Jak jednotné přihlašování k místním prostředkům funguje na zařízeních připojených k Microsoft Entra
Zařízení připojená k Microsoft Entra poskytují uživatelům jednotné přihlašování ke cloudovým aplikacím vašeho tenanta. Pokud má vaše prostředí místní Active Directory Domain Services (AD DS), můžou se uživatelé také přidružovat k prostředkům a aplikacím, které spoléhají na místní Active Directory Domain Services.
Tento článek vysvětluje, jak to funguje.
Požadavky
- Zařízení připojené k Microsoft Entra.
- Místní jednotné přihlašování vyžaduje komunikaci s místními řadiči domény SLUŽBY AD DS. Pokud zařízení připojená k Microsoft Entra nejsou připojená k síti vaší organizace, vyžaduje se síť VPN nebo jiná síťová infrastruktura.
- Synchronizace cloudu Microsoft Entra Connect nebo Microsoft Entra Connect: Synchronizace výchozích atributů uživatelů, jako je název účtu SAM, název domény a hlavní název uživatele (UPN). Další informace naleznete v článku Atributy synchronizované službou Microsoft Entra Connect.
Jak to funguje
S zařízením připojeným k Microsoft Entra už uživatelé mají prostředí jednotného přihlašování ke cloudovým aplikacím ve vašem prostředí. Pokud má vaše prostředí Microsoft Entra ID a místní službu AD DS, můžete rozšířit rozsah prostředí jednotného přihlašování na vaše místní obchodní aplikace, sdílené složky a tiskárny.
Zařízení připojená k Microsoftu Entra nemají žádné znalosti o vašem místním prostředí SLUŽBY AD DS, protože k němu nejsou připojená. Pomocí nástroje Microsoft Entra Connect ale můžete těmto zařízením poskytnout další informace o místní službě AD.
Synchronizace cloudu Microsoft Entra Connect nebo Microsoft Entra Connect synchronizuje informace o místní identitě do cloudu. V rámci procesu synchronizace se informace o místním uživateli a doméně synchronizují s ID Microsoft Entra. Když se uživatel přihlásí k zařízení připojenému k Microsoft Entra v hybridním prostředí:
- ID Microsoft Entra odešle podrobnosti o místní doméně uživatele zpět do zařízení spolu s primárním obnovovacím tokenem .
- Služba místní autority zabezpečení (LSA) umožňuje na zařízení ověřování protokolem Kerberos a NTLM.
Poznámka:
Další konfigurace se vyžaduje, když se použije ověřování bez hesla na zařízeních připojených k Microsoft Entra.
Informace o ověřování bez hesla založeném na klíči zabezpečení FIDO2 a Windows Hello pro firmy hybridního cloudového vztahu důvěryhodnosti najdete v tématu Povolení přihlašování k místním prostředkům bez hesla pomocí Microsoft Entra ID.
Informace o Windows Hello pro firmy důvěryhodnosti cloudového protokolu Kerberos najdete v tématu Konfigurace a zřízení Windows Hello pro firmy – vztah důvěryhodnosti cloudového protokolu Kerberos.
Informace o Windows Hello pro firmy důvěryhodnosti hybridních klíčů najdete v tématu Konfigurace zařízení připojených k Microsoft Entra pro místní jednotné přihlašování pomocí Windows Hello pro firmy.
Informace o Windows Hello pro firmy důvěryhodnosti hybridních certifikátů najdete v tématu Použití certifikátů pro místní jednotné přihlašování AADJ.
Během pokusu o přístup k místnímu prostředku, který požaduje Protokol Kerberos nebo NTLM, zařízení:
- Odešle informace o místní doméně a přihlašovací údaje uživatele do umístěného řadiče domény, aby se uživatel ověřil.
- Obdrží lístek TGT (Kerberos Ticket-Grant Ticket) nebo token NTLM na základě protokolu, který místní prostředek nebo aplikace podporuje. Pokud pokus o získání tokenu Kerberos TGT nebo NTLM pro doménu selže, pokusí se položky Správce přihlašovacích údajů nebo uživatel může obdržet automaticky otevírané okno s žádostí o ověření pro cílový prostředek. Toto selhání může souviset se zpožděním způsobeným vypršením časového limitu DCLocatoru.
Všechny aplikace nakonfigurované pro integrované ověřování systému Windows bezproblémově získají jednotné přihlašování, když se k nim uživatel pokusí získat přístup.
Co získáte
S jednotným přihlašováním můžete na zařízení připojeném k Microsoft Entra:
- Přístup k cestě UNC na členském serveru AD
- Přístup k webovému serveru člena služby AD DS nakonfigurovaného pro zabezpečení integrované s Windows
Pokud chcete spravovat místní službu AD ze zařízení s Windows, nainstalujte nástroje pro vzdálenou správu serveru.
Můžete použít:
- Modul snap-in Uživatelé a počítače služby Active Directory (ADUC) pro správu všech objektů AD. Musíte ale zadat doménu, ke které se chcete připojit ručně.
- Modul snap-in DHCP pro správu serveru DHCP připojeného ke službě AD. Možná ale budete muset zadat název nebo adresu serveru DHCP.
Co byste měli vědět
- Možná budete muset upravit filtrování založené na doméně v Microsoft Entra Connect, abyste zajistili synchronizaci dat o požadovaných doménách, pokud máte více domén.
- Aplikace a prostředky, které závisejí na ověřování počítače služby Active Directory, nefungují, protože zařízení připojená k Microsoft Entra nemají v AD DS objekt počítače.
- Soubory nemůžete sdílet s ostatními uživateli na zařízení připojeném k Microsoft Entra.
- Aplikace spuštěné na vašem zařízení připojeném k Microsoft Entra můžou ověřovat uživatele. Musí použít implicitní hlavní název uživatele (UPN) nebo syntaxi typu NT4 s názvem plně kvalifikovaného názvu domény jako součást domény, například: user@contoso.corp.com nebo contoso.corp.com\user.
- Pokud aplikace používají rozhraní NETBIOS nebo starší název, jako je contoso\user, chyby, které aplikace získá, budou buď chyba NT STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 nebo chyba systému Windows ERROR_BAD_VALIDATION_CLASS – 1348 "Požadovaná třída ověřovacích informací byla neplatná". K této chybě dochází i v případě, že můžete přeložit starší název domény.
Další kroky
Další informace naleznete v tématu Co je správa zařízení v Microsoft Entra ID?