Bezproblemowe logowanie jednokrotne usługi Microsoft Entra
Co to jest bezproblemowe logowanie jednokrotne firmy Microsoft Entra?
Bezproblemowe logowanie jednokrotne w usłudze Microsoft Entra zapewnia automatyczne logowanie użytkowników, gdy ich urządzenia firmowe połączone z siecią firmową. Gdy ta funkcja jest włączona, użytkownicy nie muszą wpisywać haseł, aby zalogować się do usługi Microsoft Entra ID, a zwykle nie muszą nawet wpisywać swoich nazw użytkownika. Ta funkcja zapewnia użytkownikom łatwy dostęp do aplikacji w chmurze bez konieczności używania dodatkowych składników lokalnych.
Bezproblemowe logowanie jednokrotne można połączyć z metodami logowania takimi jak synchronizacja skrótów haseł lub uwierzytelnianie z przekazywaniem. Bezproblemowe logowanie jednokrotne nie ma zastosowania w przypadku usługi Active Directory Federation Services (ADFS).
Logowanie jednokrotne za pośrednictwem podstawowego tokenu odświeżania a bezproblemowe logowanie jednokrotne
W przypadku systemu Windows 10, Windows Server 2016 i nowszych wersji zaleca się używanie logowania jednokrotnego za pośrednictwem podstawowego tokenu odświeżania (PRT). W przypadku systemów Windows 7 i Windows 8.1 zaleca się używanie bezproblemowego logowania jednokrotnego. Bezproblemowe logowanie jednokrotne wymaga przyłączenia urządzenia użytkownika do domeny, ale nie jest używane na urządzeniach dołączonych do systemu Windows 10 Microsoft Entra ani urządzeniach dołączonych hybrydowo do firmy Microsoft Entra. Logowanie jednokrotne w usłudze Microsoft Entra przyłączone do środowiska hybrydowego firmy Microsoft, a urządzenia zarejestrowane w usłudze Microsoft Entra działają na podstawie podstawowego tokenu odświeżania (PRT)
Logowanie jednokrotne za pośrednictwem podstawowego tokenu odświeżania działa tylko w przypadku urządzeń zarejestrowanych w usłudze Microsoft Entra ID, hybrydowo przyłączonych do usługi Microsoft Entra, przyłączonych do usługi Microsoft Entra lub urządzeń osobistych zarejestrowanych za pośrednictwem opcji Dodaj konto służbowe. Aby uzyskać więcej informacji na temat sposobu pracy logowania jednokrotnego z systemem Windows 10 przy użyciu prT, zobacz: Podstawowy token odświeżania (PRT) i Identyfikator Entra firmy Microsoft
Główne korzyści
- Fantastyczne środowisko pracy użytkownika
- Użytkownicy są automatycznie zalogowani do aplikacji lokalnych i opartych na chmurze.
- Użytkownicy nie muszą wielokrotnie wprowadzać swoich haseł.
- Łatwe wdrażanie i administrowanie
- Brak dodatkowych składników potrzebnych lokalnie do wykonania tej pracy.
- Działa z dowolną metodą uwierzytelniania w chmurze — synchronizacja skrótów haseł lub uwierzytelnianie przekazywane.
- Można je wdrożyć dla niektórych lub wszystkich użytkowników przy użyciu zasad grupy.
- Zarejestruj urządzenia z systemem innym niż Windows 10 przy użyciu identyfikatora Entra firmy Microsoft bez konieczności korzystania z infrastruktury usług AD FS. Ta funkcja wymaga użycia wersji 2.1 lub nowszej klienta przyłączonego do miejsca pracy.
Najważniejsze funkcje
- Nazwa użytkownika logowania może być lokalną domyślną nazwą użytkownika (
userPrincipalName) lub innym atrybutem skonfigurowanym w usłudze Microsoft Entra Połączenie (Alternate ID). Oba przypadki użycia działają, ponieważ bezproblemowe logowanie jednokrotne używasecurityIdentifieroświadczenia w bilecie protokołu Kerberos w celu wyszukania odpowiedniego obiektu użytkownika w identyfikatorze Entra firmy Microsoft. - Bezproblemowe logowanie jednokrotne to funkcja oportunistyczna. Jeśli nie powiedzie się z jakiegokolwiek powodu, środowisko logowania użytkownika wróci do swojego zwykłego zachowania — czyli użytkownik musi wprowadzić hasło na stronie logowania.
- Jeśli aplikacja (na przykład
https://myapps.microsoft.com/contoso.com) przekazujedomain_hintparametr (OpenID Połączenie) lubwhr(SAML) — identyfikując dzierżawę lublogin_hintparametr — identyfikując użytkownika w żądaniu logowania firmy Microsoft Entra, użytkownicy są automatycznie zalogowani bez wprowadzania nazw użytkowników lub haseł. - Użytkownicy uzyskują również środowisko logowania dyskretnego, jeśli aplikacja (na przykład
https://contoso.sharepoint.com) wysyła żądania logowania do punktów końcowych identyfikatora Entra firmy Microsoft skonfigurowanych jako dzierżawy — czylihttps://login.microsoftonline.com/contoso.com/<..>https://login.microsoftonline.com/<tenant_ID>/<..>— zamiast wspólnego punktu końcowego identyfikatora Microsoft Entra — czylihttps://login.microsoftonline.com/common/<...>. - Wylogowywanie jest obsługiwane. Dzięki temu użytkownicy mogą automatycznie logować się przy użyciu innego konta firmy Microsoft Entra zamiast automatycznie logować się przy użyciu bezproblemowego logowania jednokrotnego.
- Klienci platformy Microsoft 365 Win32 (Outlook, Word, Excel i inni) z wersjami 16.0.8730.xxxx i nowszymi są obsługiwane przy użyciu przepływu nieinterakcyjnego. W przypadku usługi OneDrive musisz aktywować funkcję konfiguracji dyskretnej usługi OneDrive na potrzeby dyskretnego logowania.
- Można ją włączyć za pośrednictwem Połączenie firmy Microsoft.
- Jest to bezpłatna funkcja i nie potrzebujesz żadnych płatnych wersji identyfikatora Microsoft Entra, aby z niej korzystać.
- Jest ona obsługiwana na klientach opartych na przeglądarce internetowej i klientach pakietu Office obsługujących nowoczesne uwierzytelnianie na platformach i przeglądarkach obsługujących uwierzytelnianie Kerberos:
| System operacyjny\przeglądarka | Internet Explorer | Microsoft Edge **** | Google Chrome | Mozilla Firefox | Safari |
|---|---|---|---|---|---|
| Windows 10 | Tak* | Tak | Tak | Tak*** | Nie dotyczy |
| Windows 8.1 | Tak* | Tak**** | Tak | Tak*** | Nie dotyczy |
| Windows 8 | Tak* | Nie dotyczy | Tak | Tak*** | Nie dotyczy |
| Windows Server 2012 R2 lub nowszy | Tak** | Nie dotyczy | Tak | Tak*** | Nie dotyczy |
| Mac OS X | Brak | Brak | Tak*** | Tak*** | Tak*** |
Uwaga
Starsza wersja przeglądarki Microsoft Edge nie jest już obsługiwana
*Wymaga programu Internet Explorer w wersji 11 lub nowszej. (Począwszy od 17 sierpnia 2021 r., aplikacje i usługi platformy Microsoft 365 nie będą obsługiwać programu Internet Explorer 11).
**Wymaga programu Internet Explorer w wersji 11 lub nowszej. Wyłącz rozszerzony tryb chroniony.
Wymaga dodatkowej konfiguracji.
Przeglądarka Microsoft Edge oparta na chromium
Następne kroki
- Szybki start — rozpoczynanie pracy i uruchamianie bezproblemowego logowania jednokrotnego firmy Microsoft.
- Plan wdrożenia — plan wdrożenia krok po kroku.
- Szczegółowe omówienie techniczne — dowiedz się, jak działa ta funkcja.
- Często zadawane pytania — odpowiedzi na często zadawane pytania.
- Rozwiązywanie problemów — dowiedz się, jak rozwiązywać typowe problemy z funkcją.
- UserVoice — w przypadku zgłaszania nowych żądań funkcji.