Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Entra已加入的设备为用户提供租户云应用的单一登录(SSO)体验。 如果环境具有本地Active Directory Domain Services(AD DS),用户还可以 SSO 访问依赖于本地Active Directory Domain Services的资源和应用程序。
本文介绍它的工作原理。
先决条件
- 已加入Microsoft Entra设备。
- 本地 SSO 需要与本地 AD DS 域控制器进行视距通信。 如果Microsoft Entra加入的设备未连接到组织的网络,则需要 VPN 或其他网络基础结构。
- Microsoft Entra连接:同步 SAM 帐户名称、域名和 UPN 等默认用户属性。 有关详细信息,请参阅由 Microsoft Entra Connect 同步的 Attributes 一文。
工作原理
使用已连接到 Microsoft Entra 的设备,用户已有在云应用中的 SSO 体验。 如果环境具有Microsoft Entra ID和本地 AD DS,可能需要将 SSO 体验的范围扩展到本地业务线(LOB)应用、文件共享和打印机。
Microsoft Entra 已加入的设备对本地 AD DS 环境一无所知,因为它们未加入该环境。 但是,可以使用 Microsoft Entra Connect 向这些设备提供有关本地 AD 的其他信息。
Microsoft Entra Connect 将本地标识信息同步到云。 在同步过程中,本地用户和域信息将同步到Microsoft Entra ID。 当用户在混合环境中登录到已加入Microsoft Entra的设备时:
- Microsoft Entra ID将用户的本地域详细信息及Primary Refresh Token发送回设备。
- 本地安全机构 (LSA) 服务在该设备允许进行 Kerberos 和 NTLM 身份验证。
注意事项
使用无密码身份验证Microsoft Entra加入的设备时,需要进行其他配置。 有关 Windows Hello for Business 的云 Kerberos 信任,请参阅 配置和预配 Windows Hello for Business - 云 Kerberos 信任。
有关 Windows Hello for Business 混合密钥信任模型,请参阅 配置 Microsoft Entra 加入的设备以使用 Windows Hello for Business 进行本地单一登录。
有关 Windows Hello for Business 混合证书信任,请参阅 在 AADJ 本地单一登录中使用证书。
在尝试访问请求 Kerberos 或 NTLM 的内部本地资源时,设备:
- 向所定位的域控制器发送本地部署域信息和用户凭据,以进行用户身份验证。
- 基于本地资源或应用程序所支持的协议,接收 Kerberos 票证授予票证 (TGT) 或 NTLM 令牌。 如果尝试为域获取 Kerberos TGT 或 NTLM 令牌失败,将尝试使用凭据管理器中的条目,或者用户可能会收到身份验证对话框弹出窗口,要求提供目标资源的凭据。 此故障可能与 DCLocator 超时导致的延迟有关。
为 Windows 集成身份验证 配置的所有应用程序在用户尝试访问时将无缝获取 SSO。
您将获得的内容
使用 SSO,在已加入Microsoft Entra的设备上,可以:
- 访问 AD 成员服务器上的 UNC 路径
- 访问配置为Windows集成安全性的 AD DS 成员 Web 服务器
如果要从 Windows 设备管理本地 AD,请安装 Remote 服务器管理工具。
可用工具如下:
- 用于管理所有 AD 对象的Active Directory Users and Computers(ADUC)管理单元。 但是,需要手动指定要连接到的域。
- 用于管理已加入 AD 的 DHCP 服务器的 DHCP 管理插件。 但是,可能需要指定 DHCP 服务器名称或地址。
您需要了解的内容
- 可能需要在 Microsoft Entra Connect 中调整基于域的筛选,以确保在存在多个域的情况下,关于必要域的数据能够被同步。
- 依赖于Active Directory计算机身份验证的应用和资源不起作用,因为Microsoft Entra联接的设备在 AD DS 中没有计算机对象。
- 无法在已加入Microsoft Entra的设备上与其他用户共享文件。
- 在已加入Microsoft Entra的设备上运行的应用程序可能会对用户进行身份验证。 他们必须使用隐式 UPN 或 NT4 类型语法,将域 FQDN 名称作为域部分,例如:user@contoso.corp.com 或 contoso.corp.com\user。
- 如果应用程序使用 NETBIOS 或旧名称(如 contoso\user),则应用程序获取的错误可能是 NT 错误STATUS_BAD_VALIDATION_CLASS - 0xc00000a7或Windows错误ERROR_BAD_VALIDATION_CLASS - 1348“请求的验证信息类无效”。即使可以解决旧域名,也会发生此错误。
后续步骤
有关详细信息,请参阅 Microsoft Entra ID 中的设备管理是什么?