Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Устройства, присоединенные к Microsoft Entra, предоставляют пользователям возможность единого входа в облачные приложения клиента. Если в вашей среде есть локальные доменные службы Active Directory (AD DS), пользователи также могут выполнять единый вход в ресурсы и приложения, использующие локальные доменные службы Active Directory.
В этой статье описано, как это работает.
Предварительные условия
- An Microsoft Entra joined device.
- On-premises SSO requires line-of-sight communication with your on-premises AD DS domain controllers. Если устройства, присоединенные к Microsoft Entra, не подключены к сети вашей организации, требуется VPN или другая сетевая инфраструктура.
- Microsoft Entra Connect or Microsoft Entra Cloud Sync: To synchronize default user attributes like SAM Account Name, Domain Name, and UPN. Дополнительные сведения см. в статье "Атрибуты, синхронизированные Microsoft Entra Connect".
Принцип работы
Устройства, присоединенные к Microsoft Entra, уже предоставляют пользователям опыт единого входа в облачные приложения в вашей среде. If your environment has Microsoft Entra ID and on-premises AD DS, you might want to expand the scope of your SSO experience to your on-premises Line Of Business (LOB) apps, file shares, and printers.
Присоединенные к Microsoft Entra устройства не имеют знаний о локальной среде AD DS, так как они не присоединяются к нему. Однако вы можете предоставить дополнительные сведения о вашем локальном AD этим устройствам с помощью Microsoft Entra Connect.
Microsoft Entra Connect or Microsoft Entra Cloud Sync synchronize your on-premises identity information to the cloud. В рамках процесса синхронизации локальные сведения о пользователе и домене синхронизируются с идентификатором Microsoft Entra. Когда пользователь входит на устройство, присоединенное к Microsoft Entra, в гибридной среде:
- Microsoft Entra ID sends the details of the user's on-premises domain back to the device, along with the Primary Refresh Token
- Служба локальной системы безопасности обеспечивает аутентификацию Kerberos и NTLM на устройстве.
Примечание.
Дополнительная конфигурация необходима, если используется безпарольная проверка подлинности в устройствах, присоединенных к Microsoft Entra.
Сведения о проверке подлинности без пароля на основе ключа безопасности FIDO2 и Windows Hello для бизнеса в гибридном облачном доверии см. в статье "Включение входа без пароля в локальные ресурсы с помощью Microsoft Entra ID".
Сведения о Windows Hello для бизнеса с облачным доверием Kerberos см. в разделе Настройка и подготовка Windows Hello для бизнеса - облачное доверие Kerberos.
For Windows Hello for Business Hybrid Key Trust, see Configure Microsoft Entra joined devices for On-premises Single-Sign On using Windows Hello for Business.
For Windows Hello for Business Hybrid Certificate Trust, see Using Certificates for AADJ On-premises Single-sign On.
During an access attempt to an on-premises resource requesting Kerberos or NTLM, the device:
- Sends the on-premises domain information and user credentials to the located DC to get the user authenticated.
- Receives a Kerberos Ticket-Granting Ticket (TGT) or NTLM token based on the protocol the on-premises resource or application supports. If the attempt to get the Kerberos TGT or NTLM token for the domain fails, Credential Manager entries are tried, or the user might receive an authentication pop-up requesting credentials for the target resource. Этот сбой может быть связан с задержкой, вызванной тайм-аутом DCLocator.
Все приложения, на которых настроена встроенная проверка подлинности Windows, автоматически обеспечивают единый вход, когда пользователь обращается к ним.
Что вы получаете
С помощью единого входа (SSO) на устройстве, подключенном к Microsoft Entra, вы можете:
- Access a UNC path on an AD member server
- Доступ к веб-серверу-члену AD DS, настроенном для безопасности, интегрированной с Windows
Если вы хотите управлять локальной службой AD с устройства Windows, установите средства удаленного администрирования сервера.
Вы можете использовать:
- The Active Directory Users and Computers (ADUC) snap-in to administer all AD objects. Но для этого нужно вручную указать домен, к которому вы хотите подключиться.
- The DHCP snap-in to administer an AD-joined DHCP server. Однако может потребоваться указать имя или адрес DHCP-сервера.
Что нужно знать
- Возможно, потребуется настроить фильтрацию на основе домена в Microsoft Entra Connect, чтобы убедиться, что данные о обязательных доменах синхронизируются, если у вас несколько доменов.
- Приложения и ресурсы, зависящие от проверки подлинности компьютера Active Directory, не работают, так как устройства, присоединенные к Microsoft Entra, не имеют объекта компьютера в AD DS.
- Вы не можете совместно использовать файлы с другими пользователями на устройстве, присоединенном к Microsoft Entra.
- Приложения, работающие на устройстве, присоединенном к Microsoft Entra, могут проходить проверку подлинности пользователей. Они должны использовать неявный UPN или синтаксис типа NT4 с полным доменным именем (FQDN) в качестве доменной части, например: [email protected] или contoso.corp.com\user.
- If applications use the NETBIOS or legacy name like contoso\user, the errors the application gets would be either, NT error STATUS_BAD_VALIDATION_CLASS - 0xc00000a7, or Windows error ERROR_BAD_VALIDATION_CLASS - 1348 "The validation information class requested was invalid." This error happens even if you can resolve the legacy domain name.
Следующие шаги
Дополнительные сведения см. в разделе "Что такое управление устройствами в идентификаторе Microsoft Entra?