本地资源的 SSO 在已加入 Microsoft Entra 的设备上如何工作

已加入 Microsoft Entra 的设备可为用户提供租户云应用的单一登录 (SSO) 体验。如果环境具有本地 Active Directory 域服务 (AD DS)，用户还可以通过 SSO 方式登录到依赖本地 Active Directory 域服务的资源和应用程序。

本文介绍它的工作原理。

先决条件

已加入 Microsoft Entra 的设备。
本地 SSO 需要与本地 AD DS 域控制器进行视距通信。如果已加入 Microsoft Entra 的设备未连接到组织的网络，需要 VPN 或其他网络基础结构。
Microsoft Entra Connect：同步默认的用户属性，例如 SAM 帐户名称、域名和 UPN。有关详细信息，请参阅 Microsoft Entra Connect 同步的属性一文。

使用已加入 Microsoft Entra 的设备，用户已在环境享有云应用的 SSO 体验。如果环境具 Microsoft Entra ID 和本地 AD DS，建议将 SSO 体验的范围扩展到本地业务线 (LOB) 应用、文件共享和打印机。

已加入 Microsoft Entra 的设备不了解你的本地 AD DS 环境，因为它们未加入其中。但是，可以使用 Microsoft Entra Connect 向这些设备提供本地 AD 的其他信息。

Microsoft Entra Connect 可将本地的标识信息同步到云。作为同步过程的一部分，本地用户和域信息会同步到 Microsoft Entra ID。当用户登录到混合环境中的已加入 Microsoft Entra 的设备时：

注意

当使用向已加入 Microsoft Entra 的设备进行的无密码身份验证时，需要进行其他配置。对于 Windows Hello 企业版云 Kerberos 信任，请参阅配置和预配 Windows Hello 企业版 - 云 Kerberos 信任。

有关 Windows Hello 企业版混合证书信任，请参阅将证书用于 AADJ 本地单一登录。

在尝试访问请求 Kerberos 或 NTLM 的本地资源期间，设备：

向找到的 DC 发送本地域信息和用户凭据，以对用户进行身份验证。
基于本地资源或应用程序支持的协议，接收 Kerberos 票证授予票证 (TGT) 或 NTLM 令牌。如果尝试为域获取 Kerberos TGT 或 NTLM 令牌失败，将尝试使用凭据管理器条目，或者用户可能会收到身份验证弹出窗口，请求提供目标资源的凭据。此故障可能与 DCLocator 超时导致的延迟有关。

当用户尝试访问针对 Windows 集成身份验证配置的所有应用时，它们将顺利进行 SSO。

使用 SSO，在已加入 Microsoft Entra 的设备上，可以：

如果想要管理 Windows 设备的本地 AD，请安装远程服务器管理工具。

可用工具如下：

可能需要在 Microsoft Entra Connect 中调整基于域的筛选，确保所需域的相关数据已同步（如果有多个域）。
依赖 Active Directory 计算机身份验证的应用和资源无法正常运行，因为已加入 Microsoft Entra 的设备在 AD DS 中没有计算机对象。
不能与已加入 Microsoft Entra 的设备上的其他用户共享文件。
在已加入 Microsoft Entra 的设备上运行的应用程序可能会对用户进行身份验证。他们必须使用隐式 UPN 或 NT4 类型语法，将域 FQDN 名称作为域部分，例如：user@contoso.corp.com 或 contoso.corp.com\user。
- 如果应用程序使用 NETBIOS 或旧名称（如 contoso\user），则应用程序收到的错误将是 NT 错误 STATUS_BAD_VALIDATION_CLASS - 0xc00000a7 或 Windows 错误 ERROR_BAD_VALIDATION_CLASS - 1348“请求的验证信息类无效”。即使可以解析旧域名，也会发生此错误。