Mulai cepat: Akses menyeluruh Tanpa Hambatan Microsoft Entra

  • Artikel

Akses menyeluruh tanpa hambatan (Seamless SSO) Microsoft Entra secara otomatis memasukkan pengguna saat mereka menggunakan desktop perusahaan mereka yang terhubung ke jaringan perusahaan Anda. SSO Tanpa Hambatan memberi pengguna Anda akses mudah ke aplikasi berbasis cloud Anda tanpa menggunakan komponen lokal lainnya.

Untuk menyebarkan SSO Tanpa Hambatan untuk ID Microsoft Entra dengan menggunakan Microsoft Entra Koneksi, selesaikan langkah-langkah yang dijelaskan di bagian berikut.

Periksa prasyarat

Pastikan prasyarat berikut telah diberlakukan:

  • Siapkan server Microsoft Entra Koneksi Anda: Jika Anda menggunakan autentikasi pass-through sebagai metode masuk Anda, tidak diperlukan pemeriksaan prasyarat lainnya. Jika Anda menggunakan sinkronisasi hash kata sandi sebagai metode masuk Anda dan ada firewall antara Microsoft Entra Koneksi dan ID Microsoft Entra, pastikan bahwa:

    • Anda menggunakan Microsoft Entra Koneksi versi 1.1.644.0 atau yang lebih baru.

    • Jika firewall atau proksi Anda mengizinkan, tambahkan koneksi ke daftar izin Anda untuk *.msappproxy.net URL melalui port 443. Jika Anda memerlukan URL tertentu alih-alih wildcard untuk konfigurasi proksi, Anda dapat mengonfigurasi tenantid.registration.msappproxy.net, di mana tenantid adalah GUID penyewa tempat Anda mengonfigurasi fitur tersebut. Jika pengecualian proksi berbasis URL tidak dimungkinkan di organisasi Anda, Anda dapat mengizinkan akses ke rentang IP pusat data Azure, yang diperbarui setiap minggu. Prasyarat ini hanya berlaku saat Anda mengaktifkan fitur SSO Tanpa Hambatan. Ini tidak diperlukan untuk masuk pengguna langsung.

      Catatan

      • Microsoft Entra Koneksi versi 1.1.557.0, 1.1.558.0, 1.1.561.0, dan 1.1.614.0 memiliki masalah terkait sinkronisasi hash kata sandi. Jika Anda tidak berniat menggunakan sinkronisasi hash kata sandi bersama dengan autentikasi pass-through, tinjau catatan rilis Microsoft Entra Koneksi untuk mempelajari lebih lanjut.

  • Gunakan topologi Microsoft Entra Koneksi yang didukung: Pastikan Anda menggunakan salah satu topologi yang didukung Microsoft Entra Koneksi.

    Catatan

    SSO Tanpa Hambatan mendukung beberapa forest Windows Server Active Directory (Windows Server AD) lokal, apakah ada kepercayaan Windows Server AD di antara mereka atau tidak.

  • Menyiapkan kredensial administrator domain: Anda harus memiliki kredensial administrator domain untuk setiap forest Windows Server AD yang:

    • Anda menyinkronkan ke ID Microsoft Entra melalui Microsoft Entra Koneksi.
    • Berisi pengguna yang ingin Anda aktifkan SSO Tanpa Hambatannya.

  • Aktifkan autentikasi modern: Untuk menggunakan fitur ini, Anda harus mengaktifkan autentikasi modern pada penyewa Anda.

  • Gunakan versi terbaru klien Microsoft 365: Untuk mendapatkan pengalaman masuk senyap dengan klien Microsoft 365 (misalnya, dengan Outlook, Word, atau Excel), pengguna Anda harus menggunakan versi 16.0.8730.xxxx atau yang lebih baru.

Catatan

Jika Anda memiliki proksi HTTP keluar, pastikan URL autologon.microsoftazuread-sso.com ada di daftar izin Anda. Anda harus menentukan URL ini secara eksplisit karena kartubebas mungkin tidak diterima.

Aktifkan Fitur

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Aktifkan SSO Tanpa Hambatan melalui Microsoft Entra Koneksi.

Catatan

Jika Microsoft Entra Koneksi tidak memenuhi persyaratan Anda, Anda dapat mengaktifkan SSO Tanpa Hambatan dengan menggunakan PowerShell. Gunakan opsi ini jika Anda memiliki lebih dari satu domain per forest Windows Server AD, dan Anda ingin menargetkan domain untuk mengaktifkan SSO Tanpa Hambatan.

Jika Anda melakukan penginstalan baru Microsoft Entra Koneksi, pilih jalur penginstalan kustom. Pada halaman Masuk pengguna, pilih opsi Aktifkan akses menyeluruh .

Screenshot that shows the User sign-in page in Microsoft Entra Connect, with Enable single sign on selected.

Catatan

Opsi ini tersedia untuk dipilih hanya jika metode masuk yang dipilih adalah Sinkronisasi Hash Kata Sandi atau Autentikasi Pass-through.

Jika Anda sudah memiliki penginstalan Microsoft Entra Koneksi, di Tugas tambahan, pilih Ubah masuk pengguna, lalu pilih Berikutnya. Jika Anda menggunakan Microsoft Entra Koneksi versi 1.1.880.0 atau yang lebih baru, opsi Aktifkan akses menyeluruh dipilih secara default. Jika Anda menggunakan versi Microsoft Entra Koneksi yang lebih lama, pilih opsi Aktifkan akses menyeluruh.

Screenshot that shows the Additional tasks page with Change the user sign-in selected.

Lanjutkan melalui wizard ke halaman Aktifkan akses menyeluruh . Berikan info masuk Administrator Domain untuk setiap forest Windows Server AD yang:

  • Anda menyinkronkan ke ID Microsoft Entra melalui Microsoft Entra Koneksi.
  • Berisi pengguna yang ingin Anda aktifkan SSO Tanpa Hambatannya.

Saat Anda menyelesaikan wizard, SSO Tanpa Hambatan diaktifkan pada penyewa Anda.

Catatan

Kredensial Administrator Domain tidak disimpan di Microsoft Entra Koneksi atau di ID Microsoft Entra. Informasi masuk admin domain hanya digunakan untuk mengaktifkan fitur tersebut.

Untuk memverifikasi bahwa Anda telah mengaktifkan SSO Tanpa Hambatan dengan benar:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Telusuri ke >Manajemen>Identitas Hibrid Microsoft Entra Koneksi> Koneksi sinkronisasi.
  3. Verifikasi bahwa Akses menyeluruh Tanpa Hambatan diatur ke Diaktifkan.

Screenshot that shows the Microsoft Entra Connect pane in the admin portal.

Penting

SSO Tanpa Hambatan membuat akun komputer bernama AZUREADSSOACC di setiap forest Windows Server AD di direktori Windows Server AD lokal Anda. Akun AZUREADSSOACC komputer harus sangat dilindungi karena alasan keamanan. Hanya akun Administrator Domain yang boleh diizinkan untuk mengelola akun komputer. Pastikan bahwa delegasi Kerberos pada akun komputer dinonaktifkan, dan tidak ada akun lain di Windows Server AD yang memiliki izin delegasi pada AZUREADSSOACC akun komputer. Simpan akun komputer di unit organisasi sehingga aman dari penghapusan yang tidak disengaja dan hanya Administrator Domain yang dapat mengaksesnya.

Catatan

Jika Anda menggunakan arsitektur Pass-the-Hash dan Credential Theft Mitigation di lingkungan lokal Anda, buat perubahan yang sesuai untuk memastikan bahwa AZUREADSSOACC akun komputer tidak berakhir di kontainer Karantina.

Meluncurkan fitur

Anda dapat secara bertahap meluncurkan SSO Tanpa Hambatan kepada pengguna Anda dengan menggunakan instruksi yang disediakan di bagian berikutnya. Anda mulai dengan menambahkan URL Microsoft Entra berikut ke semua atau pengaturan zona intranet pengguna yang dipilih melalui Kebijakan Grup di Windows Server AD:

https://autologon.microsoftazuread-sso.com

Anda juga harus mengaktifkan pengaturan kebijakan zona intranet yang disebut Izinkan pembaruan ke bilah status melalui skrip melalui Kebijakan Grup.

Catatan

Petunjuk berikut hanya berfungsi untuk Internet Explorer, Microsoft Edge, dan Google Chrome di Windows (jika Google Chrome berbagi serangkaian URL situs tepercaya dengan Internet Explorer). Pelajari cara menyiapkan Mozilla Firefox dan Google Chrome di macOS.

Mengapa Anda perlu mengubah pengaturan zona intranet pengguna

Secara default, browser secara otomatis menghitung zona yang benar, baik internet atau intranet, dari URL tertentu. Misalnya, http://contoso/ memetakan ke zona intranet , dan http://intranet.contoso.com/ memetakan ke zona internet (karena URL berisi titik). Browser tidak mengirim tiket Kerberos ke titik akhir cloud, seperti ke URL Microsoft Entra, kecuali Anda secara eksplisit menambahkan URL ke zona intranet browser.

Ada dua cara untuk mengubah pengaturan zona intranet pengguna:

Opsi Pertimbangan admin Pengalaman pengguna
Kebijakan grup Admin mengunci pengeditan pengaturan zona intranet Pengguna tidak dapat mengubah pengaturan mereka sendiri
Preferensi kebijakan grup Admin mengizinkan pengeditan pengaturan zona intranet Pengguna dapat mengubah pengaturannya sendiri

Langkah-langkah terperinci kebijakan grup

  1. Buka alat Penyunting Manajemen Kebijakan Grup.

  2. Edit kebijakan grup yang diterapkan ke beberapa atau semua pengguna Anda. Contoh ini menggunakan Kebijakan Domain Default.

  3. Buka Templat>Administratif Kebijakan>Konfigurasi>Pengguna Windows Komponen>Internet Explorer>Internet Panel Kontrol> Halaman Keamanan. Pilih Daftar Penetapan Situs ke Zona.

    Screenshot that shows the Security Page with Site to Zone Assignment List selected.

  4. Aktifkan kebijakan, lalu masukkan nilai berikut dalam dialog:

    • Nama nilai: URL Microsoft Entra tempat tiket Kerberos diteruskan.

    • Nilai (Data): 1 menunjukkan zona intranet.

      Hasilnya terlihat seperti contoh ini:

      Nama nilai: https://autologon.microsoftazuread-sso.com

      Nilai (Data): 1

    Catatan

    Jika Anda ingin mencegah beberapa pengguna menggunakan SSO Tanpa Hambatan (misalnya, jika pengguna ini masuk di kios bersama), atur nilai sebelumnya ke 4. Tindakan ini menambahkan URL Microsoft Entra ke zona terbatas dan SSO Tanpa Hambatan gagal untuk pengguna sepanjang waktu.

  5. Pilih OK, lalu pilih OK lagi.

    Screenshot that shows the Show Contents window with a zone assignment selected.

  6. Buka Templat>Administratif Kebijakan>Konfigurasi>Pengguna Komponen>Windows Internet Explorer>Internet Panel Kontrol> Zona Intranet Halaman>Keamanan. Pilih Izinkan pembaruan ke bilah status melalui skrip.

    Screenshot that shows the Intranet Zone page with Allow updates to status bar via script selected.

  7. Aktifkan pengaturan kebijakan, lalu pilih OK.

    Screenshot that shows the Allow updates to status bar via script window with the policy setting enabled.

Langkah-langkah terperinci preferensi kebijakan grup

  1. Buka alat Penyunting Manajemen Kebijakan Grup.

  2. Edit kebijakan grup yang diterapkan ke beberapa atau semua pengguna Anda. Contoh ini menggunakan Kebijakan Domain Default.

  3. Buka Preferensi Konfigurasi>Pengguna Windows Pengaturan> Registri>Item Registri>Baru.>

    Screenshot that shows Registry selected and Registry Item selected.

  4. Masukkan atau pilih nilai berikut seperti yang ditunjukkan, lalu pilih OK.

    • Jalur Kunci: Software\Microsoft\Windows\CurrentVersion\Internet Pengaturan\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nama nilai: https

    • Jenis nilai: REG_DWORD

    • Data nilai: 00000001

      Screenshot that shows the New Registry Properties window.

      Screenshot that shows the new values listed in Registry Editor.

Pertimbangan browser

Bagian berikutnya memiliki informasi tentang SSO Tanpa Hambatan yang khusus untuk berbagai jenis browser.

Mozilla Firefox (semua platform)

Jika Anda menggunakan pengaturan kebijakan Autentikasi di lingkungan Anda, pastikan Anda menambahkan URL Microsoft Entra (https://autologon.microsoftazuread-sso.com) ke bagian SPNEGO . Anda juga dapat mengatur opsi PrivateBrowsing ke true untuk memungkinkan SSO Tanpa Hambatan dalam mode penjelajahan privat.

Safari (macOS)

Pastikan bahwa komputer yang menjalankan macOS bergabung ke Windows Server AD.

Petunjuk untuk bergabung dengan perangkat macOS Anda ke Windows Server AD berada di luar cakupan artikel ini.

Microsoft Edge berdasarkan Chromium (semua platform)

Jika Anda telah menimpa pengaturan kebijakan AuthNegotiateDelegateAllowlist atau AuthServerAllowlist di lingkungan Anda, pastikan Anda juga menambahkan URL Microsoft Entra (https://autologon.microsoftazuread-sso.com) ke pengaturan kebijakan ini.

Microsoft Edge berdasarkan Chromium (macOS dan platform non-Windows lainnya)

Untuk Microsoft Edge berdasarkan Chromium di macOS dan platform non-Windows lainnya, lihat Microsoft Edge berdasarkan Daftar Kebijakan Chromium untuk informasi tentang cara menambahkan URL Microsoft Entra untuk autentikasi terintegrasi ke daftar izin Anda.

Google Chrome (semua platform)

Jika Anda telah menimpa pengaturan kebijakan AuthNegotiateDelegateAllowlist atau AuthServerAllowlist di lingkungan Anda, pastikan Anda juga menambahkan URL Microsoft Entra (https://autologon.microsoftazuread-sso.com) ke pengaturan kebijakan ini.

macOS

Penggunaan ekstensi Kebijakan Grup Direktori Aktif pihak ketiga untuk meluncurkan URL Microsoft Entra ke Firefox dan Google Chrome untuk pengguna macOS berada di luar cakupan artikel ini.

Batasan browser yang diketahui

SSO tanpa hambatan tidak bekerja di Internet Explorer jika browser berjalan di mode Perlindungan yang Ditingkatkan. SSO Tanpa Hambatan mendukung versi Microsoft Edge berikutnya berdasarkan Chromium, dan berfungsi dalam mode InPrivate dan Tamu berdasarkan desain. Microsoft Edge (warisan) tidak lagi didukung.

Anda mungkin perlu mengonfigurasi AmbientAuthenticationInPrivateModesEnabled untuk InPrivate atau pengguna tamu berdasarkan dokumentasi yang sesuai:

Menguji SSO Tanpa Hambatan

Untuk menguji fitur untuk pengguna tertentu, pastikan bahwa semua kondisi berikut telah diberlakukan:

  • Pengguna masuk di perangkat perusahaan.
  • Perangkat digabungkan ke domain Windows Server AD Anda. Perangkat tidak perlu bergabung dengan Microsoft Entra.
  • Perangkat ini memiliki koneksi langsung ke pengendali domain Anda, baik pada jaringan kabel atau nirkabel perusahaan atau melalui koneksi akses jarak jauh, seperti koneksi VPN.
  • Anda telah meluncurkan fitur untuk pengguna ini melalui Kebijakan Grup.

Untuk menguji skenario di mana pengguna memasukkan nama pengguna, tetapi bukan kata sandi:

  • Masuklah ke https://myapps.microsoft.com. Pastikan untuk menghapus cache browser atau menggunakan sesi browser privat baru dengan salah satu browser yang didukung dalam mode privat.

Untuk menguji skenario di mana pengguna tidak perlu memasukkan nama pengguna atau kata sandi, gunakan salah satu langkah berikut:

  • Masuklah ke https://myapps.microsoft.com/contoso.onmicrosoft.com. Pastikan untuk menghapus cache browser atau menggunakan sesi browser privat baru dengan salah satu browser yang didukung dalam mode privat. Ganti contoso dengan nama penyewa Anda.
  • Masuk ke https://myapps.microsoft.com/contoso.com dalam sesi browser privat baru. Ganti contoso.com dengan domain terverifikasi (bukan domain federasi) di penyewa Anda.

Menggulung kunci

Di Aktifkan fitur, Microsoft Entra Koneksi membuat akun komputer (mewakili ID Microsoft Entra) di semua forest Windows Server AD tempat Anda mengaktifkan SSO Tanpa Hambatan. Untuk mempelajari selengkapnya, lihat Akses menyeluruh tanpa hambatan Microsoft Entra: Penyelaman teknis yang mendalam.

Penting

Kunci dekripsi Kerberos di akun komputer, jika bocor, dapat digunakan untuk menghasilkan tiket Kerberos untuk setiap pengguna di forest Windows Server AD-nya. Aktor jahat kemudian dapat meniru masuk Microsoft Entra untuk pengguna yang disusupi. Kami sangat menyarankan Agar Anda secara berkala menggulirkan kunci dekripsi Kerberos ini, atau setidaknya sekali setiap 30 hari.

Untuk petunjuk tentang cara menggulirkan kunci, lihat Akses menyeluruh Tanpa Hambatan Microsoft Entra: Pertanyaan yang sering diajukan.

Penting

Anda tidak perlu melakukan langkah ini segera setelah mengaktifkan fitur tersebut. Putar kunci dekripsi Kerberos setidaknya sekali setiap 30 hari.

Langkah berikutnya

  • Penyelaman teknis mendalam: Pahami cara kerja fitur akses menyeluruh Tanpa Hambatan.
  • Tanya jawab umum: Dapatkan jawaban atas tanya jawab umum tentang akses menyeluruh Tanpa Hambatan.
  • Pemecahan masalah: Pelajari cara mengatasi masalah umum dengan fitur Akses menyeluruh Tanpa Hambatan.
  • UserVoice: Gunakan Forum Microsoft Entra untuk mengajukan permintaan fitur baru.