Dela via


Så fungerar enkel inloggning till lokala resurser på Microsoft Entra-anslutna enheter

Microsoft Entra-anslutna enheter ger användarna en SSO-upplevelse (enkel inloggning) till klientorganisationens molnappar. Om din miljö har lokalt installerade Active Directory-domänstjänster (AD DS) kan användarna också använda enkel inloggning till resurser och program som är beroende av de lokalt installerade Active Directory-domänstjänsterna.

I den här artikeln beskrivs hur detta fungerar.

Förutsättningar

  • En Microsoft Entra-ansluten enhet.
  • Lokal enkel inloggning kräver siktlinjekommunikation med dina lokala AD DS-domänkontrollanter. Om Microsoft Entra-anslutna enheter inte är anslutna till organisationens nätverk krävs en VPN- eller annan nätverksinfrastruktur.
  • Microsoft Entra Connect- eller Microsoft Entra Connect-molnsynkronisering: Synkronisera standardanvändarattribut som SAM-kontonamn, domännamn och UPN. Mer information finns i artikeln Attribut som synkroniseras av Microsoft Entra Connect.

Hur det fungerar

Med en Microsoft Entra-ansluten enhet har användarna redan en SSO-upplevelse för molnapparna i din miljö. Om din miljö har Microsoft Entra-ID och lokal AD DS kanske du vill utöka omfattningen för din SSO-upplevelse till dina lokala verksamhetsspecifika appar, filresurser och skrivare.

Microsoft Entra-anslutna enheter har ingen kunskap om din lokala AD DS-miljö eftersom de inte är anslutna till den. Du kan dock ge ytterligare information om din lokala AD till dessa enheter med Microsoft Entra Connect.

Microsoft Entra Connect- eller Microsoft Entra Connect-molnsynkronisering synkroniserar din lokala identitetsinformation till molnet. Som en del av synkroniseringsprocessen synkroniseras lokal användar- och domäninformation till Microsoft Entra-ID. När en användare loggar in på en Microsoft Entra-ansluten enhet i en hybridmiljö:

  1. Microsoft Entra-ID skickar tillbaka information om användarens lokala domän till enheten, tillsammans med den primära uppdateringstoken
  2. Tjänsten lokal säkerhetsmyndighet (LSA) aktiverar Kerberos- och NTLM-autentisering på enheten.

Anteckning

Ytterligare konfiguration krävs när lösenordslös autentisering till Microsoft Entra-anslutna enheter används.

Information om FIDO2-säkerhetsnyckelbaserad lösenordsfri autentisering och Windows Hello för företag Hybrid Cloud Trust finns i Aktivera lösenordsfri inloggning av säkerhetsnyckeln till lokala resurser med Microsoft Entra-ID.

Information om Windows Hello för företag Cloud Kerberos Trust finns i Konfigurera och etablera Windows Hello för företag – Cloud Kerberos-förtroende.

Information om Windows Hello för företag Hybrid Key Trust finns i Konfigurera Microsoft Entra-anslutna enheter för lokal enkel inloggning med hjälp av Windows Hello för företag.

För Windows Hello för företag - hybridcertifikattroende, se Använda certifikat för lokal AADJ-enkel inloggning.

Under ett åtkomstförsök till en lokal resurs som begär Kerberos eller NTLM, enheten:

  1. Skickar den lokala domäninformationen och användarautentiseringsuppgifterna till den lokaliserade domänkontrollanten för att få användaren autentiserad.
  2. Tar emot en Kerberos-biljettbeviljande biljett (TGT) eller NTLM-token baserat på protokollet som den lokala resursen eller programmet stöder. Om försöket att hämta Kerberos TGT- eller NTLM-token för domänen misslyckas, testas inloggningshanterarens poster, eller så kan användaren få ett popup-fönster som begär autentiseringsuppgifter för målresursen. Det här felet kan bero på en fördröjning som orsakas av en timeout för DCLocator.

Alla appar som är konfigurerade för Windows-integrerad autentisering får sömlös enkel inloggning när en användare försöker komma åt dem.

Vad du får

Med enkel inloggning kan du på en Microsoft Entra-ansluten enhet:

  • Få åtkomst till en UNC-sökväg på en AD-medlemsserver
  • Få åtkomst till en AD DS-medlemswebbserver som konfigurerats för Windows-integrerad säkerhet

Om du vill hantera din lokala AD från en Windows-enhet installerar du verktygen för fjärrserveradministration.

Du kan använda:

  • Snapin-modulen Active Directory - Användare och Datorer (ADUC) används för att administrera alla AD-objekt. Du måste dock ange den domän som du vill ansluta till manuellt.
  • DHCP-snapin-modulen för att administrera en AD-ansluten DHCP-server. Du kan dock behöva ange DHCP-serverns namn eller adress.

Det här bör du känna till

  • Du kan behöva justera din domänbaserade filtrering i Microsoft Entra Connect för att säkerställa att data om de nödvändiga domänerna synkroniseras om du har flera domäner.
  • Appar och resurser som är beroende av Active Directory-datorautentisering fungerar inte eftersom Microsoft Entra-anslutna enheter inte har något datorobjekt i AD DS.
  • Du kan inte dela filer med andra användare på en Microsoft Entra-ansluten enhet.
  • Program som körs på din Microsoft Entra-anslutna enhet kan autentisera användare. De måste använda implicit UPN eller NT4-typsyntaxen med domänens FQDN-namn som domändel, till exempel: user@contoso.corp.com eller contoso.corp.com\användare.
    • Om program använder NETBIOS eller äldre namn som contoso\user, skulle de fel som programmet får vara antingen, NT-fel STATUS_BAD_VALIDATION_CLASS – 0xc00000a7 eller Windows-fel ERROR_BAD_VALIDATION_CLASS – 1348 "Den begärda valideringsinformationsklassen var ogiltig". Det här felet inträffar även om du kan lösa det äldre domännamnet.

Nästa steg

Mer information finns i Vad är enhetshantering i Microsoft Entra-ID?