Início de sessão único totalmente integrado no Microsoft Entra
O que é o logon único contínuo do Microsoft Entra?
O Início de sessão único totalmente integrado no Microsoft Entra (SSO Totalmente Integrado do Microsoft Entra) inicia automaticamente a sessão dos utilizadores quando estão a utilizar os dispositivos da empresa associados à rede empresarial. Quando ativado, os utilizadores não precisam de escrever as palavras-passe para iniciar sessão no Microsoft Entra ID e, habitualmente, nem sequer o nome de utilizador. Esta funcionalidade dá aos utilizadores acesso fácil às aplicações baseadas na cloud sem serem precisos componentes no local adicionais.
O SSO Totalmente Integrado pode ser combinado com os métodos de início de sessão de Sincronização do Hash de Palavras-passe ou de Autenticação Pass-through. O SSO Totalmente Integrado não se aplica ao AD FS.
SSO via token de atualização primário vs. SSO contínuo
Para Windows 10, Windows Server 2016 e versões posteriores, é recomendável usar o SSO por meio do token de atualização primário (PRT). Para Windows 7 e Windows 8.1, é recomendável usar o SSO contínuo. O SSO contínuo precisa que o dispositivo do usuário seja associado ao domínio, mas não é usado em dispositivos associados ao Microsoft Entra no Windows 10 ou em dispositivos híbridos ingressados no Microsoft Entra. O SSO no Microsoft Entra ingressado, o Microsoft Entra híbrido ingressado e os dispositivos registrados do Microsoft Entra funcionam com base no PRT (Primary Refresh Token)
O SSO via PRT funciona quando os dispositivos estão registados no Microsoft Entra ID como associados ao Microsoft Entra híbrido, associados ao Microsoft Entra ou dispositivos pessoais registados através da Adição de Conta Escolar ou Profissional. Para obter mais informações sobre como o SSO funciona com o Windows 10 usando PRT, consulte: Primary Refresh Token (PRT) e Microsoft Entra ID
Principais benefícios
- Experiência de utilizador excecional
- Os usuários são automaticamente conectados em aplicativos locais e baseados em nuvem.
- Os usuários não precisam digitar suas senhas repetidamente.
- Fácil de implantar e administrar
- Não são necessários componentes adicionais no local para que isso funcione.
- Funciona com qualquer método de autenticação na nuvem - Sincronização de Hash de Senha ou Autenticação de Passagem.
- Pode ser implementado para alguns ou todos os seus usuários usando a Diretiva de Grupo.
- Registre dispositivos que não sejam Windows 10 com a ID do Microsoft Entra sem a necessidade de qualquer infraestrutura do AD FS. Esse recurso precisa que você use a versão 2.1 ou posterior do cliente de ingresso no local de trabalho.
Destaques das funcionalidades
- O nome de usuário de entrada pode ser o nome de usuário padrão local (
userPrincipalName
) ou outro atributo configurado no Microsoft Entra Connect (Alternate ID
). Ambos os casos de uso funcionam porque o SSO contínuo usa asecurityIdentifier
declaração no tíquete Kerberos para procurar o objeto de usuário correspondente no ID do Microsoft Entra. - O SSO contínuo é um recurso oportunista. Se falhar por qualquer motivo, a experiência de início de sessão do utilizador volta ao seu comportamento normal - ou seja, o utilizador tem de introduzir a sua palavra-passe na página de início de sessão.
- Se um aplicativo (por exemplo,
https://myapps.microsoft.com/contoso.com
) encaminha umdomain_hint
parâmetro (OpenID Connect) ouwhr
(SAML) - identificando seu locatário oulogin_hint
parâmetro - identificando o usuário, em sua solicitação de entrada do Microsoft Entra, os usuários entram automaticamente sem inserir nomes de usuário ou senhas. - Os usuários também obterão uma experiência de logon silencioso se um aplicativo (por exemplo,
https://contoso.sharepoint.com
) enviar solicitações de entrada para os pontos de extremidade do Microsoft Entra ID configurados como locatários - ou seja,https://login.microsoftonline.com/contoso.com/<..>
ouhttps://login.microsoftonline.com/<tenant_ID>/<..>
- em vez do ponto de extremidade comum do Microsoft Entra ID - ou seja,https://login.microsoftonline.com/common/<...>
. - Sair é suportado. Isso permite que os usuários escolham outra conta do Microsoft Entra para entrar, em vez de entrarem automaticamente usando o SSO contínuo automaticamente.
- Os clientes Microsoft 365 Win32 (Outlook, Word, Excel e outros) com versões 16.0.8730.xxxx e superiores são suportados usando um fluxo não interativo. Para o OneDrive, terá de ativar a funcionalidade de configuração silenciosa do OneDrive para uma experiência de início de sessão silencioso.
- Pode ser ativado através do Microsoft Entra Connect.
- É um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
- Ele é suportado em clientes baseados em navegador da Web e clientes do Office que suportam autenticação moderna em plataformas e navegadores capazes de autenticação Kerberos:
SO\Navegador | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | Sim* | Sim | Sim | Sim*** | N/A |
Windows 8.1 | Sim* | Sim**** | Sim | Sim*** | N/A |
Windows 8 | Sim* | N/A | Sim | Sim*** | N/A |
Windows Server 2012 R2 ou superior | Sim** | N/A | Sim | Sim*** | N/A |
Mac OS X | N/A | N/A | Sim*** | Sim*** | Sim*** |
Nota
O legado do Microsoft Edge não é mais suportado
*Requer Internet Explorer versão 11 ou posterior. (A partir de 17 de agosto de 2021, os aplicativos e serviços do Microsoft 365 não suportarão o Internet Explorer 11.)
**Requer Internet Explorer versão 11 ou posterior. Desative o Modo Protegido Avançado.
Requer configuração adicional.
Microsoft Edge baseado no Chromium
Próximos passos
- Início rápido - Comece a executar o SSO contínuo do Microsoft Entra.
- Plano de implantação - Plano de implantação passo a passo.
- Technical Deep Dive - Entenda como esse recurso funciona.
- Perguntas Frequentes - Respostas a perguntas frequentes.
- Solução de problemas - Saiba como resolver problemas comuns com o recurso.
- UserVoice - Para preencher novas solicitações de recursos.