Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ange enkel inloggning för lokala resurser som publicerats via Microsoft Entra privatåtkomst. Microsoft Entra privatåtkomst använder Kerberos för att stödja dessa resurser. Valfritt kan du använda Windows Hello för företagets moln-Kerberos-förtroende för att tillåta enkel inloggning för användare.
Förutsättningar
Innan du kommer igång med enkel inloggning kontrollerar du att din miljö är klar.
- En skog i Active Directory. Guiden använder ett skogsdomännamn som kan resolvas offentligt. En offentligt löst domän är dock inte ett krav.
- Du har aktiverat Microsoft Entra Private Access vidarebefordringsprofil.
- Den senaste versionen av Microsoft Entra privatåtkomst-anslutningsappen är installerad på en Windows-server som har åtkomst till dina domänkontrollanter.
- Den senaste versionen av Global Secure Access-klienten. Mer information om klienten finns i Global Secure Access-klienter.
Publicera resurser för användning med enkel inloggning
För att testa enkel inloggning skapar du en ny företagsapplikation som publicerar en fildelning. Med hjälp av ett företagsprogram för att publicera filresursen kan du tilldela en princip för villkorsstyrd åtkomst till resursen och framtvinga extra säkerhetskontroller, till exempel multifaktorautentisering.
- Logga in på Microsoft Entra som minst en programadministratör.
- Bläddra till Global säker åtkomst>Program>Företagsprogram.
- Välj Nytt program.
- Lägg till ett nytt appsegment med IP-adressen för filservern med hjälp av porten
445/TCPoch välj sedan Spara. SMB-protokollet (Server Message Block) använder porten. - Öppna det företagsprogram som du skapade och välj Användare och grupper för att tilldela åtkomst till resursen.
Microsoft Entra ID-anslutna enheter – Lösenordsbaserad enkel inloggning
Extra konfiguration utöver den här guiden behövs inte om användarna använder lösenord för att logga in i Windows.
Microsoft Entra ID-anslutna enheter förlitar sig på Active Directory-domänen och användarinformationen som synkroniseras av Microsoft Entra ID Connect. Positioneraren för Windows-domänkontrollanten hittar domänkontrollanterna på grund av synkroniseringen. Användarens användarhuvudnamn (UPN) och lösenord används för att begära en Kerberos-biljettbeviljande biljett (TGT). Mer information om det här flödet finns i Så här fungerar enkel inloggning till lokala resurser på Microsoft Entra-anslutna enheter.
Microsoft Entra ID-anslutna och Microsoft Entra ID-hybridanslutna enheter – Windows Hello for Business enkel inloggning
Extra konfiguration utöver den här guiden krävs för Windows Hello för företag.
Distribution av Hybrid Cloud Kerberos Trust med Microsoft Entra-ID rekommenderas. Enheter som använder Kerberos-molnförtroende får en TGT-biljett som används för enkel inloggning. Mer information om Kerberos-molnförtroende finns i Aktivera inloggning med lösenordslös säkerhetsnyckel till lokala resurser med hjälp av Microsoft Entra-ID.
Distribuera Windows Hello för Företag Kerberos-molnförtroende med on-premises Active Directory.
- Skapa Kerberos-serverobjektet för Microsoft Entra ID. Information om hur du skapar objektet finns i Installera modulen AzureADHybridAuthenticationManagement.
- Aktivera WHfB Cloud Trust på dina enheter med Intune- eller Gruppolicyer. Mer information om hur du aktiverar WHfB finns i Cloud Kerberos förtroendeinstallationsguide.
Publicera domänkontrollanter
För att klienter ska kunna hämta Kerberos-biljetter måste domänkontrollanter publiceras. Biljetterna krävs för enkel inloggning till lokala resurser.
Publicera åtminstone alla domänkontrollanter som är konfigurerade på den Active Directory-plats där dina privata åtkomstanslutningar är installerade. Om dina privata åtkomstanslutningar till exempel finns i ditt Datacenter i Brisbane publicerar du alla domänkontrollanter i Brisbanes datacenter.
Domänkontrollantportarna krävs för att aktivera enkel inloggning till lokala resurser.
| Hamn | Protokoll | Syfte |
|---|---|---|
| 88 | Användardatagramprotokoll (UDP)/TCP (Transmission Control Protocol) | Kerberos |
| 123 | UDP (användardatagramprotokoll) | Network Time Protocol (NTP) |
| 135 | UDP/TCP | Domänkontrollant till domänkontrollant och klient till domänkontrollant operationer |
| 138 | UDP (användardatagramprotokoll) | Filreplikeringstjänst mellan domänkontrollanter |
| 139 | TCP | Filreplikeringstjänst mellan domänkontrollanter |
| 389 | UDP (användardatagramprotokoll) | DC-lokaliserare |
| 445 | UDP/TCP | Replikering, användar- och datorautentisering, grupprincip |
| 464 | UDP/TCP | Begäran om lösenordsändring |
| 636 | TCP | LDAP med SSL |
| 1025-5000 | UDP/TCP | Tillfälliga portar, innehåller 3268-3269 TCP som används för global katalog från klient till domänkontrollant |
| 49152-65535 | UDP/TCP | Tillfälliga portar |
Anteckning
Guiden fokuserar på att aktivera enkel inloggning till lokala resurser och exkluderar konfiguration som krävs för att Windows domänanslutna klienter ska kunna utföra domänåtgärder (lösenordsändring, grupprincip osv.). Mer information om portkrav för Windows-nätverk finns i Tjänstöversikt och nätverksportkrav för Windows
- Logga in på Microsoft Entra som minst en programadministratör.
- Bläddra till Global säker åtkomst>Program>Företagsprogram.
- Välj Nytt program för att skapa ett nytt program för att publicera dina domänkontrollanter.
- Välj Lägg till programsegment och lägg sedan till alla dina domänkontrollanters IP-adresser eller fullständigt kvalificerade domännamn (FQDN) och portar enligt tabellen. Endast domänkontrollanterna på Active Directory-platsen där anslutningskontakterna för privat åtkomst finns ska publiceras.
Anteckning
Se till att du inte använder jokertecken-FQDN för att publicera dina domänkontrollanter, i stället lägger du till deras specifika IP-adresser eller FQDN.
När företagsprogrammet har skapats bläddrar du tillbaka till appen och väljer Användare och grupper. Lägg till alla användare som synkroniserats från Active Directory.
Publicera DNS-suffix
Konfigurera privat DNS så att Global Secure Access-klienter kan lösa privata DNS-namn. Privat DNS namn krävs för enkel inloggning. Klienterna använder dem för att komma åt publicerade lokala resurser. Mer information om Privat DNS med snabbåtkomst finns i how-to-configure-quick-access.md#add-private-dns-suffixes.
- Bläddra till Global Secure Access>Applikationer>Snabbåtkomst.
- Välj fliken Privat DNS och välj sedan Aktivera Privat DNS.
- Välj Lägg till DNS-suffix. Lägg till toppnivåsuffixen för dina Active Directory-skogar som innehåller användare som synkroniseras till Microsoft Entra-ID.
- Välj Spara.
Så här använder du Kerberos SSO för att komma åt en SMB-filresurs
Det här diagrammet visar hur Microsoft Entra privatåtkomst fungerar när du försöker komma åt en SMB-filresurs från en Windows-enhet som har konfigurerats med Windows Hello för företag + Cloud Trust. I det här exemplet har administratören konfigurerat snabbåtkomst Privat DNS och två företagsappar – en för domänkontrollanterna och en för SMB-filresursen.
| Steg | beskrivning |
|---|---|
| A | Användaren försöker komma åt SMB-filresursen med hjälp av FQDN. GSA-klienten fångar upp trafiken och tunnlar den till SSE Edge. Auktoriseringsprinciper i Microsoft Entra ID utvärderas och tillämpas, till exempel om användaren har tilldelats programmet och villkorlig åtkomst. När användaren har auktoriserats utfärdar Microsoft Entra-ID en token för SMB Enterprise-programmet. Trafiken tillåts fortsätta till tjänsten för privat åtkomst tillsammans med applikationens åtkomsttoken. Tjänsten Private Access verifierar åtkomsttokenet och anslutningen förmedlas till privat åtkomst backtjänst. Anslutningen förmedlas sedan till den privata nätverkskopplaren. |
| B | Den privata nätverksanslutningen utför en DNS-fråga för att identifiera IP-adressen för målservern. DNS-tjänsten i det privata nätverket skickar svaret. Private Network Connector försöker komma åt mål-SMB-filresursen som sedan begär Kerberos-autentisering. |
| C | Klienten genererar en SRV DNS-fråga för att hitta domänkontrollanter. Fas A upprepas, fångar upp DNS-frågan och auktoriserar användaren för snabbåtkomstprogrammet. Anslutningsprogrammet för privat nätverk skickar SRV DNS-frågan till det privata nätverket. DNS-tjänsten skickar DNS-svaret till klienten via anslutningsprogrammet för privat nätverk. |
| D | Den Windows-enheten begär en partiell TGT, även kallad Cloud TGT, från Microsoft Entra ID (om den inte redan har en). Microsoft Entra ID utfärdar en partiell TGT. |
| E | Windows initierar en DC locator-anslutning via UDP-port 389 med varje domänkontrollant som anges i DNS-svaret från fas C. Fas A upprepas, genom att DC locator-trafiken fångas upp och användaren auktoriseras för företagsapplikationen som publicerar de lokala domänkontrollerna. Den privata nätverksanslutningsappen skickar dc-positionerarens trafik till varje domänkontrollant. Svaren vidarebefordras tillbaka till klienten. Windows väljer och cachelagrar domänkontrollanten med det snabbaste svaret. |
| F | Klienten byter ut den partiella TGT:en mot en fullständig TGT. Den fullständiga TGT-filen används sedan för att begära och ta emot en TGS för SMB-filresursen. |
| G | Klienten presenterar TGS för SMB-fildelningen. SMB-filresursdelningen verifierar den TGS. Åtkomst till filresursen beviljas. |
Felsöka
Microsoft Entra ID-anslutna enheter med lösenordsautentisering förlitar sig på attribut som synkroniseras av Microsoft Entra ID Connect. Kontrollera att attributen onPremisesDomainName, onPremisesUserPrincipalNameoch onPremisesSamAccountName har rätt värden. Använd Graph Explorer och PowerShell för att kontrollera värdena.
Om dessa värden inte finns kontrollerar du synkroniseringsinställningarna för Microsoft Entra ID Connect och verifierar att dessa attribut synkroniseras. Mer information om attributsynkronisering finns i Microsoft Entra Connect Sync: Attribut synkroniserade med Microsoft Entra-ID.
Om du använder Windows Hello för företag för att logga in ska du köra kommandona från en kommandotolk utan administrativa rättigheter.
dsregcmd /status
Kontrollera att attributen har YES som värden.
PRT bör vara närvarande. Mer information om PRTfinns i Felsöka problem med primär uppdateringstoken på Windows-enheter.
OnPremTgt : JA indikerar att Entra Kerberos är korrekt konfigurerat och att användaren har fått en partiell TGT för SSO till lokala resurser. Mer information om hur du konfigurerar kerberos-molnförtroende finns i Lösenordsfri inloggning av säkerhetsnyckel till lokala resurser.
Kör kommandot klist.
klist cloud_debug
Kontrollera att fältet Cloud Primary (Hybrid logon) TGT available: har värdet 1.
Kör kommandot nltest.
nltest /dsgetdc:contoso /keylist /kdc
Kontrollera att DC-positioneraren returnerar en domänkontrollant som deltar i kerberos-molnförtroendeåtgärder. Den returnerade DC:n klist ska ha flaggan.
Så här undviker du Kerberos-negativ cachelagring på Windows-datorer
Kerberos är den föredragna autentiseringsmetoden för tjänster i Windows som verifierar användar- eller värdidentiteter. Negativ cachelagring av Kerberos orsakar en fördröjning i Kerberosbiljetter.
Kerberos negativ cachelagring sker på Windows-enheter som har global säker åtkomst-klienten installerad. GSA-klienten försöker ansluta till närmaste domänkontrollant för Kerberos-biljetten, men begäran misslyckas eftersom GSA-klienten fortfarande inte är ansluten eller domänkontrollanten inte kan nås i det ögonblicket. När begäran misslyckas försöker klienten inte ansluta till domänkontrollanten igen, omedelbart, eftersom standardtiden FarKdcTimeout i registret är inställd på 10 minuter. Även om GSA-klienten kan vara ansluten före den här standardtiden på 10 minuter, håller GSA-klienten fast vid den negativa cacheposten och anser att sökprocessen för domänkontrollanten är ett fel. När standardtiden på 10 minuter har slutförts frågar GSA-klienten efter domänkontrollanten med Kerberos-biljetten och anslutningen lyckas.
För att åtgärda det här problemet kan du antingen ändra standardtiden FarKdcTimeout i registret eller manuellt omedelbart rensa Kerberos-cachen varje gång GSA-klienten startas om.
Alternativ 1: Ändra standardtiden för FarKdcTimeout i registret
Om du kör Windows kan du ändra Kerberos-parametrarna för att felsöka Kerberos-autentiseringsproblem eller testa Kerberos-protokollet.
Viktigt!
Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Allvarliga problem kan uppstå om du ändrar registret felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.
Registerposter och värden under parameternyckeln
Registerposterna som anges i det här avsnittet måste läggas till i följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Anteckning
Parameters Om nyckeln inte visas under Kerberos måste du skapa den.
Ändra följande FarKdcTimeout registerposten
- Inträde:
FarKdcTimeout - Typ:
REG_DWORD - Standardvärde:
0 (minutes)
Det är tidsgränsvärdet som används för att ogiltigförklara en domänkontrollant från en annan plats i domänkontrollantens cacheminne.
Alternativ 2: Manuell Kerberos Cache-rensning
Om du väljer att manuellt rensa Kerberos-cachen måste det här steget slutföras varje gång GSA-klienten startas om.
Öppna en kommandotolk som administratör och kör följande kommando: KLIST PURGE_BIND