Editar

Partilhar via


Início de sessão único totalmente integrado no Microsoft Entra: Perguntas mais frequentes

Neste artigo, abordamos as perguntas frequentes sobre o logon único contínuo (SSO contínuo) do Microsoft Entra. Continue a verificar quanto a novos conteúdos.

Com quais métodos de entrada o SSO Seamless funciona

O SSO Totalmente Integrado pode ser combinado com os métodos de início de sessão de Sincronização do Hash de Palavras-passe ou de Autenticação Pass-through. No entanto, esse recurso não pode ser usado com os Serviços de Federação do Ative Directory (ADFS).

O Seamless SSO é um recurso gratuito?

O SSO contínuo é um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

O SSO Seamless está disponível na nuvem do Microsoft Azure Alemanha e na nuvem do Microsoft Azure Government?

O SSO contínuo está disponível para a nuvem do Azure Government. Para obter detalhes, consulte Considerações de identidade híbrida para o Azure Government.

Quais aplicativos aproveitam a capacidade de parâmetros 'domain_hint' ou 'login_hint' do Seamless SSO?

A tabela tem uma lista de aplicativos que podem enviar esses parâmetros para o Microsoft Entra ID. Esta ação fornece aos usuários uma experiência de logon silencioso usando o SSO contínuo.:

Nome da aplicação URL da Aplicação
Painel de acesso https://myapps.microsoft.com/contoso.com
Outlook na Web https://outlook.office365.com/contoso.com
Portais do Office 365 https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Além disso, os usuários obterão uma experiência de logon silencioso se um aplicativo enviar solicitações de entrada para pontos de extremidade do Microsoft Entra configurados como locatários - ou seja, https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<tenant_ID>/<..> - em vez do ponto de extremidade comum do Microsoft Entra - ou seja, https://login.microsoftonline.com/common/<...>. A tabela tem uma lista de aplicativos que fazem esses tipos de solicitações de entrada.

Nome da aplicação URL da Aplicação
SharePoint Online https://contoso.sharepoint.com
Centro de administração do Microsoft Entra https://portal.azure.com/contoso.com

Nas tabelas acima, substitua "contoso.com" pelo seu nome de domínio para obter os URLs de aplicativos corretos para seu locatário.

Se pretender outras aplicações que utilizem a nossa experiência de início de sessão silencioso, informe-nos na secção de comentários.

O Seamless SSO suporta 'Alternate ID' como nome de usuário, em vez de 'userPrincipalName'?

Sim. O SSO contínuo suporta Alternate ID como o nome de usuário quando configurado no Microsoft Entra Connect, conforme mostrado aqui. Nem todas as aplicações Microsoft 365 suportam Alternate ID. Veja a declaração de suporte na documentação da aplicação específica.

Qual é a diferença entre a experiência de logon único fornecida pelo Microsoft Entra join e o Seamless SSO?

O Microsoft Entra join fornece SSO aos usuários se seus dispositivos estiverem registrados com o Microsoft Entra ID. Estes dispositivos não têm necessariamente de estar associados ao domínio. O SSO é fornecido usando tokens de atualização primários ou PRTs, e não Kerberos. A experiência do utilizador é ideal nos dispositivos Windows 10. O SSO acontece automaticamente no browser Microsoft Edge. Também funciona no Chrome com o uso de uma extensão de browser.

Você pode usar o Microsoft Entra join e o Seamless SSO em seu locatário. Estas duas funcionalidades são complementares. Se ambos os recursos estiverem ativados, o SSO da junção do Microsoft Entra terá precedência sobre o SSO contínuo.

Quero registar dispositivos que não sejam Windows 10 com o Microsoft Entra ID, sem utilizar o AD FS. Posso usar o Seamless SSO em vez disso?

Sim, esse cenário precisa da versão 2.1 ou posterior do cliente de ingresso no local de trabalho.

Como posso rolar a chave de descriptografia Kerberos da conta de computador 'AZUREADSSO'?

É importante passar frequentemente a chave de desencriptação Kerberos da conta de computador (que representa o AZUREADSSO ID do Microsoft Entra) criada na floresta do AD local.

Importante

É altamente recomendável que você role a chave de descriptografia Kerberos pelo menos a cada 30 dias usando o Update-AzureADSSOForest cmdlet. Ao usar o Update-AzureADSSOForest cmdlet, certifique-se de não executar o Update-AzureADSSOForest comando mais de uma vez por floresta. Caso contrário, a funcionalidade deixa de funcionar até ao momento em que os bilhetes Kerberos dos seus utilizadores expiram e são reemitidos pelo seu Ative Directory no ambiente no local.

Siga estas etapas no servidor local onde você está executando o Microsoft Entra Connect:

Nota

Você precisa de credenciais de administrador de domínio e administrador de identidade híbrida para as etapas. Se você não for um administrador de domínio e tiver recebido permissões do administrador do domínio, ligue para Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Passo 1. Obter lista de florestas do AD onde o SSO contínuo está habilitado

  1. Primeiro, transfira e instale o Azure AD PowerShell.
  2. Navegue para a pasta $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importar o módulo do PowerShell do SSO Totalmente Integrado com este comando: Import-Module .\AzureADSSO.psd1.
  4. Execute o PowerShell como Administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Este comando deve fornecer um pop-up para inserir as credenciais de Administrador de Identidade Híbrida do seu locatário.
  5. Chame Get-AzureADSSOStatus | ConvertFrom-Json. Este comando fornece uma lista de florestas do AD (veja a lista "Domínios") nas quais esse recurso foi habilitado.

Passo 2. Atualize a chave de desencriptação de Kerberos em cada floresta do AD em que foi configurada

  1. Chame $creds = Get-Credential. Quando lhe for pedido, introduza as credenciais do Administrador de Domínio da floresta do AD pretendida.

Nota

O nome de usuário das credenciais de administrador do domínio deve ser inserido no formato de nome de conta SAM (contoso\johndoe ou contoso.com\johndoe). Utilizamos a parte do domínio do nome de utilizador para localizar o Controlador de Domínio do Administrador de Domínio através de DNS.

Nota

A conta de administrador de domínio utilizada não pode pertencer ao grupo Utilizadores Protegidos. Em caso afirmativo, a operação falhará.

  1. Chame Update-AzureADSSOForest -OnPremCredentials $creds. Este comando atualiza a chave de desencriptação de Kerberos para a conta de computador AZUREADSSO nesta floresta específica do AD e atualiza-a no Microsoft Entra ID.

  2. Repita os passos anteriores para cada floresta do AD em que configurou a funcionalidade.

Nota

Se você estiver atualizando uma floresta, diferente da do Microsoft Entra Connect, verifique se a conectividade com o servidor de catálogo global (TCP 3268 e TCP 3269) está disponível.

Importante

Isso não precisa ser feito em servidores que executam o Microsoft Entra Connect no modo de preparo.

Como posso desativar o SSO contínuo?

Passo 1. Desative o recurso em seu locatário

Opção A: Desativar utilizando o Microsoft Entra Connect

  1. Execute o Microsoft Entra Connect, escolha Alterar página de entrada do usuário e clique em Avançar.
  2. Desmarque a opção Ativar logon único. Continue a seguir o assistente.

Depois de concluir o assistente, o SSO contínuo é desativado no seu locatário. No entanto, você verá uma mensagem na tela com a seguinte redação:

"O logon único agora está desativado, mas há outras etapas manuais a serem executadas para concluir a limpeza. Saiba mais"

Para concluir o processo de limpeza, siga as etapas 2 e 3 no servidor local onde você está executando o Microsoft Entra Connect.

Opção B: Desativar com o PowerShell

Execute as seguintes etapas no servidor local onde você está executando o Microsoft Entra Connect:

  1. Primeiro, transfira e instale o Azure AD PowerShell.
  2. Navegue para a pasta $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importar o módulo do PowerShell do SSO Totalmente Integrado com este comando: Import-Module .\AzureADSSO.psd1.
  4. Execute o PowerShell como Administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Este comando deve fornecer um pop-up para inserir as credenciais de Administrador de Identidade Híbrida do seu locatário.
  5. Chame Enable-AzureADSSO -Enable $false.

Neste ponto, o SSO contínuo está desativado, mas os domínios permanecem configurados caso você queira habilitar o SSO contínuo de volta. Se você quiser remover completamente os domínios da configuração do SSO contínuo, chame o seguinte cmdlet depois de concluir a etapa 5 acima: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Importante

A desativação do SSO contínuo usando o PowerShell não alterará o estado no Microsoft Entra Connect. O SSO contínuo é exibido conforme habilitado na página Alterar login do usuário.

Nota

Se você não tiver um servidor Microsoft Entra Connect Sync, poderá baixar um e executar a instalação inicial. Isso não configurará o servidor, mas descompactará os arquivos necessários para desabilitar o SSO. Quando a instalação do MSI for concluída, feche o assistente do Microsoft Entra Connect e execute as etapas para desabilitar o SSO contínuo usando o PowerShell.

Passo 2. Obtenha a lista de florestas do AD onde o SSO Totalmente Integrado foi ativado

Siga as tarefas 1 a 4 se tiver desativado o SSO contínuo usando o Microsoft Entra Connect. Se você tiver desabilitado o SSO contínuo usando o PowerShell, avance para a tarefa 5.

  1. Primeiro, transfira e instale o Azure AD PowerShell.
  2. Navegue para a pasta $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importar o módulo do PowerShell do SSO Totalmente Integrado com este comando: Import-Module .\AzureADSSO.psd1.
  4. Execute o PowerShell como Administrador. No PowerShell, chame New-AzureADSSOAuthenticationContext. Este comando deve fornecer um pop-up para inserir as credenciais de Administrador de Identidade Híbrida do seu locatário.
  5. Chame Get-AzureADSSOStatus | ConvertFrom-Json. Este comando fornece-lhe a lista de florestas do AD (veja a lista "Domínios") nas quais esta funcionalidade foi ativada.

Passo 3. Elimine manualmente a conta de computador AZUREADSSO de cada floresta do AD que vê listada.

Próximos passos