Neste artigo, abordamos as perguntas frequentes sobre o logon único contínuo (SSO contínuo) do Microsoft Entra. Continue a verificar quanto a novos conteúdos.
Com quais métodos de entrada o SSO Seamless funciona
O SSO Totalmente Integrado pode ser combinado com os métodos de início de sessão de Sincronização do Hash de Palavras-passe ou de Autenticação Pass-through. No entanto, esse recurso não pode ser usado com os Serviços de Federação do Ative Directory (ADFS).
O Seamless SSO é um recurso gratuito?
O SSO contínuo é um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
O SSO Seamless está disponível na nuvem do Microsoft Azure Alemanha e na nuvem do Microsoft Azure Government?
O SSO contínuo está disponível para a nuvem do Azure Government. Para obter detalhes, consulte Considerações de identidade híbrida para o Azure Government.
Quais aplicativos aproveitam a capacidade de parâmetros 'domain_hint' ou 'login_hint' do Seamless SSO?
A tabela tem uma lista de aplicativos que podem enviar esses parâmetros para o Microsoft Entra ID. Esta ação fornece aos usuários uma experiência de logon silencioso usando o SSO contínuo.:
| Nome da aplicação | URL do aplicativo a ser usado |
|---|---|
| Painel de acesso | https://myapps.microsoft.com/contoso.com |
| Outlook na Web | https://outlook.office365.com/contoso.com |
| Portais do Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Além disso, os usuários obterão uma experiência de logon silencioso se um aplicativo enviar solicitações de entrada para pontos de extremidade do Microsoft Entra configurados como locatários - ou seja, .. ou tenant_ID/.. - em vez do ponto de extremidade comum do Microsoft Entra - ou seja, https://login.microsoftonline.com/contoso.com/<https://login.microsoftonline.com/common/<...>.>><>https://login.microsoftonline.com/< A tabela tem uma lista de aplicativos que fazem esses tipos de solicitações de entrada.
| Nome da aplicação | URL do aplicativo a ser usado |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Centro de administração do Microsoft Entra | https://portal.azure.com/contoso.com |
Nas tabelas acima, substitua "contoso.com" pelo seu nome de domínio para obter os URLs de aplicativos corretos para seu locatário.
Se pretender outras aplicações que utilizem a nossa experiência de início de sessão silencioso, informe-nos na secção de comentários.
O Seamless SSO suporta 'Alternate ID' como nome de usuário, em vez de 'userPrincipalName'?
Sim. O SSO contínuo suporta Alternate ID como o nome de usuário quando configurado no Microsoft Entra Connect, conforme mostrado aqui. Nem todas as aplicações Microsoft 365 suportam Alternate ID. Veja a declaração de suporte na documentação da aplicação específica.
Qual é a diferença entre a experiência de logon único fornecida pelo Microsoft Entra join e o Seamless SSO?
O Microsoft Entra join fornece SSO aos usuários se seus dispositivos estiverem registrados com o Microsoft Entra ID. Estes dispositivos não têm necessariamente de estar associados ao domínio. O SSO é fornecido usando tokens de atualização primários ou PRTs, e não Kerberos. A experiência do utilizador é ideal nos dispositivos Windows 10. O SSO acontece automaticamente no browser Microsoft Edge. Também funciona no Chrome com o uso de uma extensão de browser.
Você pode usar o Microsoft Entra join e o Seamless SSO em seu locatário. Estas duas funcionalidades são complementares. Se ambos os recursos estiverem ativados, o SSO da junção do Microsoft Entra terá precedência sobre o SSO contínuo.
Quero registar dispositivos que não sejam Windows 10 com o Microsoft Entra ID, sem utilizar o AD FS. Posso usar o Seamless SSO em vez disso?
Sim, esse cenário precisa da versão 2.1 ou posterior do cliente de ingresso no local de trabalho.
Como posso rolar a chave de descriptografia Kerberos da conta de computador 'AZUREADSSO'?
É importante passar frequentemente a chave de desencriptação Kerberos da conta de computador (que representa o AZUREADSSO ID do Microsoft Entra) criada na floresta do AD local.
Importante
Recomendamos vivamente que implemente a chave de desencriptação de Kerberos, pelo menos, de 30 em 30 dias.
Siga estas etapas no servidor local onde você está executando o Microsoft Entra Connect:
Nota
Você precisará de credenciais de administrador de domínio e administrador de identidade global/híbrida para as etapas.
Se você não for um administrador de domínio e tiver recebido permissões do administrador do domínio, ligue para Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Passo 1. Obtenha a lista de florestas do AD onde o SSO Totalmente Integrado foi ativado
- Primeiro, transfira e instale o Azure AD PowerShell.
- Navegue para a pasta
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importar o módulo do PowerShell do SSO Totalmente Integrado com este comando:
Import-Module .\AzureADSSO.psd1. - Execute o PowerShell como Administrador. No PowerShell, chame
New-AzureADSSOAuthenticationContext. Este comando deve fornecer um pop-up para inserir as credenciais de Administrador Global ou Administrador de Identidade Híbrida do seu locatário. - Chame
Get-AzureADSSOStatus | ConvertFrom-Json. Este comando fornece-lhe a lista de florestas do AD (veja a lista "Domínios") nas quais esta funcionalidade foi ativada.
Passo 2. Atualize a chave de desencriptação de Kerberos em cada floresta do AD em que foi configurada
- Chame
$creds = Get-Credential. Quando lhe for pedido, introduza as credenciais do Administrador de Domínio da floresta do AD pretendida.
Nota
O nome de usuário das credenciais de administrador do domínio deve ser inserido no formato de nome de conta SAM (contoso\johndoe ou contoso.com\johndoe). Utilizamos a parte do domínio do nome de utilizador para localizar o Controlador de Domínio do Administrador de Domínio através de DNS.
Nota
A conta de administrador de domínio utilizada não pode pertencer ao grupo Utilizadores Protegidos. Se pertencer, a operação falhará.
Chame
Update-AzureADSSOForest -OnPremCredentials $creds. Este comando atualiza a chave de desencriptação de Kerberos para a conta de computadorAZUREADSSOnesta floresta específica do AD e atualiza-a no Microsoft Entra ID.Repita os passos anteriores para cada floresta do AD em que configurou a funcionalidade.
Nota
Se você estiver atualizando uma floresta, diferente da do Microsoft Entra Connect, verifique se a conectividade com o servidor de catálogo global (TCP 3268 e TCP 3269) está disponível.
Importante
Isso não precisa ser feito em servidores que executam o Microsoft Entra Connect no modo de preparo.
Certifique-se de não executar o Update-AzureADSSOForest comando mais de uma vez por floresta. Caso contrário, a funcionalidade deixa de funcionar até ao momento em que os bilhetes Kerberos dos seus utilizadores expiram e são reemitidos pelo seu Ative Directory no ambiente no local.
Como posso desativar o SSO contínuo?
Passo 1. Desative o recurso em seu locatário
Opção A: Desativar utilizando o Microsoft Entra Connect
- Execute o Microsoft Entra Connect, escolha Alterar página de entrada do usuário e clique em Avançar.
- Desmarque a opção Ativar logon único. Continue a seguir o assistente.
Após concluir o assistente, o SSO Totalmente Integrado será desativado no inquilino. No entanto, você verá uma mensagem na tela com a seguinte redação:
"O logon único agora está desativado, mas há outras etapas manuais a serem executadas para concluir a limpeza. Saiba mais"
Para concluir o processo de limpeza, siga as etapas 2 e 3 no servidor local onde você está executando o Microsoft Entra Connect.
Opção B: Desativar com o PowerShell
Execute as seguintes etapas no servidor local onde você está executando o Microsoft Entra Connect:
- Primeiro, transfira e instale o Azure AD PowerShell.
- Navegue para a pasta
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importar o módulo do PowerShell do SSO Totalmente Integrado com este comando:
Import-Module .\AzureADSSO.psd1. - Execute o PowerShell como Administrador. No PowerShell, chame
New-AzureADSSOAuthenticationContext. Este comando deve fornecer um pop-up para inserir as credenciais de Administrador Global ou Administrador de Identidade Híbrida do seu locatário. - Chame
Enable-AzureADSSO -Enable $false.
Neste ponto, o SSO contínuo está desativado, mas os domínios permanecerão configurados caso você queira habilitar o SSO contínuo de volta. Se você quiser remover completamente os domínios da configuração do SSO contínuo, chame o seguinte cmdlet depois de concluir a etapa 5 acima: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Importante
A desativação do SSO contínuo usando o PowerShell não alterará o estado no Microsoft Entra Connect. O SSO Totalmente Integrado será apresentado como ativado na página Alterar início de sessão do utilizador.
Passo 2. Obtenha a lista de florestas do AD onde o SSO Totalmente Integrado foi ativado
Siga as tarefas 1 a 4 se tiver desativado o SSO contínuo usando o Microsoft Entra Connect. Se você tiver desabilitado o SSO contínuo usando o PowerShell, avance para a tarefa 5.
- Primeiro, transfira e instale o Azure AD PowerShell.
- Navegue para a pasta
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importar o módulo do PowerShell do SSO Totalmente Integrado com este comando:
Import-Module .\AzureADSSO.psd1. - Execute o PowerShell como Administrador. No PowerShell, chame
New-AzureADSSOAuthenticationContext. Este comando deve fornecer um pop-up para inserir as credenciais de Administrador Global ou Administrador de Identidade Híbrida do seu locatário. - Chame
Get-AzureADSSOStatus | ConvertFrom-Json. Este comando fornece-lhe a lista de florestas do AD (veja a lista "Domínios") nas quais esta funcionalidade foi ativada.
Passo 3. Elimine manualmente a conta de computador AZUREADSSO de cada floresta do AD que vê listada.
Próximos passos
- Guia de início rápido - Comece a executar o Microsoft Entra Seamless SSO.
- Technical Deep Dive - Entenda como esse recurso funciona.
- Solução de problemas - Saiba como resolver problemas comuns com o recurso.
- UserVoice - Para preencher novas solicitações de recursos.