雲端原生端點和內部部署資源
提示
閱讀雲端原生端點時,您會看到下列詞彙:
- 端點:端點是裝置,例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
- 受控端點:使用 MDM 解決方案或組策略對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置,但也可以是 BYOD 或個人擁有的裝置。
- 雲端原生端點:已加入 Microsoft Entra 的端點。 它們未加入內部部署AD。
- 工作負載:任何程序、服務或程式。
雲端原生端點可以存取內部部署資源。 本文將詳細說明,並回答一些常見問題。
本功能適用於:
- Windows 雲端原生端點
如需雲端原生端點及其優點的概觀,請移至 什麼是雲端原生端點。
必要條件
若要讓雲端原生 Windows 端點存取使用內部部署 Active Directory (AD) 進行驗證的內部部署資源和服務,則需要下列必要條件:
用戶端應用程式 必須使用 Windows 整合式驗證 (WIA) 。 如需更具體的資訊,請移至 Windows 整合式驗證 (WIA) 。
設定 Microsoft Entra Connect。 Microsoft Entra Connect 會將用戶帳戶從內部部署 AD 同步至 Microsoft Entra。 如需更具體的資訊,請移至 Microsoft Entra Connect 同步處理:瞭解並自定義同步處理。
在 Microsoft Entra Connect 中,您可能必須調整網域型篩選,以確認所需的網域數據已同步至 Microsoft Entra。
裝置具有 直接或透過 VPN 連線 (視線,) 從 AD 網域連線到域控制器,以及存取的服務或資源。
類似於內部部署 Windows 裝置
針對終端使用者,Windows 雲端原生端點的行為就像任何其他內部部署 Windows 裝置一樣。
下列清單是使用者可從其加入 Microsoft Entra 的裝置存取的一組通用內部部署資源:
檔案伺服器:使用 SMB (伺服器訊息塊塊) ,您可以將網路驅動器機對應至裝載網路共用或 NAS (網路連接記憶體) 的網域成員伺服器。
用戶可以將磁碟驅動器對應至共享和個人檔。
網域成員伺服器上的印表機資源:使用者可以列印到其本機或最接近的印表機。
使用 Windows 整合式安全性之網域成員伺服器上的網頁伺服器:用戶可以存取任何 Win32 或 Web 型應用程式。
想要從已加入 Microsoft Entra 的端點管理內部部署 AD 網域:安裝 遠端伺服器管理工具:
- 使用 ACTIVE Directory 使用者和電腦 (ADUC) 嵌入式管理單元來管理所有 AD 物件。 您必須手動輸入要連線的網域。
- 使用 DHCP 嵌入式管理單元來管理已加入 AD 的 DHCP 伺服器。 您可能需要輸入 DHCP 伺服器名稱或位址。
提示
若要瞭解加入 Microsoft Entra 的裝置如何以雲端原生方法使用快取認證,請觀看 OPS108:混合式世界中的 Windows 驗證內部 (syfuhs.net) (開啟外部網站) 。
內部部署資源的驗證和存取
下列步驟說明加入 Microsoft Entra 的端點如何根據內部部署資源) 許可權來驗證和存取 (。
下列步驟是概觀。 如需更具體的資訊,包括描述完整程式的詳細泳道圖形,請移至 主要重新整理令牌 (PRT) 和 Microsoft Entra。
當使用者登入時,其認證會傳送至雲端驗證提供者 (CloudAP) 和 Web 帳戶管理員 (WAM) 。
CloudAP 外掛程式會將使用者和裝置認證傳送至 Microsoft Entra。 或者, 它會使用 Windows Hello 企業版進行驗證。
在 Windows 登入期間,Microsoft Entra CloudAP 外掛程式會使用使用者認證向 Microsoft Entra 要求主要重新整理令牌 (PRT) 。 它也會快取 PRT,以在用戶沒有因特網連線時啟用快取登入。 當使用者嘗試存取應用程式時,Microsoft Entra WAM 外掛程式會使用 PRT 來啟用 SSO。
Microsoft Entra 會驗證使用者和裝置,並傳回PRT & 標識元令牌。 識別元令牌包含下列使用者相關屬性:
sAMAccountName
netBIOSDomainName
dnsDomainName
這些屬性會使用 Microsoft Entra Connect 從內部部署 AD 進行同步處理。
Kerberos 驗證提供者會接收認證和屬性。 在裝置上,Windows Local Security Authority (LSA) 服務會啟用 Kerberos 和 NTLM 驗證。
在嘗試存取要求 Kerberos 或 NTLM 驗證的內部部署資源期間,裝置會使用域名相關屬性來尋找域控制器 (DC) 使用 DC 定位器。
- 如果找到DC,它會將認證和
sAMAccountName
傳送至DC進行驗證。 - 如果使用 Windows Hello 企業版,它會使用 Windows Hello 企業版憑證執行 PKINIT 。
- 如果找不到DC,則不會進行內部部署驗證。
注意事項
PKINIT 是 Kerberos 5 的預先驗證機制,使用 X.509 憑證向客戶端驗證密鑰發佈中心 (KDC) ,反之亦然。
- 如果找到DC,它會將認證和
DC 會驗證使用者。 DC 會根據內部部署資源或應用程式支援的通訊協議,傳回 Kerberos Ticket-Granting Ticket (TGT) 或 NTLM 令牌。 Windows 會快取傳回的 TGT 或 NTLM 令牌,以供日後使用。
如果嘗試取得網域的 Kerberos TGT 或 NTLM 令牌失敗 (相關的 DCLocator 逾時可能會造成延遲) ,則 Windows 認證管理員會重試。 或者,使用者可能會收到要求內部部署資源認證的驗證快顯。
當使用者嘗試存取應用程式時,所有使用 Windows 整合式驗證 (WIA 的應用程式) 自動使用 SSO。 WIA 包含在存取內部部署服務或資源時,使用 NTLM 或 Kerberos 對內部部署 AD 網域進行的標準使用者驗證。
如需詳細資訊,請移至 SSO 至內部部署資源如何在已加入 Microsoft Entra 的裝置上運作。
請務必強調 Windows 整合式驗證的價值。 原生雲端端點只會與針對 WIA 設定的任何應用程式「運作」。
當使用者存取使用 WIA (檔伺服器、印表機、網頁伺服器等 ) 的資源時,TGT 會與 Kerberos 服務票證交換,這是一般的 Kerberos 工作流程。
遵循雲端原生端點指引
- 概觀:什麼是雲端原生端點?
- 教學課程:開始使用雲端原生 Windows 端點
- 概念:已加入 Microsoft Entra 與混合式 Microsoft Entra 聯結
- 🡺 概念:雲端原生端點和 內部部署資源 (您在這裡)
- 高階規劃指南
- 已知問題和重要資訊