Bearbeiten

Freigeben über


Nahtloses einmaliges Anmelden von Microsoft Entra – häufig gestellte Fragen | Microsoft-Dokumentation

In diesem Artikel werden häufig gestellte Fragen zum nahtlosen einmaligen Anmelden (Seamless Single Sign-On, Seamless SSO) über Microsoft Entra beantwortet. Schauen Sie öfter vorbei, da wir regelmäßig neue Fragen hinzufügen.

Welche Anmeldemethoden werden von Seamless SSO unterstützt?

Die nahtlose SSO kann mit den Anmeldemethoden Kennworthashsynchronisierung oder Passthrough-Authentifizierung kombiniert werden. Dieses Feature kann jedoch nicht mit Active Directory-Verbunddiensten (AD FS) verwendet werden.

Ist die nahtlose SSO eine kostenlose Funktion?

Das nahtlose einmalige Anmelden ist ein kostenloses Feature, und Sie benötigen dafür keine kostenpflichtigen Versionen von Microsoft Entra ID.

Ist Seamless SSO in der Cloud Microsoft Azure Deutschland und der Cloud Microsoft Azure Government verfügbar?

Nahtloses SSO ist für die Azure Government-Cloud verfügbar. Weitere Informationen finden Sie unter Überlegungen zur Hybrididentität für Azure Government.

Welche Anwendungen nutzen die Parameterfunktion „domain_hint“ oder „login_hint“ von Seamless SSO?

Die Tabelle enthält eine Liste von Anwendungen, die diese Parameter an Microsoft Entra ID senden können. Diese Aktion bietet Benutzern eine automatische Anmeldung mit nahtlosem einmaligen Anmelden.

Anwendungsname Anwendungs-URL
Zugriffsbereich https://myapps.microsoft.com/contoso.com
Outlook im Web https://outlook.office365.com/contoso.com
Office 365-Portale https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Benutzer werden außerdem automatisch angemeldet, wenn eine Anwendung Anmeldeanforderungen an Microsoft Entra-Endpunkte sendet, die als Mandanten eingerichtet sind (also an https://login.microsoftonline.com/contoso.com/<..> oder https://login.microsoftonline.com/<tenant_ID>/<..> anstatt an den gemeinsamen Endpunkt von Microsoft Entra, d. h. https://login.microsoftonline.com/common/<...>). Die Tabelle enthält eine Liste von Anwendungen, die diese Arten von Anmeldeanforderungen vornehmen.

Anwendungsname Anwendungs-URL
SharePoint Online https://contoso.sharepoint.com
Microsoft Entra Admin Center https://portal.azure.com/contoso.com

Ersetzen Sie „contoso.com“ in den Tabellen oben durch Ihren Domänennamen, um die richtigen Anwendungs-URLs für Ihren Mandanten zu erhalten.

Wenn unsere automatische Anmeldung für andere Anwendungen verwenden möchten, teilen Sie uns dies im Feedbackabschnitt mit.

Unterstützt Seamless SSO „Alternate ID“ anstelle von „userPrincipalName“ als Benutzernamen?

Ja. Das nahtlose einmalige Anmelden unterstützt Alternate ID als Benutzernamen, wenn dies in Microsoft Entra Connect wie hier beschrieben entsprechend konfiguriert ist. Nicht alle Microsoft 365-Anwendungen unterstützen Alternate ID. Angaben zur Supporterklärung finden Sie in der Dokumentation der jeweiligen Anwendung.

Was ist der Unterschied zwischen dem über die Microsoft Entra-Einbindung bereitgestellten einmaligen Anmelden und dem nahtlosen einmaligen Anmelden?

Microsoft Entra-Join stellt SSO für Benutzer bereit, wenn deren Geräte bei Microsoft Entra ID registriert sind. Diese Geräte müssen nicht unbedingt in eine Domäne eingebunden sein. SSO wird über primäre Aktualisierungstoken oder PRTs (Primary Refresh Token) bereitgestellt und nicht per Kerberos. Die Benutzeroberfläche ist für Windows 10-Geräte optimiert. Das einmalige Anmelden erfolgt im Microsoft Edge-Browser automatisch. Es kann mithilfe einer Browsererweiterung auch in Chrome genutzt werden.

Sie können sowohl Microsoft Entra-Join als auch das nahtlose einmalige Anmelden für Ihren Mandanten verwenden. Diese beiden Features ergänzen einander. Wenn beide Features aktiviert sind, hat das einmalige Anmelden über die Microsoft Entra-Einbindung eine höhere Priorität als das nahtlose einmalige Anmelden.

Ich möchte Geräte, auf denen nicht Windows 10 ausgeführt wird, bei Microsoft Entra ID registrieren, ohne AD FS zu verwenden. Kann ich stattdessen die nahtlose SSO verwenden?

Ja. Für dieses Szenario benötigen Sie Version 2.1 oder höher des Clients für die Arbeitsplatzeinbindung.

Wie kann ich einen Rollover des Kerberos-Entschlüsselungsschlüssels des AZUREADSSO-Computerkontos durchführen?

Es ist wichtig, häufig ein Rollover für den Kerberos-Entschlüsselungsschlüssel des Computerkontos AZUREADSSO (repräsentiert Microsoft Entra ID) durchzuführen, das in Ihrer lokalen AD-Gesamtstruktur erstellt wurde.

Wichtig

Wir empfehlen Ihnen dringend, das Rollover des Kerberos-Entschlüsselungsschlüssels mindestens alle 30 Tage mit dem Update-AzureADSSOForest-Cmdlet durchzuführen. Stellen Sie bei Verwendung des Update-AzureADSSOForest-Cmdlets sicher, dass Sie den Befehl Update-AzureADSSOForest nicht häufiger als einmal pro Gesamtstruktur ausführen. Andernfalls funktioniert das Feature erst wieder, wenn die Kerberos-Tickets Ihrer Benutzer ablaufen und von Ihrem lokalen Active Directory neu ausgestellt werden.

Führen Sie die folgenden Schritte auf dem lokalen Server durch, auf dem Microsoft Entra Connect ausgeführt wird:

Hinweis

Sie benötigen Anmeldeinformationen als „Domänenadministrator“ und „Administrator für hybride Identität“, um die Schritte ausführen zu können. Wenn Sie kein Domänenadministrator sind und der Domänenadministrator Ihnen Berechtigungen zugewiesen hat, sollten Sie Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount aufrufen.

Schritt 1. Liste der AD-Gesamtstrukturen abrufen, für die das nahtlose einmalige Anmelden aktiviert ist

  1. Laden Sie zuerst Azure AD PowerShell herunter, und installieren Sie die Software.
  2. Navigieren Sie zum Ordner $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importieren Sie das PowerShell-Modul „Nahtlose SSO“ mit folgendem Befehl: Import-Module .\AzureADSSO.psd1.
  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem Befehl sollte ein Popupfenster geöffnet werden, in dem Sie die Anmeldeinformationen des Hybrididentitätsadministrators für Ihren Mandanten eingeben können.
  5. Rufen Sie Get-AzureADSSOStatus | ConvertFrom-Json auf. Mit diesem Befehl erhalten Sie eine Liste der AD-Gesamtstrukturen (siehe Liste „Domänen“), in denen dieses Feature aktiviert ist.

Schritt 2. Aktualisieren Sie den Kerberos-Entschlüsselungsschlüssel in jeder AD-Gesamtstruktur, in der er eingerichtet wurde.

  1. Rufen Sie $creds = Get-Credential auf. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen des Domänenadministrators für die vorgesehene AD-Gesamtstruktur ein.

Hinweis

Der Benutzername für die Anmeldeinformationen des Domänenadministrators muss im SAM-Kontonamenformat (contoso\johndoe oder contoso.com\johndoe) eingegeben werden. Wir verwenden den Domänenteil des Benutzernamens, um den Domänencontroller des Domänenadministrators mithilfe von DNS zu suchen.

Hinweis

Das verwendete Domänenadministratorkonto darf kein Mitglied der Gruppe „Geschützte Benutzer“ sein. In diesem Fall tritt ein Fehler auf.

  1. Rufen Sie Update-AzureADSSOForest -OnPremCredentials $creds auf. Dieser Befehl aktualisiert den Kerberos-Entschlüsselungsschlüssel für das Computerkonto AZUREADSSO in dieser spezifischen AD-Gesamtstruktur und in Microsoft Entra ID.

  2. Wiederholen Sie die oben stehenden Schritte für jede AD-Gesamtstruktur, für die Sie das Feature eingerichtet haben.

Hinweis

Wenn Sie eine andere Gesamtstruktur als die von Microsoft Entra Connect aktualisieren, stellen Sie sicher, dass Konnektivität zum globalen Katalogserver (TCP 3268 und TCP 3269) gegeben ist.

Wichtig

Das muss nicht auf den Servern erfolgen, auf denen Microsoft Entra Connect im Stagingmodus ausgeführt wird.

Wie kann ich die nahtlose SSO deaktivieren?

Schritt 1. Deaktivieren Sie das Feature für Ihren Mandanten.

Option A: Deaktivieren mit Microsoft Entra Connect

  1. Führen Sie Microsoft Entra Connect aus, wählen Sie Benutzeranmeldeseite ändern aus, und klicken Sie auf Weiter.
  2. Deaktivieren Sie dann die Option Einmaliges Anmelden aktivieren. Setzen Sie den Assistenten fort.

Nach Abschluss des Assistenten ist das nahtlose SSO für Ihren Mandanten deaktiviert. Allerdings wird auf dem Bildschirm die folgende Meldung angezeigt:

„Das einmalige Anmelden (SSO) ist jetzt deaktiviert, aber zur Bereinigung müssen manuell weitere Schritte ausgeführt werden. Weitere Informationen

Um den Bereinigungsprozess abzuschließen, führen Sie die Schritte 2 und 3 auf dem lokalen Server durch, auf dem Microsoft Entra Connect ausgeführt wird.

Option B: Deaktivieren mit PowerShell

Führen Sie die folgenden Schritte auf dem lokalen Server aus, auf dem Microsoft Entra Connect ausgeführt wird:

  1. Laden Sie zuerst Azure AD PowerShell herunter, und installieren Sie die Software.
  2. Navigieren Sie zum Ordner $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importieren Sie das PowerShell-Modul „Nahtlose SSO“ mit folgendem Befehl: Import-Module .\AzureADSSO.psd1.
  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem Befehl sollte ein Popupfenster geöffnet werden, in dem Sie die Anmeldeinformationen des Hybrididentitätsadministrators für Ihren Mandanten eingeben können.
  5. Rufen Sie Enable-AzureADSSO -Enable $false auf.

Jetzt ist das nahtlose einmalige Anmelden deaktiviert, die Domänen behalten jedoch ihre Konfiguration bei, falls Sie das nahtlose einmalige Anmelden später wieder aktivieren möchten. Wenn Sie die Domänen vollständig aus der Konfiguration für nahtloses einmaliges Anmelden entfernen möchten, rufen Sie das folgende Cmdlet auf, nachdem Sie Schritt 5 oben ausgeführt haben: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Wichtig

Das Deaktivieren des nahtlosen einmaligen Anmeldens mithilfe von PowerShell ändert nicht den Status in Microsoft Entra Connect. Das nahtlose einmalige Anmelden wird auf der Seite Benutzeranmeldung ändern als aktiviert angezeigt.

Hinweis

Wenn Sie nicht über einen Microsoft Entra Connect-Synchronisierungsserver verfügen, können Sie einen herunterladen und die Erstinstallation ausführen. Dies wird den Server nicht einrichten, aber es entpackt die erforderlichen Dateien, die zum Deaktivieren von SSO erforderlich sind. Nachdem die MSI-Installation abgeschlossen ist, schließen Sie den Microsoft Entra Connect-Assistenten, und führen Sie die Schritte aus, um „Nahtloses SSO“ mithilfe von PowerShell zu deaktivieren.

Schritt 2. Rufen Sie die Liste der AD-Gesamtstrukturen ab, für die das nahtlose einmalige Anmelden aktiviert wurde.

Führen Sie die Aufgaben 1 bis 4 aus, wenn Sie das nahtlose einmalige Anmelden mit Microsoft Entra Connect deaktiviert haben. Wenn Sie das nahtlose einmalige Anmelden stattdessen mithilfe von PowerShell deaktiviert haben, fahren Sie direkt mit Aufgabe 5 fort.

  1. Laden Sie zuerst Azure AD PowerShell herunter, und installieren Sie die Software.
  2. Navigieren Sie zum Ordner $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importieren Sie das PowerShell-Modul „Nahtlose SSO“ mit folgendem Befehl: Import-Module .\AzureADSSO.psd1.
  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem Befehl sollte ein Popupfenster geöffnet werden, in dem Sie die Anmeldeinformationen des Hybrididentitätsadministrators für Ihren Mandanten eingeben können.
  5. Rufen Sie Get-AzureADSSOStatus | ConvertFrom-Json auf. Dadurch erhalten Sie die Liste der AD-Gesamtstrukturen (siehe die Liste „Domänen“), in denen diese Funktion aktiviert ist.

Schritt 3 Löschen Sie das Computerkonto AZUREADSSO manuell aus jeder AD-Gesamtstruktur, die Sie in der Liste finden.

Nächste Schritte