Så fungerar enkel inloggning till lokala resurser på Microsoft Entra-anslutna enheter
Microsoft Entra-anslutna enheter ger användarna en SSO-upplevelse (enkel inloggning) till klientorganisationens molnappar. Om din miljö har lokalt installerade Active Directory-domänstjänster (AD DS) kan användarna också använda enkel inloggning till resurser och program som är beroende av de lokalt installerade Active Directory-domänstjänsterna.
I den här artikeln beskrivs hur detta fungerar.
Förutsättningar
- En Microsoft Entra-ansluten enhet.
- Lokal enkel inloggning kräver siktlinjekommunikation med dina lokala AD DS-domänkontrollanter. Om Microsoft Entra-anslutna enheter inte är anslutna till organisationens nätverk krävs en VPN- eller annan nätverksinfrastruktur.
- Microsoft Entra Connect- eller Microsoft Entra Connect-molnsynkronisering: Synkronisera standardanvändarattribut som SAM-kontonamn, domännamn och UPN. Mer information finns i artikeln Attribut som synkroniseras av Microsoft Entra Connect.
Hur det fungerar
Med en Microsoft Entra-ansluten enhet har användarna redan en SSO-upplevelse för molnapparna i din miljö. Om din miljö har Microsoft Entra-ID och lokal AD DS kanske du vill utöka omfattningen för din SSO-upplevelse till dina lokala verksamhetsspecifika appar, filresurser och skrivare.
Microsoft Entra-anslutna enheter har ingen kunskap om din lokala AD DS-miljö eftersom de inte är anslutna till den. Du kan dock ge ytterligare information om din lokala AD till dessa enheter med Microsoft Entra Connect.
Microsoft Entra Connect- eller Microsoft Entra Connect-molnsynkronisering synkroniserar din lokala identitetsinformation till molnet. Som en del av synkroniseringsprocessen synkroniseras lokal användar- och domäninformation till Microsoft Entra-ID. När en användare loggar in på en Microsoft Entra-ansluten enhet i en hybridmiljö:
- Microsoft Entra-ID skickar tillbaka information om användarens lokala domän till enheten, tillsammans med den primära uppdateringstoken
- Tjänsten lokal säkerhetsmyndighet (LSA) aktiverar Kerberos- och NTLM-autentisering på enheten.
Anteckning
Ytterligare konfiguration krävs när lösenordslös autentisering till Microsoft Entra-anslutna enheter används.
Information om FIDO2-säkerhetsnyckelbaserad lösenordsfri autentisering och Windows Hello för företag Hybrid Cloud Trust finns i Aktivera lösenordsfri inloggning av säkerhetsnyckeln till lokala resurser med Microsoft Entra-ID.
Information om Windows Hello för företag Cloud Kerberos Trust finns i Konfigurera och etablera Windows Hello för företag – Cloud Kerberos-förtroende.
Information om Windows Hello för företag Hybrid Key Trust finns i Konfigurera Microsoft Entra-anslutna enheter för lokal enkel inloggning med hjälp av Windows Hello för företag.
För Windows Hello för företag - hybridcertifikattroende, se Använda certifikat för lokal AADJ-enkel inloggning.
Under ett åtkomstförsök till en lokal resurs som begär Kerberos eller NTLM, enheten:
- Skickar den lokala domäninformationen och användarautentiseringsuppgifterna till den lokaliserade domänkontrollanten för att få användaren autentiserad.
- Tar emot en Kerberos-biljettbeviljande biljett (TGT) eller NTLM-token baserat på protokollet som den lokala resursen eller programmet stöder. Om försöket att hämta Kerberos TGT- eller NTLM-token för domänen misslyckas, testas inloggningshanterarens poster, eller så kan användaren få ett popup-fönster som begär autentiseringsuppgifter för målresursen. Det här felet kan bero på en fördröjning som orsakas av en timeout för DCLocator.
Alla appar som är konfigurerade för Windows-integrerad autentisering får sömlös enkel inloggning när en användare försöker komma åt dem.
Vad du får
Med enkel inloggning kan du på en Microsoft Entra-ansluten enhet:
- Få åtkomst till en UNC-sökväg på en AD-medlemsserver
- Få åtkomst till en AD DS-medlemswebbserver som konfigurerats för Windows-integrerad säkerhet
Om du vill hantera din lokala AD från en Windows-enhet installerar du verktygen för fjärrserveradministration.
Du kan använda:
- Snapin-modulen Active Directory - Användare och Datorer (ADUC) används för att administrera alla AD-objekt. Du måste dock ange den domän som du vill ansluta till manuellt.
- DHCP-snapin-modulen för att administrera en AD-ansluten DHCP-server. Du kan dock behöva ange DHCP-serverns namn eller adress.
Det här bör du känna till
- Du kan behöva justera din domänbaserade filtrering i Microsoft Entra Connect för att säkerställa att data om de nödvändiga domänerna synkroniseras om du har flera domäner.
- Appar och resurser som är beroende av Active Directory-datorautentisering fungerar inte eftersom Microsoft Entra-anslutna enheter inte har något datorobjekt i AD DS.
- Du kan inte dela filer med andra användare på en Microsoft Entra-ansluten enhet.
- Program som körs på din Microsoft Entra-anslutna enhet kan autentisera användare. De måste använda implicit UPN eller NT4-typsyntaxen med domänens FQDN-namn som domändel, till exempel: user@contoso.corp.com eller contoso.corp.com\användare.
- Om program använder NETBIOS eller äldre namn som contoso\user, skulle de fel som programmet får vara antingen, NT-fel STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 eller Windows-fel ERROR_BAD_VALIDATION_CLASS – 1348 "Den begärda valideringsinformationsklassen var ogiltig". Det här felet inträffar även om du kan lösa det äldre domännamnet.
Nästa steg
Mer information finns i Vad är enhetshantering i Microsoft Entra-ID?