En este artículo, abordamos las preguntas más frecuentes sobre el inicio de sesión único directo (SSO sin interrupciones) de Microsoft Entra. Siga comprobando si hay contenido nuevo.
¿Con qué métodos de inicio de sesión funciona el inicio de sesión único de conexión directa?
SSO de conexión directa se puede combinar con los métodos de inicio de sesión mediante sincronización de hash de contraseñas o autenticación de paso a través. Pero esta característica no se puede usar con los Servicios de federación de Active Directory (AD FS).
¿SSO de conexión directa es una característica gratuita?
Seamless SSO es una característica gratuita y no necesita ninguna edición de pago de Microsoft Entra ID para utilizarla.
¿Está disponible el inicio de sesión único de conexión directa en la nube de Microsoft Azure Alemania y en la nube de Microsoft Azure Government?
El inicio de sesión único de conexión directa está disponible para la nube de Azure Government. Para más información, consulte Consideraciones al respecto de la identidad híbrida para Azure Government.
¿Qué aplicaciones aprovechan la funcionalidad de parámetro "domain_hint" o "login_hint" del inicio de sesión único de conexión directa?
La tabla tiene una lista de aplicaciones que pueden enviar estos parámetros a Microsoft Entra ID. Esta acción proporciona a los usuarios una experiencia de inicio de sesión silenciosa mediante SSO de conexión directa:
| Nombre de la aplicación | La dirección URL de la aplicación que se va a usar |
|---|---|
| Panel de acceso | https://myapps.microsoft.com/contoso.com |
| Outlook en la Web | https://outlook.office365.com/contoso.com |
| Portales de Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Además, los usuarios obtienen una experiencia de inicio de sesión silenciosa si una aplicación envía solicitudes de inicio de sesión a los puntos de conexión configurados como inquilinos de Microsoft Entra, por ejemplo, https://login.microsoftonline.com/contoso.com/<..> o https://login.microsoftonline.com/<tenant_ID>/<..>, en lugar del punto de conexión común de Microsoft Entra, es decir, https://login.microsoftonline.com/common/<...>. La tabla incluye una lista de aplicaciones que realizan estos tipos de solicitudes de inicio de sesión.
| Nombre de la aplicación | La dirección URL de la aplicación que se va a usar |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Centro de administración de Microsoft Entra | https://portal.azure.com/contoso.com |
En las tablas anteriores, reemplace "contoso.com" por el nombre de dominio para obtener las direcciones URL de aplicación correctas para el inquilino.
Si quiere que otras aplicaciones utilicen la experiencia de inicio de sesión silenciosa, comuníquenoslo en la sección de comentarios.
¿Admite SSO de conexión directa el "identificador alternativo" como nombre de usuario, en lugar de "userPrincipalName"?
Sí. Seamless SSO admite Alternate ID como nombre de usuario cuando se configura en Microsoft Entra Connect como se muestra aquí. No todas las aplicaciones de Microsoft 365 admiten Alternate ID. Consulte la documentación de la aplicación específica para conocer la declaración de compatibilidad.
¿Cuál es la diferencia entre la experiencia de inicio de sesión único que ofrece Microsoft Entra Join y Seamless SSO?
La Unión a Microsoft Entra proporciona SSO a los usuarios si sus dispositivos se han registrado con Microsoft Entra ID. Estos dispositivos no deben estar unidos al dominio necesariamente. SSO se proporciona mediante tokens de actualización principal o PRT, y no con Kerberos. La experiencia del usuario es más adecuada en dispositivos Windows 10. SSO se realiza automáticamente en el explorador Microsoft Edge. También funciona en Chrome mediante una extensión de explorador.
Puede usar tanto la unión a Microsoft Entra como SSO de conexión directa en el inquilino. Estas dos características son complementarias. Si ambas características están activadas, el inicio de sesión único de la unión a Microsoft Entra tiene prioridad sobre el inicio de sesión único de conexión directa.
Quiero registrar dispositivos que no sean Windows 10 con Microsoft Entra ID, sin utilizar AD FS. ¿Puedo usar SSO de conexión directa en su lugar?
Sí, en este escenario se necesita la versión 2.1 o posterior del cliente para unirse al área de trabajo.
¿Cómo puedo implementar la clave de descifrado de Kerberos de la cuenta de equipo "AZUREADSSO"?
Es importante transferir con frecuencia la clave de descifrado Kerberos de la AZUREADSSOcuenta de equipo (que representa Microsoft Entra ID) creada en su bosque AD local.
Importante
Se recomienda implementar la clave de descifrado de Kerberos al menos cada 30 días.
Siga estos pasos en el servidor local donde se ejecuta Microsoft Entra Connect.
Nota:
Para seguir los pasos, necesitará credenciales de administrador de dominio y de administrador global, o bien de administrador de identidades híbridas.
Si no es administrador de dominio, pero el administrador del dominio le ha asignado permisos, debe llamar a Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Paso 1. Obtención de la lista de bosques de AD en los que se habilitó SSO de conexión directa
- Primero, descargue e instale Azure AD PowerShell.
- Vaya a la carpeta
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importe el módulo de PowerShell de SSO de conexión directa mediante este comando:
Import-Module .\AzureADSSO.psd1. - Ejecute PowerShell como administrador. En PowerShell, llame a
New-AzureADSSOAuthenticationContext. Este comando debería mostrar un cuadro emergente para escribir las credenciales de administrador global o administrador de identidades híbridas del inquilino. - Llame a
Get-AzureADSSOStatus | ConvertFrom-Json. Aparecerá la lista de bosques de AD (examine la lista "Dominios") en la que se ha habilitado esta característica.
Paso 2. Actualización de la clave de descifrado de Kerberos en cada bosque de AD en el que se haya configurado
- Llame a
$creds = Get-Credential. Cuando se le pida, escriba las credenciales del administrador de dominio para el bosque de AD deseado.
Nota:
El nombre de usuario de las credenciales de administrador de dominio debe especificarse con el formato de nombre de cuenta SAM (contoso\johndoe o contoso.com\johndoe). La parte de dominio del nombre de usuario se usa para localizar el controlador de dominio del administrador de dominio con DNS.
Nota:
La cuenta de administrador de dominio usada no puede ser miembro del grupo Usuarios protegidos. De lo contrario, la operación presentará un error.
Llame a
Update-AzureADSSOForest -OnPremCredentials $creds. Este comando actualiza la clave de descifrado Kerberos para laAZUREADSSOcuenta de ordenador en este bosque AD específico y la actualiza en Microsoft Entra ID.Repita los pasos anteriores para cada bosque de AD en el que haya configurado la característica.
Nota:
Si va a actualizar un bosque que no sea el de Microsoft Entra Connect, asegúrese de que la conectividad con el servidor del catálogo global (TCP 3268 y TCP 3269) está disponible.
Importante
Esto no tiene que hacerse en servidores que ejecutan Microsoft Entra Connect en modo de almacenamiento provisional.
Asegúrese de no ejecutar el comando Update-AzureADSSOForest más de una vez por bosque. De lo contrario, la característica deja de funcionar hasta que expira la hora de los vales Kerberos de los usuarios y se vuelven a emitir por parte de la instancia local de Active Directory.
¿Cómo se deshabilita SSO de conexión directa?
Paso 1. Deshabilite la característica en su inquilino
Opción A: Deshabilitar mediante Microsoft Entra Connect
- Ejecute Microsoft Entra Connect, elija Cambiar página de inicio de sesión de usuario y haga clic en Siguiente.
- Desmarque la opción Habilitar el inicio de sesión único. Continúe con el asistente.
Cuando haya finalizado con el asistente, el SSO de conexión directa estará deshabilitado en su inquilino. Sin embargo, verá un mensaje en pantalla en el que se anuncia lo siguiente:
"El inicio de sesión único ya está deshabilitado, pero es necesario completar otros pasos manualmente para finalizar el proceso. Más información"
Para completar el proceso de limpieza, siga los pasos 2 y 3 en el servidor local donde se ejecuta Microsoft Entra Connect.
Opción B: deshabilitación mediante PowerShell
Siga estos pasos en el servidor local donde se ejecuta Microsoft Entra Connect.
- Primero, descargue e instale Azure AD PowerShell.
- Vaya a la carpeta
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importe el módulo de PowerShell de SSO de conexión directa mediante este comando:
Import-Module .\AzureADSSO.psd1. - Ejecute PowerShell como administrador. En PowerShell, llame a
New-AzureADSSOAuthenticationContext. Este comando debería mostrar un cuadro emergente para escribir las credenciales de administrador global o administrador de identidades híbridas del inquilino. - Llame a
Enable-AzureADSSO -Enable $false.
En este momento, el SSO de conexión directa está deshabilitado, pero los dominios permanecerán configurados en el caso de que quiera volver a habilitar el SSO de conexión directa. Si desea quitar completamente los dominios de la configuración del SSO de conexión directa, llame al siguiente cmdlet después de completar el paso 5 anteriormente: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Importante
Si deshabilita SSO de conexión directa con PowerShell, no cambiará el estado en Microsoft Entra Connect. SSO de conexión directa se mostrará como habilitado en la página Change user sign-in (Cambiar inicio de sesión de usuario).
Paso 2. Obtención de la lista de bosques de AD en los que se habilitó SSO de conexión directa
Realice las tareas que van de la 1 a la 4 si ha deshabilitado el inicio de sesión único de conexión directa con Microsoft Entra Connect. Si, en cambio, ha deshabilitado el inicio de sesión único de conexión directa con PowerShell, avance a la tarea 5.
- Primero, descargue e instale Azure AD PowerShell.
- Vaya a la carpeta
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importe el módulo de PowerShell de SSO de conexión directa mediante este comando:
Import-Module .\AzureADSSO.psd1. - Ejecute PowerShell como administrador. En PowerShell, llame a
New-AzureADSSOAuthenticationContext. Este comando debería mostrar un cuadro emergente para escribir las credenciales de administrador global o administrador de identidades híbridas del inquilino. - Llame a
Get-AzureADSSOStatus | ConvertFrom-Json. Aparecerá la lista de bosques de AD (examine la lista "Dominios") en la que se ha habilitado esta característica.
Paso 3. Elimine manualmente la cuenta de equipo AZUREADSSO de cada bosque de AD que encuentre en la lista.
Pasos siguientes
- Inicio rápido: Inicio de sesión único de conexión directa de Microsoft Entra.
- Profundización técnica: descripción del funcionamiento de esta característica.
- Solución de problemas: información para resolver problemas habituales de esta característica.
- UserVoice: para la tramitación de solicitudes de nuevas características.