Azure Active Directory – Közvetlen egyszeri bejelentkezés

Mi az az Azure Active Directory közvetlen egyszeri bejelentkezés?

Az Azure Active Directory közvetlen egyszeri bejelentkezés (Azure AD közvetlen egyszeri bejelentkezés) automatikusan bejelentkezteti a felhasználókat, amikor a vállalati hálózathoz csatlakoztatott vállalati eszközeiken vannak. Ha engedélyezve van, a felhasználóknak nem kell megadniuk a jelszavukat az Azure AD-be való bejelentkezéshez, sőt, általában még a felhasználónevüket sem kell megadniuk. A szolgáltatás használatával a felhasználók könnyen elérhetik a felhőalapú alkalmazásokat anélkül, hogy ehhez további helyszíni összetevőkre lenne szükség.

A közvetlen egyszeri bejelentkezés összevonható a jelszókivonat-szinkronizálási vagy az átmenő hitelesítési bejelentkezési módszerrel. A közvetlen egyszeri bejelentkezés nem alkalmazható az Active Directory összevonási szolgáltatások (ADFS) esetén.

Közvetlen egyszeri bejelentkezés

Egyszeri bejelentkezés elsődleges frissítési jogkivonattal és közvetlen egyszeri bejelentkezéssel

Windows 10, Windows Server 2016 és újabb verziók esetén ajánlott az SSO használata elsődleges frissítési jogkivonaton (PRT) keresztül. Windows 7 és Windows 8.1 esetén ajánlott a közvetlen egyszeri bejelentkezés használata. A közvetlen egyszeri bejelentkezéshez a felhasználó eszközének tartományhoz kell csatlakoznia, de nem használható Windows 10 Azure AD csatlakoztatott eszközökön vagy hibrid Azure AD csatlakoztatott eszközökön. A Azure AD csatlakoztatott, hibrid Azure AD csatlakoztatott és Azure AD regisztrált eszközök egyszeri bejelentkezése az elsődleges frissítési jogkivonat (PRT) alapján működik

A PRT-vel történő SSO azután működik, hogy a hibrid Azure AD-hez csatlakoztatott, Azure AD-hez csatlakoztatott vagy személyesen regisztrált eszközöket munkahelyi vagy iskolai fiók hozzáadásán keresztül regisztrálják az Azure AD-ben. Az egyszeri bejelentkezés prt használatával végzett Windows 10 működésével kapcsolatos további információkért lásd: Elsődleges frissítési jogkivonat (PRT) és Azure AD

Főbb előnyök

  • Nagyszerű felhasználói élmény
    • A felhasználók automatikusan bejelentkeznek a helyszíni és a felhőalapú alkalmazásokba is.
    • A felhasználóknak nem kell többször megadniuk a jelszavukat.
  • Könnyen üzembe helyezhető & felügyelet
    • Ehhez nincs szükség további összetevőkre a helyszínen.
    • Bármilyen felhőalapú hitelesítési módszerrel működik – jelszókivonat-szinkronizálással vagy átmenő hitelesítéssel.
    • A Csoportházirend használatával egyes felhasználók vagy az összes felhasználó számára bevezethetők.
    • Nem Windows 10 eszközöket regisztrálhat Azure AD anélkül, hogy AD FS-infrastruktúrára van szüksége. Ehhez a képességhez a munkahelyi csatlakoztatási ügyfél 2.1-es vagy újabb verzióját kell használnia.

Kiemelt funkciók

  • A bejelentkezési felhasználónév lehet a helyszíni alapértelmezett felhasználónév (userPrincipalName) vagy egy másik attribútum, amely a Azure AD Connectben van konfigurálva (Alternate ID). Mindkét használati eset működik, mert a közvetlen egyszeri bejelentkezés a securityIdentifier Kerberos-jegyben található jogcímet használja a megfelelő felhasználói objektum kereséséhez a Azure AD.
  • A közvetlen egyszeri bejelentkezés egy opportunista funkció. Ha bármilyen okból meghiúsul, a felhasználói bejelentkezési élmény visszatér a szokásos viselkedéséhez , azaz a felhasználónak be kell írnia a jelszavát a bejelentkezési oldalon.
  • Ha egy alkalmazás (példáulhttps://myapps.microsoft.com/contoso.com) továbbít egy domain_hint (OpenID Connect) vagy whr (SAML) paramétert – amely azonosítja a bérlőt vagy login_hint a paramétert – azonosítja a felhasználót, a bejelentkezési kérés Azure AD ében a felhasználók automatikusan bejelentkeznek anélkül, hogy felhasználóneveket vagy jelszavakat írnak be.
  • A felhasználók akkor is csendes bejelentkezési élményt kapnak, https://contoso.sharepoint.comha egy alkalmazás (például ) bejelentkezési kéréseket küld Azure AD bérlőként beállított végpontjainak , azaz https://login.microsoftonline.com/contoso.com/<..>https://login.microsoftonline.com/<tenant_ID>/<..> Azure AD közös végpontja helyett, azaz https://login.microsoftonline.com/common/<...>.
  • A kijelentkezés támogatott. Ez lehetővé teszi, hogy a felhasználók egy másik Azure AD fiókot válasszanak a bejelentkezéshez, ahelyett, hogy automatikusan bejelentkeznek a közvetlen egyszeri bejelentkezéssel.
  • A 16.0.8730.xxxx és újabb verziójú Microsoft 365 Win32-ügyfelek (Outlook, Word, Excel és mások) nem interaktív folyamattal támogatottak. A OneDrive-hoz aktiválnia kell a OneDrive csendes konfigurációs funkcióját a csendes bejelentkezéshez.
  • A Azure AD Connecten keresztül engedélyezhető.
  • Ez egy ingyenes funkció, és nincs szüksége Azure AD fizetős kiadásaira a használatához.
  • A kerberos-hitelesítésre képes platformokon és böngészőkben a modern hitelesítést támogató webböngésző-alapú ügyfelek és Office-ügyfelek támogatják:
OS\Browser Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Igen* Igen Igen Igen*** N/A
Windows 8.1 Igen* Igen**** Igen Igen*** N/A
Windows 8 Igen* N.A. Igen Igen*** N/A
Windows Server 2012 R2 vagy újabb Igen** N.A. Igen Igen*** N/A
Mac OS X N.A. N.A. Igen*** Igen*** Igen***

Megjegyzés

A Microsoft Edge örökölt verziójának támogatása már nem támogatott

*Az Internet Explorer 11-es vagy újabb verziójára van szükség. (2021. augusztus 17-től a Microsoft 365-alkalmazások és -szolgáltatások nem támogatják az IE 11-et.)

**Az Internet Explorer 11-es vagy újabb verziójára van szükség. Tiltsa le a fokozott védelem alatt álló módot.

További konfigurációt igényel.

Microsoft Edge Chromium alapján

Következő lépések