Подготовка доступа к локальным ресурсам
В Microsoft Managed Desktop устройства автоматически присоединяются к Microsoft Entra ID. По этой причине, если вы используете локальная служба Active Directory, необходимо убедиться, что устройства, присоединенные к Microsoft Entra ID, могут взаимодействовать с вашим локальная служба Active Directory.
Примечание.
Гибридное Microsoft Entra присоединение не поддерживается Microsoft Managed Desktop.
Microsoft Entra ID позволяет пользователям воспользоваться преимуществами single Sign-On (SSO). Единый вход означает, что им обычно не придется предоставлять учетные данные при каждом использовании ресурсов.
Сведения о присоединении Microsoft Entra ID см. в статье Практическое руководство. Планирование реализации Microsoft Entra присоединения. Общие сведения о едином Sign-On (SSO) на устройствах, присоединенных к Microsoft Entra ID, см. в статье Как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra.
В этой статье объясняется, что необходимо проверить, чтобы обеспечить бесперебойную работу с компьютером, управляемым Майкрософт, приложений и других ресурсов, которые зависят от локального подключения к Active Directory.
Единый вход для локальных ресурсов
Единый вход (SSO) с использованием UPN и пароля включен по умолчанию на компьютерах, управляемых Майкрософт. Но ваши пользователи также могут использовать Windows Hello для бизнеса, что требует дополнительных действий по настройке.
Единый вход с использованием UPN и пароля
В большинстве организаций пользователи компьютеров, управляемых Майкрософт, смогут использовать SSO для проверки подлинности по UPN и паролю. Чтобы убедиться, что эта функция будет работать, необходимо проверить следующее.
- Убедитесь, что Microsoft Entra Connect настроен. Она должна использовать локальный сервера Active Directory под управлением Windows Server 2008 R2 или более поздней версии.
- Убедитесь, что Microsoft Entra Connect работает под управлением поддерживаемой версии. Он должен быть настроен для синхронизации этих трех атрибутов с Microsoft Entra ID:
- DNS-имя домена локальной службы Active Directory (где находятся пользователи).
- NetBIOS локальной службы Active Directory (в которой находятся пользователи).
- Имя учетной записи SAM пользователя.
Единый вход с помощью Windows Hello для бизнеса
Компьютеры, управляемые Майкрософт, также поддерживают возможность быстрой проверки подлинности без пароля с использованием Windows Hello для бизнеса. Чтобы убедиться, что Windows Hello для бизнеса будет работать без необходимости указать соответствующее имя участника-пользователя и пароль, см. в статье Настройка Microsoft Entra присоединенных устройств для локальной Single-Sign on using Windows Hello для бизнеса to проверка требования, а затем выполните указанные там действия.
Приложения и ресурсы, которые используют проверку подлинности
Полное руководство по настройке приложений для работы с Microsoft Entra ID см. в статье Общие сведения о приложениях и ресурсах в наборе содержимого Azure. Сводка:
| Приложение или служба | Задача |
|---|---|
| Облачные приложения | Если вы используете облачные приложения, например те, которые добавлены в коллекцию приложений Microsoft Entra, для большинства из них не требуется дополнительная подготовка к работе с microsoft Managed Desktop. Однако любые приложения Win32, которые не используют диспетчер учетных веб-записей (WAM), могут по-прежнему запросить у пользователей проверку подлинности. |
| Приложения, размещенные локально | Для приложений, которые размещены локально, обязательно добавьте эти приложения в список надежных сайтов в браузерах. Этот шаг позволит обеспечить бесперебойную работу проверки подлинности Windows без запроса учетных данных для пользователей. Чтобы добавить приложения, обратитесь к разделу Поддерживаемые сайты в справочнике по настраиваемым параметрам. |
| Федеративные службы Active Directory | Если вы используете федеративные службы Active Directory, убедитесь, что единый вход включен, выполнив действия из раздела Проверка и управлении единым входом с помощью AD FS. |
| Локальное приложение, использующее старые протоколы | Для локальных приложений, которые используют старые протоколы, дополнительная настройка не требуется, если устройства имеют доступ к локальному контроллеру домена для проверки подлинности. Однако для обеспечения безопасного доступа для этих приложений следует развернуть Microsoft Entra прокси приложения. Дополнительные сведения см. в статье Удаленный доступ к локальным приложениям через Microsoft Entra прокси приложения. |
| Локальные приложения с проверкой подлинности на компьютере | Приложения, которые работают локально и используют проверку подлинности компьютера не поддерживаются, поэтому рекомендуется заменить их более новыми версиями. |
Сетевые папки с проверкой подлинности
Пользователям не требуется дополнительная настройка для доступа к сетевым папкам, если устройства имеют доступ к локальному контроллеру домена по UNC-пути.
Принтеры
Компьютеры, управляемые Майкрософт, не могут подключаться к принтерам, опубликованным в локальной службе Active Directory, если вы не настроили Hybrid Cloud Print.
Хотя принтеры не могут быть автоматически обнаружены только в облачной среде, пользователи могут использовать локальные принтеры, используя путь к принтеру или путь к очереди принтера, если устройства имеют доступ к локальному контроллеру домена.