Nesse artigo, abordamos perguntas frequentes sobre o logon único contínuo (SSO Contínuo) do Microsoft Entra. Continue verificando para ver novo conteúdo.
Com quais métodos de entrada o SSO Contínuo funciona
O SSO Contínuo pode ser combinado com o método de entrada de Sincronização de Hash de Senha ou de Autenticação de Passagem. No entanto, esse recurso não pode ser usado com os Serviços de Federação do Active Directory (AD FS).
O SSO Contínuo é um recurso gratuito?
- O SSO contínuo é um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
O SSO Contínuo está disponível na nuvem do Microsoft Azure Alemanha e na nuvem do Microsoft Azure Governamental?
O SSO contínuo está disponível para a nuvem do Azure Government. Para detalhes, confira Considerações de identidade híbrida para o Azure Government.
Quais aplicativos aproveitam a funcionalidade de parâmetro `domain_hint` ou `login_hint` do SSO contínuo?
A tabela tem uma lista de aplicativos que podem enviar esses parâmetros para o Microsoft Entra ID. Esta ação fornece aos usuários uma experiência de logon silencioso usando o SSO Contínuo:
| Nome do aplicativo | URL do aplicativo a ser usada |
|---|---|
| Painel de acesso | https://myapps.microsoft.com/contoso.com |
| Outlook na Web | https://outlook.office365.com/contoso.com |
| Portais do Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Além disso, os usuários terão uma experiência de logon silenciosa se um aplicativo enviar solicitações de entrada para pontos de extremidade do Microsoft Entra configurados como locatários (ou seja, https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<tenant_ID>/<..>), em vez do ponto de extremidade comum do Microsoft Entra (ou seja, https://login.microsoftonline.com/common/<...>). A tabela tem uma lista de aplicativos que fazem esses tipos de solicitações de entrada.
| Nome do aplicativo | URL do aplicativo a ser usada |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Centro de administração do Microsoft Entra | https://portal.azure.com/contoso.com |
Nas tabelas acima, substitua "contoso.com" por seu nome de domínio para obter as URLs do aplicativo certo para o seu locatário.
Se desejar que outros aplicativos usem nossa experiência de logon silenciosa, informe isso na seção de comentários.
O SSO contínuo dá suporte à `ID alternativa` como o nome de usuário, em vez de `userPrincipalName`?
Sim. O SSO Contínuo dá suporte ao Alternate ID como o nome de usuário quando configurado no Microsoft Entra Connect, conforme mostrado aqui. Nem todos os aplicativos do Microsoft 365 são compatíveis com Alternate ID. Consulte a documentação específica do aplicativo para obter o demonstrativo de suporte.
Qual é a diferença entre a experiência de logon único fornecida pelo ingresso no Microsoft Entra e o SSO Contínuo?
O ingresso no Microsoft Entra fornece o SSO aos usuários, se os dispositivos deles estiverem registrados no Microsoft Entra ID. Esses dispositivos não precisam, necessariamente, ser ingressados no domínio. O SSO é fornecido com o uso de tokens de atualização primários ou PRTs e não Kerberos. A experiência do usuário é melhor em dispositivos Windows 10. SSO acontece automaticamente no navegador Microsoft Edge. Ele também funciona no Chrome com o uso de uma extensão de navegador.
Você pode usar o Ingresso no Microsoft Entra e o SSO Contínuo no seu locatário. Esses dois recursos são complementares. Se os dois recursos forem ativados, o ingresso no Microsoft Entra por meio de SSO terá precedência sobre o SSO Contínuo.
Desejo registrar dispositivos que não sejam Windows 10 no Microsoft Entra ID, sem o uso do AD FS. Posso usar o SSO Contínuo em vez disso?
Sim, esse cenário precisa da versão 2.1 ou posterior do cliente de ingresso no local de trabalho.
Como substituir a chave de descriptografia do Kerberos da conta de computador `AZUREADSSO`?
É importante sobrepor com frequência a chave de descriptografia Kerberos da conta do computador AZUREADSSO (que representa o Microsoft Entra ID) criada na floresta do AD local.
Importante
É altamente recomendável sobrepor a chave de descriptografia do Kerberos pelo menos a cada 30 dias.
Siga estas etapas no servidor local em que você está executando o Microsoft Entra Connect:
Observação
Você precisará de credenciais de administrador de domínio e administrador global/administrador de identidade híbrida para as etapas abaixo.
Se você não for um administrador de domínio, mas ele tiver atribuído permissões a você, chame Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Etapa 1. Obter lista de florestas do AD em que o SSO Contínuo foi habilitado
- Primeiro, baixe e instale o PowerShell do Microsoft Azure AD.
- Navegue até a pasta
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importe o módulo do PowerShell de SSO Contínuo usando este comando:
Import-Module .\AzureADSSO.psd1. - Execute o PowerShell como um Administrador. No PowerShell, chame
New-AzureADSSOAuthenticationContext. Esse comando deve fornecer a você um pop-up para inserir suas credenciais de Administrador Global ou Administrador de Identidade Híbrida do locatário. - Chame
Get-AzureADSSOStatus | ConvertFrom-Json. Esse comando fornece a lista de florestas do AD (consulte a lista “Domínios”) em que esse recurso foi habilitado.
Etapa 2. Atualizar a chave de descriptografia de Kerberos em cada floresta do AD que foi configurado
- Chame
$creds = Get-Credential. Quando solicitado, insira as credenciais de Administrador de Domínio da floresta do AD pretendida.
Observação
O nome de usuário das credenciais do administrador de domínio deve ser inserido no formato de nome da conta SAM (contoso\johndoe ou contoso.com\johndoe). Usamos a parte de domínio do nome de usuário para localizar o controlador de domínio do administrador de domínio usando DNS.
Observação
A conta de administrador de domínio usada não deve ser um membro do grupo usuários protegidos. Nesse caso, a operação falhará.
Chame
Update-AzureADSSOForest -OnPremCredentials $creds. Esse comando atualiza a chave de descriptografia do Kerberos para a conta de computadorAZUREADSSOnessa floresta do AD específica e a atualiza no Microsoft Entra ID.Repita as etapas anteriores para cada floresta do AD em que você configurou o recurso.
Observação
Se você estiver atualizando uma floresta que não seja do Microsoft Entra Connect, verifique se a conectividade com o servidor de catálogo global (TCP 3268 e TCP 3269) está disponível.
Importante
Isso não precisa ser feito nos servidores que executam o Microsoft Entra Connect no modo de preparo.
Não execute o Update-AzureADSSOForest comando mais de uma vez por floresta. Caso contrário, o recurso deixará de funcionar até o momento em que os tíquetes Kerberos dos usuários expirarem e forem reemitidos pelo Active Directory local.
Como faço para desabilitar o SSO Contínuo?
Etapa 1. Desabilitar o recurso no locatário
Opção A: desabilite usando o Microsoft Entra Connect
- Execute o Microsoft Entra Connect, escolha Alterar página de entrada do usuário e clique em Avançar.
- Desmarque a opção Habilitar Logon único. Continue com o assistente.
Após a conclusão do assistente, o SSO Contínuo é desabilitado no locatário. No entanto, você verá uma mensagem na tela que informa o seguinte:
“O logon único agora está desabilitado, mas há outras etapas manuais a serem realizadas para concluir a limpeza. Saiba mais"
Para concluir o processo de limpeza, siga as etapas 2 e 3 no servidor local em que você está executando o Microsoft Entra Connect.
Opção B: desabilitar usando o PowerShell
Execute estas etapas no servidor local em que você está executando o Microsoft Entra Connect:
- Primeiro, baixe e instale o PowerShell do Microsoft Azure AD.
- Navegue até a pasta
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importe o módulo do PowerShell de SSO Contínuo usando este comando:
Import-Module .\AzureADSSO.psd1. - Execute o PowerShell como um Administrador. No PowerShell, chame
New-AzureADSSOAuthenticationContext. Esse comando deve fornecer a você um pop-up para inserir suas credenciais de Administrador Global ou Administrador de Identidade Híbrida do locatário. - Chame
Enable-AzureADSSO -Enable $false.
Neste ponto, o SSO contínuo é desabilitado, mas os domínios continuarão configurados caso você deseje habilitar o SSO contínuo de novo. Se quiser remover completamente os domínios da configuração de SSO contínuo, chame o seguinte cmdlet depois de concluir a etapa 5 acima: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Importante
Desabilitar o SSO Contínuo usando o PowerShell não alterará o estado no Microsoft Entra Connect. O SSO Contínuo aparecerá como habilitado na página Alterar entrada do usuário.
Etapa 2. Obter lista de florestas do AD em que o SSO Contínuo foi habilitado
Siga as tarefas de 1 a 4 se você desabilitou o SSO Contínuo usando o Microsoft Entra Connect. Se você desabilitou o SSO Contínuo usando o PowerShell, vá para a tarefa 5.
- Primeiro, baixe e instale o PowerShell do Microsoft Azure AD.
- Navegue até a pasta
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importe o módulo do PowerShell de SSO Contínuo usando este comando:
Import-Module .\AzureADSSO.psd1. - Execute o PowerShell como um Administrador. No PowerShell, chame
New-AzureADSSOAuthenticationContext. Esse comando deve fornecer a você um pop-up para inserir suas credenciais de Administrador Global ou Administrador de Identidade Híbrida do locatário. - Chame
Get-AzureADSSOStatus | ConvertFrom-Json. Esse comando fornece a lista de florestas do AD (consulte a lista “Domínios”) em que esse recurso foi habilitado.
Etapa 3. Exclua manualmente a conta do computador AZUREADSSO de cada floresta do AD que você vir listada.
Próximas etapas
- Início Rápido – Começar a executar o SSO Contínuo do Microsoft Entra.
- Aprofundamento técnico – entenda como esse recurso funciona.
- Solução de problemas – Saiba como resolver problemas comuns do recurso.
- UserVoice – para registrar solicitações de novos recursos.