Freigeben über

Schnellstart: Microsoft Entra nahtloses einmaliges Anmelden

  • Artikel

Mit dem nahtlosen einmaligen Anmelden von Microsoft Entra (Seamless Single Sign-On) werden Benutzer automatisch angemeldet, wenn sie mit ihren mit dem Unternehmensnetzwerk verbundenen Unternehmens-Desktops arbeiten. Nahtloses einmaliges Anmelden ermöglicht Ihren Benutzern einen einfachen Zugriff auf Ihre cloudbasierten Anwendungen, ohne dass sie zusätzliche lokale Komponenten verwenden müssen.

Führen Sie zum Bereitstellen des nahtlosen einmaligen Anmeldens für Microsoft Entra mithilfe von Microsoft Entra Connect die in den folgenden Abschnitten beschriebenen Schritte aus.

Überprüfen der Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt werden:

  • Richten Sie Ihren Microsoft Entra Connect-Server ein: Wenn Sie die Pass-Through-Authentifizierung als Anmeldemethode verwenden, ist keine andere Voraussetzungsprüfung erforderlich. Wenn Sie die Kennworthashsynchronisierung als Anmeldemethode verwenden und eine Firewall zwischen Microsoft Entra Connect und Microsoft Entra ID vorhanden ist, stellen Sie folgendes sicher:

    • Microsoft Entra Connect Version 1.1.644.0 oder höher.

    • Wenn es Ihre Firewall oder Ihr Proxy zulässt, fügen Sie die Verbindungen für *.msappproxy.net-URLs über Port 443 zu Ihrer Zulassungsliste hinzu. Wenn Sie anstelle eines Platzhalters für die Proxykonfiguration eine bestimmte URL benötigen, können Sie tenantid.registration.msappproxy.net konfigurieren, wobei „tenantid“ die GUID des Mandanten ist, für den Sie das Feature konfigurieren. Wenn URL-basierte Proxy-Ausnahmen in Ihrer Organisation nicht möglich sind, können Sie stattdessen den Zugriff auf die IP-Bereiche des Azure-Rechenzentrums zulassen, die wöchentlich aktualisiert werden. Diese Voraussetzung gilt nur, wenn Sie das Feature „nahtloses einmaliges Anmelden“ aktivieren. Für direkte Benutzeranmeldungen ist es nicht erforderlich.

      Hinweis

      • Microsoft Entra Connect-Versionen 1.1.557.0, 1.1.558.0, 1.1.561.0 und 1.1.614.0 haben ein Problem im Zusammenhang mit der Kennworthashsynchronisierung. Wenn Sie nicht beabsichtigen, die Kennworthashsynchronisierung in Verbindung mit der Pass-Through-Authentifizierung zu verwenden, lesen Sie die Versionshinweise zu Microsoft Entra Connect , um mehr zu erfahren.

  • Verwenden Sie eine unterstützte Microsoft Entra Connect-Topologie: Stellen Sie sicher, dass Sie eine der von Microsoft Entra Connect unterstützten Topologien verwenden.

    Hinweis

    Nahtloses einmaliges Anmelden unterstützt mehrere lokale Windows Server Active Directory (Windows Server AD) Gesamtstrukturen, unabhängig davon, ob es Windows Server AD Vertrauensstellungen zwischen ihnen gibt oder nicht.

  • Einrichten von Domänenadministratoranmeldeinformationen: Sie müssen über Domänenadministratoranmeldeinformationen für jede Windows Server AD-Gesamtstruktur verfügen, die:

    • Sie werden mit Microsoft Entra ID über Microsoft Entra Connect synchronisiert.
    • Benutzer enthält, für die Sie nahtloses einmaliges Anmelden aktivieren möchten.

  • Aktivieren sie die moderne Authentifizierung: Um dieses Feature zu verwenden, müssen Sie die moderne Authentifizierung für Ihren Mandanten aktivieren.

  • Verwenden Sie die neuesten Versionen von Microsoft 365-Clients: Um eine automatische Anmeldeerfahrung mit Microsoft 365-Clients (z. B. mit Outlook, Word oder Excel) zu erhalten, müssen Ihre Benutzer Die Versionen 16.0.8730.xxxx oder höher verwenden.

Hinweis

Wenn Sie über einen ausgehenden HTTP-Proxy verfügen, stellen Sie sicher, dass sich die autologon.microsoftazuread-sso.com-URL auf Ihrer Zulassungsliste befindet. Sie sollten diese URL explizit angeben, da der Platzhalter möglicherweise nicht akzeptiert wird.

Aktivieren des Features

Aktivieren Sie nahtloses SSO über Microsoft Entra Connect.

Hinweis

Wenn Microsoft Entra Connect Ihre Anforderungen nicht erfüllt, können Sie nahtlose SSO mithilfe von PowerShell aktivieren. Nutzen Sie diese Option, wenn Sie über mehr als eine Domäne pro Windows Server AD-Gesamtstruktur verfügen und die Domäne zuordnen möchten, für die das nahtlose einmalige Anmelden aktiviert werden soll.

Wenn Sie eine Neuinstallation von Microsoft Entra Connect durchführen, wählen Sie den benutzerdefinierten Installationspfad aus. Wählen Sie auf der Seite " Benutzeranmeldung " die Option " Einmaliges Anmelden aktivieren" aus.

Screenshot der Seite

Hinweis

Die Option ist nur verfügbar, wenn die ausgewählte Anmeldemethode Kennworthashsynchronisierung oder Pass-through-Authentifizierung ist.

Wenn Sie bereits über eine Installation von Microsoft Entra Connect verfügen, wählen Sie unter "Zusätzliche Aufgaben" die Option "Benutzeranmeldung ändern" aus, und wählen Sie dann "Weiter" aus. Wenn Sie Microsoft Entra Connect, Versionen 1.1.880.0 oder höher, verwenden, ist die Option "Einmaliges Anmelden aktivieren" standardmäßig aktiviert. Wenn Sie eine frühere Version von Microsoft Entra Connect verwenden, wählen Sie die Option "Einmaliges Anmelden aktivieren " aus.

Screenshot der Seite

Fahren Sie mit dem Assistenten zur Seite " Einmaliges Anmelden aktivieren" fort . Geben Sie Anmeldeinformationen des Domänenadministrators für jede Windows Server AD-Gesamtstruktur an, die:

  • Sie werden mit Microsoft Entra ID über Microsoft Entra Connect synchronisiert.
  • Benutzer enthält, für die Sie nahtloses einmaliges Anmelden aktivieren möchten.

Nachdem Sie die Schritte des Assistenten abgeschlossen haben, ist nahtloses einmaliges Anmelden für Ihren Mandanten aktiviert.

Hinweis

Die Anmeldeinformationen des Domänenadministrators werden weder in Microsoft Entra Connect noch in Microsoft Entra ID gespeichert. Sie werden nur für die Aktivierung des Features verwendet.

So überprüfen Sie, ob Sie nahtloses SSO korrekt aktiviert haben:

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zur Entra ID>Entra Connect>Connect-Synchronisierung.
  3. Stellen Sie sicher, dass nahtloses einmaliges Anmelden auf "Aktiviert" festgelegt ist.

Screenshot des Bereichs

Wichtig

Nahtloses einmaliges Anmelden erstellt ein Computerkonto mit dem Namen AZUREADSSOACC in jeder Windows Server AD-Gesamtstruktur in Ihrem lokalen Windows Server AD-Verzeichnis. Das Computerkonto „AZUREADSSOACC“ muss aus Sicherheitsgründen stark geschützt werden. Nur Domänenadministratorkonten sollten das Computerkonto verwalten dürfen. Stellen Sie sicher, dass die Kerberos-Delegierung für das Computerkonto deaktiviert ist und dass kein anderes Konto Windows Server AD über Delegierungsberechtigungen für das Computerkonto „AZUREADSSOACC“ verfügt. Speichern Sie die Computerkonten in einer Organisationseinheit, damit sie vor versehentlichen Löschungen geschützt sind und nur Domänenadministratoren auf sie zugreifen können.

Hinweis

Wenn Sie Pass-the-Hash- und Credential Theft Mitigation-Architekturen in Ihrer lokalen Umgebung verwenden, nehmen Sie entsprechende Änderungen vor, um sicherzustellen, dass das Computerkonto „AZUREADSSOACC“ nicht im Quarantänecontainer landet.

Ausrollen des Features

Sie können mithilfe des in den nächsten Abschnitten beschriebenen Vorgehens nahtloses einmaliges Anmelden für Ihre Benutzer auch schrittweise einführen. Sie fügen zuerst mithilfe der Gruppenrichtlinie in Windows Server AD den Intranetzoneneinstellungen aller oder ausgewählter Benutzer die folgende Microsoft Entra-URL hinzu:

https://autologon.microsoftazuread-sso.com

Sie müssen auch eine Intranetzonenrichtlinieneinstellung namens "Aktualisierungen der Statusleiste zulassen" über skripts über Gruppenrichtlinien aktivieren.

Hinweis

Die folgende Anleitung funktioniert nur für Internet Explorer, Microsoft Edge und Google Chrome unter Windows (sofern Google Chrome einen Satz von URLs vertrauenswürdiger Websites für den Internet Explorer freigibt). Erfahren Sie, wie Sie Mozilla Firefox und Google Chrome unter macOS einrichten.

Warum müssen Sie die Intranetzoneneinstellungen für Benutzer ändern?

Der Browser berechnet standardmäßig anhand der URL automatisch die richtige Zone, also Internet oder Intranet. Zum Beispiel ordnet http://contoso/ der Intranetzone zu und http://intranet.contoso.com/ der Internetzone zu (da die URL einen Punkt enthält). Browser senden an Cloudendpunkte genau wie an die Microsoft Entra-URL keine Kerberos-Tickets, sofern Sie die URL nicht explizit zur Intranetzone des Browsers hinzufügen.

Es gibt zwei Möglichkeiten, wie Sie die Intranetzoneneinstellungen für Benutzer ändern können:

Auswahlmöglichkeit Maßnahme des Administrators Benutzererfahrung
Gruppenrichtlinie Der Administrator sperrt die Bearbeitung der Intranetzoneneinstellungen. Benutzer können ihre eigenen nicht Einstellungen ändern.
Gruppenrichtlinieneinstellung Der Administrator lässt die Bearbeitung der Intranetzoneneinstellungen zu. Benutzer können ihre eigenen Einstellungen ändern.

Detaillierte Schritte für die Gruppenrichtlinie

  1. Öffnen Sie das Tool Gruppenrichtlinienverwaltungs-Editor.

  2. Bearbeiten Sie die Gruppenrichtlinie, die auf einige oder alle Benutzer angewendet wird. In diesem Beispiel wird die Standarddomänenrichtlinie verwendet.

  3. Gehe zu Benutzerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Internet Explorer>Internetsteuerung>Sicherheitsseite. Wählen Sie Site to Zone Assignment List aus.

    Screenshot der Sicherheitsseite, auf der die Liste zur Zuordnung von Websites zu Zonen ausgewählt ist.

  4. Aktivieren Sie die Richtlinie, und geben Sie die folgenden Werte in das Dialogfeld ein:

    • Wertname: Die Microsoft Entra-URL, zu der die Kerberos-Tickets weitergeleitet werden.

    • Wert (Daten): 1 gibt die Intranetzone an.

      Das Ergebnis sieht dann beispielsweise wie folgt aus:

      Wertname: https://autologon.microsoftazuread-sso.com

      Wert (Daten): 1

    Hinweis

    Wenn Sie verhindern möchten, dass einige Benutzer nahtlose SSO verwenden (z. B. wenn sich diese Benutzer bei freigegebenen Kiosken anmelden), legen Sie die vorherigen Werte auf 4 fest. Diese Aktion fügt die Microsoft Entra-URL zur Zone eingeschränkter Sites hinzu. Für die Benutzer dieser URL schlägt das nahtlose einmalige Anmelden dann dauerhaft fehl.

  5. Wählen Sie "OK" und dann erneut "OK " aus.

    Screenshot des Fensters

  6. Wechseln Sie zu Benutzerkonfiguration>Richtlinien>Administrative Vorlagen>Windows-Komponenten>Internet Explorer>Internet-Systemsteuerung>Sicherheitsseite>Intranetzone. Wählen Sie "Aktualisierungen der Statusleiste über Skript zulassen" aus.

    Screenshot der Seite

  7. Aktivieren Sie die Richtlinieneinstellung, und wählen Sie dann "OK" aus.

    Screenshot, der zeigt, dass die Aktualisierungen der Statusleiste über das Skriptfenster erlaubt sind, mit aktivierter Richtlinieneinstellung.

Detaillierte Schritte für die Gruppenrichtlinieneinstellung

  1. Öffnen Sie das Tool Gruppenrichtlinienverwaltungs-Editor.

  2. Bearbeiten Sie die Gruppenrichtlinie, die auf einige oder alle Benutzer angewendet wird. In diesem Beispiel wird die Standarddomänenrichtlinie verwendet.

  3. Wechseln Sie zur Benutzerkonfiguration>Voreinstellungen>Windows-Einstellungen>Registrierung>Neu>Registrierungselement.

    Screenshot, der die Ausgewählte Registrierung und das ausgewählte Registrierungselement zeigt.

  4. Geben Sie die folgenden Werte wie dargestellt ein, oder wählen Sie sie aus, und wählen Sie dann "OK" aus.

    • Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Wertname: https

    • Werttyp: REG_DWORD

    • Wertdaten: 00000001

      Screenshot des Fensters

      Screenshot der neuen Werte, die im Registrierungs-Editor aufgeführt sind.

Überlegungen zum Browser

Die nächsten Abschnitte enthalten Informationen zum nahtlosen einmaligen Anmelden für verschiedene Browsertypen.

Mozilla Firefox (alle Plattformen)

Wenn Sie die Authentifizierungsrichtlinieneinstellungen in Ihrer Umgebung verwenden, stellen Sie sicher, dass Sie die Microsoft Entra-URL (https://autologon.microsoftazuread-sso.com) zum SPNEGO-Abschnitt hinzufügen. Sie können auch die Option "PrivateBrowsing" auf "true " festlegen, um nahtlose SSO im privaten Browsermodus zuzulassen.

Safari (macOS)

Stellen Sie sicher, dass der Computer mit macOS in Windows Server AD eingebunden ist.

Anweisungen zum Verknüpfen Ihres macOS-Geräts mit Windows Server AD sind nicht Bestandteil dieses Artikels.

Microsoft Edge auf Chromium-Basis (alle Plattformen)

Wenn Sie die Richtlinieneinstellungen "AuthNegotiateDelegateAllowlist " oder "AuthServerAllowlist " in Ihrer Umgebung außer Kraft gesetzt haben, stellen Sie sicher, dass Sie auch die Microsoft Entra-URL (https://autologon.microsoftazuread-sso.com) zu diesen Richtlinieneinstellungen hinzufügen.

Microsoft Edge auf Chromium-Basis (macOS und andere Nicht-Windows-Plattformen)

Für Microsoft Edge basierend auf Chromium unter macOS und anderen nicht-Windows-Plattformen finden Sie Informationen zum Hinzufügen der Microsoft Entra-URL zur integrierten Authentifizierung auf Ihrer Whitelist unter der Richtlinienliste für Microsoft Edge basierend auf Chromium.

Google Chrome (alle Plattformen)

Wenn Sie die Richtlinieneinstellungen "AuthNegotiateDelegateAllowlist " oder "AuthServerAllowlist " in Ihrer Umgebung außer Kraft gesetzt haben, stellen Sie sicher, dass Sie auch die Microsoft Entra-URL (https://autologon.microsoftazuread-sso.com) zu diesen Richtlinieneinstellungen hinzufügen.

macOS

Der Rollout der Microsoft Entra-URL für Firefox und Google Chrome für Benutzer von macOS mithilfe von Active Directory-Gruppenrichtlinienerweiterungen von Drittanbietern wird in diesem Artikel nicht behandelt.

Bekannte Browsereinschränkungen

Nahtloses SSO funktioniert bei Internet Explorer nicht, wenn der Browser im erweiterten geschützten Modus ausgeführt wird. In der nächsten Version von Microsoft Edge auf Chromium-Basis wird das einmalige Anmelden unterstützt und kann im InPrivate- und Gastmodus erfolgen. Microsoft Edge (Legacyversion) wird nicht mehr unterstützt.

Sie müssen „AmbientAuthenticationInPrivateModesEnabled“ möglicherweise gemäß den entsprechenden Dokumentationen für InPrivate- und/oder Gastbenutzer konfigurieren:

Testen des nahtlosen einmaligen Anmeldens

Um das Feature für einen bestimmten Benutzer zu testen, stellen Sie sicher, dass alle folgenden Bedingungen erfüllt werden:

  • Der Benutzer meldet sich auf einem Gerät des Unternehmens an.
  • Das Gerät ist mit Ihrer Windows Server AD-Domäne verbunden. Das Gerät muss nichtmit Microsoft Entra verbunden sein.
  • Es muss eine direkte Verbindung zwischen dem Gerät und Ihrem Domänencontroller bestehen, entweder über das Unternehmensnetzwerk (Kabel- oder Funknetzwerk) oder per Remotezugriff, z.B. über eine VPN-Verbindung.
  • Sie haben das Feature für diesen Benutzer über die Gruppenrichtlinie eingeführt.

Tun Sie Folgendes, um ein Szenario zu testen, in dem der Benutzer einen Benutzernamen, aber kein Kennwort eingibt:

  • Melden Sie sich bei https://myapps.microsoft.com an. Löschen Sie den Browsercache, oder verwenden Sie eine neue private Browsersitzung in einem der unterstützten Browser, der im privaten Modus ausgeführt wird.

Führen Sie einen der folgenden Schritte aus, um ein Szenario zu testen, in dem der Benutzer weder den Benutzernamen noch das Kennwort eingeben muss:

  • Melden Sie sich bei https://myapps.microsoft.com/contoso.onmicrosoft.com an. Löschen Sie den Browsercache, oder verwenden Sie eine neue private Browsersitzung in einem der unterstützten Browser, der im privaten Modus ausgeführt wird. Ersetzen Sie contoso durch den Namen Ihres Mandanten.
  • Melden Sie sich in einer neuen privaten Browsersitzung bei https://myapps.microsoft.com/contoso.com an. Ersetzen Sie contoso.com durch eine überprüfte Domäne (keine Verbunddomäne) in Ihrem Mandanten.

Ausführen des Rollovers für Schlüssel

In Funktion aktivieren erstellt Microsoft Entra Connect Computerkonten (die Microsoft Entra ID repräsentieren) in allen Windows Server AD-Forsten, auf denen Sie Seamless SSO aktiviert haben. Weitere Informationen finden Sie unter Nahtloses Einmaliges Anmelden von Microsoft Entra: Technical deep dive.

Wichtig

Wenn der Kerberos-Entschlüsselungsschlüssel auf einem Computerkonto kompromittiert wird, kann er dazu verwendet werden, für alle synchronisierten Benutzenden Kerberos-Tickets zu generieren. Böswillige Akteure können dann Microsoft Entra-Anmeldungen für kompromittierte Benutzer imitieren. Es wird dringend empfohlen, das Rollover dieser Kerberos-Entschlüsselungsschlüssel regelmäßig durchzuführen (mindestens alle 30 Tage).

Anweisungen zum Rollovern von Schlüsseln finden Sie unter Nahtloses Einmaliges Anmelden von Microsoft Entra: Häufig gestellte Fragen.

Wichtig

Sie müssen diesen Schritt nicht sofort ausführen, nachdem Sie das Feature aktiviert haben. Führen Sie für die Kerberos-Entschlüsselungsschlüssel mindestens alle 30 Tage ein Rollover durch.

Nächste Schritte

  • Technischer Tiefgang: Verstehen Sie, wie das Nahtlose Single Sign-On-Feature funktioniert.
  • Häufig gestellte Fragen: Erhalten Sie Antworten auf häufig gestellte Fragen zum nahtlosen einmaligen Anmelden.
  • Problembehandlung: Erfahren Sie, wie Sie häufige Probleme mit dem Feature für nahtloses einmaliges Anmelden beheben.
  • UserVoice: Verwenden Sie das Microsoft Entra-Forum, um neue Featureanforderungen zu speichern.