准备对本地资源的访问
在 Microsoft 托管桌面中,设备会自动加入到Microsoft Entra ID。 因此,如果使用本地 Active Directory,必须确保加入Microsoft Entra ID的设备能够与本地 Active Directory通信。
注意
Microsoft托管桌面不支持混合Microsoft Entra联接。
Microsoft Entra ID允许用户利用单 Sign-On (SSO) 。 单一登录意味着他们通常不必在每次使用资源时都提供凭据。
有关加入Microsoft Entra ID的信息,请参阅如何:规划Microsoft Entra联接实现。 有关加入Microsoft Entra ID的设备上的单 Sign-On (SSO) 的背景信息,请参阅如何对已加入Microsoft Entra设备的本地资源进行 SSO。
本文介绍为确保应用和其他依赖于本地 Active Directory 连接的资源能够顺利地使用Microsoft 托管桌面而必须检查的事项。
本地资源的单一登录
使用 UPN 和密码的单一登录 (SSO) 默认在Microsoft 托管桌面设备上启用。 但是用户也可以使用 Windows Hello 企业版,这需要一些额外的设置步骤。
使用 UPN 和密码的单一登录
在大多数组织中,用户将能够使用 SSO 在Microsoft 托管桌面设备上通过 UPN 和密码进行身份验证。 若要确保此功能正常工作,应仔细检查以下事项:
- 确认已设置Microsoft Entra Connect。 它必须使用运行 Windows Server 2008 R2 或更高版本的本地 Active Directory 服务器。
- 确认Microsoft Entra Connect 正在运行受支持的版本。 必须将其设置为将这三个属性与Microsoft Entra ID同步:
- 本地 Active Directory(用户所在的位置)的 DNS 域名。
- 本地 Active Directory(用户所在的位置)的 NetBIOS。
- 用户的 SAM 帐户名。
使用 Windows Hello 企业版的单一登录
Microsoft 托管桌面设备还通过使用Windows Hello 企业版为用户提供快速、无密码的体验。 若要确保Windows Hello 企业版无需用户提供相应的 UPN 和密码即可工作,请访问为本地 Single-Sign 使用Windows Hello 企业版配置已加入Microsoft Entra的设备以检查要求,然后按照其中提供的步骤进行操作。
使用身份验证的应用和资源
有关设置应用以使用Microsoft Entra ID的完整指南,请参阅了解 Azure 内容集中的应用程序和资源注意事项。 摘要:
应用或服务 | 任务 |
---|---|
基于云的应用 | 如果使用基于云的应用(例如添加到 Microsoft Entra 应用库的应用),则大多数应用无需进行任何进一步的准备,就能使用 Microsoft 托管桌面。 但是,不使用 Web 帐户管理器的任何 Win32 应用 (WAM) 仍可能提示用户进行身份验证。 |
本地托管的应用 | 对于本地托管的应用,请务必将这些应用添加到浏览器中的受信任站点列表。 此步骤将使 Windows 身份验证无缝工作,而不会提示用户输入凭据。 若要添加应用,请参阅可配置设置引用中的受信任站点。 |
Active Directory 联合身份验证服务 | 如果使用的是 Active Directory 联合身份服务,请按照使用 AD FS 验证和管理单一登录中的步骤检查是否启用了 SSO。 |
使用旧协议的本地应用 | 对于使用旧协议的本地应用,只要设备有权访问本地域控制器进行身份验证,就不需要额外的设置。 但是,若要为这些应用程序提供安全访问,应部署Microsoft Entra应用程序代理。 有关详细信息,请参阅通过Microsoft Entra应用程序代理远程访问本地应用程序。 |
具有计算机身份验证的本地应用 | 不支持在本地运行并依赖于计算机身份验证的应用,因此应考虑将它们替换为较新的版本。 |
使用身份验证的网络共享
只要设备可以使用 UNC 路径访问本地域控制器,用户就无需进行额外设置即可访问网络共享。
打印机
除非配置了混合云打印,否则 Microsoft 托管桌面设备无法连接到发布到本地 Active Directory 的打印机。
虽然打印机不能在仅限云的环境中自动发现,但只要设备有权访问本地域控制器,用户就可以使用打印机路径或打印机队列路径来使用本地打印机。