分享方式:

雲端原生端點和內部部署資源

  • 文章

提示

閱讀雲端原生端點時,您會看到下列詞彙:

  • 端點:端點是裝置,例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
  • 受控端點:使用 MDM 解決方案或組策略對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置,但也可以是 BYOD 或個人擁有的裝置。
  • 雲端原生端點:已加入 Microsoft Entra 的端點。 它們未加入內部部署AD。
  • 工作負載:任何程序、服務或程式。

雲端原生端點可以存取內部部署資源。 本文將詳細說明,並回答一些常見問題。

本功能適用於:

  • Windows 雲端原生端點

如需雲端原生端點及其優點的概觀,請移至 什麼是雲端原生端點

必要條件

若要讓雲端原生 Windows 端點存取使用內部部署 Active Directory (AD) 進行驗證的內部部署資源和服務,則需要下列必要條件:

  • 用戶端應用程式 必須使用 Windows 整合式驗證 (WIA) 。 如需更具體的資訊,請移至 Windows 整合式驗證 (WIA)

  • 設定 Microsoft Entra Connect。 Microsoft Entra Connect 會將用戶帳戶從內部部署 AD 同步至 Microsoft Entra。 如需更具體的資訊,請移至 Microsoft Entra Connect 同步處理:瞭解並自定義同步處理

    在 Microsoft Entra Connect 中,您可能必須調整網域型篩選,以確認所需的網域數據已同步至 Microsoft Entra。

  • 裝置具有 直接或透過 VPN 連線 (視線,) 從 AD 網域連線到域控制器,以及存取的服務或資源。

類似於內部部署 Windows 裝置

針對終端使用者,Windows 雲端原生端點的行為就像任何其他內部部署 Windows 裝置一樣。

下列清單是使用者可從其加入 Microsoft Entra 的裝置存取的一組通用內部部署資源:

  • 檔案伺服器:使用 SMB (伺服器訊息塊塊) ,您可以將網路驅動器機對應至裝載網路共用或 NAS (網路連接記憶體) 的網域成員伺服器。

    用戶可以將磁碟驅動器對應至共享和個人檔。

  • 網域成員伺服器上的印表機資源:使用者可以列印到其本機或最接近的印表機。

  • 使用 Windows 整合式安全性之網域成員伺服器上的網頁伺服器:用戶可以存取任何 Win32 或 Web 型應用程式。

  • 想要從已加入 Microsoft Entra 的端點管理內部部署 AD 網域:安裝 遠端伺服器管理工具

    • 使用 ACTIVE Directory 使用者和電腦 (ADUC) 嵌入式管理單元來管理所有 AD 物件。 您必須手動輸入要連線的網域。
    • 使用 DHCP 嵌入式管理單元來管理已加入 AD 的 DHCP 伺服器。 您可能需要輸入 DHCP 伺服器名稱或位址。

提示

若要瞭解加入 Microsoft Entra 的裝置如何以雲端原生方法使用快取認證,請觀看 OPS108:混合式世界中的 Windows 驗證內部 (syfuhs.net) (開啟外部網站) 。

內部部署資源的驗證和存取

下列步驟說明加入 Microsoft Entra 的端點如何根據內部部署資源) 許可權來驗證和存取 (。

下列步驟是概觀。 如需更具體的資訊,包括描述完整程式的詳細泳道圖形,請移至 主要重新整理令牌 (PRT) 和 Microsoft Entra

  1. 當使用者登入時,其認證會傳送至雲端驗證提供者 (CloudAP) 和 Web 帳戶管理員 (WAM) 。

  2. CloudAP 外掛程式會將使用者和裝置認證傳送至 Microsoft Entra。 或者, 它會使用 Windows Hello 企業版進行驗證

  3. 在 Windows 登入期間,Microsoft Entra CloudAP 外掛程式會使用使用者認證向 Microsoft Entra 要求主要重新整理令牌 (PRT) 。 它也會快取 PRT,以在用戶沒有因特網連線時啟用快取登入。 當使用者嘗試存取應用程式時,Microsoft Entra WAM 外掛程式會使用 PRT 來啟用 SSO。

  4. Microsoft Entra 會驗證使用者和裝置,並傳回PRT & 標識元令牌。 識別元令牌包含下列使用者相關屬性:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    這些屬性會使用 Microsoft Entra Connect 從內部部署 AD 進行同步處理。

    Kerberos 驗證提供者會接收認證和屬性。 在裝置上,Windows Local Security Authority (LSA) 服務會啟用 Kerberos 和 NTLM 驗證。

  5. 在嘗試存取要求 Kerberos 或 NTLM 驗證的內部部署資源期間,裝置會使用域名相關屬性來尋找域控制器 (DC) 使用 DC 定位器。

    • 如果找到DC,它會將認證和 sAMAccountName 傳送至DC進行驗證。
    • 如果使用 Windows Hello 企業版,它會使用 Windows Hello 企業版憑證執行 PKINIT
    • 如果找不到DC,則不會進行內部部署驗證。

    注意事項

    PKINIT 是 Kerberos 5 的預先驗證機制,使用 X.509 憑證向客戶端驗證密鑰發佈中心 (KDC) ,反之亦然。

    MS-PKCA:在 Kerberos 通訊協定中初始驗證 (PKINIT) 的公鑰密碼編譯

  6. DC 會驗證使用者。 DC 會根據內部部署資源或應用程式支援的通訊協議,傳回 Kerberos Ticket-Granting Ticket (TGT) 或 NTLM 令牌。 Windows 會快取傳回的 TGT 或 NTLM 令牌,以供日後使用。

    如果嘗試取得網域的 Kerberos TGT 或 NTLM 令牌失敗 (相關的 DCLocator 逾時可能會造成延遲) ,則 Windows 認證管理員會重試。 或者,使用者可能會收到要求內部部署資源認證的驗證快顯。

  7. 當使用者嘗試存取應用程式時,所有使用 Windows 整合式驗證 (WIA 的應用程式) 自動使用 SSO。 WIA 包含在存取內部部署服務或資源時,使用 NTLM 或 Kerberos 對內部部署 AD 網域進行的標準使用者驗證。

    如需詳細資訊,請移至 SSO 至內部部署資源如何在已加入 Microsoft Entra 的裝置上運作

    請務必強調 Windows 整合式驗證的價值。 原生雲端端點只會與針對 WIA 設定的任何應用程式「運作」。

    當使用者存取使用 WIA (檔伺服器、印表機、網頁伺服器等 ) 的資源時,TGT 會與 Kerberos 服務票證交換,這是一般的 Kerberos 工作流程。

遵循雲端原生端點指引

  1. 概觀:什麼是雲端原生端點?
  2. 教學課程:開始使用雲端原生 Windows 端點
  3. 概念:已加入 Microsoft Entra 與混合式 Microsoft Entra 聯結
  4. 🡺 概念:雲端原生端點和 內部部署資源 (您在這裡)
  5. 高階規劃指南
  6. 已知問題和重要資訊

實用的在線資源