Nahtloses einmaliges Anmelden mit Azure Active Directory: Häufig gestellte Fragen

In diesem Artikel werden häufig gestellte Fragen zum nahtlosen einmaligen Anmelden (Seamless Single Sign-On, Seamless SSO) mit Azure Active Directory behandelt. Schauen Sie öfter vorbei, da wir regelmäßig neue Fragen hinzufügen.

Welche Anmeldemethoden werden von Seamless SSO unterstützt?

Die nahtlose SSO kann mit den Anmeldemethoden Kennworthashsynchronisierung oder Passthrough-Authentifizierung kombiniert werden. Dieses Feature kann jedoch nicht mit Active Directory-Verbunddiensten (AD FS) verwendet werden.

Ist die nahtlose SSO eine kostenlose Funktion?

Die nahtlose SSO ist eine kostenlose Funktion, sodass Sie für deren Verwendung keine kostenpflichtigen Versionen von Azure AD benötigen.

Ist Seamless SSO in der Cloud Microsoft Azure Deutschland und der Cloud Microsoft Azure Government verfügbar?

Nahtloses SSO ist für die Azure Government-Cloud verfügbar. Weitere Informationen finden Sie unter Überlegungen zur Hybrididentität für Azure Government.

Welche Anwendungen nutzen die Parameterfunktion „domain_hint“ oder „login_hint“ von Seamless SSO?

Nachfolgend finden Sie eine nicht erschöpfende Liste von Anwendungen, die diese Parameter an Azure AD senden und Benutzern so eine unbeaufsichtigte Anmeldung über das nahtlose einmalige Anmelden ermöglichen können (d.h. Ihre Benutzer müssen ihre Benutzernamen oder Kennwörter nicht eingeben):

Anwendungsname Zu verwendende Anwendungs-URL
Zugriffsbereich https://myapps.microsoft.com/contoso.com
Outlook im Web https://outlook.office365.com/contoso.com
Office 365-Portale https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Benutzer werden außerdem automatisch angemeldet, wenn eine Anwendung Anmeldeanforderungen an Azure AD-Endpunkte sendet, die als Mandanten eingerichtet sind (also an https://login.microsoftonline.com/contoso.com/<..> oder https://login.microsoftonline.com/<tenant_ID>/<..> anstatt an den gemeinsamen Endpunkt von Azure AD, d. h. https://login.microsoftonline.com/common/<...>). Nachfolgend finden Sie eine nicht erschöpfende Liste von Anwendungen, die diese Arten von Anmeldeanforderungen vornehmen.

Anwendungsname Zu verwendende Anwendungs-URL
SharePoint Online https://contoso.sharepoint.com
Azure-Portal https://portal.azure.com/contoso.com

Ersetzen Sie „contoso.com“ in den Tabellen oben durch Ihren Domänennamen, um die richtigen Anwendungs-URLs für Ihren Mandanten zu erhalten.

Wenn unsere automatische Anmeldung für andere Anwendungen verwenden möchten, teilen Sie uns dies im Feedbackabschnitt mit.

Unterstützt Seamless SSO „Alternate ID“ anstelle von „userPrincipalName“ als Benutzernamen?

Ja. Die nahtlose SSO unterstützt Alternate ID als Benutzername, wenn dies in Azure AD Connect wie hier beschrieben entsprechend konfiguriert ist. Nicht alle Microsoft 365-Anwendungen unterstützen Alternate ID. Angaben zur Supporterklärung finden Sie in der Dokumentation der jeweiligen Anwendung.

Was ist der Unterschied zwischen dem von Azure AD Join bereitgestellten einmaligen Anmelden und Seamless SSO?

Azure AD Join stellt SSO für Benutzer bereit, wenn deren Geräte bei Azure AD registriert sind. Diese Geräte müssen nicht unbedingt in eine Domäne eingebunden sein. SSO wird über primäre Aktualisierungstoken oder PRTs (Primary Refresh Token) bereitgestellt und nicht per Kerberos. Die Benutzeroberfläche ist für Windows 10-Geräte optimiert. Das einmalige Anmelden erfolgt im Microsoft Edge-Browser automatisch. Es kann mithilfe einer Browsererweiterung auch in Chrome genutzt werden.

Sie können sowohl Azure AD Join als auch das nahtlose einmalige Anmelden für Ihren Mandanten verwenden. Diese beiden Features ergänzen einander. Wenn beide Features aktiviert sind, hat das einmalige Anmelden aus Azure AD Join eine höhere Priorität als das nahtlose einmalige Anmelden.

Ich möchte Geräte ohne Windows 10 mit Azure AD registrieren, ohne AD FS zu verwenden. Kann ich stattdessen die nahtlose SSO verwenden?

Ja. Für dieses Szenario benötigen Sie Version 2.1 oder höher des Clients für die Arbeitsplatzeinbindung.

Wie kann ich einen Rollover des Kerberos-Entschlüsselungsschlüssels des AZUREADSSO-Computerkontos durchführen?

Es ist wichtig, häufig ein Rollover des Kerberos-Entschlüsselungsschlüssels des AZUREADSSO-Computerkontos durchzuführen, das Azure AD repräsentiert und in Ihrer lokalen AD-Gesamtstruktur erstellt wurde.

Wichtig

Es wird dringend empfohlen, das Rollover des Kerberos-Entschlüsselungsschlüssels mindestens alle 30 Tage durchzuführen.

Führen Sie diese Schritte auf dem lokalen Server durch, auf dem Azure AD Connect ausgeführt wird:

Hinweis

Sie benötigen die Anmeldeinformationen für den Domänenadministrator und globalen Administrator oder Hybrididentitätsadministrator, um die folgenden Schritte auszuführen. Wenn Sie kein Domänenadministrator sind und der Domänenadministrator Ihnen Berechtigungen zugewiesen hat, sollten Sie Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount aufrufen.

Schritt 1: Rufen Sie die Liste der AD-Gesamtstrukturen ab, für die das nahtlose einmalige Anmelden aktiviert wurde.

  1. Laden Sie zuerst Azure AD PowerShell herunter, und installieren Sie die Software.
  2. Navigieren Sie zum Ordner $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importieren Sie das PowerShell-Modul „Nahtlose SSO“ mit folgendem Befehl: Import-Module .\AzureADSSO.psd1.
  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem Befehl sollte ein Popupfenster geöffnet werden, in dem Sie die Anmeldeinformationen des globalen Administrators Hybrididentitätsadministrators Ihres Mandanten eingeben können.
  5. Rufen Sie Get-AzureADSSOStatus | ConvertFrom-Json auf. Dadurch erhalten Sie die Liste der AD-Gesamtstrukturen (siehe die Liste „Domänen“), in denen diese Funktion aktiviert ist.

Schritt 2 Aktualisieren Sie den Kerberos-Entschlüsselungsschlüssel in jeder AD-Gesamtstruktur, in der er eingerichtet ist.

  1. Rufen Sie $creds = Get-Credential auf. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen des Domänenadministrators für die vorgesehene AD-Gesamtstruktur ein.

Hinweis

Der Benutzername für die Anmeldeinformationen des Domänenadministrators muss im SAM-Kontonamenformat (contoso\johndoe oder contoso.com\johndoe) eingegeben werden. Wir verwenden den Domänenteil des Benutzernamens, um den Domänencontroller des Domänenadministrators mithilfe von DNS zu suchen.

Hinweis

Das verwendete Domänenadministratorkonto darf kein Mitglied der Gruppe „Geschützte Benutzer“ sein. Andernfalls schlägt der Vorgang fehl.

  1. Rufen Sie Update-AzureADSSOForest -OnPremCredentials $creds auf. Dieser Befehl aktualisiert den Kerberos-Entschlüsselungsschlüssel für das AZUREADSSO-Computerkonto in dieser bestimmten AD-Gesamtstruktur und in Azure AD.

  2. Wiederholen Sie die oben stehenden Schritte für jede AD-Gesamtstruktur, für die Sie das Feature eingerichtet haben.

Hinweis

Wenn Sie eine andere Gesamtstruktur als die von Azure AD Connect aktualisieren, stellen Sie sicher, dass Konnektivität zum globalen Katalogserver (TCP 3268 und TCP 3269) gegeben ist.

Wichtig

Das muss nicht auf den Servern erfolgen, auf denen Microsoft Azure AD-Verbinden im Stagingmodus ausgeführt wird. Stellen Sie sicher, dass Sie den Update-AzureADSSOForestBefehl nicht häufiger als einmal pro Gesamtstruktur ausführen. Andernfalls funktioniert das Feature erst wieder, wenn die Kerberos-Tickets Ihrer Benutzer ablaufen und von Ihrem lokalen Active Directory neu ausgestellt werden.

Wie kann ich die nahtlose SSO deaktivieren?

Schritt 1. Deaktivieren Sie das Feature für Ihren Mandanten.

Option A: Deaktivieren mit Azure AD Connect

  1. Führen Sie Azure AD Connect aus, wählen Sie Benutzeranmeldung ändern aus, und klicken Sie auf Weiter.
  2. Deaktivieren Sie dann die Option Einmaliges Anmelden aktivieren. Setzen Sie den Assistenten fort.

Nach Abschluss des Assistenten ist die nahtlose SSO für Ihren Mandanten deaktiviert. Allerdings wird auf dem Bildschirm die folgende Meldung angezeigt:

„Das einmalige Anmelden (SSO) ist jetzt deaktiviert, aber zur Bereinigung müssen manuell zusätzliche Schritte ausgeführt werden. Weitere Informationen

Um den Bereinigungsprozess abzuschließen, führen Sie die Schritte 2 und 3 auf dem lokalen Server durch, auf dem Azure AD Connect ausgeführt wird.

Option B: Deaktivieren mit PowerShell

Führen Sie die folgenden Schritte auf dem lokalen Server durch, auf dem Azure AD Connect ausgeführt wird:

  1. Laden Sie zuerst Azure AD PowerShell herunter, und installieren Sie die Software.
  2. Navigieren Sie zum Ordner $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importieren Sie das PowerShell-Modul „Nahtlose SSO“ mit folgendem Befehl: Import-Module .\AzureADSSO.psd1.
  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem Befehl sollte ein Popupfenster geöffnet werden, in dem Sie die Anmeldeinformationen des globalen Administrators Hybrididentitätsadministrators Ihres Mandanten eingeben können.
  5. Rufen Sie Enable-AzureADSSO -Enable $false auf.

Hier wird nahtloses einmaliges Anmelden deaktiviert, die Domänen behalten jedoch ihre Konfiguration, falls Sie das nahtlose einmalige Anmelden später wieder aktivieren möchten. Wenn Sie die Domänen vollständig aus der Konfiguration für nahtloses einmaliges Anmelden entfernen möchten, rufen Sie das folgende Cmdlet auf, nachdem Sie Schritt 5 oben ausgeführt haben: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Wichtig

Das Deaktivieren des nahtlosen SSO mithilfe von PowerShell ändert nicht den Status in Azure AD Connect. Das nahtlose einmalige Anmelden wird auf der Seite Benutzeranmeldung ändern als aktiviert angezeigt.

Schritt 2 Rufen Sie die Liste der AD-Gesamtstrukturen ab, für die das nahtlose einmalige Anmelden aktiviert wurde.

Führen Sie die Aufgaben 1 bis 4 unten aus, wenn Sie das nahtlose einmalige Anmelden mit Azure AD Connect deaktiviert haben. Wenn Sie das nahtlose einmalige Anmelden stattdessen mithilfe von PowerShell deaktiviert haben, fahren Sie direkt mit Aufgabe 5 fort.

  1. Laden Sie zuerst Azure AD PowerShell herunter, und installieren Sie die Software.
  2. Navigieren Sie zum Ordner $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importieren Sie das PowerShell-Modul „Nahtlose SSO“ mit folgendem Befehl: Import-Module .\AzureADSSO.psd1.
  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem Befehl sollte ein Popupfenster geöffnet werden, in dem Sie die Anmeldeinformationen des globalen Administrators Hybrididentitätsadministrators Ihres Mandanten eingeben können.
  5. Rufen Sie Get-AzureADSSOStatus | ConvertFrom-Json auf. Dadurch erhalten Sie die Liste der AD-Gesamtstrukturen (siehe die Liste „Domänen“), in denen diese Funktion aktiviert ist.

Schritt 3 Löschen Sie das Computerkonto AZUREADSSO manuell aus jeder AD-Gesamtstruktur, die Sie in der Liste finden.

Nächste Schritte