本地资源的 SSO 在已加入 Microsoft Entra 的设备上如何工作

已加入 Microsoft Entra 的设备可为用户提供租户云应用的单一登录 (SSO) 体验。 如果环境具有本地 Active Directory 域服务 (AD DS),用户还可以通过 SSO 方式登录到依赖本地 Active Directory 域服务的资源和应用程序。

本文介绍它的工作原理。

先决条件

  • 已加入 Microsoft Entra 的设备
  • 本地 SSO 需要与本地 AD DS 域控制器进行视距通信。 如果已加入 Microsoft Entra 的设备未连接到组织的网络,需要 VPN 或其他网络基础结构。
  • Microsoft Entra Connect 或 Microsoft Entra Connect 云同步:同步默认用户属性,例如 SAM 帐户名称、域名和 UPN。 有关详细信息,请参阅 Microsoft Entra Connect 同步的属性一文。

工作原理

使用已加入 Microsoft Entra 的设备,用户已在环境享有云应用的 SSO 体验。 如果环境具 Microsoft Entra ID 和本地 AD DS,建议将 SSO 体验的范围扩展到本地业务线 (LOB) 应用、文件共享和打印机。

已加入 Microsoft Entra 的设备不了解你的本地 AD DS 环境,因为它们未加入其中。 但是,可以使用 Microsoft Entra Connect 向这些设备提供本地 AD 的其他信息。

Microsoft Entra Connect 或 Microsoft Entra Connect 云同步将你的本地身份信息同步到云。 作为同步过程的一部分,本地用户和域信息会同步到 Microsoft Entra ID。 当用户登录到混合环境中的已加入 Microsoft Entra 的设备时:

  1. Microsoft Entra ID 会将用户的本地域的详细信息以及主刷新令牌发送回设备
  2. 本地安全机构 (LSA) 服务在该设备允许进行 Kerberos 和 NTLM 身份验证。

注意

当使用向已加入 Microsoft Entra 的设备进行的无密码身份验证时,需要进行其他配置。

有关基于 FIDO2 安全密钥的无密码身份验证和 Windows Hello 企业版混合云信任,请参阅使用 Microsoft Entra ID 启用无密码安全密钥登录到本地资源

对于 Windows Hello 企业版云 Kerberos 信任,请参阅配置和预配 Windows Hello 企业版 - 云 Kerberos 信任

有关 Windows Hello 企业版混合密钥信任,请参阅使用 Windows Hello 企业版配置已加入 Microsoft Entra 的设备进行本地单一登录

有关 Windows Hello 企业版混合证书信任,请参阅将证书用于 AADJ 本地单一登录

在尝试访问请求 Kerberos 或 NTLM 的本地资源期间,设备:

  1. 向找到的 DC 发送本地域信息和用户凭据,以对用户进行身份验证。
  2. 基于本地资源或应用程序支持的协议,接收 Kerberos 票证授予票证 (TGT) 或 NTLM 令牌。 如果尝试为域获取 Kerberos TGT 或 NTLM 令牌失败,将尝试使用凭据管理器条目,或者用户可能会收到身份验证弹出窗口,请求提供目标资源的凭据。 此故障可能与 DCLocator 超时导致的延迟有关。

当用户尝试访问针对 Windows 集成身份验证配置的所有应用时,它们将顺利进行 SSO

提供的服务

使用 SSO,在已加入 Microsoft Entra 的设备上,可以:

  • 访问 AD 成员服务器上的 UNC 路径
  • 访问为 Windows 集成安全性配置的 AD DS 成员 Web 服务器

如果想要管理 Windows 设备的本地 AD,请安装远程服务器管理工具

可用工具如下:

  • Active Directory 用户和计算机 (ADUC) 管理单元管理所有 AD 对象。 但是,需要手动指定要连接到的域。
  • DHCP 管理单元用于管理已加入 AD 的 DHCP 服务器。 但是,可能需要指定 DHCP 服务器名称或地址。

要点

  • 可能需要在 Microsoft Entra Connect 中调整基于域的筛选,确保所需域的相关数据已同步(如果有多个域)。
  • 依赖 Active Directory 计算机身份验证的应用和资源无法正常运行,因为已加入 Microsoft Entra 的设备在 AD DS 中没有计算机对象。
  • 不能与已加入 Microsoft Entra 的设备上的其他用户共享文件。
  • 在已加入 Microsoft Entra 的设备上运行的应用程序可能会对用户进行身份验证。 他们必须使用隐式 UPN 或 NT4 类型语法,将域 FQDN 名称作为域部分,例如:user@contoso.corp.com 或 contoso.corp.com\user。
    • 如果应用程序使用 NETBIOS 或旧名称(如 contoso\user),则应用程序收到的错误将是 NT 错误 STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 或 Windows 错误 ERROR_BAD_VALIDATION_CLASS - 1348“请求的验证信息类无效”。即使能够解析旧域名,此错误仍会出现。

后续步骤

有关详细信息,请参阅什么是 Microsoft Entra ID 中的设备管理?