Rövid útmutató: A Microsoft Entra közvetlen egyszeri bejelentkezése

A Microsoft Entra zökkenőmentes egyszeri bejelentkezése (Seamless SSO) automatikusan bejelentkezteti a felhasználókat, amikor a vállalati hálózathoz csatlakoztatott vállalati számítógépeiket használják. A közvetlen egyszeri bejelentkezés egyszerű hozzáférést biztosít a felhasználóknak a felhőalapú alkalmazásokhoz anélkül, hogy más helyszíni összetevőket használnak.

Ha a Microsoft Entra Connect használatával zökkenőmentes egyszeri bejelentkezést szeretne üzembe helyezni a Microsoft Entra ID-hoz, hajtsa végre az alábbi szakaszokban ismertetett lépéseket.

Ellenőrizze az előfeltételeket

Győződjön meg arról, hogy a következő előfeltételek teljesülnek:

• A Microsoft Entra Connect-kiszolgáló beállítása: Ha az átmenő hitelesítést használja bejelentkezési módszerként, nincs szükség egyéb előfeltétel-ellenőrzésre. Ha jelszókivonat-szinkronizálást használ bejelentkezési módszerként, és tűzfal van a Microsoft Entra Connect és a Microsoft Entra ID között, győződjön meg arról, hogy:

  • A Microsoft Entra Connect 1.1.644.0-s vagy újabb verzióját használja.

  • Ha a tűzfal vagy a proxy engedélyezi, adja hozzá a kapcsolatokat az engedélyezési listához a *.msappproxy.net URL-címek számára a 443-as porton keresztül. Ha a proxykonfigurációhoz helyettesítő karakter helyett egy adott URL-címet kell megadnia, akkor konfigurálhatja a tenantid.registration.msappproxy.net-t, ahol a tenantid annak a bérlőnek a GUID-ja, amelyhez a szolgáltatást konfigurálja. Ha az URL-alapú proxyk kivételei nem lehetségesek a szervezetben, engedélyezheti a hetente frissített Azure-adatközpont IP-tartományaihoz való hozzáférést. Ez az előfeltétel csak akkor alkalmazható, ha engedélyezi a közvetlen egyszeri bejelentkezés funkciót. A közvetlen felhasználói bejelentkezésekhez nem szükséges.

    Feljegyzés

    • A Microsoft Entra Connect 1.1.557.0-s, 1.1.558.0-s, 1.1.561.0-s és 1.1.614.0-s verziói a jelszókivonat-szinkronizálással kapcsolatos problémákat tapasztalnak. Ha nem szeretné használni a jelszókivonat-szinkronizálást az átmenő hitelesítéssel együtt, további információért tekintse át a Microsoft Entra Connect kibocsátási megjegyzéseit .

• Támogatott Microsoft Entra Connect-topológia használata: Győződjön meg arról, hogy a Microsoft Entra Connect által támogatott topológiák egyikét használja.

  Feljegyzés

  A zökkenőmentes SSO több helyszíni Windows Server Active Directory-erdőt (Windows Server AD) támogat, függetlenül attól, hogy vannak-e közöttük Windows Server AD-megbízhatósági kapcsolatok.

• Tartományi rendszergazdai hitelesítő adatok beállítása: Minden Olyan Windows Server AD-erdőhöz rendelkeznie kell tartományi rendszergazdai hitelesítő adatokkal, amelyek:

  • A Microsoft Entra-azonosítóval a Microsoft Entra Connecten keresztül szinkronizálhat.
  • Olyan felhasználókat tartalmaz, amelyek esetében engedélyezni szeretné a közvetlen egyszeri bejelentkezést.

• Modern hitelesítés engedélyezése: A funkció használatához engedélyeznie kell a modern hitelesítést a bérlőn.

• A Microsoft 365-ügyfelek legújabb verzióinak használata: Ha a Microsoft 365-ügyfelekkel (például az Outlookkal, a Wordkel vagy az Excellel) szeretne csendes bejelentkezési élményt biztosítani, a felhasználóknak a 16.0.8730.xxxx vagy újabb verziót kell használniuk.

Feljegyzés

Ha kimenő HTTP-proxyval rendelkezik, győződjön meg arról, hogy az URL-cím autologon.microsoftazuread-sso.com szerepel az engedélyezési listán. Ezt az URL-címet explicit módon kell megadnia, mert előfordulhat, hogy a helyettesítő karakter nem fogadható el.

A funkció engedélyezése

Közvetlen egyszeri bejelentkezés engedélyezése a Microsoft Entra Connecten keresztül.

Feljegyzés

Ha a Microsoft Entra Connect nem felel meg a követelményeknek, a PowerShell használatával engedélyezheti a közvetlen egyszeri bejelentkezést. Ezt a beállítást akkor használja, ha Windows Server AD-erdőnként több tartományt is használ, és a zökkenőmentes egyszeri bejelentkezés engedélyezéséhez ki szeretné választani a tartományt.

Ha a Microsoft Entra Connect új telepítését végzi, válassza ki az egyéni telepítési útvonalat. A Felhasználó bejelentkezési lapján válassza az Egyszeri bejelentkezés engedélyezése lehetőséget.

Feljegyzés

A beállítás csak akkor választható, ha a kiválasztott bejelentkezési módszer a jelszókivonat-szinkronizálás vagy az átmenő hitelesítés.

Ha már telepítette a Microsoft Entra Connectet, a További feladatok területen válassza a Felhasználói bejelentkezés módosítása lehetőséget, majd válassza a Tovább gombot. Ha a Microsoft Entra Connect 1.1.880.0-s vagy újabb verzióját használja, alapértelmezés szerint az Egyszeri bejelentkezés engedélyezése lehetőség van kiválasztva. Ha a Microsoft Entra Connect egy korábbi verzióját használja, válassza az Egyszeri bejelentkezés engedélyezése lehetőséget.

Folytassa a varázslóban az egyszeri bejelentkezés engedélyezése oldalra. Adjon meg tartományi rendszergazdai hitelesítő adatokat minden Olyan Windows Server AD-erdőhöz, amely:

• A Microsoft Entra-azonosítóval a Microsoft Entra Connecten keresztül szinkronizálhat.
• Olyan felhasználókat tartalmaz, amelyek esetében engedélyezni szeretné a közvetlen egyszeri bejelentkezést.

A varázsló befejezésekor a zökkenőmentes egyszeri bejelentkezés engedélyezve lesz a bérlői környezetben.

Feljegyzés

A tartományi rendszergazda hitelesítő adatai nem a Microsoft Entra Connectben vagy a Microsoft Entra-azonosítóban vannak tárolva. Csak a funkció engedélyezéséhez használatosak.

A közvetlen egyszeri bejelentkezés helyes engedélyezésének ellenőrzése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
2. Tallózzon az Entra ID>Entra Connect>Connect szinkronizálás felé.
3. Ellenőrizze, hogy a közvetlen egyszeri bejelentkezés engedélyezve van-e.

Fontos

A közvetlen SSO létrehoz egy AZUREADSSOACC nevű számítógépfiókot a helyszíni Windows Server AD-könyvtár minden Windows Server AD-erdőjében. A AZUREADSSOACC számítógépfiókot biztonsági okokból szigorúan védeni kell. Csak tartományi rendszergazdai fiókok kezelhetik a számítógépfiókot. Győződjön meg arról, hogy a számítógépfiók Kerberos-delegálása le van tiltva, és hogy a Windows Server AD-ben egyetlen másik fiók sem rendelkezik delegálási engedélyekkel a AZUREADSSOACC számítógépfiókon. Tárolja a számítógépfiókokat egy szervezeti egységben, hogy biztonságban legyenek a véletlen törlésekkel, és csak a tartományi rendszergazdák férhetnek hozzá.

Feljegyzés

Ha Pass-the-Hash és Credential Theft Mitigation architektúrákat használ a helyszíni környezetben, végezze el a megfelelő módosításokat, hogy a AZUREADSSOACC számítógépfiók ne kerüljön a Karantén tárolóba.

A funkció bevezetése

A közvetlen egyszeri bejelentkezést fokozatosan helyezheti üzembe a felhasználók számára a következő szakaszokban megadott utasítások használatával. Először adja hozzá a következő Microsoft Entra URL-címet az összes vagy kijelölt felhasználói intranetes zónabeállításhoz a Windows Server AD csoportházirendjében:

https://autologon.microsoftazuread-sso.com

Engedélyeznie kell egy intranetes zónaházirend-beállítást is, amelynek az a neve , hogy engedélyezze az állapotsor frissítéseit parancsfájlon keresztül a csoportházirenden keresztül.

Feljegyzés

Az alábbi utasítások csak windowsos Internet Explorer, Microsoft Edge és Google Chrome esetén működnek (ha a Google Chrome megbízható webhely URL-címeket oszt meg az Internet Explorerrel). Megtudhatja, hogyan állíthatja be a Mozilla Firefoxot és a Google Chrome-ot macOS rendszeren.

Miért kell módosítania a felhasználói intranetes zóna beállításait?

Alapértelmezés szerint a böngésző automatikusan kiszámítja a megfelelő zónát, akár internetről, akár intranetről egy adott URL-címről. Leképezi például http://contoso/ az intranetes zónát, és http://intranet.contoso.com/ leképezi az internetzónát (mivel az URL-cím tartalmaz egy pontot). A böngészők nem küldenek Kerberos-jegyeket egy felhővégpontra, például a Microsoft Entra URL-címére, hacsak nem adja hozzá explicit módon az URL-címet a böngésző intranetes zónájához.

A felhasználói intranet zónabeállításai kétféleképpen módosíthatók:

Lehetőség	Rendszergazdai szempont	Felhasználó felület
Csoportházirend	A rendszergazda zárolja az intranetes zónabeállítások szerkesztését	A felhasználók nem módosíthatják a saját beállításaikat
Csoportházirend-előny	A rendszergazda engedélyezi az intranetes zónabeállítások szerkesztését	A felhasználók módosíthatják saját beállításaikat

Csoportházirend részletes lépései

1. Nyissa meg a Csoportházirend-kezelési szerkesztő eszközt.

2. Szerkessze az egyes felhasználókra vagy az összes felhasználóra alkalmazott csoportházirendet. Ez a példa alapértelmezett tartományházirendet használ.

3. Nyissa meg a Felhasználói konfiguráció>Szabályzatok>Felügyeleti sablonok>Windows-összetevők>Internet Explorer>Internetvezérlő pult>Biztonsági oldal. Válassza a Zóna-hozzárendelési lista lehetőséget.

   

4. Engedélyezze a szabályzatot, majd írja be a következő értékeket a párbeszédpanelen:

   • Érték neve: A Microsoft Entra URL-címe, ahol a Kerberos-jegyek továbbításra kerülnek.

   • Érték (Adatok): Az 1 az intranetes zónát jelöli.

     Az eredmény a következő példához hasonlóan néz ki:

     Érték neve: https://autologon.microsoftazuread-sso.com

     Érték (adatok): 1

   Feljegyzés

   Ha meg szeretné akadályozni, hogy egyes felhasználók közvetlen egyszeri bejelentkezést használjanak (például ha ezek a felhasználók megosztott kioszkokra jelentkeznek be), állítsa az előző értékeket 4 értékre. Ez a művelet hozzáadja a Microsoft Entra URL-címét a korlátozott zónához, a közvetlen egyszeri bejelentkezés pedig folyamatosan meghiúsul a felhasználók számára.

5. Válassza az OK gombot, majd kattintson ismét az OK gombra .

   

6. Menjen a Felhasználói konfiguráció>Házirendek>Felügyeleti sablonok>Windows-összetevők>Internet Explorer>Internet vezérlőpult>Biztonsági lap>Intranet zóna. Válassza az Állapotsor frissítésének engedélyezése parancsprogramon keresztül lehetőséget.

   

7. Engedélyezze a házirend-beállítást, majd kattintson az OK gombra.

   

A csoportházirend beállításainak részletes lépései

1. Nyissa meg a Csoportházirend-kezelési szerkesztő eszközt.

2. Szerkessze az egyes felhasználókra vagy az összes felhasználóra alkalmazott csoportházirendet. Ez a példa alapértelmezett tartományházirendet használ.

3. Lépjen a Felhasználói konfiguráció>, Beállítások>, Windows beállítások>, Beállításjegyzék>, Új>, Beállításjegyzék elem.

   

4. Adja meg vagy válassza ki a következő értékeket a bemutatott módon, majd válassza az OK gombot.

   • Kulcs elérési útja: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

   • Érték neve: https

   • Érték típusa: REG_DWORD

   • Értékadatok: 00000001

     

     

Böngészői szempontok

A következő szakaszok a közvetlen egyszeri bejelentkezésről tartalmaznak információkat, amelyek különböző böngészőtípusokra vonatkoznak.

Mozilla Firefox (minden platform)

Ha a környezet hitelesítési házirend-beállításait használja, győződjön meg arról, hogy hozzáadja a Microsoft Entra URL-címet (https://autologon.microsoftazuread-sso.com) az SPNEGO szakaszhoz. A PrivateBrowsing beállítást true értékre is állíthatja, hogy privát böngészési módban engedélyezze a Seamless SSO-t.

Safari (macOS)

Győződjön meg arról, hogy a macOS rendszert futtató gép csatlakozik a Windows Server AD-hez.

A macOS-eszköz Windows Server AD-hez való csatlakoztatására vonatkozó utasítások nem tartoznak a jelen cikk hatókörébe.

Chromiumon alapuló Microsoft Edge (minden platform)

Ha felülbírálta az AuthNegotiateDelegateAllowlist vagy az AuthServerAllowlist házirend beállításokat a környezetében, győződjön meg róla, hogy hozzáadta a Microsoft Entra URL-t (https://autologon.microsoftazuread-sso.com) ezekhez a házirend beállításokhoz.

Chromiumon alapuló Microsoft Edge (macOS és más nem Windows-platformok)

A macOS-en és más nem Windows-platformokon futó Chromiumon alapuló Microsoft Edge esetén a Microsoft Edge Chromium-szabályzatok listájában tájékozódhat arról, hogyan adhat hozzá integrált hitelesítéshez a Microsoft Entra URL-címet az engedélyezési listához.

Google Chrome (összes platform)

Ha felülbírálta az AuthNegotiateDelegateAllowlist vagy az AuthServerAllowlist házirend beállításokat a környezetében, győződjön meg róla, hogy hozzáadta a Microsoft Entra URL-t (https://autologon.microsoftazuread-sso.com) ezekhez a házirend beállításokhoz.

macOS

A microsoft Entra URL-címének a Firefox és a Google Chrome macOS-felhasználók számára történő bevezetéséhez külső Active Directory csoportházirend-bővítmények használata a jelen cikk hatókörén kívül esik.

Ismert böngészőkorlátozások

A közvetlen egyszeri bejelentkezés nem működik az Internet Explorerben, ha a böngésző fokozottan védett módban fut. A közvetlen egyszeri bejelentkezés támogatja a Microsoft Edge következő, Chromiumon alapuló verzióját, és inPrivate és Vendég módban is működik tervezés szerint. A Microsoft Edge (elavult) már nem támogatott.

Előfordulhat, hogy a megfelelő dokumentáció alapján konfigurálnia AmbientAuthenticationInPrivateModesEnabled kell az InPrivate vagy a vendégfelhasználók számára:

• Microsoft Edge króm
• Google Chrome

Közvetlen egyszeri bejelentkezés tesztelése

Egy adott felhasználó funkciójának teszteléséhez győződjön meg arról, hogy az alábbi feltételek teljesülnek:

• A felhasználó bejelentkezik egy vállalati eszközön.
• Az eszköz csatlakozik a Windows Server AD-tartományhoz. Az eszköznek nem kell csatlakoznia a Microsoft Entra-hoz.
• Az eszköz közvetlen kapcsolatot létesít a tartományvezérlővel a vállalati vezetékes vagy vezeték nélküli hálózaton, vagy egy távelérési kapcsolaton keresztül, például VPN-kapcsolaton keresztül.
• A szolgáltatást csoportházirend útján tette elérhetővé a felhasználónak.

Olyan forgatókönyv tesztelése, amelyben a felhasználó felhasználónevet ad meg, de jelszót nem:

• Jelentkezzen be ide https://myapps.microsoft.com. Ügyeljen arra, hogy törölje a böngésző gyorsítótárát, vagy használjon egy új privát böngésző-munkamenetet a támogatott böngészők bármelyikével privát módban.

Ha olyan forgatókönyvet szeretne tesztelni, amelyben a felhasználónak nem kell felhasználónevet vagy jelszót megadnia, kövesse az alábbi lépések egyikét:

• Jelentkezzen be ide https://myapps.microsoft.com/contoso.onmicrosoft.com. Ügyeljen arra, hogy törölje a böngésző gyorsítótárát, vagy használjon egy új privát böngésző-munkamenetet a támogatott böngészők bármelyikével privát módban. Cserélje le contoso a bérlő nevét.
• https://myapps.microsoft.com/contoso.com Jelentkezzen be egy új privát böngésző munkamenetbe. Cserélje le a contoso.com címkét egy ellenőrzött tartományra (nem pedig egy összevont tartományra) a bérlőnél.

Kulcsok átgörgetése

A funkció engedélyezésével a Microsoft Entra Connect minden olyan Windows Server AD-erdőben létrehoz számítógépfiókokat (amelyek a Microsoft Entra-azonosítót képviselik), amelyen engedélyezte a közvetlen egyszeri bejelentkezést. További információért tekintse meg a Microsoft Entra közvetlen egyszeri bejelentkezését: Technikai mélybe merülés.

Fontos

A számítógépfiók Kerberos-dechiffrálási kulcsa, ha kiszivárog, létrehozhat Kerberos-jegyeket bármely szinkronizált felhasználó számára. A rosszindulatú szereplők ezután megszemélyesíthetik a Microsoft Entra-bejelentkezéseket a sérült felhasználók számára. Javasoljuk, hogy rendszeresen, vagy legalább 30 naponta hajtsa végig ezeket a Kerberos-visszafejtési kulcsokat.

A kulcsok átgördítésére vonatkozó útmutatásért tekintse meg a Microsoft Entra közvetlen egyszeri bejelentkezését: Gyakori kérdések.

Fontos

A funkció engedélyezése után nem kell azonnal elvégeznie ezt a lépést. A Kerberos visszafejtési kulcsait 30 naponta legalább egyszer gördítsd át.

Következő lépések

• Technikai mélybe merülés: Ismerje meg, hogyan működik a közvetlen egyszeri bejelentkezés funkció.
• Gyakori kérdések: Válaszokat kaphat a közvetlen egyszeri bejelentkezésre vonatkozó gyakori kérdésekre.
• Hibaelhárítás: Megtudhatja, hogyan háríthatja el a közvetlen egyszeri bejelentkezés funkcióval kapcsolatos gyakori problémákat.
• UserVoice: A Microsoft Entra fórumával új funkciókéréseket küldhet.