Logon único contínuo do Microsoft Entra
O que é o logon único contínuo do Microsoft Entra?
O SSO contínuo do Microsoft Entra (Logon único contínuo do Microsoft Entra) conecta usuários automaticamente quando estiverem nos respectivos dispositivos corporativos conectados à sua rede corporativa. Quando habilitado, os usuários não precisam digitar as senhas para entrar no Microsoft Entra ID e, geralmente, nem precisam digitar os nomes de usuário. Esse recurso fornece aos usuários acesso fácil a seus aplicativos baseados em nuvem sem a necessidade de nenhum componente local adicional.
O SSO Contínuo pode ser combinado com o método de entrada de Sincronização de Hash de Senha ou de Autenticação de Passagem. O SSO contínuo não é aplicável aos Serviços de Federação do Active Directory (AD FS).
SSO por meio do token de atualização primário vs. SSO contínuo
Para o Windows 10, o Windows Server 2016 e versões posteriores, é recomendável usar o SSO por meio do token de atualização primário (PRT). Para o Windows 7 e o Windows 8.1, é recomendável usar o SSO contínuo. O SSO contínuo precisa que o dispositivo do usuário tenha apenas ingressado no domínio, mas não seja usado nos dispositivos ingressados no Windows 10 Microsoft Entra ou dispositivos ingressados no Microsoft Entra híbrido. O SSO no Microsoft Entra ingressado, Microsoft Entra ingressado híbrido e Microsoft Entra dispositivos registrados funciona com base no PRT (Token de Atualização Primária)
O SSO via PRT funciona depois que os dispositivos são registrados com o Microsoft Entra ID para ingressado no Microsoft Entra híbrido, dispositivos de registro pessoal ou ingressados no Microsoft Entra por meio de adicionar conta corporativa ou de estudante. Para obter mais informações sobre como o SSO funciona com o Windows 10 usando o PRT, consulte: token de atualização principal (PRT) e Microsoft Entra ID
Principais benefícios
- Ótima experiência do usuário
- Os usuários são conectados automaticamente nos aplicativos locais e baseados em nuvem.
- Os usuários não precisam inserir as senhas várias vezes.
- Fácil de implantar e administrar
- Não há necessidade de nenhum componente adicional local para fazer com que ele funcione.
- Funciona com qualquer método de autenticação de nuvem – Sincronização de hash de senha ou Autenticação de passagem.
- Pode ser implementado para alguns ou todos os usuários por meio de política de grupo.
- Registre dispositivos não Windows 10 no Microsoft Entra ID sem a necessidade de nenhuma infraestrutura do AD FS. Esse recurso deve usar a versão 2.1 ou posterior do cliente workplace-join.
Destaques do recurso
- O nome de usuário de conexão pode ser o nome de usuário local padrão (
userPrincipalName) ou outro atributo configurado no Microsoft Entra Connect (Alternate ID). Ambos casos de uso funcionam porque o SSO Contínuo usa a declaraçãosecurityIdentifierno tíquete do Kerberos para pesquisar o objeto de usuário correspondente no Microsoft Entra ID. - O SSO Contínuo é um recurso adaptável. Se ele falhar por algum motivo, a experiência de entrada do usuário volta ao comportamento regular, ou seja, o usuário precisa inserir a senha na página de entrada.
- Se um aplicativo (por exemplo,
https://myapps.microsoft.com/contoso.com) encaminhar um parâmetrodomain_hint(OpenID Connect) ouwhr(SAML) - identificando seu locatário, ou um parâmetrologin_hint- identificando o usuário, na solicitação de entrada do Microsoft Entra, os usuários serão automaticamente conectados sem inserir nomes de usuário ou senhas. - Os usuários também terão uma experiência de logon silenciosa se um aplicativo (por exemplo,
https://contoso.sharepoint.com) enviar solicitações de entrada para pontos de extremidade das ID`s do Microsoft Entra configuradas como locatários (ou seja,https://login.microsoftonline.com/contoso.com/<..>ouhttps://login.microsoftonline.com/<tenant_ID>/<..>) em vez do ponto de extremidade comum do ID`s do Microsoft Entra, ou seja,https://login.microsoftonline.com/common/<...>. - É possível sair. Isso permite que os usuários escolham outra conta do Microsoft Entra para conectar, em vez de conectar automaticamente usando o SSO contínuo automaticamente.
- Os clientes Win32 do Microsoft 365 (Outlook, Word, Excel e outros) com versões 16.0.8730.xxxx e mais recentes podem usar um fluxo não interativo. Para o OneDrive, você precisará ativar o recurso de Configuração silenciosa do OneDrive para uma experiência de logon silenciosa.
- Ele pode ser habilitado pela conexao do Microsoft Entra.
- Esse recurso é gratuito, e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
- Há suporte para ele em clientes baseados em navegador da Web e clientes do Office que dão suporte à autenticação moderna em plataformas e navegadores que sejam compatíveis com a autenticação Kerberos:
| Sistema operacional\Navegador | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
|---|---|---|---|---|---|
| Windows 10 | Sim* | Sim | Yes | Sim** | N/D |
| Windows 8.1 | Sim* | Sim**** | Yes | Sim** | N/D |
| Windows 8 | Sim* | N/D | Sim | Sim** | N/D |
| Windows Server 2012 R2 ou acima | Sim** | N/D | Sim | Sim** | N/D |
| Mac OS X | N/D | N/D | Sim** | Sim** | Sim** |
Observação
O Microsoft Edge herdado não tem mais suporte
*Requer o Internet Explorer versão 11 ou posterior. (A partir de 17 de agosto de 2021, os aplicativos e serviços do Microsoft 365 não darão suporte ao IE 11).
**Requer o Internet Explorer versão 11 ou posterior. Desabilitar Modo Protegido Avançado.
***Exige configuração adicional.
****Microsoft Edge com base no Chromium
Próximas etapas
- Início Rápido – Começar a executar o SSO contínuo do Microsoft Entra.
- Plano de Implantação - Plano de implantação passo a passo.
- Aprofundamento técnico – entenda como esse recurso funciona.
- Perguntas frequentes – respostas para perguntas frequentes.
- Solução de problemas – Saiba como resolver problemas comuns do recurso.
- UserVoice – para registrar solicitações de novos recursos.