Delen via


Naadloze eenmalige aanmelding van Microsoft Entra

Wat is naadloze eenmalige aanmelding van Microsoft Entra?

Met de naadloze eenmalige aanmelding van Microsoft Entra (Naadloze eenmalige aanmelding van Microsoft Entra) worden gebruikers automatisch aangemeld wanneer ze hun bedrijfsapparaten gebruiken die zijn verbonden met het bedrijfsnetwerk. Wanneer de functie is ingeschakeld, hoeven gebruikers hun wachtwoord niet in te typen om zich aan te melden bij Microsoft Entra ID en hun gebruikersnaam ook meestal niet. Deze functie biedt een gebruiker eenvoudig toegang tot cloudtoepassingen zonder dat er aanvullende on-premises onderdelen nodig zijn.

Naadloze SSO kan worden gecombineerd met de aanmeldmethoden Wachtwoord-hashsynchronisatie of Pass-through-authenticatie. Naadloze eenmalige aanmelding is niet van toepassing op Active Directory Federation Services (ADFS).

Naadloze eenmalige aanmelding

SSO via primary refresh token vs. Seamless SSO

Voor Windows 10, Windows Server 2016 en latere versies wordt aanbevolen om Single Sign-On (SSO) te gebruiken via een Primary Refresh Token (PRT). Voor Windows 7 en Windows 8.1 is het aanbevolen om Seamless SSO te gebruiken. Seamless SSO needs the user's device to be domain-joined, but it isn't used on Windows 10 Microsoft Entra joined devices or Microsoft Entra hybrid joined devices. SSO on Microsoft Entra joined, Microsoft Entra hybrid joined, and Microsoft Entra registered devices works based on the Primary Refresh Token (PRT)

SSO via PRT works once devices are registered with Microsoft Entra ID for Microsoft Entra hybrid joined, Microsoft Entra joined or personal registered devices via Add Work or School Account. For more information on how SSO works with Windows 10 using PRT, see: Primary Refresh Token (PRT) and Microsoft Entra ID

Belangrijkste voordelen

  • Goede gebruikerservaring
    • Gebruikers worden automatisch aangemeld bij zowel on-premises als cloudtoepassingen.
    • Gebruikers hoeven hun wachtwoorden niet herhaaldelijk in te voeren.
  • Eenvoudig te implementeren en beheren
    • Er zijn on-premises geen extra onderdelen nodig om dit te laten werken.
    • Werkt met elke cloudverificatiemethode: wachtwoordsynchronisatie met hash of pass-through authenticatie.
    • Kan worden geïmplementeerd voor sommige of alle gebruikers die groepsbeleid gebruiken.
    • Registreer niet-Windows 10-apparaten met Microsoft Entra ID zonder dat u een AD FS-infrastructuur nodig hebt. Voor deze functionaliteit moet u versie 2.1 of hoger van de workplace-join-client gebruiken.

Belangrijkste functies

  • De gebruikersnaam voor aanmelden kan de on-premises standaardgebruikersnaam (userPrincipalName) of een ander kenmerk zijn dat is geconfigureerd in Microsoft Entra Connect (Alternate ID). Beide use cases werken omdat Seamless SSO de securityIdentifier claim in het Kerberos-ticket gebruikt om het bijbehorende gebruikersobject in Microsoft Entra ID op te zoeken.
  • Seamless SSO is an opportunistic feature. Als dit om welke reden dan ook mislukt, gaat de aanmeldingservaring van de gebruiker terug naar het normale gedrag. Dat wil gezegd dat de gebruiker het wachtwoord op de aanmeldingspagina moet invoeren.
  • Als een toepassing (bijvoorbeeld https://myapps.microsoft.com/contoso.com) een domain_hint parameter (OpenID Connect) of whr (SAML) doorstuurt , waarbij uw tenant of login_hint parameter wordt geïdentificeerd - waarbij de gebruiker wordt geïdentificeerd in de aanmeldingsaanvraag van Microsoft Entra, worden gebruikers automatisch aangemeld zonder gebruikersnamen of wachtwoorden in te voeren.
  • Gebruikers krijgen ook een stille aanmeldingservaring als een toepassing (bijvoorbeeld https://contoso.sharepoint.com) aanmeldingsaanvragen verzendt naar de eindpunten van Microsoft Entra ID die zijn ingesteld als tenants, dat wil zeggen, https://login.microsoftonline.com/contoso.com/<..> of https://login.microsoftonline.com/<tenant_ID>/<..> - in plaats van het algemene eindpunt van Microsoft Entra ID - dat wil zeggen, https://login.microsoftonline.com/common/<...>.
  • Afmelden wordt ondersteund. Hierdoor kunnen gebruikers een ander Microsoft Entra-account kiezen om zich aan te melden, in plaats van automatisch te worden aangemeld met naadloze eenmalige aanmelding.
  • Microsoft 365 Win32-clients (Outlook, Word, Excel en andere) met versie 16.0.8730.xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom. Voor OneDrive moet u de functie voor stille configuratie van OneDrive activeren voor een stille aanmeldingservaring.
  • Deze kan worden ingeschakeld via Microsoft Entra Connect.
  • Het is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.
  • Het wordt ondersteund op webbrowserclients en Office-clients die moderne verificatie ondersteunen op platforms en browsers die geschikt zijn voor Kerberos-verificatie:
OS\Browser Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Ja* Ja Ja Ja*** N/A
Windows 8.1 Ja* Ja**** Ja Ja*** N/A
Windows 8 Ja* N/A Ja Ja*** N/A
Windows Server 2012 R2 of hoger Ja** N/A Ja Ja*** N/A
Mac OS X N/A N/A Ja*** Ja*** Ja***

Notitie

Het verouderde Microsoft Edge wordt niet meer ondersteund

*Vereist Internet Explorer versie 11 of hoger. (Vanaf 17 augustus 2021 bieden Microsoft 365-apps en -services geen ondersteuning voor Internet Explorer 11.)

**Vereist Internet Explorer versie 11 of hoger. Schakel de verbeterde beveiligde modus uit.

***Hiervoor is aanvullende configuratie vereist.

****Microsoft Edge op basis van Chromium

Volgende stappen