Editar

Compartir por


Inicio de sesión único directo de Microsoft Entra: preguntas más frecuentes

En este artículo, abordamos las preguntas más frecuentes sobre el inicio de sesión único directo (SSO sin interrupciones) de Microsoft Entra. Siga comprobando si hay contenido nuevo.

¿Con qué métodos de inicio de sesión funciona el inicio de sesión único de conexión directa?

SSO de conexión directa se puede combinar con los métodos de inicio de sesión mediante sincronización de hash de contraseñas o autenticación de paso a través. Pero esta característica no se puede usar con los Servicios de federación de Active Directory (AD FS).

¿SSO de conexión directa es una característica gratuita?

Seamless SSO es una característica gratuita y no necesita ninguna edición de pago de Microsoft Entra ID para utilizarla.

¿Está disponible el inicio de sesión único de conexión directa en la nube de Microsoft Azure Alemania y en la nube de Microsoft Azure Government?

El inicio de sesión único de conexión directa está disponible para la nube de Azure Government. Para más información, consulte Consideraciones al respecto de la identidad híbrida para Azure Government.

¿Qué aplicaciones aprovechan la funcionalidad de parámetro "domain_hint" o "login_hint" del inicio de sesión único de conexión directa?

La tabla tiene una lista de aplicaciones que pueden enviar estos parámetros a Microsoft Entra ID. Esta acción proporciona a los usuarios una experiencia de inicio de sesión silenciosa mediante SSO de conexión directa:

Nombre de la aplicación Dirección URL de la aplicación
Panel de acceso https://myapps.microsoft.com/contoso.com
Outlook en la Web https://outlook.office365.com/contoso.com
Portales de Office 365 https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Además, los usuarios obtienen una experiencia de inicio de sesión silenciosa si una aplicación envía solicitudes de inicio de sesión a los puntos de conexión configurados como inquilinos de Microsoft Entra, por ejemplo, https://login.microsoftonline.com/contoso.com/<..> o https://login.microsoftonline.com/<tenant_ID>/<..>, en lugar del punto de conexión común de Microsoft Entra, es decir, https://login.microsoftonline.com/common/<...>. La tabla incluye una lista de aplicaciones que realizan estos tipos de solicitudes de inicio de sesión.

Nombre de la aplicación Dirección URL de la aplicación
SharePoint Online https://contoso.sharepoint.com
Centro de administración de Microsoft Entra https://portal.azure.com/contoso.com

En las tablas anteriores, reemplace "contoso.com" por el nombre de dominio para obtener las direcciones URL de aplicación correctas para el inquilino.

Si quiere que otras aplicaciones utilicen la experiencia de inicio de sesión silenciosa, comuníquenoslo en la sección de comentarios.

¿Admite SSO de conexión directa el "identificador alternativo" como nombre de usuario, en lugar de "userPrincipalName"?

Sí. Seamless SSO admite Alternate ID como nombre de usuario cuando se configura en Microsoft Entra Connect como se muestra aquí. No todas las aplicaciones de Microsoft 365 admiten Alternate ID. Consulte la documentación de la aplicación específica para conocer la declaración de compatibilidad.

¿Cuál es la diferencia entre la experiencia de inicio de sesión único que ofrece Microsoft Entra Join y Seamless SSO?

La Unión a Microsoft Entra proporciona SSO a los usuarios si sus dispositivos se han registrado con Microsoft Entra ID. Estos dispositivos no deben estar unidos al dominio necesariamente. SSO se proporciona mediante tokens de actualización principal o PRT, y no con Kerberos. La experiencia del usuario es más adecuada en dispositivos Windows 10. SSO se realiza automáticamente en el explorador Microsoft Edge. También funciona en Chrome mediante una extensión de explorador.

Puede usar tanto la unión a Microsoft Entra como SSO de conexión directa en el inquilino. Estas dos características son complementarias. Si ambas características están activadas, el inicio de sesión único de la unión a Microsoft Entra tiene prioridad sobre el inicio de sesión único de conexión directa.

Quiero registrar dispositivos que no sean Windows 10 con Microsoft Entra ID, sin utilizar AD FS. ¿Puedo usar SSO de conexión directa en su lugar?

Sí, en este escenario se necesita la versión 2.1 o posterior del cliente para unirse al área de trabajo.

¿Cómo puedo implementar la clave de descifrado de Kerberos de la cuenta de equipo "AZUREADSSO"?

Es importante transferir con frecuencia la clave de descifrado Kerberos de la AZUREADSSOcuenta de equipo (que representa Microsoft Entra ID) creada en su bosque AD local.

Importante

Se recomienda sustituir la clave de descifrado de Kerberos al menos cada 30 días con el cmdlet Update-AzureADSSOForest. Al usar el cmdlet Update-AzureADSSOForest, asegúrese de no ejecutar el comando Update-AzureADSSOForest más de una vez por bosque. De lo contrario, la característica deja de funcionar hasta que expira la hora de los vales Kerberos de los usuarios y se vuelven a emitir por parte de la instancia local de Active Directory.

Siga estos pasos en el servidor local donde se ejecuta Microsoft Entra Connect.

Nota:

Necesita credenciales de administrador de dominio e administrador de identidad híbrida para los pasos. Si no es administrador de dominio, pero el administrador del dominio le ha asignado permisos, debe llamar a Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Paso 1. Obtención de la lista de bosques de AD en los que se habilitó SSO de conexión directa

  1. Primero, descargue e instale Azure AD PowerShell.
  2. Vaya a la carpeta $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importe el módulo de PowerShell de SSO de conexión directa mediante este comando: Import-Module .\AzureADSSO.psd1.
  4. Ejecute PowerShell como administrador. En PowerShell, llame a New-AzureADSSOAuthenticationContext. Este comando debería mostrar un cuadro emergente para escribir las credenciales de administrador de identidades híbridas del inquilino.
  5. Llame a Get-AzureADSSOStatus | ConvertFrom-Json. Este comando le proporciona una lista de bosques de AD (examine la lista "Dominios") en los que se ha habilitado esta característica.

Paso 2. Actualización de la clave de descifrado de Kerberos en cada bosque de AD en el que se haya configurado

  1. Llame a $creds = Get-Credential. Cuando se le pida, escriba las credenciales del administrador de dominio para el bosque de AD deseado.

Nota:

El nombre de usuario de las credenciales de administrador de dominio debe especificarse con el formato de nombre de cuenta SAM (contoso\johndoe o contoso.com\johndoe). La parte de dominio del nombre de usuario se usa para localizar el controlador de dominio del administrador de dominio con DNS.

Nota:

La cuenta de administrador de dominio usada no puede ser miembro del grupo Usuarios protegidos. Sin embargo, se produce un error en la operación.

  1. Llame a Update-AzureADSSOForest -OnPremCredentials $creds. Este comando actualiza la clave de descifrado Kerberos para la AZUREADSSOcuenta de ordenador en este bosque AD específico y la actualiza en Microsoft Entra ID.

  2. Repita los pasos anteriores para cada bosque de AD en el que haya configurado la característica.

Nota:

Si va a actualizar un bosque que no sea el de Microsoft Entra Connect, asegúrese de que la conectividad con el servidor del catálogo global (TCP 3268 y TCP 3269) está disponible.

Importante

Esto no tiene que hacerse en servidores que ejecutan Microsoft Entra Connect en modo de almacenamiento provisional.

¿Cómo se deshabilita SSO de conexión directa?

Paso 1. Deshabilite la característica en su inquilino

Opción A: Deshabilitar mediante Microsoft Entra Connect

  1. Ejecute Microsoft Entra Connect, elija Cambiar página de inicio de sesión de usuario y haga clic en Siguiente.
  2. Desmarque la opción Habilitar el inicio de sesión único. Continúe con el asistente.

Cuando haya finalizado con el asistente, el SSO de conexión directa estará deshabilitado en su inquilino. Sin embargo, verá un mensaje en pantalla en el que se anuncia lo siguiente:

"El inicio de sesión único ya está deshabilitado, pero es necesario completar otros pasos manualmente para finalizar el proceso. Más información"

Para completar el proceso de limpieza, siga los pasos 2 y 3 en el servidor local donde se ejecuta Microsoft Entra Connect.

Opción B: deshabilitación mediante PowerShell

Siga estos pasos en el servidor local donde se ejecuta Microsoft Entra Connect.

  1. Primero, descargue e instale Azure AD PowerShell.
  2. Vaya a la carpeta $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importe el módulo de PowerShell de SSO de conexión directa mediante este comando: Import-Module .\AzureADSSO.psd1.
  4. Ejecute PowerShell como administrador. En PowerShell, llame a New-AzureADSSOAuthenticationContext. Este comando debería mostrar un cuadro emergente para escribir las credenciales de administrador de identidades híbridas del inquilino.
  5. Llame a Enable-AzureADSSO -Enable $false.

En este momento, el SSO de conexión directa está deshabilitado, pero los dominios permanecen configurados en el caso de que quiera volver a habilitar el SSO de conexión directa. Si desea quitar completamente los dominios de la configuración del SSO de conexión directa, llame al siguiente cmdlet después de completar el paso 5 anteriormente: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Importante

Si deshabilita SSO de conexión directa con PowerShell, no cambiará el estado en Microsoft Entra Connect. SSO de conexión directa se mostrará como habilitado en la página Cambiar inicio de sesión de usuario.

Nota:

Si no tiene un servidor de Microsoft Entra Connect Sync, puede descargar uno y ejecutar la instalación inicial. Esto no configurará el servidor, pero desempaquetará los archivos necesarios para deshabilitar el inicio de sesión único. Una vez finalizada la instalación de MSI, cierre el asistente para Microsoft Entra Connect y ejecute los pasos para deshabilitar el SSO de conexión directa usando el programa de PowerShell.

Paso 2. Obtención de la lista de bosques de AD en los que se habilitó SSO de conexión directa

Realice las tareas que van de la 1 a la 4 si ha deshabilitado el inicio de sesión único de conexión directa con Microsoft Entra Connect. Si, en cambio, ha deshabilitado el inicio de sesión único de conexión directa con PowerShell, avance a la tarea 5.

  1. Primero, descargue e instale Azure AD PowerShell.
  2. Vaya a la carpeta $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importe el módulo de PowerShell de SSO de conexión directa mediante este comando: Import-Module .\AzureADSSO.psd1.
  4. Ejecute PowerShell como administrador. En PowerShell, llame a New-AzureADSSOAuthenticationContext. Este comando debería mostrar un cuadro emergente para escribir las credenciales de administrador de identidades híbridas del inquilino.
  5. Llame a Get-AzureADSSOStatus | ConvertFrom-Json. Aparecerá la lista de bosques de AD (examine la lista "Dominios") en la que se ha habilitado esta característica.

Paso 3. Elimine manualmente la cuenta de equipo AZUREADSSO de cada bosque de AD que encuentre en la lista.

Pasos siguientes