Compartir a través de

Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra

  • Artículo

Con el inicio de sesión único sin contratiempos (SSO sin contratiempos) de Microsoft Entra, los usuarios inician sesión automáticamente cuando utilizan sus ordenadores de escritorio corporativos conectados a la red de la empresa. El SSO de conexión directa proporciona a los usuarios un acceso sencillo a las aplicaciones basadas en la nube sin necesidad de usar otros componentes locales.

Para implementar el SSO de conexión directa para Microsoft Entra ID usando Microsoft Entra Connect, lleve a cabo los pasos que se describen en las secciones siguientes.

Comprobar los requisitos previos

Asegúrese de que se cumplen los siguientes requisitos previos:

  • Configurar el servidor de Microsoft Entra Connect: si usa la autenticación de paso a través como método de inicio de sesión, no se requiere ninguna otra comprobación de requisitos previos. Si usa la sincronización de hash de contraseña como método de inicio de sesión y hay un firewall entre Microsoft Entra Connect y el identificador de Microsoft Entra, asegúrese de que:

    • Utiliza la versión 1.1.644.0 o posterior de Microsoft Entra Connect.

    • Si el firewall o el proxy lo permiten, agregue las conexiones a la lista de permitidos para las direcciones URL *.msappproxy.net en el puerto 443. Si necesita una dirección URL específica en lugar de un carácter comodín para la configuración del proxy, puede configurar tenantid.registration.msappproxy.net, donde tenantid es el GUID del inquilino para el que está configurando la característica. Si las excepciones de proxy basadas en direcciones URL no son posibles en su organización, puede permitir el acceso a los intervalos IP del centro de datos de Azure, que se actualizan semanalmente. Este requisito solo es aplicable cuando se habilita la característica de SSO de conexión directa. No es necesario para los inicios de sesión directos del usuario.

      Nota:

      • Las versiones 1.1.557.0, 1.1.558.0, 1.1.561.0 y 1.1.614.0 tienen un problema relacionado con la sincronización de hash de contraseñas. Si no piensa usar la sincronización de hash de contraseña junto con la autenticación de paso a través, revise las notas de la versión de Microsoft Entra Connect para obtener más información.

  • Usar una topología compatible de Microsoft Entra Connect: asegúrese de que usa una de las topologías admitidas de Microsoft Entra Connect.

    Nota:

    SSO de conexión directa admite varios bosques locales de Windows Server Active Directory (Windows Server AD), independientemente de si hay confianzas de Windows Server AD entre ellos.

  • Configurar credenciales de administrador de dominio: es necesario tener credenciales de administrador de dominio para cada bosque de Windows Server AD que:

    • Sincroniza con Microsoft Entra ID a través de Microsoft Entra Connect.
    • Contiene los usuarios para los que desea habilitar SSO de conexión directa.

  • Habilitar la autenticación moderna: para usar esta característica, debe habilitar la autenticación moderna en el inquilino.

  • Usar las versiones más recientes de los clientes de Microsoft 365: para obtener una experiencia de inicio de sesión silenciosa con clientes de Microsoft 365 (por ejemplo, con Outlook, Word o Excel), los usuarios deben usar las versiones 16.0.8730.xxxx o posteriores.

Nota:

Si tiene un proxy HTTP saliente, asegúrese de que la dirección URL autologon.microsoftazuread-sso.com esté en la lista de permitidos. Debe especificar esta dirección URL explícitamente porque es posible que no se acepte el carácter comodín.

Habilitar la característica

Habilite el inicio de sesión único sin problemas a través de Microsoft Entra Connect.

Nota:

Si Microsoft Entra Connect no cumple sus requisitos, puede habilitar SSO de conexión directa mediante PowerShell. Utilice esta opción si tiene más de un dominio por cada bosque de Windows Server AD y desea ser más específico sobre el dominio para el que quiere habilitar el SSO de conexión directa.

Si va a realizar una instalación nueva de Microsoft Entra Connect, elija la ruta de instalación personalizada. En la página Inicio de sesión de usuario, seleccione la opción Habilitar inicio de sesión único .

Captura de pantalla que muestra la página Inicio de sesión de usuario en Microsoft Entra Connect, con Habilitar inicio de sesión único seleccionado.

Nota:

La opción está disponible para seleccionar solo si el método de inicio de sesión seleccionado es Sincronización de hash de contraseña o Autenticación de paso a través.

Si ya tiene una instalación de Microsoft Entra Connect, en Tareas adicionales, seleccione Cambiar inicio de sesión de usuario y, a continuación, seleccione Siguiente. Si está usando Microsoft Entra Connect versiones 1.1.880.0 o posteriores, la opción Habilitar inicio de sesión única está seleccionada de forma predeterminada. Si usa una versión anterior de Microsoft Entra Connect, seleccione la opción Habilitar inicio de sesión único.

Captura de pantalla que muestra la página Tareas adicionales con Cambiar el inicio de sesión del usuario seleccionado.

Continúe con el asistente hasta llegar a la página Habilitar inicio de sesión único. Proporcione las credenciales de administrador de dominio para cada bosque de Windows Server AD que:

  • Sincroniza con Microsoft Entra ID a través de Microsoft Entra Connect.
  • Contiene los usuarios para los que desea habilitar SSO de conexión directa.

Cuando complete el asistente, SSO de conexión directa está habilitado en el inquilino.

Nota:

Las credenciales de administrador de dominio no se almacenan en Microsoft Entra Connect ni en Microsoft Entra ID. Solo se usan para habilitar la característica.

Para verificar que ha habilitado el inicio de sesión único sin problemas correctamente:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
  2. Vaya a Entra ID>Entra Connect>Conectar sincronización.
  3. Compruebe que el inicio de sesión único de conexión directa esté establecido en Habilitado.

Captura de pantalla que muestra el panel Microsoft Entra Connect en el portal de administración.

Importante

SSO de conexión directa crea una cuenta de equipo denominada AZUREADSSOACC en cada bosque de Windows Server AD del directorio local de Windows Server AD. La cuenta de la computadora AZUREADSSOACC debe estar fuertemente protegida por motivos de seguridad. Solo las cuentas de administrador de dominio deben poder administrar la cuenta del equipo. Asegúrese de que la delegación de Kerberos en la cuenta de equipo esté deshabilitada y de que ninguna otra cuenta en Windows Server AD tenga permisos de delegación en la cuenta de equipo AZUREADSSOACC. Almacene las cuentas del equipo en una unidad organizativa para que estén a salvo de eliminaciones accidentales y solo los administradores de dominio puedan acceder a ellas.

Nota:

Si está utilizando las arquitecturas de Pass-the-Hash y de Mitigación de Robo de Credenciales en su entorno local, realice los cambios adecuados para asegurarse de que la cuenta del equipo AZUREADSSOACC no termine en el contenedor de cuarentena.

Implementación de la característica

Puede implementar gradualmente el SSO sin problemas a sus usuarios siguiendo las instrucciones proporcionadas en las siguientes secciones. Para empezar, agregue la siguiente dirección URL de Microsoft Entra a la configuración de la zona de intranet de todos o algunos usuarios mediante la directiva de grupo de Windows Server AD:

https://autologon.microsoftazuread-sso.com

También debe habilitar una configuración de Directiva de Zona de intranet denominada Permitir actualizaciones a la barra de estado mediante scripts a través de la Directiva de Grupo.

Nota:

Las siguientes instrucciones solo funcionan en Internet Explorer, Microsoft Edge y Google Chrome en Windows (si Google Chrome comparte el mismo conjunto de direcciones URL de sitios de confianza que Internet Explorer). Obtenga información sobre cómo configurar Mozilla Firefox y Google Chrome en macOS.

¿Por qué es necesario modificar la configuración de zona de Intranet del usuario?

De forma predeterminada, el explorador calcula automáticamente la zona correcta (Internet o intranet) de una dirección URL específica. Por ejemplo, http://contoso/ se asigna a la zona de intranet y http://intranet.contoso.com/ se asigna a la zona de Internet (porque la dirección URL contiene un punto). Los navegadores no envían tickets de Kerberos a un punto de conexión en la nube, como la URL de Microsoft Entra, a menos que agregue explícitamente la URL a la zona de intranet del navegador.

Hay dos maneras de modificar la configuración de la zona de intranet del usuario:

Opción Consideración de administrador Experiencia del usuario
Directiva de grupo El administrador bloquea la edición de la configuración de la zona de intranet Los usuarios no pueden modificar su propia configuración
Preferencia de directiva de grupo El administrador permite la edición de la configuración de la zona de intranet Los usuarios pueden modificar su propia configuración

Pasos detallados de la directiva de grupo

  1. Abra la herramienta Editor de administración de directivas de grupo.

  2. Edite la directiva de grupo que se aplica a algunos o todos los usuarios. En este ejemplo se usa la directiva de dominio predeterminada.

  3. Vaya a Configuración de usuario>Directivas>Plantillas administrativas>Componentes de Windows>Internet Explorer>Panel de control de Internet>Página de seguridad. Seleccione Lista de asignación de sitio a zona.

    Captura de pantalla que muestra la página de seguridad con la lista de asignación de sitio a zona seleccionada.

  4. Habilite la directiva y escriba los valores siguientes en el cuadro de diálogo:

    • Nombre del valor: la dirección URL de Microsoft Entra donde se reenvían los tickets Kerberos.

    • Valor (Datos): 1 indica la zona de intranet.

      El resultado tiene el aspecto siguiente:

      Nombre de valor: https://autologon.microsoftazuread-sso.com

      Valor (datos): 1

    Nota:

    Si quiere impedir que algunos usuarios usen SSO de conexión directa (por ejemplo, si estos usuarios inician sesión en quioscos compartidos), establezca los valores anteriores en 4. Esta acción agrega la dirección URL de Microsoft Entra a la zona restringida y el SSO de conexión directa no funciona para esos usuarios.

  5. Seleccione Aceptar y, a continuación, seleccione Aceptar de nuevo.

    Captura de pantalla que muestra la ventana Mostrar contenido con una asignación de zona seleccionada.

  6. Vaya a Configuración de usuario>Directivas>Plantillas administrativas>Componentes de Windows>Internet Explorer>Panel de control de Internet>Página de seguridad>Zona de intranet. Seleccione Permitir actualizaciones en la barra de estado a través del script.

    Captura de pantalla que muestra la página de Zona de Intranet con la opción de permitir actualizaciones en la barra de estado mediante un script, seleccionado.

  7. Habilite la configuración de directiva y, a continuación, seleccione Aceptar.

    Captura de pantalla que muestra la barra de estado Permitir actualizaciones a través de la ventana de script con la configuración de directiva habilitada.

Pasos detallados de preferencias de directiva de grupo

  1. Abra la herramienta Editor de administración de directivas de grupo.

  2. Edite la directiva de grupo que se aplica a algunos o todos los usuarios. En este ejemplo se usa la directiva de dominio predeterminada.

  3. Vaya a Configuración de usuario>Preferencias>Configuraciones de Windows>Registro>Nuevo>elemento del registro.

    Captura de pantalla que muestra la opción Registro seleccionada y Elemento del Registro seleccionada.

  4. Escriba o seleccione los siguientes valores como se muestra y, a continuación, seleccione Aceptar.

    • Ruta de acceso de la clave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nombre del valor: https

    • Tipo de valor: REG_DWORD

    • Datos de valor: 00000001

      Captura de pantalla que muestra la ventana Nuevas propiedades del Registro.

      Captura de pantalla que muestra los nuevos valores enumerados en el Editor del Registro.

Consideraciones sobre el explorador

Las secciones siguientes tienen información sobre el SSO sin interrupciones que es específico para los diferentes tipos de navegadores.

Mozilla Firefox (todas las plataformas)

Si usa la configuración de directiva de autenticación en su entorno, asegúrese de agregar la dirección URL de Microsoft Entra (https://autologon.microsoftazuread-sso.com) a la sección SPNEGO . También puede establecer la opción PrivateBrowsing en true para permitir Seamless SSO en el modo de navegación privada.

Safari (macOS)

Asegúrese de que la máquina que ejecuta macOS se haya unido a Windows Server AD.

Las instrucciones para unir el dispositivo macOS a Windows Server AD están fuera del ámbito de este artículo.

Microsoft Edge basado en Chromium (todas las plataformas)

Si ha reemplazado la configuración de directiva AuthNegotiateDelegateAllowlist o AuthServerAllowlist en su entorno, asegúrese de añadir también la dirección URL de Microsoft Entra (https://autologon.microsoftazuread-sso.com) a dichas configuraciones de directiva.

Microsoft Edge basado en Chromium (macOS y otras plataformas que no son de Windows)

Para Microsoft Edge basado en Chromium en macOS y otras plataformas que no son de Windows, consulte la lista de directivas de Microsoft Edge basada en Chromium para obtener información sobre cómo agregar la dirección URL de Microsoft Entra para la autenticación integrada a la lista de permitidos.

Google Chrome (todas las plataformas)

Si ha reemplazado las configuraciones de directiva AuthNegotiateDelegateAllowlist o AuthServerAllowlist en su entorno de trabajo, asegúrese de que también agrega la dirección URL de Microsoft Entra (https://autologon.microsoftazuread-sso.com) a estas configuraciones de directiva.

macOS

El uso de extensiones de directiva de grupo de Active Directory de terceros para desplegar la URL de Microsoft Entra en Firefox y Google Chrome para usuarios de macOS está fuera del alcance de este artículo.

Limitaciones de exploradores conocidos

El inicio de sesión único sin interrupciones no funciona en Internet Explorer si el navegador está ejecutándose en modo de protección mejorada. SSO de conexión directa admite la próxima versión de Microsoft Edge basada en Chromium y funciona en modo InPrivate y Invitado por diseño. Microsoft Edge (heredado) ya no se admite.

Es posible que se tenga que configurar AmbientAuthenticationInPrivateModesEnabled para los modos InPrivate o usuarios invitados en función de la documentación correspondiente:

Prueba del inicio de sesión único de conexión directa

Para probar la característica con un usuario específico, asegúrese de que se cumplen todas las condiciones siguientes:

  • El usuario inicia sesión en un dispositivo corporativo.
  • El dispositivo está unido al dominio de Windows Server AD. El dispositivo no necesita estar unido a Microsoft Entra.
  • El dispositivo tiene una conexión directa al controlador de dominio, en la red cableada o inalámbrica de la empresa o mediante una conexión de acceso remoto, como una conexión VPN.
  • Ha implementado la característica a este usuario a través de la directiva de grupo.

Para probar un escenario en el que el usuario escribe un nombre de usuario, pero no una contraseña:

  • Inicie sesión en https://myapps.microsoft.com. Asegúrese de borrar la memoria caché del explorador o de usar una nueva sesión privada del explorador con cualquiera de los exploradores admitidos en modo privado.

Para probar el escenario en el que el usuario no tiene que escribir ni su nombre de usuario ni su contraseña, realice alguno de estos pasos:

  • Inicie sesión en https://myapps.microsoft.com/contoso.onmicrosoft.com. Asegúrese de borrar la memoria caché del explorador o de usar una nueva sesión privada del explorador con cualquiera de los exploradores admitidos en modo privado. Remplace contoso por el nombre del inquilino.
  • Inicie sesión en https://myapps.microsoft.com/contoso.com en una nueva sesión de navegador privada. Reemplace por contoso.com un dominio comprobado (no un dominio federado) en el inquilino.

Sustitución de claves

En Habilitar la característica, Microsoft Entra Connect crea cuentas de computadora (que representan Microsoft Entra ID) en todos los bosques de Windows Server AD en los que ha habilitado el inicio de sesión único sin contraseñas. Para obtener más información, consulte Inicio de sesión único sin interrupciones de Microsoft Entra: Análisis técnico detallado.

Importante

La clave de cifrado Kerberos en una cuenta de equipo, si se filtra, puede utilizarse para generar tickets Kerberos para cualquier usuario sincronizado. En ese caso, actores malintencionados pueden suplantar los inicios de sesión de Microsoft Entra de los usuarios en peligro. Se recomienda encarecidamente cambiar las claves de descifrado de Kerberos de manera periódica (al menos cada 30 días).

Para obtener instrucciones sobre cómo renovar las claves, consulte Inicio de sesión único sin contraseñas de Microsoft Entra: Preguntas frecuentes.

Importante

No es necesario realizar este paso inmediatamente después de habilitar la característica. Sustituya las claves de descifrado de Kerberos al menos cada treinta días.

Pasos siguientes

  • Profundización técnica: Comprenda cómo funciona la característica de inicio de sesión único sin interrupciones.
  • Preguntas más frecuentes: Obtenga respuestas a las preguntas más frecuentes sobre el inicio de sesión único de conexión directa.
  • Solución de problemas: Aprenda a resolver problemas comunes con la función de inicio de sesión único sin fisuras.
  • UserVoice: use el foro de Microsoft Entra para presentar nuevas solicitudes de características.