共用方式為

SSO 對內部部署資源的運作方式,適用於已加入 Microsoft Entra 的裝置

  • 發行項

已加入 Microsoft Entra 的裝置為使用者提供租使用者的雲端應用程式單一登錄 (SSO) 體驗。 如果您的環境 內部部署的 Active Directory Domain Services (AD DS),使用者也可以 SSO 到依賴 內部部署的 Active Directory Domain Services 的資源和應用程式。

本文說明其運作方式。

必要條件

  • 已加入 Microsoft Entra 的裝置
  • 內部部署 SSO 需要與內部部署 AD DS 域控制器進行視線通訊。 如果已加入 Microsoft Entra 的裝置未連線到組織的網路,則需要 VPN 或其他網路基礎結構。
  • Microsoft Entra 連線 或 Microsoft Entra 連線 雲端同步:若要同步處理 SAM 帳戶名稱、功能變數名稱和 UPN 等預設用戶屬性。 如需詳細資訊,請參閱 Microsoft Entra 同步處理的屬性 連線 一文

運作方式

使用已加入 Microsoft Entra 的裝置,您的使用者已擁有環境中雲端應用程式的 SSO 體驗。 如果您的環境具有 Microsoft Entra ID 和內部部署 AD DS,您可能會想要將 SSO 體驗的範圍擴充到內部部署企業營運(LOB) 應用程式、檔案共用和印表機。

已加入 Microsoft Entra 的裝置並不知道您的內部部署 AD DS 環境,因為它們並未加入其中。 不過,您可以使用 Microsoft Entra 連線,為這些裝置提供內部部署 AD 的其他資訊。

Microsoft Entra 連線 或 Microsoft Entra 連線 雲端同步處理您的內部部署身分識別資訊至雲端。 在同步處理過程中,內部部署使用者和網域資訊會同步處理至 Microsoft Entra ID。 當使用者在混合式環境中登入已加入 Microsoft Entra 的裝置時:

  1. Microsoft Entra ID 會將用戶內部部署網域的詳細數據傳送回裝置,以及主要重新 整理令牌
  2. 本機安全性授權單位 (LSA) 服務可在裝置上啟用 Kerberos 和 NTLM 驗證。

注意

使用 Microsoft Entra 加入裝置的無密碼驗證時,需要額外的設定。

如需 FIDO2 安全性金鑰型無密碼驗證和 Windows Hello 企業版 混合式雲端信任,請參閱使用 Microsoft Entra ID 啟用無密碼安全性密鑰登入內部部署資源。

如需 Windows Hello 企業版 Cloud Kerberos 信任,請參閱設定和布建 Windows Hello 企業版 - 雲端 Kerberos 信任

如需 Windows Hello 企業版 混合式密鑰信任,請參閱使用 Windows Hello 企業版 設定已加入內部部署單一登錄的 Microsoft Entra 裝置。

如需 Windows Hello 企業版 混合式憑證信任,請參閱使用AADJ內部部署單一登錄的憑證。

在嘗試存取要求 Kerberos 或 NTLM 的內部部署資源期間,裝置:

  1. 將內部部署網域資訊和使用者認證傳送至找到的DC,以取得用戶驗證。
  2. 根據內部部署資源或應用程式支援的通訊協定,接收 Kerberos 票證授與票證 (TGT) 或 NTLM 令牌。 如果嘗試取得網域的 Kerberos TGT 或 NTLM 令牌失敗,則會嘗試認證管理員專案,或使用者可能會收到要求目標資源的驗證快顯認證。 此失敗可能與 DCLocator 逾時所造成的延遲有關。

當使用者嘗試存取 SSO 時,針對 Windows 整合式驗證 設定的所有應用程式都會順暢地取得 SSO。

得到的結果

透過 SSO,您可以在加入 Microsoft Entra 的裝置上:

  • 存取 AD 成員伺服器上的 UNC 路徑
  • 存取針對 Windows 整合式安全性設定的 AD DS 成員網頁伺服器

如果您想要從 Windows 裝置管理內部部署 AD,請安裝 Remote Server 管理員 istration Tools

您可以使用:

  • 管理所有 AD 物件的 Active Directory 使用者和電腦 (ADUC) 嵌入式管理單元。 不過,您必須指定您想要手動連線的網域。
  • 用來管理已加入AD之 DHCP 伺服器的 DHCP 嵌入式管理單元。 不過,您可能需要指定 DHCP 伺服器名稱或位址。

您應該知道的事情

  • 您可能必須在 Microsoft Entra 連線 中調整網域型篩選,以確保如果您有多個網域,則會同步處理所需網域的相關數據。
  • 相依於 Active Directory 計算機驗證的應用程式和資源無法運作,因為加入 Microsoft Entra 的裝置在 AD DS 中沒有計算機物件。
  • 您無法在已加入 Microsoft Entra 的裝置上與其他使用者共用檔案。
  • 在已加入 Microsoft Entra 的裝置上執行的應用程式可能會驗證使用者。 他們必須使用隱含UPN或NT4類型語法搭配網域 FQDN 名稱作為網域元件,例如: user@contoso.corp.com 或 contoso.corp.com\user。
    • 如果應用程式使用 NETBIOS 或舊版名稱,例如 contoso\user,則應用程式取得的錯誤可能是 NT 錯誤STATUS_BAD_VALIDATION_CLASS - 0xc00000a7或 Windows 錯誤ERROR_BAD_VALIDATION_CLASS - 1348「要求的驗證資訊類別無效」。 即使您可以解析舊版功能變數名稱,也會發生此錯誤。

下一步

如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的裝置管理?