Single sign-on lancar Microsoft Entra: Pertanyaan yang sering diajukan

Dalam artikel ini, kami membahas pertanyaan umum tentang akses menyeluruh tanpa hambatan Microsoft Entra (Seamless SSO). Terus periksa kembali untuk mengetahui konten baru.

Metode masuk apa yang bekerja dengan Seamless SSO

Akses Menyeluruh Tanpa Hambatan dapat dikombinasikan dengan metode masuk Sinkronisasi Hash Kata Sandi atau Autentikasi Pass-through. Namun fitur ini tidak dapat digunakan dengan Layanan Federasi Direktori Aktif (ADFS).

Apakah Seamless SSO merupakan fitur gratis?

SSO Tanpa Hambatan adalah fitur gratis dan Anda tidak memerlukan ID Microsoft Entra edisi berbayar untuk menggunakannya.

Apakah Seamless SSO tersedia di cloud Microsoft Azure Jerman dan cloud Microsoft Azure Government?

SSO Tanpa Hambatan tersedia untuk cloud Azure Government. Untuk mengetahui detailnya, lihat Pertimbangan Identitas Hibrid untuk Azure Government.

Aplikasi apa yang memanfaatkan kemampuan parameter 'domain_hint' atau 'login_hint' dari Seamless SSO?

Tabel memiliki daftar aplikasi yang dapat mengirim parameter ini ke ID Microsoft Entra. Tindakan ini memberi pengguna pengalaman masuk senyap menggunakan Seamless SSO.:

Nama aplikasi URL Aplikasi
Panel akses https://myapps.microsoft.com/contoso.com
Outlook di Web https://outlook.office365.com/contoso.com
Portal Office 365 https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Selain itu, pengguna mendapatkan pengalaman masuk senyap jika aplikasi mengirim permintaan masuk ke titik akhir Microsoft Entra yang disiapkan sebagai penyewa - yaitu, https://login.microsoftonline.com/contoso.com/<..> atau https://login.microsoftonline.com/<tenant_ID>/<..> - alih-alih titik akhir umum Microsoft Entra - yaitu, https://login.microsoftonline.com/common/<...>. Tabel memiliki daftar aplikasi yang membuat jenis permintaan masuk ini.

Nama aplikasi URL Aplikasi
SharePoint Online https://contoso.sharepoint.com
Pusat admin Microsoft Entra https://portal.azure.com/contoso.com

Dalam tabel di atas, ganti "contoso.com" dengan nama domain Anda untuk mendapatkan URL aplikasi yang tepat untuk penyewa Anda.

Jika Anda ingin aplikasi lain menggunakan pengalaman masuk diam kami, beri tahu kami di bagian umpan balik.

Apakah Seamless SSO mendukung 'Alternate ID' sebagai nama pengguna, bukan 'userPrincipalName'?

Ya. SSO Tanpa Hambatan mendukung Alternate ID sebagai nama pengguna saat dikonfigurasi di Microsoft Entra Connect seperti yang ditunjukkan di sini. Tidak semua dukungan aplikasi Microsoft 365Alternate ID. Lihat dokumentasi aplikasi tertentu untuk pernyataan dukungan.

Apa perbedaan antara pengalaman akses menyeluruh yang disediakan oleh microsoft Entra join dan Seamless SSO?

Gabungan Microsoft Entra menyediakan SSO kepada pengguna jika perangkat mereka terdaftar dengan ID Microsoft Entra. Perangkat ini tidak harus bergabung dengan domain. SSO disediakan menggunakan token refresh primer atau PRTs, bukan Kerberos. Pengalaman pengguna paling optimal pada perangkat Windows 10. SSO terjadi secara otomatis di browser Microsoft Edge. Ini juga berfungsi di Chrome dengan menggunakan ekstensi browser.

Anda dapat menggunakan Microsoft Entra join dan Seamless SSO di penyewa Anda. Kedua fitur ini saling melengkapi. Jika kedua fitur diaktifkan, maka SSO dari gabungan Microsoft Entra lebih diutamakan daripada SSO Tanpa Hambatan.

Saya ingin mendaftarkan perangkat non-Windows 10 dengan ID Microsoft Entra, tanpa menggunakan LAYANAN Federasi Direktori Aktif. Dapatkah saya menggunakan Seamless SSO sebagai gantinya?

Ya, skenario ini membutuhkan versi 2.1 atau yang lebih baru dari klien yang bergabung dengan tempat kerja.

Bagaimana cara melakukan rollover kunci dekripsi Kerberos dari akun komputer ‘AZUREADSSO’?

Penting untuk sering menggulirkan kunci dekripsi Kerberos dari AZUREADSSO akun komputer (yang mewakili ID Microsoft Entra) yang dibuat di forest AD lokal Anda.

Penting

Kami sangat menyarankan Anda menggulirkan kunci dekripsi Kerberos setidaknya setiap 30 hari menggunakan Update-AzureADSSOForest cmdlet. Saat menggunakan Update-AzureADSSOForest cmdlet, pastikan Anda tidak menjalankan Update-AzureADSSOForest perintah lebih dari sekali per forest. Jika tidak, fitur ini akan berhenti berfungsi hingga waktu tiket Kerberos pengguna Kedaluwarsa dan diterbitkan kembali oleh Layanan Domain Active Directory lokal Anda.

Ikuti langkah-langkah ini di server lokal tempat Anda menjalankan Microsoft Entra Connect:

Catatan

Anda memerlukan admin domain dan kredensial Administrator Identitas Hibrid untuk langkah-langkah tersebut. Jika Anda bukan admin domain dan Anda diberi izin oleh admin domain, Anda harus memanggil Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Langkah 1. Mendapatkan daftar forest AD tempat SSO Tanpa Hambatan diaktifkan

  1. Pertama, unduh, dan pasang Azure Active Directory PowerShell.
  2. Navigasi ke folder $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Impor modul Seamless SSO PowerShell menggunakan perintah ini: Import-Module .\AzureADSSO.psd1.
  4. Jalankan PowerShell sebagai Administrator. Pada PowerShell, panggil New-AzureADSSOAuthenticationContext. Perintah ini akan memberi Anda popup untuk memasukkan kredensial Administrator Identitas Hibrid penyewa Anda.
  5. Panggil Get-AzureADSSOStatus | ConvertFrom-Json. Perintah ini menyediakan daftar forest AD (lihat daftar "Domain") tempat fitur ini telah diaktifkan.

Langkah 2. Perbarui kunci dekripsi Kerberos di setiap forest AD yang disiapkan

  1. Panggil $creds = Get-Credential. Saat diminta, masukkan info masuk Administrator Domain untuk hutan AD yang dimaksudkan.

Catatan

Nama pengguna info masuk admin domain harus dimasukkan dalam format nama akun SAM (contoso\johndoe atau contoso.com\johndoe). Kami menggunakan bagian domain nama pengguna untuk menemukan Pengendali Domain Admin Domain menggunakan DNS.

Catatan

Akun administrator domain yang digunakan tidak boleh menjadi anggota grup Pengguna Terproteksi. Jika demikian, operasi gagal.

  1. Panggil Update-AzureADSSOForest -OnPremCredentials $creds. Perintah ini memiliki kunci dekripsi Kerberos untuk akun komputer AZUREADSSO di forest AD khusus ini dan memperbaruinya di Microsoft Entra ID.

  2. Ulangi langkah-langkah sebelumnya untuk setiap hutan AD tempat Anda menyiapkan fitur.

Catatan

Jika Anda memperbarui forest, selain yang Microsoft Entra Connect, pastikan konektivitas ke server katalog global (TCP 3268 dan TCP 3269) tersedia.

Penting

Ini tidak perlu dilakukan pada server yang menjalankan Microsoft Entra Connect dalam mode penahapan.

Bagaimana cara menonaktifkan Seamless SSO?

Langkah 1. Aktifkan fitur pada penyewa Anda

Opsi A: Nonaktifkan menggunakan Microsoft Entra Connect

  1. Jalankan Microsoft Entra Connect, pilih Ubah halaman masuk pengguna dan klik Berikutnya.
  2. Hapus centang opsi Aktifkan akses menyeluruh . Lanjutkan ke wizard.

Setelah menyelesaikan wizard, SSO Tanpa Hambatan dinonaktifkan pada penyewa Anda. Namun, Anda akan melihat pesan di layar yang berbunyi sebagai berikut:

"Akses menyeluruh sekarang dinonaktifkan, tetapi ada langkah manual lain yang harus dilakukan untuk menyelesaikan pembersihan. Pelajari selengkapnya"

Untuk menyelesaikan proses pembersihan, ikuti langkah 2 dan 3 di server lokal tempat Anda menjalankan Microsoft Entra Connect.

Opsi B: Menonaktifkan menggunakan PowerShell

Jalankan langkah-langkah berikut di server lokal tempat Anda menjalankan Microsoft Entra Connect:

  1. Pertama, unduh, dan pasang Azure Active Directory PowerShell.
  2. Navigasi ke folder $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Impor modul Seamless SSO PowerShell menggunakan perintah ini: Import-Module .\AzureADSSO.psd1.
  4. Jalankan PowerShell sebagai Administrator. Pada PowerShell, panggil New-AzureADSSOAuthenticationContext. Perintah ini akan memberi Anda popup untuk memasukkan kredensial Administrator Identitas Hibrid penyewa Anda.
  5. Panggil Enable-AzureADSSO -Enable $false.

Pada titik ini SSO Tanpa Hambatan dinonaktifkan tetapi domain tetap dikonfigurasi jika Anda ingin mengaktifkan SSO Tanpa Hambatan kembali. Jika Anda ingin menghapus domain dari konfigurasi SSO Tanpa Hambatan sepenuhnya, hubungi cmdlet berikut setelah Anda menyelesaikan langkah 5 di atas: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Penting

Menonaktifkan SSO Tanpa Hambatan menggunakan PowerShell tidak akan mengubah status di Microsoft Entra Connect. SSO Tanpa Hambatan ditampilkan sebagai diaktifkan di halaman Ubah masuk pengguna.

Catatan

Jika Anda tidak memiliki server Sinkronisasi Microsoft Entra Connect, Anda dapat mengunduhnya dan menjalankan penginstalan awal. Ini tidak akan menyiapkan server tetapi akan membongkar file yang diperlukan untuk menonaktifkan SSO. Setelah penginstalan MSI selesai, tutup wizard Microsoft Entra Connect dan jalankan langkah-langkah untuk menonaktifkan Seamless SSO menggunakan PowerShell.

Langkah 2. Dapatkan daftar forest AD tempat Seamless SSO telah diaktifkan

Ikuti tugas 1 hingga 4 jika Anda telah menonaktifkan SSO Tanpa Hambatan menggunakan Microsoft Entra Connect. Jika Anda telah menonaktifkan Seamless SSO menggunakan PowerShell sebagai gantinya, lompat ke tugas 5.

  1. Pertama, unduh, dan pasang Azure Active Directory PowerShell.
  2. Navigasi ke folder $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Impor modul Seamless SSO PowerShell menggunakan perintah ini: Import-Module .\AzureADSSO.psd1.
  4. Jalankan PowerShell sebagai Administrator. Pada PowerShell, panggil New-AzureADSSOAuthenticationContext. Perintah ini akan memberi Anda popup untuk memasukkan kredensial Administrator Identitas Hibrid penyewa Anda.
  5. Panggil Get-AzureADSSOStatus | ConvertFrom-Json. Perintah ini memberi Anda daftar hutan AD (lihat daftar "Domain") di mana fitur ini telah diaktifkan.

Langkah 3. Hapus AZUREADSSO akun komputer secara manual dari setiap forest AD yang Anda lihat sudah tercantum.

Langkah berikutnya