SSO 對內部部署資源的運作方式,適用於已加入 Microsoft Entra 的裝置
加入 Microsoft Entra 的裝置為使用者提供租用戶的雲端應用程式單一登入 (SSO) 體驗。 如果您的環境具有內部部署 Active Directory Domain Services (AD DS),使用者也可對依賴內部部署 Active Directory Domain Services 的資源和應用程式進行 SSO。
本文將說明此作業的運作方式。
必要條件
- 加入 Microsoft Entra 的裝置。
- 內部部署 SSO 需要與內部部署 AD DS 網域控制站之間的通訊。 如果加入 Microsoft Entra 的裝置未連線到貴組織的網路,則需要 VPN 或其他網路基礎結構。
- Microsoft Entra Connect 或 Microsoft Entra Connect 雲端同步:同步處理 SAM 帳戶名稱、網域名稱和 UPN 等預設使用者屬性。 如需詳細資訊,請參閱 Microsoft Entra Connect 同步處理的屬性一文。
運作方式
透過已加入 Microsoft Entra 的裝置,您的使用者已將 SSO 體驗帶入環境中的雲端應用程式。 如果您的環境具有 Microsoft Entra ID 和內部部署 AD DS,您可能會想將 SSO 體驗的範圍延伸至內部部署企業營運 (LOB) 應用程式、檔案共用和印表機。
加入 Microsoft Entra 的裝置不了解您的內部部署 AD DS 環境,因為這些裝置未加入該環境。 不過,您可以透過 Microsoft Entra Connect 將其他有關內部部署 AD 的資訊提供給這些裝置。
Microsoft Entra Connect 或 Microsoft Entra Connect 雲端同步會將內部部署身分識別資訊同步處理至雲端。 在同步處理程序中,內部部署使用者和網域資訊會同步處理至 Microsoft Entra ID。 當使用者登入混合式環境中已加入 Microsoft Entra 的裝置時:
- Microsoft Entra ID 將使用者內部部署網域的詳細資料,連同主要重新整理權杖傳送回裝置
- 本機安全性授權 (LSA) 服務可讓您在裝置上啟用 Kerberos 和 NTLM 驗證。
注意
使用無密碼驗證已加入 Microsoft Entra 的裝置時,需要額外的設定。
針對 FIDO2 安全性金鑰型無密碼驗證和 Windows Hello 企業版混合式雲端信任,請參閱使用 Microsoft Entra ID 啟用無密碼安全性金鑰登入至內部部署資源。
如需 Windows Hello 企業版雲端 Kerberos 信任,請參閱設定及佈建 Windows Hello 企業版 - 雲端 Kerberos 信任。
針對 Windows Hello 企業版混合式雲端信任,請參閱使用 Windows Hello 企業版為加入 Microsoft Entra 的裝置設定內部部署單一登入。
針對 Windows Hello 企業版混合式憑證信任,請參閱使用憑證進行 AADJ 內部部署單一登入。
在嘗試存取要求 Kerberos 或 NTLM 的內部部署資源期間,裝置:
- 將內部網域資訊和使用者認證傳送給找到的 DC,以對使用者進行驗證。
- 根據內部部署資源或應用程式所支援的通訊協定,收到 Kerberos 票證授權票證 (TGT) 或 NTLM 權杖。 如果嘗試取得網域的 Kerberos TGT 或 NTLM 權杖失敗、嘗試認證管理員的項目,或使用者可能會收到要求目標資源認證的驗證快顯視窗。 此失敗可能與 DCLocator 逾時所造成的延遲有關。
只要應用程式已設定 Windows 整合式驗證,當使用者嘗試存取這些應用程式時,就可順利地取得 SSO。
得到的結果
透過 SSO,您可以在加入 Microsoft Entra 的裝置上:
- 存取 AD 成員伺服器上的 UNC 路徑
- 存取已設定 Windows 整合式安全性的 AD DS 成員 Web 伺服器
如果您想要從 Windows 裝置管理內部部署 AD,請安裝遠端伺服器管理工具。
您可以使用:
- 用來管理所有 AD 物件的 Active Directory 使用者和電腦 (ADUC) 嵌入式管理單元。 不過,您必須指定您想要以手動方式連線的網域。
- DHCP 嵌入式管理單元,用來管理已加入 AD 的 DHCP 伺服器。 不過,您可能需要指定 DHCP 伺服器名稱或位址。
您應該知道的事情
- 如果您有多個網域,您可能必須調整 Microsoft Entra Connect 中的網域型篩選,以確保必要網域的相關資料會保持同步。
- 相依於 Active Directory 機器驗證的應用程式和資源不會運作,因為加入 Microsoft Entra 的裝置沒有 AD DS 中的電腦物件。
- 您無法在加入 Microsoft 的裝置上與其他使用者共用檔案。
- 在加入 Microsoft Entra 的裝置上執行的應用程式可能會驗證使用者。 其必須使用隱含 UPN 或 NT4 類型語法 (以網域 FQDN 名稱做為網域部分),例如:user@contoso.corp.com 或 contoso.corp.com\user。
- 如果應用程式使用 NETBIOS 或舊版名稱,例如 contoso\user,則應用程式取得的錯誤可能是 NT 錯誤STATUS_BAD_VALIDATION_CLASS - 0xc00000a7或 Windows 錯誤ERROR_BAD_VALIDATION_CLASS - 1348「要求的驗證資訊類別無效」。即使您可以解析舊版功能變數名稱,也會發生此錯誤。
下一步
如需詳細資訊,請參閱什麼是 Microsoft Entra ID 中的裝置管理?