Guia de início rápido: logon único contínuo do Microsoft Entra

  • Artigo

O Microsoft Entra no logon único contínuo (SSO contínuo) conecta automaticamente os usuários quando eles estão usando suas áreas de trabalho corporativas conectadas à sua rede corporativa. O SSO contínuo fornece aos seus usuários acesso fácil aos seus aplicativos baseados em nuvem sem usar nenhum outro componente local.

Para implantar o SSO contínuo para ID do Microsoft Entra usando o Microsoft Entra Connect, conclua as etapas descritas nas seções a seguir.

Verificar os pré-requisitos

Certifique-se de que os seguintes pré-requisitos estão em vigor:

  • Configurar o servidor Microsoft Entra Connect: Se você usar a autenticação de passagem como método de entrada, nenhuma outra verificação de pré-requisitos será necessária. Se você usar a sincronização de hash de senha como método de entrada e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, certifique-se de que:

    • Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.

    • Se o firewall ou proxy permitir, adicione as conexões à sua lista de permissões para *.msappproxy.net URLs pela porta 443. Se você precisar de uma URL específica em vez de um curinga para configuração de proxy, poderá configurar tenantid.registration.msappproxy.net, onde tenantid é o GUID do locatário para o qual você está configurando o recurso. Se as exceções de proxy baseadas em URL não forem possíveis em sua organização, você poderá permitir o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente. Esse pré-requisito é aplicável somente quando você habilita o recurso SSO contínuo. Não é necessário para entradas diretas de usuários.

      Nota

      • As versões 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 do Microsoft Entra Connect têm um problema relacionado à sincronização de hash de senha. Se você não pretende usar a sincronização de hash de senha em conjunto com a autenticação de passagem, consulte as notas de versão do Microsoft Entra Connect para saber mais.

  • Usar uma topologia compatível do Microsoft Entra Connect: verifique se você está usando uma das topologias suportadas pelo Microsoft Entra Connect.

    Nota

    O SSO contínuo oferece suporte a várias florestas locais do Windows Server Ative Directory (Windows Server AD), independentemente de haver ou não relações de confiança do Windows Server AD entre elas.

  • Configurar credenciais de administrador de domínio: você deve ter credenciais de administrador de domínio para cada floresta do Windows Server AD que:

    • Você sincroniza com o Microsoft Entra ID através do Microsoft Entra Connect.
    • Contém usuários para os quais você deseja habilitar o SSO contínuo.

  • Habilitar autenticação moderna: para usar esse recurso, você deve habilitar a autenticação moderna em seu locatário.

  • Use as versões mais recentes dos clientes Microsoft 365: para obter uma experiência de logon silenciosa com clientes Microsoft 365 (por exemplo, com Outlook, Word ou Excel), seus usuários devem usar as versões 16.0.8730.xxxx ou posteriores.

Nota

Se tiver um proxy HTTP de saída, certifique-se de que o URL autologon.microsoftazuread-sso.com está na sua lista de permissões. Você deve especificar essa URL explicitamente porque o curinga pode não ser aceito.

Ativar a funcionalidade

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Habilite o SSO contínuo por meio do Microsoft Entra Connect.

Nota

Se o Microsoft Entra Connect não atender aos seus requisitos, você poderá habilitar o SSO contínuo usando o PowerShell. Use essa opção se você tiver mais de um domínio por floresta do Windows Server AD e quiser direcionar o domínio para habilitar o SSO contínuo.

Se você estiver fazendo uma nova instalação do Microsoft Entra Connect, escolha o caminho de instalação personalizado. Na página Login do usuário, selecione a opção Habilitar logon único.

Screenshot that shows the User sign-in page in Microsoft Entra Connect, with Enable single sign on selected.

Nota

A opção estará disponível para selecionar somente se o método de logon selecionado for Sincronização de Hash de Senha ou Autenticação de Passagem.

Se já tiver uma instalação do Microsoft Entra Connect, em Tarefas adicionais, selecione Alterar início de sessão do utilizador e, em seguida, selecione Seguinte. Se você estiver usando as versões 1.1.880.0 ou posteriores do Microsoft Entra Connect, a opção Habilitar logon único será selecionada por padrão. Se você estiver usando uma versão anterior do Microsoft Entra Connect, selecione a opção Habilitar logon único.

Screenshot that shows the Additional tasks page with Change the user sign-in selected.

Continue pelo assistente até a página Habilitar logon único. Forneça credenciais de Administrador de Domínio para cada floresta do AD do Windows Server que:

  • Você sincroniza com o Microsoft Entra ID através do Microsoft Entra Connect.
  • Contém usuários para os quais você deseja habilitar o SSO contínuo.

Quando você conclui o assistente, o SSO contínuo é habilitado em seu locatário.

Nota

As credenciais de Administrador de Domínio não são armazenadas no Microsoft Entra Connect ou no Microsoft Entra ID. Só são utilizadas para ativar a funcionalidade.

Para verificar se ativou o SSO Totalmente Integrado corretamente:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Gerenciamento híbrido de>identidade>, sincronização do Microsoft Entra Connect Connect.>
  3. Verifique se Logon único contínuo está definido como Habilitado.

Screenshot that shows the Microsoft Entra Connect pane in the admin portal.

Importante

O SSO contínuo cria uma conta de computador nomeada AZUREADSSOACC em cada floresta do AD do Windows Server no diretório local do AD do Windows Server. A AZUREADSSOACC conta do computador deve ser fortemente protegida por razões de segurança. Somente as contas de Administrador de Domínio devem ter permissão para gerenciar a conta de computador. Verifique se a delegação Kerberos na conta de computador está desabilitada e se nenhuma outra conta no Windows Server AD tem permissões de delegação na conta de AZUREADSSOACC computador. Armazene as contas de computador em uma unidade organizacional para que elas estejam protegidas contra exclusões acidentais e apenas os administradores de domínio possam acessá-las.

Nota

Se você estiver usando as arquiteturas Pass-the-Hash e Credential Theft Mitigation em seu ambiente local, faça as alterações apropriadas para garantir que a conta do AZUREADSSOACC computador não acabe no contêiner de quarentena.

Implementar a funcionalidade

Você pode implantar gradualmente o SSO contínuo para seus usuários usando as instruções fornecidas nas próximas seções. Comece adicionando a seguinte URL do Microsoft Entra a todas as configurações de zona da intranet do usuário ou selecionadas por meio da Diretiva de Grupo no Windows Server AD:

https://autologon.microsoftazuread-sso.com

Você também deve habilitar uma configuração de diretiva de zona da intranet chamada Permitir atualizações na barra de status por meio de script por meio da Diretiva de Grupo.

Nota

As instruções a seguir funcionam apenas para o Internet Explorer, Microsoft Edge e Google Chrome no Windows (se o Google Chrome compartilhar um conjunto de URLs de sites confiáveis com o Internet Explorer). Saiba como configurar o Mozilla Firefox e o Google Chrome no macOS.

Por que você precisa modificar as configurações de zona da intranet do usuário

Por padrão, um navegador calcula automaticamente a zona correta, seja internet ou intranet, a partir de um URL específico. Por exemplo, http://contoso/ mapeia para a zona da intranet e http://intranet.contoso.com/ mapeia para a zona da Internet (porque o URL contém um ponto). Os navegadores não enviam tíquetes Kerberos para um ponto de extremidade na nuvem, como a URL do Microsoft Entra, a menos que você adicione explicitamente a URL à zona da intranet do navegador.

Há duas maneiras de modificar as configurações de zona da intranet do usuário:

Opção Consideração do administrador Experiência de utilizador
Política de grupo O administrador bloqueia a edição das configurações de zona da intranet Os usuários não podem modificar suas próprias configurações
Preferência de política de grupo Admin permite a edição de configurações de zona da intranet Os usuários podem modificar suas próprias configurações

Etapas detalhadas da política de grupo

  1. Abra a ferramenta Editor de Gerenciamento de Diretiva de Grupo.

  2. Edite a política de grupo aplicada a alguns ou a todos os seus usuários. Este exemplo usa a Diretiva de Domínio Padrão.

  3. Vá para Políticas>de Configuração do Usuário, Modelos Administrativos>, Componentes do Windows, Internet Explorer>,>Página de>Segurança do Painel de Controle da>Internet. Selecione Lista de Atribuição de Site a Zona.

    Screenshot that shows the Security Page with Site to Zone Assignment List selected.

  4. Habilite a política e insira os seguintes valores na caixa de diálogo:

    • Nome do valor: A URL do Microsoft Entra para onde os tíquetes Kerberos são encaminhados.

    • Valor (Dados): 1 indica a zona da intranet.

      O resultado é semelhante a este exemplo:

      Nome do valor: https://autologon.microsoftazuread-sso.com

      Valor (Dados): 1

    Nota

    Se você quiser impedir que alguns usuários usem o SSO contínuo (por exemplo, se esses usuários entrarem em quiosques compartilhados), defina os valores anteriores como 4. Esta ação adiciona a URL do Microsoft Entra à zona restrita e o SSO contínuo falha para os usuários o tempo todo.

  5. Selecione OK e, em seguida, selecione OK novamente.

    Screenshot that shows the Show Contents window with a zone assignment selected.

  6. Vá para Políticas>de Configuração do Usuário, Modelos Administrativos>, Componentes do Windows,>Internet Explorer>, Painel de Controle da>Internet, Página>de>Segurança, Zona da Intranet. Selecione Permitir atualizações na barra de status via script.

    Screenshot that shows the Intranet Zone page with Allow updates to status bar via script selected.

  7. Habilite a configuração de política e selecione OK.

    Screenshot that shows the Allow updates to status bar via script window with the policy setting enabled.

Etapas detalhadas da preferência de política de grupo

  1. Abra a ferramenta Editor de Gerenciamento de Diretiva de Grupo.

  2. Edite a política de grupo aplicada a alguns ou a todos os seus usuários. Este exemplo usa a Diretiva de Domínio Padrão.

  3. Vá para Preferências de Configuração>do>Usuário, Registro de Configurações>do Windows, Novo>item do Registro.>

    Screenshot that shows Registry selected and Registry Item selected.

  4. Insira ou selecione os seguintes valores, conforme demonstrado e, em seguida, selecione OK.

    • Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nome do valor: https

    • Tipo de valor: REG_DWORD

    • Dados do valor: 00000001

      Screenshot that shows the New Registry Properties window.

      Screenshot that shows the new values listed in Registry Editor.

Considerações sobre o browser

As próximas seções têm informações sobre SSO contínuo que são específicas para diferentes tipos de navegadores.

Mozilla Firefox (todas as plataformas)

Se você estiver usando as configurações de política de autenticação em seu ambiente, certifique-se de adicionar a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com) à seção SPNEGO . Você também pode definir a opção PrivateBrowsing como true para permitir o SSO contínuo no modo de navegação privada.

Safari (macOS)

Certifique-se de que a máquina que executa o macOS está associada ao Windows Server AD.

As instruções para associar o seu dispositivo macOS ao Windows Server AD estão fora do âmbito deste artigo.

Microsoft Edge baseado no Chromium (todas as plataformas)

Se você substituiu as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar também a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com) a essas configurações de política.

Microsoft Edge baseado no Chromium (macOS e outras plataformas não Windows)

Para Microsoft Edge baseado no Chromium no macOS e outras plataformas que não sejam Windows, consulte a Lista de Políticas do Microsoft Edge baseada no Chromium para obter informações sobre como adicionar o URL do Microsoft Entra para autenticação integrada à sua lista de permissões.

Google Chrome (todas as plataformas)

Se você substituiu as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar também a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com) a essas configurações de política.

macOS

O uso de extensões de Política de Grupo do Ative Directory de terceiros para distribuir o URL do Microsoft Entra para usuários do Firefox e do Google Chrome para macOS está fora do escopo deste artigo.

Limitações conhecidas do navegador

O SSO contínuo não funciona no Internet Explorer se o navegador estiver sendo executado no modo Protegido Avançado. O SSO contínuo suporta a próxima versão do Microsoft Edge baseada no Chromium e funciona nos modos InPrivate e Convidado por design. O Microsoft Edge (legado) já não é suportado.

Talvez seja necessário configurar AmbientAuthenticationInPrivateModesEnabled para usuários InPrivate ou convidados com base na documentação correspondente:

Teste SSO contínuo

Para testar o recurso para um usuário específico, verifique se todas as seguintes condições estão em vigor:

  • O usuário entra em um dispositivo corporativo.
  • O dispositivo ingressou no domínio do Windows Server AD. O dispositivo não precisa estar associado ao Microsoft Entra.
  • O dispositivo tem uma conexão direta com o controlador de domínio, seja na rede corporativa com ou sem fio ou através de uma conexão de acesso remoto, como uma conexão VPN.
  • Você distribuiu o recurso para esse usuário por meio da Diretiva de Grupo.

Para testar um cenário em que o usuário insere um nome de usuário, mas não uma senha:

  • Iniciar sessão no https://myapps.microsoft.com. Certifique-se de limpar o cache do navegador ou usar uma nova sessão privada do navegador com qualquer um dos navegadores suportados no modo privado.

Para testar um cenário em que o usuário não precisa inserir um nome de usuário ou senha, use uma destas etapas:

  • Iniciar sessão no https://myapps.microsoft.com/contoso.onmicrosoft.com. Certifique-se de limpar o cache do navegador ou usar uma nova sessão privada do navegador com qualquer um dos navegadores suportados no modo privado. Substitua contoso pelo nome do locatário.
  • Inicie sessão numa nova sessão privada do https://myapps.microsoft.com/contoso.com browser. Substitua contoso.com por um domínio verificado (não um domínio federado) em seu locatário.

Teclas de rolagem

Em Habilitar o recurso, o Microsoft Entra Connect cria contas de computador (representando o ID do Microsoft Entra) em todas as florestas do AD do Windows Server nas quais você habilitou o SSO contínuo. Para saber mais, consulte Microsoft Entra seamless single sign-on: Technical deep dive.

Importante

A chave de descriptografia Kerberos em uma conta de computador, se vazada, pode ser usada para gerar tíquetes Kerberos para qualquer usuário em sua floresta do Windows Server AD. Os agentes mal-intencionados podem então se passar por entradas do Microsoft Entra para usuários comprometidos. É altamente recomendável rolar periodicamente essas chaves de descriptografia Kerberos, ou pelo menos uma vez a cada 30 dias.

Para obter instruções sobre como rolar chaves, consulte Microsoft Entra seamless single sign-on: perguntas frequentes.

Importante

Você não precisa fazer essa etapa imediatamente após ter ativado o recurso. Passe as chaves de desencriptação Kerberos pelo menos uma vez a cada 30 dias.

Próximos passos