Microsoft Entra nahtloses einmaliges Anmelden

  • Artikel

Was ist Microsoft Entra nahtloses einmaliges Anmelden?

Die nahtlose einmalige Anmeldung mit Microsoft Entra (nahtlose SSO mit Microsoft Entra) meldet Benutzer automatisch auf ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind. Wenn diese Funktion aktiviert ist, müssen Benutzer zur Anmeldung bei Microsoft Entra ID nicht ihr Kennwort und in der Regel nicht einmal ihren Benutzernamen eingeben. Diese Funktion ermöglicht Ihren Benutzern einen einfachen Zugriff auf Ihre cloudbasierten Anwendungen, ohne dass zusätzliche lokale Komponenten erforderlich sind.

Die nahtlose SSO kann mit den Anmeldemethoden Kennworthashsynchronisierung oder Passthrough-Authentifizierung kombiniert werden. Die nahtlose einmalige Anmeldung ist nicht auf Active Directory-Verbunddienste (AD FS) anwendbar.

Seamless single sign-on

Einmaliges Anmelden über primäres Aktualisierungstoken und nahtloses einmaliges Anmelden

Unter Windows 10, Windows Server 2016 und höheren Versionen empfiehlt sich das einmalige Anmelden über das primäre Aktualisierungstoken. Unter Windows 7 und Windows 8.1 ist die Verwendung des nahtlosen einmaligen Anmeldens empfehlenswert. Das nahtlose einmalige Anmelden setzt voraus, dass das Gerät des Benutzers in die Domäne eingebunden ist, kann aber unter Windows 10 nicht für in Microsoft Entra eingebundene Geräteoder für hybrid in Microsoft Entra eingebundene Geräte verwendet werden. Einmaliges Anmelden für Microsoft Entra-eingebundene, Microsoft Entra-hybrid-eingebundene und Microsoft Entra-registrierte Geräte funktioniert basierend auf dem primären Aktualisierungstoken (Primary Refresh Token, PRT)

Das einmalige Anmelden (SSO) über das primäre Aktualisierungstoken funktioniert für hybrid in Microsoft Entra eingebundene Geräte, in Microsoft Entra eingebundene oder persönliche registrierte Geräte, sobald die Geräte durch Hinzufügen eines Geschäfts-, Schul- oder Unikontos bei Microsoft Entra ID registriert wurden. Weitere Informationen zur Funktionsweise des einmaligen Anmeldens (SSO) über das primäre Aktualisierungstoken unter Windows 10 finden Sie unter: Primäres Aktualisierungstoken und Microsoft Entra ID

Wesentliche Vorteile

  • Große Benutzerfreundlichkeit
    • Benutzer werden automatisch sowohl bei lokalen als auch bei cloudbasierten Anwendungen angemeldet.
    • Benutzer müssen Kennwörter nicht wiederholt eingeben.
  • Einfache Bereitstellung und Verwaltung
    • Keine zusätzlichen lokalen Komponenten erforderlich.
    • Funktioniert mit jedem Verfahren für die Cloudauthentifizierung: Kennworthashsynchronisierung oder Passthrough-Authentifizierung.
    • Kann mithilfe von Gruppenrichtlinien für einige oder alle Benutzer bereitgestellt werden.
    • Registrieren Sie Geräte ohne Windows 10 bei Microsoft Entra ID, ohne dass eine AD FS-Infrastruktur erforderlich ist. Für diese Funktion benötigen Sie Version 2.1 oder höher des Clients für die Arbeitsplatzeinbindung.

Wichtige Features

  • Beim Benutzernamen für die Anmeldung kann es sich entweder um den lokalen Standardbenutzernamen (userPrincipalName) oder um ein anderes (Alternate ID) Attribut handeln, das in Microsoft Entra Connect konfiguriert ist. Beide Anwendungsfälle funktionieren, weil die nahtlose SSO den securityIdentifier-Anspruch im Kerberos-Ticket verwendet, um die entsprechenden Benutzerobjekte in Microsoft Entra ID zu suchen.
  • Seamless SSO ist eine opportunistische Funktion. Wenn sie aus irgendeinem Grund fehlschlägt, kehrt die Benutzeranmeldung zum normalen Verhalten zurück. Das bedeutet, dass der Benutzer das Kennwort auf der Anmeldeseite eingeben muss.
  • Leitet eine Anwendung (z.B. https://myapps.microsoft.com/contoso.com) die Parameter domain_hint (OpenID Connect) oder whr (SAML) – die Ihren Mandanten identifizieren – oder den login_hint Parameter – der den Benutzer identifiziert – in der Microsoft Entra-Anmeldeanforderung weiter, werden Benutzer automatisch ohne Eingabe von Benutzername oder Kennwort angemeldet.
  • Benutzer profitieren auch dann von einer Anmeldung ohne Benutzereingaben, wenn eine Anwendung (z.B. https://contoso.sharepoint.com) Anmeldeanforderungen an Microsoft Entra ID-Endpunkte sendet, die als Mandanten eingerichtet sind – also https://login.microsoftonline.com/contoso.com/<..> oder https://login.microsoftonline.com/<tenant_ID>/<..> –, anstatt die Anforderungen an den allgemeinem Microsoft Entra ID-Endpunkt – also https://login.microsoftonline.com/common/<...> – zu senden.
  • Das Abmelden wird unterstützt. Dadurch können Benutzer ein anderes Microsoft Entra-Konto für die Anmeldung auswählen, anstatt mit der nahtlosen einmaligen Anmeldung automatisch angemeldet zu werden.
  • Microsoft 365 Win32-Clients (Outlook, Word, Excel u. a.), Version 16.0.8730.xxxx und höher, werden über einen nicht interaktiven Flow unterstützt. Bei OneDrive müssen Sie das OneDrive-Feature zur automatischen Konfiguration aktivieren, um von einer automatischen Anmeldung profitieren zu können.
  • Die Funktion kann über Microsoft Entra Verbinden aktiviert werden.
  • Das nahtlose einmalige Anmelden ist eine kostenlose Funktion, und Sie benötigen dafür keine kostenpflichtigen Versionen von Microsoft Entra ID.
  • Ist auf webbrowserbasierten Clients und Office-Clients möglich, die eine moderne Authentifizierung auf Plattformen und in Browsern unterstützen, die eine Kerberos-Authentifizierung ausführen können:
Betriebssystem/Browser Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Ja* Ja Ja Ja***
Windows 8.1 Ja* Ja**** Yes Ja***
Windows 8 Ja* Ja Ja***
Windows Server 2012 R2 oder höher Ja** Ja Ja***
Mac OS X Ja*** Ja*** Ja***

Hinweis

Die Legacyversion von Microsoft Edge wird nicht mehr unterstützt.

*Erfordert Internet Explorer 11 oder höher (Ab dem 17. August 2021 unterstützen Microsoft 365-Apps und -Dienste IE 11 nicht mehr.)

*Erfordert Internet Explorer 11 oder höher Deaktivieren Sie den erweiterten geschützten Modus.

***Erfordert zusätzliche Konfigurationsschritte.

****Microsoft Edge auf Basis von Chromium

Nächste Schritte