准备对本地资源的访问

在 Microsoft 托管桌面中,设备会自动加入到 entra ID Microsoft。 出于此原因,如果使用本地 Active Directory,必须确保加入到 Microsoft Entra ID 的设备能够与本地 Active Directory 通信。

注意

混合 Microsoft托管桌面不支持 entra 联接Microsoft。

Microsoft Entra ID 允许用户利用单 Sign-On (SSO) 。 单一登录意味着他们通常不必在每次使用资源时都提供凭据。

有关联接Microsoft Entra ID 的信息,请参阅 如何:规划Microsoft Entra 联接实现。 有关加入 Microsoft Entra ID 的设备上的单 Sign-On (SSO) 的背景信息,请参阅 如何在本地资源上使用 SSO Microsoft Entra 联接的设备

本文介绍为确保应用和其他依赖于本地 Active Directory 连接的资源能够顺利地使用Microsoft 托管桌面而必须检查的事项。

本地资源的单一登录

使用 UPN 和密码的单一登录 (SSO) 默认在Microsoft 托管桌面设备上启用。 但是用户也可以使用 Windows Hello 企业版,这需要一些额外的设置步骤。

使用 UPN 和密码的单一登录

在大多数组织中,用户将能够使用 SSO 在Microsoft 托管桌面设备上通过 UPN 和密码进行身份验证。 若要确保此功能正常工作,应仔细检查以下事项:

  • 确认Microsoft Entra Connect 已设置。 它必须使用运行 Windows Server 2008 R2 或更高版本的本地 Active Directory 服务器。
  • 确认Microsoft Entra Connect 正在运行受支持的版本。 必须将其设置为将这三个属性与 Microsoft Entra ID 同步:
    • 本地 Active Directory(用户所在的位置)的 DNS 域名。
    • 本地 Active Directory(用户所在的位置)的 NetBIOS。
    • 用户的 SAM 帐户名。

使用 Windows Hello 企业版的单一登录

Microsoft 托管桌面设备还通过使用Windows Hello 企业版为用户提供快速、无密码的体验。 若要确保 Windows Hello 企业版无需用户提供相应的 UPN 和密码即可工作,请访问 为本地配置已加入 Microsoft Entra 的设备 Single-Sign 使用 Windows Hello 企业版 检查要求,然后按照其中提供的步骤进行操作。

使用身份验证的应用和资源

有关设置应用以使用 Microsoft Entra ID 的完整指南,请参阅了解 Azure 内容集中 的应用程序和资源注意事项 。 摘要:

应用或服务 任务
基于云的应用 如果使用 基于云的应用(例如添加到 Microsoft Entra 应用库的应用),则大多数应用无需进行任何进一步的准备,就能使用 Microsoft 托管桌面。 但是,不使用 Web 帐户管理器的任何 Win32 应用 (WAM) 仍可能提示用户进行身份验证。
本地托管的应用 对于本地托管的应用,请务必将这些应用添加到浏览器中的受信任站点列表。 此步骤将使 Windows 身份验证无缝工作,而不会提示用户输入凭据。 若要添加应用,请参阅可配置设置引用中的受信任站点
Active Directory 联合身份验证服务 如果使用的是 Active Directory 联合身份服务,请按照使用 AD FS 验证和管理单一登录中的步骤检查是否启用了 SSO。
使用旧协议的本地应用 对于使用旧协议的本地应用,只要设备有权访问本地域控制器进行身份验证,就不需要额外的设置。 但是,若要为这些应用程序提供安全访问,应部署Microsoft Entra 应用程序代理。 有关详细信息,请参阅 通过 Microsoft Entra 应用程序代理远程访问本地应用程序
具有计算机身份验证的本地应用 不支持在本地运行并依赖于计算机身份验证的应用,因此应考虑将它们替换为较新的版本。

使用身份验证的网络共享

只要设备可以使用 UNC 路径访问本地域控制器,用户就无需进行额外设置即可访问网络共享。

打印机

除非配置了混合云打印,否则 Microsoft 托管桌面设备无法连接到发布到本地 Active Directory 的打印机。

虽然打印机不能在仅限云的环境中自动发现,但只要设备有权访问本地域控制器,用户就可以使用打印机路径或打印机队列路径来使用本地打印机。