Szybki start: bezproblemowe logowanie jednokrotne firmy Microsoft

  • Artykuł

Firma Microsoft Entra bezproblemowe logowanie jednokrotne (Bezproblemowe logowanie jednokrotne) automatycznie loguje użytkowników, gdy korzystają z firmowych komputerów stacjonarnych połączonych z siecią firmową. Bezproblemowe logowanie jednokrotne zapewnia użytkownikom łatwy dostęp do aplikacji opartych na chmurze bez korzystania z innych składników lokalnych.

Aby wdrożyć bezproblemowe logowanie jednokrotne dla usługi Microsoft Entra ID przy użyciu usługi Microsoft Entra Połączenie, wykonaj kroki opisane w poniższych sekcjach.

Sprawdzanie wymagań wstępnych

Upewnij się, że obowiązują następujące wymagania wstępne:

  • Skonfiguruj serwer microsoft Entra Połączenie: jeśli używasz uwierzytelniania przekazywanego jako metody logowania, nie jest wymagane żadne inne sprawdzenie wymagań wstępnych. Jeśli używasz synchronizacji skrótów haseł jako metody logowania i istnieje zapora między firmą Microsoft Entra Połączenie i identyfikatorem Entra firmy Microsoft, upewnij się, że:

    • Używasz usługi Microsoft Entra Połączenie w wersji 1.1.644.0 lub nowszej.

    • Jeśli zapora lub serwer proxy zezwala, dodaj połączenia do listy dozwolonych adresów *.msappproxy.net URL za pośrednictwem portu 443. Jeśli potrzebujesz określonego adresu URL zamiast symbolu wieloznakowego dla konfiguracji serwera proxy, możesz skonfigurować tenantid.registration.msappproxy.net, gdzie tenantid jest identyfikatorEM GUID dzierżawy, dla której konfigurujesz tę funkcję. Jeśli wyjątki serwera proxy oparte na adresach URL nie są możliwe w organizacji, możesz zamiast tego zezwolić na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień. To wymaganie wstępne ma zastosowanie tylko wtedy, gdy włączysz funkcję bezproblemowego logowania jednokrotnego. Nie jest to wymagane w przypadku bezpośrednich logów użytkownika.

      Uwaga

      • Firma Microsoft Entra Połączenie w wersji 1.1.557.0, 1.1.558.0, 1.1.561.0 i 1.1.614.0 ma problem związany z synchronizacją skrótów haseł. Jeśli nie zamierzasz używać synchronizacji skrótów haseł w połączeniu z uwierzytelnianiem przekazywanym, zapoznaj się z informacjami o wersji usługi Microsoft Entra Połączenie, aby dowiedzieć się więcej.

  • Użyj obsługiwanej topologii usługi Microsoft Entra Połączenie: upewnij się, że używasz jednej z obsługiwanych topologii firmy Microsoft Entra Połączenie.

    Uwaga

    Bezproblemowe logowanie jednokrotne obsługuje wiele lokalnych lasów usługi Active Directory systemu Windows Server (Windows Server AD), niezależnie od tego, czy istnieją między nimi relacje zaufania usługi AD systemu Windows Server.

  • Skonfiguruj poświadczenia administratora domeny: musisz mieć poświadczenia administratora domeny dla każdego lasu usługi AD systemu Windows Server, który:

    • Synchronizacja z identyfikatorem Entra firmy Microsoft jest synchronizowana za pośrednictwem Połączenie firmy Microsoft.
    • Zawiera użytkowników, dla których chcesz włączyć bezproblemowe logowanie jednokrotne.

  • Włącz nowoczesne uwierzytelnianie: aby korzystać z tej funkcji, musisz włączyć nowoczesne uwierzytelnianie w dzierżawie.

  • Użyj najnowszych wersji klientów platformy Microsoft 365: aby uzyskać środowisko logowania dyskretnego z klientami platformy Microsoft 365 (na przykład w programie Outlook, Word lub Excel), użytkownicy muszą używać wersji 16.0.8730.xxxx lub nowszej.

Uwaga

Jeśli masz wychodzący serwer proxy HTTP, upewnij się, że adres URL autologon.microsoftazuread-sso.com znajduje się na liście dozwolonych. Należy jawnie określić ten adres URL, ponieważ symbol wieloznaczny może nie zostać zaakceptowany.

Włączanie funkcji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Włącz bezproblemowe logowanie jednokrotne za pośrednictwem Połączenie firmy Microsoft.

Uwaga

Jeśli firma Microsoft Entra Połączenie nie spełnia Twoich wymagań, możesz włączyć bezproblemowe logowanie jednokrotne przy użyciu programu PowerShell. Użyj tej opcji, jeśli masz więcej niż jedną domenę dla lasu usługi AD systemu Windows Server i chcesz zastosować domenę docelową w celu włączenia bezproblemowego logowania jednokrotnego dla.

Jeśli przeprowadzasz nową instalację usługi Microsoft Entra Połączenie, wybierz niestandardową ścieżkę instalacji. Na stronie Logowanie użytkownika wybierz opcję Włącz logowanie jednokrotne.

Screenshot that shows the User sign-in page in Microsoft Entra Connect, with Enable single sign on selected.

Uwaga

Opcja jest dostępna do wybrania tylko wtedy, gdy wybrana metoda logowania to Synchronizacja skrótów haseł lub Uwierzytelnianie przekazywane.

Jeśli masz już instalację usługi Microsoft Entra Połączenie, w obszarze Dodatkowe zadania wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz przycisk Dalej. Jeśli używasz usługi Microsoft Entra Połączenie w wersji 1.1.880.0 lub nowszej, opcja Włącz logowanie jednokrotne jest domyślnie zaznaczona. Jeśli używasz starszej wersji programu Microsoft Entra Połączenie, wybierz opcję Włącz logowanie jednokrotne.

Screenshot that shows the Additional tasks page with Change the user sign-in selected.

Przejdź przez kreatora do strony Włączanie logowania jednokrotnego . Podaj poświadczenia Administracja istratora domeny dla każdego lasu usługi AD systemu Windows Server, które:

  • Synchronizacja z identyfikatorem Entra firmy Microsoft jest synchronizowana za pośrednictwem Połączenie firmy Microsoft.
  • Zawiera użytkowników, dla których chcesz włączyć bezproblemowe logowanie jednokrotne.

Po zakończeniu pracy kreatora bezproblemowe logowanie jednokrotne jest włączone w dzierżawie.

Uwaga

Poświadczenia Administracja istratora domeny nie są przechowywane w usłudze Microsoft Entra Połączenie ani w identyfikatorze Entra firmy Microsoft. Są one używane tylko do włączania tej funkcji.

Aby sprawdzić, czy bezproblemowe logowanie jednokrotne zostało poprawnie włączone:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej.
  2. Przejdź do zarządzania hybrydowego>tożsamościami>firmy> Microsoft Połączenie Połączenie synchronizacji.
  3. Sprawdź, czy dla bezproblemowego logowania jednokrotnego ustawiono wartość Włączone.

Screenshot that shows the Microsoft Entra Connect pane in the admin portal.

Ważne

Bezproblemowe logowanie jednokrotne tworzy konto komputera o nazwie AZUREADSSOACC w każdym lesie usługi AD systemu Windows Server w lokalnym katalogu usługi AD systemu Windows Server. Konto AZUREADSSOACC komputera musi być silnie chronione ze względów bezpieczeństwa. Tylko konta Administracja istratora domeny powinny być dozwolone do zarządzania kontem komputera. Upewnij się, że delegowanie protokołu Kerberos na koncie komputera jest wyłączone i że żadne inne konto w usłudze AD systemu Windows Server ma uprawnienia delegowania na AZUREADSSOACC koncie komputera. Przechowuj konta komputerów w jednostce organizacyjnej, aby były bezpieczne przed przypadkowym usunięciem, a tylko Administracja istratory domeny mogą uzyskiwać do nich dostęp.

Uwaga

Jeśli używasz architektur ograniczania ryzyka ataków typu Pass-the-Hash i Credential Theft w środowisku lokalnym, wprowadź odpowiednie zmiany, aby upewnić się, że AZUREADSSOACC konto komputera nie znajduje się w kontenerze Kwarantanna.

Wdrażanie funkcji

Możesz stopniowo wdrażać bezproblemowe logowanie jednokrotne dla użytkowników, korzystając z instrukcji podanych w następnych sekcjach. Zacznij od dodania następującego adresu URL usługi Microsoft Entra do wszystkich lub wybranych ustawień strefy intranetowej użytkownika za pomocą zasad grupy w usłudze AD systemu Windows Server:

https://autologon.microsoftazuread-sso.com

Należy również włączyć ustawienie zasad strefy intranetowej o nazwie Zezwalaj na aktualizacje paska stanu za pośrednictwem skryptu za pośrednictwem zasad grupy.

Uwaga

Poniższe instrukcje działają tylko w przypadku przeglądarek Internet Explorer, Microsoft Edge i Google Chrome w systemie Windows (jeśli przeglądarka Google Chrome udostępnia zestaw zaufanych adresów URL witryn w programie Internet Explorer). Dowiedz się, jak skonfigurować Mozilla Firefox i Google Chrome w systemie macOS.

Dlaczego należy zmodyfikować ustawienia strefy intranetowej użytkownika

Domyślnie przeglądarka automatycznie oblicza prawidłową strefę ( Internet lub intranet) z określonego adresu URL. Na przykład http://contoso/ mapuje się na strefę intranetową i http://intranet.contoso.com/ mapuje na strefę internetową (ponieważ adres URL zawiera kropkę). Przeglądarki nie wysyłają biletów Protokołu Kerberos do punktu końcowego chmury, takiego jak adres URL firmy Microsoft Entra, chyba że jawnie dodasz adres URL do strefy intranetowej przeglądarki.

Istnieją dwa sposoby modyfikowania ustawień strefy intranetowej użytkownika:

Opcja Administracja zagadnienia Środowisko użytkownika
Zasady grupy Administracja blokuje edytowanie ustawień strefy intranetowej Użytkownicy nie mogą modyfikować własnych ustawień
Preferencje zasad grupy Administracja umożliwia edytowanie ustawień strefy intranetowej Użytkownicy mogą modyfikować własne ustawienia

Szczegółowe kroki zasad grupy

  1. Otwórz narzędzie Edytor zarządzania zasadami grupy.

  2. Edytuj zasady grupy, które są stosowane do niektórych lub wszystkich Twoich użytkowników. W tym przykładzie użyto domyślnych zasad domeny.

  3. Przejdź do pozycji Zasady> konfiguracji>użytkownika Administracja istracyjne Szablony składników>>systemu Windows Internet Explorer>Internet Panel sterowania> Strona zabezpieczeń. Wybierz pozycję Lista przypisań lokacji do strefy.

    Screenshot that shows the Security Page with Site to Zone Assignment List selected.

  4. Włącz zasady, a następnie wprowadź następujące wartości w oknie dialogowym:

    • Nazwa wartości: adres URL usługi Microsoft Entra, pod którym są przekazywane bilety Protokołu Kerberos.

    • Wartość (dane): 1 wskazuje strefę intranetową.

      Wynik wygląda następująco:

      Nazwa wartości: https://autologon.microsoftazuread-sso.com

      Wartość (dane): 1

    Uwaga

    Jeśli chcesz uniemożliwić niektórym użytkownikom korzystanie z bezproblemowego logowania jednokrotnego (na przykład jeśli ci użytkownicy loguje się w udostępnionych kioskach), ustaw powyższe wartości na 4. Ta akcja powoduje dodanie adresu URL entra firmy Microsoft do strefy z ograniczeniami i bezproblemowe logowanie jednokrotne kończy się niepowodzeniem dla użytkowników przez cały czas.

  5. Wybierz pozycję OK, a następnie ponownie wybierz opcję OK.

    Screenshot that shows the Show Contents window with a zone assignment selected.

  6. Przejdź do pozycji Zasady> konfiguracji>użytkownika Administracja szablony administracyjne>Składniki>systemu Windows Internet Explorer>Internet Panel sterowania> Strefa intranetowa strony>zabezpieczeń. Wybierz pozycję Zezwalaj na aktualizacje na pasku stanu za pomocą skryptu.

    Screenshot that shows the Intranet Zone page with Allow updates to status bar via script selected.

  7. Włącz ustawienie zasad, a następnie wybierz przycisk OK.

    Screenshot that shows the Allow updates to status bar via script window with the policy setting enabled.

Szczegółowe kroki preferencji zasad grupy

  1. Otwórz narzędzie Edytor zarządzania zasadami grupy.

  2. Edytuj zasady grupy, które są stosowane do niektórych lub wszystkich Twoich użytkowników. W tym przykładzie użyto domyślnych zasad domeny.

  3. Przejdź do pozycji Preferencje>konfiguracji>użytkownika Windows Ustawienia> Registry>Nowy>element rejestru.

    Screenshot that shows Registry selected and Registry Item selected.

  4. Wprowadź lub wybierz następujące wartości, jak pokazano, a następnie wybierz przycisk OK.

    • Ścieżka klucza: Software\Microsoft\Windows\CurrentVersion\Internet Ustawienia\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nazwa wartości: https

    • Typ wartości: REG_DWORD

    • Dane wartości: 00000001

      Screenshot that shows the New Registry Properties window.

      Screenshot that shows the new values listed in Registry Editor.

Inne kwestie dotyczące przeglądarek

W następnych sekcjach opisano bezproblemowe logowanie jednokrotne specyficzne dla różnych typów przeglądarek.

Mozilla Firefox (wszystkie platformy)

Jeśli używasz ustawień zasad uwierzytelniania w środowisku, upewnij się, że do sekcji SPNEGO dodasz adres URL firmy Microsoft Entra (https://autologon.microsoftazuread-sso.com). Możesz również ustawić opcję PrivateBrowsing na wartość true, aby zezwolić na bezproblemowe logowanie jednokrotne w trybie przeglądania prywatnego.

Safari (macOS)

Upewnij się, że maszyna z systemem macOS jest przyłączona do usługi AD systemu Windows Server.

Instrukcje dotyczące dołączania urządzenia z systemem macOS do usługi AD systemu Windows Server znajdują się poza zakresem tego artykułu.

Przeglądarka Microsoft Edge oparta na Chromium (wszystkie platformy)

Jeśli przesłonięliśmy ustawienia zasad AuthNegotiateDelegateAllowlist lub AuthServerAllowlist w danym środowisku, upewnij się, że do tych ustawień zasad dodano również adres URL entra firmy Microsoft (https://autologon.microsoftazuread-sso.com).

Przeglądarka Microsoft Edge oparta na chromium (macOS i innych platformach innych niż Windows)

W przypadku przeglądarki Microsoft Edge opartej na chromium na systemach macOS i innych platformach innych niż Windows zobacz przeglądarkę Microsoft Edge opartą na liście zasad Chromium, aby uzyskać informacje na temat dodawania adresu URL entra firmy Microsoft do zintegrowanego uwierzytelniania na liście dozwolonych.

Google Chrome (wszystkie platformy)

Jeśli przesłonięliśmy ustawienia zasad AuthNegotiateDelegateAllowlist lub AuthServerAllowlist w danym środowisku, upewnij się, że do tych ustawień zasad dodano również adres URL entra firmy Microsoft (https://autologon.microsoftazuread-sso.com).

macOS

Korzystanie z rozszerzeń zasad grupy usługi Active Directory innych firm w celu wdrożenia adresu URL firmy Microsoft w przeglądarce Firefox i Google Chrome dla użytkowników systemu macOS wykracza poza zakres tego artykułu.

Znane ograniczenia przeglądarki

Bezproblemowe logowanie jednokrotne nie działa w programie Internet Explorer, jeśli przeglądarka jest uruchomiona w rozszerzonym trybie chronionym. Bezproblemowe logowanie jednokrotne obsługuje następną wersję przeglądarki Microsoft Edge opartą na chromium i działa w trybie InPrivate i gościa zgodnie z projektem. Przeglądarka Microsoft Edge (starsza wersja) nie jest już obsługiwana.

Może być konieczne skonfigurowanie AmbientAuthenticationInPrivateModesEnabled dla użytkowników-gości lub InPrivate na podstawie odpowiedniej dokumentacji:

Testowanie bezproblemowego logowania jednokrotnego

Aby przetestować funkcję dla określonego użytkownika, upewnij się, że obowiązują wszystkie następujące warunki:

  • Użytkownik loguje się na urządzeniu firmowym.
  • Urządzenie jest przyłączone do domeny usługi AD systemu Windows Server. Urządzenie nie musi być przyłączone do firmy Microsoft.
  • Urządzenie ma bezpośrednie połączenie z kontrolerem domeny, w firmowej sieci przewodowej lub bezprzewodowej albo za pośrednictwem połączenia dostępu zdalnego, takiego jak połączenie sieci VPN.
  • Ta funkcja została wdrożona dla tego użytkownika za pomocą zasad grupy.

Aby przetestować scenariusz, w którym użytkownik wprowadza nazwę użytkownika, ale nie hasło:

  • Zaloguj się do usługi https://myapps.microsoft.com. Pamiętaj, aby wyczyścić pamięć podręczną przeglądarki lub użyć nowej sesji przeglądarki prywatnej z dowolną z obsługiwanych przeglądarek w trybie prywatnym.

Aby przetestować scenariusz, w którym użytkownik nie musi wprowadzać nazwy użytkownika lub hasła, wykonaj jedną z następujących czynności:

  • Zaloguj się do usługi https://myapps.microsoft.com/contoso.onmicrosoft.com. Pamiętaj, aby wyczyścić pamięć podręczną przeglądarki lub użyć nowej sesji przeglądarki prywatnej z dowolną z obsługiwanych przeglądarek w trybie prywatnym. Zastąp contoso ciąg nazwą dzierżawy.
  • Zaloguj się do https://myapps.microsoft.com/contoso.com nowej sesji przeglądarki prywatnej. Zastąp contoso.com element zweryfikowaną domeną (nie domeną federacyjną) w dzierżawie.

Przerzucanie kluczy

W obszarze Włącz tę funkcję firma Microsoft Entra Połączenie tworzy konta komputerów (reprezentujące identyfikator entra firmy Microsoft) we wszystkich lasach usługi AD systemu Windows Server, w których włączono bezproblemowe logowanie jednokrotne. Aby dowiedzieć się więcej, zobacz Microsoft Entra seamless single sign-on: Technical deep dive (Bezproblemowe logowanie jednokrotne firmy Microsoft: szczegółowe informacje techniczne).

Ważne

Klucz odszyfrowywania Kerberos na koncie komputera, jeśli wycieknie, może służyć do generowania biletów Kerberos dla dowolnego użytkownika w lesie usługi AD systemu Windows Server. Złośliwi aktorzy mogą następnie personifikować logowania firmy Microsoft Entra dla użytkowników, których bezpieczeństwo zostanie naruszone. Zdecydowanie zalecamy okresowe przerzucanie tych kluczy odszyfrowywania Kerberos lub co najmniej raz na 30 dni.

Aby uzyskać instrukcje dotyczące sposobu przerzucania kluczy, zobacz Bezproblemowe logowanie jednokrotne firmy Microsoft Entra: często zadawane pytania.

Ważne

Nie musisz wykonywać tego kroku natychmiast po włączeniu tej funkcji. Przerzuć klucze odszyfrowywania Kerberos co najmniej raz na 30 dni.

Następne kroki