hata ERROR_BAD_VALIDATION_CLASS - 1348 "İstenen doğrulama bilgileri sınıfı geçersizdi." Bu hata, eski etki alanı adını çözümleyebiliyor olsanız bile oluşur.

Sonraki adımlar

Daha fazla bilgi için bkz . Microsoft Entra Id'de cihaz yönetimi nedir?