SSO 對內部部署資源的運作方式,適用於已加入 Microsoft Entra 的裝置

  • 發行項

已加入 Microsoft Entra 的裝置為使用者提供租使用者的雲端應用程式單一登入 (SSO) 體驗。 如果您的環境有 內部部署的 Active Directory Domain Services (AD DS),使用者也可以 SSO 到依賴 內部部署的 Active Directory Domain Services 的資源和應用程式。

本文說明其運作方式。

必要條件

  • 已加入 Microsoft Entra 的裝置
  • 內部部署 SSO 需要與內部部署 AD DS 網域控制站進行視線通訊。 如果已加入 Microsoft Entra 的裝置未連線到組織的網路,則需要 VPN 或其他網路基礎結構。
  • Microsoft Entra 連線或 Microsoft Entra 連線雲端同步處理:若要同步處理預設使用者屬性,例如 SAM 帳戶名稱、功能變數名稱和 UPN。 如需詳細資訊,請參閱 Microsoft Entra 連線 同步處理的屬性一文

運作方式

使用已加入 Microsoft Entra 的裝置,您的使用者已擁有環境中雲端應用程式的 SSO 體驗。 如果您的環境具有 Microsoft Entra ID 和內部部署 AD DS,您可能會想要將 SSO 體驗的範圍擴充到內部部署企業營運 (LOB) 應用程式、檔案共用和印表機。

已加入 Microsoft Entra 的裝置並不知道您的內部部署 AD DS 環境,因為它們並未加入其中。 不過,您可以使用 Microsoft Entra 連線,為這些裝置提供內部部署 AD 的其他資訊。

Microsoft Entra 連線或 Microsoft Entra 連線雲端同步處理您的內部部署身分識別資訊至雲端。 在同步處理過程中,內部部署使用者和網域資訊會同步處理至 Microsoft Entra ID。 當使用者在混合式環境中登入已加入 Microsoft Entra 的裝置時:

  1. Microsoft Entra ID 會將使用者內部部署網域的詳細資料傳送回裝置,以及主要重新 整理權杖
  2. 本機安全性授權單位 (LSA) 服務可在裝置上啟用 Kerberos 和 NTLM 驗證。

注意

使用 Microsoft Entra 加入裝置的無密碼驗證時,需要額外的設定。

如需 FIDO2 安全性金鑰型無密碼驗證和Windows Hello 企業版混合式雲端信任,請參閱 使用 Microsoft Entra ID 啟用無密碼安全性金鑰登入內部部署資源。

如需 Windows Hello 企業版 Cloud Kerberos 信任,請參閱 設定和布建 Windows Hello 企業版 - 雲端 Kerberos 信任

如需Windows Hello 企業版混合式金鑰信任,請參閱 使用 Windows Hello 企業版 設定已加入內部部署單一登入的 Microsoft Entra 裝置。

如需Windows Hello 企業版混合式憑證信任,請參閱 使用 AADJ 內部部署單一登入 的憑證。

在嘗試存取要求 Kerberos 或 NTLM 的內部部署資源期間,裝置:

  1. 將內部部署網域資訊和使用者認證傳送至找到的 DC,以取得使用者驗證。
  2. 根據內部部署資源或應用程式支援的通訊協定,接收 Kerberos 票證授與票證 (TGT) 或 NTLM 權杖。 如果嘗試取得網域的 Kerberos TGT 或 NTLM 權杖失敗,則會嘗試認證管理員專案,或使用者可能會收到要求目標資源的驗證快顯認證。 此失敗可能與 DCLocator 逾時所造成的延遲有關。

當使用者嘗試存取 SSO 時,針對 Windows 整合式驗證 設定的所有應用程式都會順暢地取得 SSO。

您的權益

透過 SSO,您可以在加入 Microsoft Entra 的裝置上:

  • 存取 AD 成員伺服器上的 UNC 路徑
  • 存取針對 Windows 整合式安全性設定的 AD DS 成員網頁伺服器

如果您想要從 Windows 裝置管理內部部署 AD,請安裝 Remote Server 管理員istration Tools

您可以使用:

  • 管理所有 AD 物件的Active Directory 消費者和電腦 (ADUC) 嵌入式管理單元。 不過,您必須指定您想要手動連線的網域。
  • 用來管理已加入 AD 之 DHCP 伺服器的 DHCP 嵌入式管理單元。 不過,您可能需要指定 DHCP 伺服器名稱或位址。

您應該知道的內容

  • 您可能必須在 Microsoft Entra 連線中調整網域 型篩選 ,以確保如果您有多個網域,則會同步處理所需網域的相關資料。
  • 相依于 Active Directory 電腦驗證的應用程式和資源無法運作,因為加入 Microsoft Entra 的裝置在 AD DS 中沒有電腦物件。
  • 您無法在已加入 Microsoft Entra 的裝置上與其他使用者共用檔案。
  • 在已加入 Microsoft Entra 的裝置上執行的應用程式可能會驗證使用者。 他們必須使用隱含 UPN 或 NT4 類型語法搭配網域 FQDN 名稱作為網域元件,例如: user@contoso.corp.com 或 contoso.corp.com\user。
    • 如果應用程式使用 NETBIOS 或舊版名稱,例如 contoso\user,則應用程式取得的錯誤可能是 NT 錯誤STATUS_BAD_VALIDATION_CLASS - 0xc00000a7或 Windows 錯誤ERROR_BAD_VALIDATION_CLASS - 1348「要求的驗證資訊類別無效」。 即使您可以解析舊版功能變數名稱,也會發生此錯誤。

下一步

如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的裝置管理?