Rövid útmutató: A Microsoft Entra közvetlen egyszeri bejelentkezése

  • Cikk

A Microsoft Entra közvetlen egyszeri bejelentkezés (közvetlen egyszeri bejelentkezés) automatikusan bejelentkezik a felhasználókba, amikor a vállalati hálózathoz csatlakoztatott vállalati asztalaikat használják. A közvetlen egyszeri bejelentkezés egyszerű hozzáférést biztosít a felhasználóknak a felhőalapú alkalmazásokhoz anélkül, hogy más helyszíni összetevőket használnak.

Ha a Microsoft Entra-azonosító közvetlen egyszeri bejelentkezését a Microsoft Entra Csatlakozás használatával szeretné üzembe helyezni, hajtsa végre az alábbi szakaszokban ismertetett lépéseket.

Az előfeltételek ellenőrzése

Győződjön meg arról, hogy a következő előfeltételek teljesülnek:

  • A Microsoft Entra Csatlakozás kiszolgáló beállítása: Ha bejelentkezési módszerként átmenő hitelesítést használ, nincs szükség egyéb előfeltétel-ellenőrzésre. Ha jelszókivonat-szinkronizálást használ bejelentkezési módszerként, és tűzfal van a Microsoft Entra Csatlakozás és a Microsoft Entra ID között, győződjön meg arról, hogy:

    • A Microsoft Entra Csatlakozás 1.1.644.0-s vagy újabb verzióját használja.

    • Ha a tűzfal vagy a proxy engedélyezi, adja hozzá a kapcsolatokat az engedélyezési listához a 443-as porton keresztüli URL-címekhez *.msappproxy.net . Ha a proxykonfigurációhoz helyettesítő karakter helyett egy adott URL-címet kell megadnia, konfigurálhatja tenantid.registration.msappproxy.netannak tenantid a bérlőnek a GUID-címét, amelyhez a szolgáltatást konfigurálja. Ha az URL-alapú proxyk kivételei nem lehetségesek a szervezetben, engedélyezheti a hetente frissített Azure-adatközpont IP-tartományaihoz való hozzáférést. Ez az előfeltétel csak akkor alkalmazható, ha engedélyezi a közvetlen egyszeri bejelentkezés funkciót. A közvetlen felhasználói bejelentkezésekhez nem szükséges.

      Megjegyzés:

      • A Microsoft Entra Csatlakozás 1.1.557.0-s, 1.1.558.0-s, 1.1.561.0-s és 1.1.614.0-s verziói a jelszókivonat-szinkronizálással kapcsolatos problémákat tapasztalnak. Ha nem kíván jelszókivonat-szinkronizálást használni az átmenő hitelesítéssel együtt, további információért tekintse át a Microsoft Entra Csatlakozás kibocsátási megjegyzéseit.

  • Használjon támogatott Microsoft Entra Csatlakozás topológiát: Győződjön meg arról, hogy a Microsoft Entra Csatlakozás támogatott topológiák egyikét használja.

    Megjegyzés:

    A közvetlen egyszeri bejelentkezés több helyszíni Windows Server Active Directory-erdőt (Windows Server AD) támogat, függetlenül attól, hogy vannak-e közöttük Windows Server AD-megbízhatósági kapcsolatok.

  • Tartományi rendszergazdai hitelesítő adatok beállítása: Minden Olyan Windows Server AD-erdőhöz rendelkeznie kell tartományi rendszergazdai hitelesítő adatokkal, amelyek:

    • A Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás keresztül szinkronizálhat.
    • Olyan felhasználókat tartalmaz, amelyek esetében engedélyezni szeretné a közvetlen egyszeri bejelentkezést.

  • Modern hitelesítés engedélyezése: A funkció használatához engedélyeznie kell a modern hitelesítést a bérlőn.

  • A Microsoft 365-ügyfelek legújabb verzióinak használata: Ha a Microsoft 365-ügyfelekkel (például az Outlookkal, a Wordkel vagy az Excellel) szeretne csendes bejelentkezési élményt biztosítani, a felhasználóknak a 16.0.8730.xxxx vagy újabb verziót kell használniuk.

Megjegyzés:

Ha kimenő HTTP-proxyval rendelkezik, győződjön meg arról, hogy az URL-cím autologon.microsoftazuread-sso.com szerepel az engedélyezési listán. Ezt az URL-címet explicit módon kell megadnia, mert előfordulhat, hogy a helyettesítő karakter nem fogadható el.

A funkció engedélyezése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Zökkenőmentes egyszeri bejelentkezés engedélyezése a Microsoft Entra Csatlakozás keresztül.

Megjegyzés:

Ha a Microsoft Entra Csatlakozás nem felel meg a követelményeknek, a PowerShell használatával engedélyezheti a közvetlen egyszeri bejelentkezést. Ezt a beállítást akkor használja, ha Windows Server AD-erdőnként több tartományt is használ, és a közvetlen egyszeri bejelentkezés engedélyezéséhez meg szeretné célozni a tartományt.

Ha a Microsoft Entra Csatlakozás új telepítését végzi, válassza ki az egyéni telepítési útvonalat. A Felhasználó bejelentkezési lapján válassza az Egyszeri bejelentkezés engedélyezése lehetőséget.

Screenshot that shows the User sign-in page in Microsoft Entra Connect, with Enable single sign on selected.

Megjegyzés:

A beállítás csak akkor választható, ha a kiválasztott bejelentkezési módszer a jelszókivonat-szinkronizálás vagy az átmenő hitelesítés.

Ha már telepítette a Microsoft Entra Csatlakozás, a További feladatok területen válassza a Felhasználói bejelentkezés módosítása lehetőséget, majd válassza a Tovább gombot. Ha a Microsoft Entra Csatlakozás 1.1.880.0-s vagy újabb verzióját használja, alapértelmezés szerint az Egyszeri bejelentkezés engedélyezése lehetőség van kiválasztva. Ha a Microsoft Entra Csatlakozás egy korábbi verzióját használja, válassza az Egyszeri bejelentkezés engedélyezése lehetőséget.

Screenshot that shows the Additional tasks page with Change the user sign-in selected.

Folytassa a varázslóval az egyszeri bejelentkezés engedélyezése lapon. Adjon meg tartományi Rendszergazda istrator hitelesítő adatokat minden Olyan Windows Server AD-erdőhöz, amely:

  • A Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás keresztül szinkronizálhat.
  • Olyan felhasználókat tartalmaz, amelyek esetében engedélyezni szeretné a közvetlen egyszeri bejelentkezést.

A varázsló befejezésekor a közvetlen egyszeri bejelentkezés engedélyezve lesz a bérlőn.

Megjegyzés:

A tartomány Rendszergazda istrator hitelesítő adatai nem a Microsoft Entra Csatlakozás vagy a Microsoft Entra-azonosítóban vannak tárolva. Csak a funkció engedélyezéséhez használatosak.

A közvetlen egyszeri bejelentkezés helyes engedélyezésének ellenőrzése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
  2. Keresse meg az Identity>Hybrid management>Microsoft Entra Csatlakozás> Csatlakozás szinkronizálást.
  3. Ellenőrizze, hogy a közvetlen egyszeri bejelentkezés engedélyezve van-e.

Screenshot that shows the Microsoft Entra Connect pane in the admin portal.

Fontos

A közvetlen egyszeri bejelentkezés létrehoz egy számítógépfiókot, amely a helyszíni Windows Server AD-címtárban található minden Egyes Windows Server AD-erdőben elnevezett AZUREADSSOACC . A AZUREADSSOACC számítógépfiókot biztonsági okokból szigorúan védeni kell. Csak tartományi Rendszergazda istrator-fiókok kezelhetik a számítógépfiókot. Győződjön meg arról, hogy a számítógépfiók Kerberos-delegálása le van tiltva, és hogy a Windows Server AD-ben egyetlen másik fiók sem rendelkezik delegálási engedélyekkel a AZUREADSSOACC számítógépfiókon. Tárolja a számítógépfiókokat egy szervezeti egységben, hogy biztonságban legyenek a véletlen törlésekkel, és csak a tartományi Rendszergazda istratorok férhetnek hozzá.

Megjegyzés:

Ha Pass-the-Hash és Credential Theft Mitigation architektúrákat használ a helyszíni környezetben, végezze el a megfelelő módosításokat, hogy a AZUREADSSOACC számítógépfiók ne kerüljön a Karantén tárolóba.

A funkció bevezetése

A közvetlen egyszeri bejelentkezést fokozatosan helyezheti üzembe a felhasználók számára a következő szakaszokban megadott utasítások használatával. Először adja hozzá a következő Microsoft Entra URL-címet az összes vagy kijelölt felhasználói intranetes zónabeállításhoz a Windows Server AD csoportházirendjében:

https://autologon.microsoftazuread-sso.com

Engedélyeznie kell egy intranetes zónaházirend-beállítást is, amelynek az a neve , hogy engedélyezze az állapotsor frissítéseit parancsfájlon keresztül a csoportházirenden keresztül.

Megjegyzés:

Az alábbi utasítások csak windowsos Internet Explorer, Microsoft Edge és Google Chrome esetén működnek (ha a Google Chrome megbízható webhely URL-címeket oszt meg az Internet Explorerrel). Megtudhatja, hogyan állíthatja be a Mozilla Firefoxot és a Google Chrome-ot macOS rendszeren.

Miért kell módosítania a felhasználói intranetes zóna beállításait?

Alapértelmezés szerint a böngésző automatikusan kiszámítja a megfelelő zónát, akár internetről, akár intranetről egy adott URL-címről. Leképezi például http://contoso/ az intranetes zónát, és http://intranet.contoso.com/ leképezi az internetzónát (mivel az URL-cím tartalmaz egy pontot). A böngészők nem küldenek Kerberos-jegyeket egy felhővégpontra, például a Microsoft Entra URL-címére, hacsak nem adja hozzá explicit módon az URL-címet a böngésző intranetes zónájához.

A felhasználói intranet zónabeállításai kétféleképpen módosíthatók:

Lehetőség Rendszergazda megfontolandó szempontok Felhasználó felület
Csoportházirend Rendszergazda az intranetes zónabeállítások szerkesztésének zárolása A felhasználók nem módosíthatják a saját beállításaikat
Csoportházirend-beállítás Rendszergazda lehetővé teszi az intranetes zónabeállítások szerkesztését A felhasználók módosíthatják saját beállításaikat

Csoportházirend részletes lépései

  1. Nyissa meg a Csoportházirend-kezelési szerkesztő eszközt.

  2. Szerkessze az egyes felhasználókra vagy az összes felhasználóra alkalmazott csoportházirendet. Ez a példa alapértelmezett tartományházirendet használ.

  3. Nyissa meg a felhasználói konfigurációs>szabályzatokat> Rendszergazda felhasználói sablonok>Windows-összetevők>Internet Explorer>Internet Vezérlőpult> Security lapját. Válassza ki a Hely a zónához hozzárendelési lista lehetőséget.

    Screenshot that shows the Security Page with Site to Zone Assignment List selected.

  4. Engedélyezze a szabályzatot, majd írja be a következő értékeket a párbeszédpanelen:

    • Érték neve: A Microsoft Entra URL-címe, ahol a Kerberos-jegyek továbbításra kerülnek.

    • Érték (Adatok): Az 1 az intranetes zónát jelöli.

      Az eredmény a következő példához hasonlóan néz ki:

      Érték neve: https://autologon.microsoftazuread-sso.com

      Érték (adatok): 1

    Megjegyzés:

    Ha meg szeretné akadályozni, hogy egyes felhasználók közvetlen egyszeri bejelentkezést használjanak (például ha ezek a felhasználók megosztott kioszkokra jelentkeznek be), állítsa az előző értékeket 4 értékre. Ez a művelet hozzáadja a Microsoft Entra URL-címét a korlátozott zónához, a közvetlen egyszeri bejelentkezés pedig folyamatosan meghiúsul a felhasználók számára.

  5. Válassza az OK gombot, majd kattintson ismét az OK gombra .

    Screenshot that shows the Show Contents window with a zone assignment selected.

  6. Nyissa meg a felhasználói konfigurációs>szabályzatokat> Rendszergazda istrative templates>Windows Components>Internet Explorer Internet Vezérlőpult Security Page Intranet Zone( Internet Explorer>Internet Vezérlőpult> Security Page>Intranet Zone). Válassza az Állapotsor frissítésének engedélyezése parancsprogramon keresztül lehetőséget.

    Screenshot that shows the Intranet Zone page with Allow updates to status bar via script selected.

  7. Engedélyezze a házirend-beállítást, majd kattintson az OK gombra.

    Screenshot that shows the Allow updates to status bar via script window with the policy setting enabled.

Csoportházirend-beállítások részletes lépései

  1. Nyissa meg a Csoportházirend-kezelési szerkesztő eszközt.

  2. Szerkessze az egyes felhasználókra vagy az összes felhasználóra alkalmazott csoportházirendet. Ez a példa alapértelmezett tartományházirendet használ.

  3. Nyissa meg a Felhasználói konfiguráció beállításai>>windows Gépház> Regisztrációs>új>beállításjegyzék-elemet.

    Screenshot that shows Registry selected and Registry Item selected.

  4. Adja meg vagy válassza ki a következő értékeket a bemutatott módon, majd válassza az OK gombot.

    • Kulcs elérési útja: Software\Microsoft\Windows\CurrentVersion\Internet Gépház\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Érték neve: https

    • Érték típusa: REG_DWORD

    • Értékadatok: 00000001

      Screenshot that shows the New Registry Properties window.

      Screenshot that shows the new values listed in Registry Editor.

Böngészői szempontok

A következő szakaszok a közvetlen egyszeri bejelentkezésről tartalmaznak információkat, amelyek különböző böngészőtípusokra vonatkoznak.

Mozilla Firefox (minden platform)

Ha a környezet hitelesítési házirend-beállításait használja, győződjön meg arról, hogy hozzáadja a Microsoft Entra URL-címet (https://autologon.microsoftazuread-sso.com) az SPNEGO szakaszhoz. A PrivateBrowsing beállítást igaz értékre is beállíthatja, hogy privát böngészési módban engedélyezze a közvetlen egyszeri bejelentkezést.

Safari (macOS)

Győződjön meg arról, hogy a macOS rendszert futtató gép csatlakozik a Windows Server AD-hez.

A macOS-eszköz Windows Server AD-hez való csatlakoztatására vonatkozó utasítások nem tartoznak a jelen cikk hatókörébe.

Chromiumon alapuló Microsoft Edge (minden platform)

Ha felülírta az AuthNegotiateDelegateAllowlist vagy az AuthServerAllowlist házirend beállításait a környezetében, győződjön meg arról, hogy a Microsoft Entra URL-címét (https://autologon.microsoftazuread-sso.com) is hozzáadja ezekhez a házirend-beállításokhoz.

Chromiumon alapuló Microsoft Edge (macOS és más nem Windows-platformok)

A macOS-en és más nem Windows-platformokon futó Chromiumon alapuló Microsoft Edge esetén a Microsoft Edge Chromium-szabályzatok listájában tájékozódhat arról, hogyan adhat hozzá integrált hitelesítéshez a Microsoft Entra URL-címet az engedélyezési listához.

Google Chrome (minden platform)

Ha felülírta az AuthNegotiateDelegateAllowlist vagy az AuthServerAllowlist házirend beállításait a környezetében, győződjön meg arról, hogy a Microsoft Entra URL-címét (https://autologon.microsoftazuread-sso.com) is hozzáadja ezekhez a házirend-beállításokhoz.

macOS

A microsoft Entra URL-címének a Firefox és a Google Chrome macOS-felhasználók számára történő bevezetéséhez külső Active Directory csoportházirend-bővítmények használata a jelen cikk hatókörén kívül esik.

Ismert böngészőkorlátozások

A közvetlen egyszeri bejelentkezés nem működik az Internet Explorerben, ha a böngésző fokozottan védett módban fut. A közvetlen egyszeri bejelentkezés támogatja a Microsoft Edge következő, Chromiumon alapuló verzióját, és inPrivate és Vendég módban is működik tervezés szerint. A Microsoft Edge (elavult) már nem támogatott.

Előfordulhat, hogy a megfelelő dokumentáció alapján konfigurálnia AmbientAuthenticationInPrivateModesEnabled kell az InPrivate vagy a vendégfelhasználók számára:

Közvetlen egyszeri bejelentkezés tesztelése

Egy adott felhasználó funkciójának teszteléséhez győződjön meg arról, hogy az alábbi feltételek teljesülnek:

  • A felhasználó bejelentkezik egy vállalati eszközön.
  • Az eszköz csatlakozik a Windows Server AD-tartományhoz. Az eszköznek nem kell csatlakoznia a Microsoft Entra-hoz.
  • Az eszköz közvetlen kapcsolatot létesít a tartományvezérlővel a vállalati vezetékes vagy vezeték nélküli hálózaton, vagy egy távelérési kapcsolaton keresztül, például VPN-kapcsolaton keresztül.
  • A szolgáltatást csoportházirenddel gördítette ki a felhasználónak.

Olyan forgatókönyv tesztelése, amelyben a felhasználó felhasználónevet ad meg, de jelszót nem:

  • Sign in to https://myapps.microsoft.com. Ügyeljen arra, hogy törölje a böngésző gyorsítótárát, vagy használjon egy új privát böngésző-munkamenetet a támogatott böngészők bármelyikével privát módban.

Ha olyan forgatókönyvet szeretne tesztelni, amelyben a felhasználónak nem kell felhasználónevet vagy jelszót megadnia, kövesse az alábbi lépések egyikét:

  • Sign in to https://myapps.microsoft.com/contoso.onmicrosoft.com. Ügyeljen arra, hogy törölje a böngésző gyorsítótárát, vagy használjon egy új privát böngésző-munkamenetet a támogatott böngészők bármelyikével privát módban. Cserélje le contoso a bérlő nevét.
  • https://myapps.microsoft.com/contoso.com Jelentkezzen be egy új privát böngésző munkamenetbe. Cserélje le contoso.com egy ellenőrzött tartományra (nem összevont tartományra) a bérlőn.

Kulcsok átgörgetése

A funkció engedélyezésével a Microsoft Entra Csatlakozás létrehoz egy számítógépfiókot (amely a Microsoft Entra-azonosítót jelöli) az összes Olyan Windows Server AD-erdőben, amelyen engedélyezte a közvetlen egyszeri bejelentkezést. További információért tekintse meg a Microsoft Entra közvetlen egyszeri bejelentkezését: Technikai mélybe merülés.

Fontos

A számítógépfiók Kerberos visszafejtési kulcsa, ha kiszivárog, a Windows Server AD-erdő bármely felhasználójához létrehozhat Kerberos-jegyeket. A rosszindulatú szereplők ezután megszemélyesíthetik a Microsoft Entra-bejelentkezéseket a sérült felhasználók számára. Javasoljuk, hogy rendszeresen, vagy legalább 30 naponta hajtsa végig ezeket a Kerberos-visszafejtési kulcsokat.

A kulcsok átgördítésére vonatkozó útmutatásért tekintse meg a Microsoft Entra közvetlen egyszeri bejelentkezését: Gyakori kérdések.

Fontos

A funkció engedélyezése után nem kell azonnal elvégeznie ezt a lépést. A Kerberos visszafejtési kulcsait 30 naponta legalább egyszer gördítsd át.

További lépések

  • Technikai mélybe merülés: Ismerje meg, hogyan működik a közvetlen egyszeri bejelentkezés funkció.
  • Gyakori kérdések: Válaszokat kaphat a közvetlen egyszeri bejelentkezésre vonatkozó gyakori kérdésekre.
  • Hibaelhárítás: Megtudhatja, hogyan háríthatja el a közvetlen egyszeri bejelentkezés funkcióval kapcsolatos gyakori problémákat.
  • UserVoice: A Microsoft Entra fórumával új funkciókéréseket küldhet.