Поделиться через


Облачные конечные точки и локальные ресурсы

Совет

При чтении об облачных собственных конечных точках вы увидите следующие термины:

  • Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
  • Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
  • Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
  • Рабочая нагрузка: любая программа, служба или процесс.

Облачные конечные точки могут получать доступ к локальным ресурсам. В этой статье вы найдете более подробную информацию и ответы на некоторые распространенные вопросы.

Данная функция применяется к:

  • Облачные конечные точки Windows

Обзор облачных конечных точек и их преимуществ см. в статье Что такое облачные конечные точки..

Предварительные условия

Чтобы облачные конечные точки Windows могли получить доступ к локальным ресурсам и службам, которые используют локальную Active Directory (AD) для проверки подлинности, необходимы следующие предварительные условия:

  • Клиентские приложения должны использовать встроенную проверку подлинности Windows (WIA). Дополнительные сведения см. в статье Встроенная проверка подлинности Windows (WIA).

  • Настройте Microsoft Entra Connect. Microsoft Entra Connect синхронизирует учетные записи пользователей из локальной службы AD в Microsoft Entra. Дополнительные сведения см. в статье Синхронизация Microsoft Entra Connect. Общие сведения о синхронизации и настройке синхронизации.

    В Microsoft Entra Connect может потребоваться настроить фильтрацию на основе домена, чтобы убедиться, что необходимые данные доменов синхронизированы с Microsoft Entra.

  • Устройство имеет прямое подключение (напрямую или через VPN) к контроллеру домена из домена AD и со службой или ресурсом, к которому осуществляется доступ.

Аналогично локальным устройствам Windows

Для конечных пользователей собственная облачная конечная точка Windows ведет себя как любое другое локальное устройство Windows.

Ниже приведен общий набор локальных ресурсов, к которым пользователи могут получить доступ с устройств, присоединенных к Microsoft Entra:

  • Файловый сервер: с помощью SMB (блока сообщений сервера) можно сопоставить сетевой диск с сервером-членом домена, на котором размещена сетевая папка или NAS (сетевое хранилище).

    Пользователи могут сопоставлять диски с общими и личными документами.

  • Ресурс принтера на сервере-члене домена: пользователи могут печатать на своем локальном или ближайшем принтере.

  • Веб-сервер на сервере-члене домена, который использует встроенную безопасность Windows: пользователи могут получить доступ к любому Win32 или веб-приложению.

  • Хотите управлять локальным доменом AD из конечной точки, присоединенной к Microsoft Entra: установите средства удаленного администрирования сервера:

    • Используйте оснастку «Пользователи и компьютеры Active Directory» (ADUC) для администрирования всех объектов AD. Необходимо вручную ввести домен, к которому хотите подключиться.
    • Используйте оснастку DHCP для администрирования DHCP-сервера, присоединенного к AD. Может потребоваться ввести имя или адрес DHCP-сервера.

Совет

Чтобы понять, как устройства, присоединенные к Microsoft Entra, используют кэшированные учетные данные в облачном подходе, просмотрите ops108: внутренние элементы проверки подлинности Windows в гибридном мире (syfuhs.net) (открывает внешний веб-сайт).

Проверка подлинности и доступ к локальным ресурсам

Ниже описано, как конечная точка, присоединенная к Microsoft Entra, проходит проверку подлинности и обращается (на основе разрешений) к локальному ресурсу.

Ниже приведены общие сведения. Дополнительные сведения, включая подробную графику дорожки, описывающую весь процесс, см. в статьях Основной маркер обновления (PRT) и Microsoft Entra.

  1. При входе пользователей их учетные данные отправляются поставщику облачной проверки подлинности (CloudAP) и веб-диспетчеру учетных записей (WAM).

  2. Подключаемый модуль CloudAP отправляет учетные данные пользователя и устройства в Microsoft Entra. Или он выполняет проверку подлинности с помощью Windows Hello для бизнеса.

  3. Во время входа в Windows подключаемый модуль Microsoft Entra CloudAP запрашивает основной маркер обновления (PRT) у Microsoft Entra, используя учетные данные пользователя. Он также кэширует PRT, что позволяет кэшировать вход, когда у пользователей нет подключения к Интернету. Когда пользователи пытаются получить доступ к приложениям, подключаемый модуль Microsoft Entra WAM использует PRT для включения единого входа.

  4. Microsoft Entra проверяет подлинность пользователя и устройства и возвращает prt & маркер идентификатора. Маркер идентификатора содержит следующие атрибуты о пользователе:

    • sAMAccountName
    • netBIOSDomainName
    • dnsDomainName

    Эти атрибуты синхронизируются из локальной службы AD с помощью Microsoft Entra Connect.

    Поставщик проверки подлинности Kerberos получает учетные данные и атрибуты. На устройстве служба локальной системы подлинности Windows (LSA) включает проверку подлинности Kerberos и NTLM.

  5. Во время попытки получения доступа к локальному ресурсу, запрашивающему проверку подлинности Kerberos или NTLM, устройство использует атрибуты, связанные с доменным именем, для поиска контроллера домена (DC) с помощью локатора контроллеров домена.

    • Если контроллер домена найден, он отправляет учетные данные и sAMAccountName на контроллер домена для проверки подлинности.
    • При использовании Windows Hello для бизнеса выполняется PKINIT с сертификатом Windows Hello для бизнеса.
    • Если контроллер домена не найден, локальная проверка подлинности не выполняется.

    Примечание.

    PKINIT — это механизм предварительной проверки подлинности для Kerberos 5, который использует сертификаты X.509 для проверки подлинности центра распространения ключей (KDC) для клиентов и наоборот.

    MS-PKCA: криптография с открытым ключом для начальной проверки подлинности (PKINIT) в протоколе Kerberos

  6. Контроллер домена выполняет проверку подлинности пользователя. Контроллер домена возвращает билет на предоставление билетов Kerberos (TGT) или маркер NTLM на основе протокола, который поддерживает локальный ресурс или приложение. Windows кэширует возвращенный маркер TGT или NTLM для использования в будущем.

    Если попытка получить маркер Kerberos TGT или NTLM для домена не удалась (соответствующий тайм-аут DCLocator может вызвать задержку), диспетчер учетных данных Windows повторяет попытку. Или пользователь может получить всплывающее окно проверки подлинности с запросом учетных данных для локального ресурса.

  7. Все приложения, использующие встроенную проверку подлинности Windows (WIA), автоматически используют единый вход, когда пользователь пытается получить доступ к приложениям. WIA включает стандартную проверку подлинности пользователя в локальном домене AD с использованием NTLM или Kerberos при доступе к локальным службам или ресурсам.

    Дополнительные сведения см. в статье Как работает единый вход в локальные ресурсы на устройствах, присоединенных к Microsoft Entra.

    Важно подчеркнуть значение встроенной проверки подлинности Windows. Собственные облачные конечные точки просто «работают» с любым приложением, настроенным для WIA.

    Когда пользователи получают доступ к ресурсу, который использует WIA (файловый сервер, принтер, веб-сервер и т. д.), TGT обменивается билетом службы Kerberos, который является обычным рабочим процессом Kerberos.

Следуйте рекомендациям по облачным конечным точкам

  1. Обзор. Что такое облачные конечные точки?
  2. Руководство. Начало работы с облачными конечными точками Windows
  3. Концепция: присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra
  4. 🡺 Концепция: облачные конечные точки и локальные ресурсы (вы здесь)
  5. Руководство по планированию высокого уровня
  6. Известные проблемы и важные сведения

Полезные веб-ресурсы