Come funziona l'accesso Single Sign-On alle risorse locali nei dispositivi aggiunti a Microsoft Entra
I dispositivi aggiunti a Microsoft Entra offrono agli utenti un'esperienza di accesso Single Sign-On (SSO) alle app cloud del tenant. Se l'ambiente dispone di Active Directory Domain Services (AD DS) locale, gli utenti possono anche eseguire l'accesso SSO a risorse e applicazioni basate su Active Directory Domain Services locale.
Questo articolo illustra il funzionamento di questa caratteristica.
Prerequisiti
- Un dispositivo collegato a Microsoft Entra.
- L'accesso SSO locale richiede una connessione visibile con i controller di dominio locali di AD DS. Se i dispositivi aggiunti a Microsoft Entra non sono connessi alla rete dell'organizzazione, è richiesta una VPN o un'altra infrastruttura di rete.
- Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync: per la sincronizzazione degli attributi utente predefiniti, come il nome dell'account SAM, il nome di dominio e l'UPN. Per altre informazioni, vedere l'articolo Attributi sincronizzati da Microsoft Entra Connect.
Funzionamento
Con un dispositivo aggiunto a Microsoft Entra, gli utenti possono già usufruire dell'esperienza SSO per le app cloud nell'ambiente. Se l'ambiente include Microsoft Entra ID e un'istanza locale di Active Directory Domain Services, potrebbe voler espandere l'ambito dell'esperienza SSO alle app Line Of Business (LOB) locali, alle condivisioni di file e alle stampanti.
I dispositivi aggiunti a Microsoft Entra non riconoscono l'ambiente Active Directory Domain Services locale perché non sono stati aggiunti in tale ambiente. Tuttavia, è possibile fornire a questi dispositivi informazioni aggiuntive sull'ambiente AD locale tramite Microsoft Entra Connect.
Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync sincronizzano le informazioni sull'identità locale nel cloud. Nell'ambito del processo di sincronizzazione, le informazioni locali sull'utente e sul dominio vengono sincronizzate per Microsoft Entra ID. Se un utente accede a un dispositivo aggiunto a Microsoft Entra in un ambiente ibrido:
- Microsoft Entra ID rinvia i dettagli del dominio locale dell'utente al dispositivo, insieme al Token di aggiornamento primario
- Il servizio di autorità di protezione locale (LSA) abilita l'autenticazione Kerberos e NTLM nel dispositivo.
Nota
Se si utilizza l'autenticazione senza password per i dispositivi aggiunti a Microsoft Entra, è richiesta una configurazione aggiuntiva.
Per l'autenticazione senza password basata su chiave di sicurezza FIDO2 e per l'attendibilità cloud ibrido di Windows Hello for Business, vedere Abilitare l'accesso con chiave di sicurezza senza password alle risorse locali con Microsoft Entra ID.
Per l'attendibilità Kerberos cloud di Windows Hello for Business, vedere Configurare ed eseguire il provisioning di Windows Hello for Business - attendibilità Kerberos cloud.
Per l'attendibilità della chiave ibrida di Windows Hello for Business, vedere Configurare i dispositivi aggiunti a Microsoft Entra per l'accesso Single Sign-On locale con Windows Hello for Business.
Per l'attendibilità dei certificati ibridi di Windows Hello for Business, vedere Uso dei certificati per l'accesso Single Sign-On locale di AADJ.
Durante un tentativo di accesso a una risorsa locale che richiede Kerberos o NTLM, il dispositivo:
- Invia le informazioni sul dominio locale e le credenziali utente al controller di dominio individuato per ottenere l'autenticazione dell'utente.
- Riceve un Ticket-Granting Ticket (TGT) Kerberos o un token NTLM a seconda del protocollo supportato dalla risorsa o dall'applicazione locale. Se il tentativo di ottenere il token TGT Kerberos o NTLM per il dominio ha esito negativo, si provano le voci di Gestione credenziali, oppure l'utente potrebbe ricevere un popup di autenticazione richiedendo le credenziali per la risorsa di destinazione. L'errore può essere correlato a un ritardo causato dal timeout DCLocator.
Tutte le app configurate per l'autenticazione integrata di Windows ottengono facilmente l'accesso SSO quando un utente prova ad accedervi.
Cosa ottieni
Tramite Single Sign-On, su un dispositivo aggiunto a Microsoft Entra è possibile:
- Accedere a un percorso UNC in un server membro di AD
- Accedere a un server Web membro di Active Directory Domain Services configurato per la sicurezza integrata di Windows
Per gestire l'AD locale da un dispositivo Windows, installare gli Strumenti di amministrazione remota del server.
Puoi usare:
- Lo snap-in Utenti e computer di Active Directory per la gestione di tutti gli oggetti di Active Directory. Tuttavia, è necessario specificare il dominio a cui ci si vuole connettere manualmente.
- Lo snap-in DHCP per amministrare un server DHCP aggiunto ad AD. Tuttavia, potrebbe essere necessario specificare il nome o l'indirizzo del server DHCP.
Informazioni utili
- Potrebbe essere necessario modificare il filtro basato su dominio in Microsoft Entra Connect, per assicurarsi che i dati relativi ai domini richiesti vengano sincronizzati in presenza di più domini.
- App e risorse che dipendono dall'autenticazione della macchina di Active Directory non funzionano poiché i dispositivi connessi a Microsoft Entra non hanno un oggetto computer in AD DS (Active Directory Domain Services).
- Non è possibile condividere file con altri utenti in un dispositivo aggiunto a Microsoft Entra.
- Le applicazioni eseguite nel dispositivo aggiunto a Microsoft Entra potrebbero autenticare gli utenti. Devono usare l'UPN implicito o la sintassi di tipo NT4 con il nome FQDN del dominio come parte del dominio, ad esempio, user@contoso.corp.com o contoso.corp.com\user.
- Se le applicazioni usano netBIOS o il nome legacy, ad esempio contoso\user, gli errori che l'applicazione ottiene saranno, l'errore NT STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 o l'errore di Windows ERROR_BAD_VALIDATION_CLASS - 1348 "La classe di informazioni di convalida richiesta non è valida". Questo errore si verifica anche se è possibile risolvere il nome di dominio legacy.
Passaggi successivi
Per altre informazioni, vedere Informazioni sulla gestione dei dispositivi in Microsoft Entra ID.