Изменить

Часто задаваемые вопросы о простом едином входе Microsoft Entra

  • Вопросы и ответы

В этой статье рассматриваются часто задаваемые вопросы о простом едином входе Microsoft Entra (простой единый вход). Следите за новым содержимым.

Какие методы входа работают с простым единым входом

Простой единый вход можно использовать вместе с методами синхронизация хэша паролей или сквозной проверки подлинности. Однако эту функцию нельзя использовать с службы федерации Active Directory (AD FS) (ADFS).

Простой единый вход предоставляется бесплатно?

Простой единый вход — это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.

Доступен ли простой единый вход в облаках Azure для Германии и Azure для государственных организаций?

Простой единый вход доступен для облака Azure для государственных организаций. Сведения см. в статье Рекомендации по гибридной идентификации для Azure для государственных организаций.

Какие приложения поддерживают возможность использовать параметр domain_hint или login_hint для простого единого входа?

В таблице есть список приложений, которые могут отправлять эти параметры в идентификатор Microsoft Entra. Это действие предоставляет пользователям возможность автоматического входа с помощью простого единого входа.

Имя приложения Используемый URL-адрес приложения
Панель доступа https://myapps.microsoft.com/contoso.com
Outlook on Web https://outlook.office365.com/contoso.com
Порталы Office 365 https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Кроме того, пользователи получают возможность автоматического входа, если приложение отправляет запросы на вход в конечные точки Microsoft Entra, настроенные в качестве клиентов , то https://login.microsoftonline.com/contoso.com/<есть .,> или https://login.microsoftonline.com/<tenant_ID>/<.. Вместо общей конечной точки Microsoft Entra , тhttps://login.microsoftonline.com/common/<. е. ...>.> В таблице есть список приложений, которые делают эти типы запросов на вход.

Имя приложения Используемый URL-адрес приложения
SharePoint Online https://contoso.sharepoint.com
Центр администрирования Microsoft Entra https://portal.azure.com/contoso.com

В приведенных выше таблицах замените contoso.com своим доменным именем, чтобы получить соответствующие URL-адреса приложений для своего клиента.

Если вы хотите использовать автоматический единый вход для других приложений, сообщите нам об этом в разделе отзывов.

Поддерживает ли простой единый вход Alternate ID в качестве имени пользователя вместо userPrincipalName?

Да. Простой единый вход поддерживается Alternate ID в качестве имени пользователя при настройке в Microsoft Entra Подключение, как показано здесь. Не все приложения Microsoft 365 поддерживают Alternate ID. Заявление о поддержке см. в документации к приложению.

Какова разница между интерфейсом единого входа, предоставляемым присоединением Microsoft Entra и простым единым входом?

Присоединение к Microsoft Entra предоставляет пользователям единый вход, если их устройства зарегистрированы с идентификатором Microsoft Entra. Эти устройства не должны быть присоединены к домену. Возможность единого входа обеспечивается с помощью основных токенов обновления (PRT), а не протокола Kerberos. Лучше всего эта возможность работает на устройствах с Windows 10. В браузере Microsoft Edge единый вход выполняется автоматически. Эта возможность также работает в Chrome с использованием расширения браузера.

Вы можете использовать присоединение к Microsoft Entra и простой единый вход в клиенте. Эти две возможности дополняют друг друга. Если оба компонента включены, единый вход из соединения Microsoft Entra имеет приоритет над простым единым входом.

Я хочу зарегистрировать устройства, отличные от Windows 10, с идентификатором Microsoft Entra, без использования AD FS. Можно вместо этого использовать простой единый вход?

Да, для этого сценария требуется версия 2.1 или более поздняя версия клиента присоединения к рабочей области.

Как можно сменить ключ расшифровки Kerberos учетной записи компьютера AZUREADSSO?

Важно часто развертывать ключ расшифровки Kerberos учетной AZUREADSSO записи компьютера (который представляет идентификатор Microsoft Entra), созданный в локальном лесу AD.

Важно!

Мы настоятельно рекомендуем, чтобы вы меняли ключ расшифровки Kerberos хотя бы раз в 30 дней.

Выполните следующие действия на локальном сервере, на котором выполняется Microsoft Entra Подключение:

Примечание.

Для выполнения действий вам потребуются учетные данные администратора домена и глобального администратора или глобального администратора гибридных удостоверений. Если вы не являетесь администратором домена, и вы были назначены разрешения администратором домена, следует вызвать Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Шаг 1. Получение списка лесов AD, где включен простой единый вход

  1. Сначала скачайте и установите Azure PowerShell.
  2. Перейдите в папку $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Импортируйте модуль PowerShell для простого единого входа с помощью следующей команды: Import-Module .\AzureADSSO.psd1.
  4. Откройте PowerShell от имени администратора. В PowerShell вызовите New-AzureADSSOAuthenticationContext. Эта команда выведет на экран всплывающее окно для ввода учетных данных глобального администратора клиента или администратора гибридных удостоверений.
  5. Вызовите процедуру Get-AzureADSSOStatus | ConvertFrom-Json. Эта команда выводит список лесов AD (см. список "Домены"), в которых включена эта функция.

Шаг 2. Обновить ключ расшифровки Kerberos в каждом лесу AD, в котором он был настроен.

  1. Вызовите процедуру $creds = Get-Credential. При запросе введите свои учетные данные администратора домена для нужного леса AD.

Примечание.

Имя пользователя администратора домена необходимо вводить в формате имени учетной записи SAM (contoso\johndoe или contoso.com\johndoe). Мы используем доменную часть имени пользователя, чтобы через DNS найти контроллер домена для администратора домена.

Примечание.

Указанная учетная запись не должна входить в группу защищенных пользователей. В противном случае операция завершится ошибкой.

  1. Вызовите процедуру Update-AzureADSSOForest -OnPremCredentials $creds. Эта команда обновляет ключ расшифровки Kerberos для компьютерной учетной записи AZUREADSSO в этом лесу AD и обновляет его в Microsoft Entra ID.

  2. Повторите предыдущие шаги для каждого леса AD, где настроена эта функция.

Примечание.

Если вы обновляете лес, отличный от Подключение Microsoft Entra, убедитесь, что подключение к серверу глобального каталога (TCP 3268 и TCP 3269) доступно.

Важно!

Это не нужно делать на серверах под управлением Microsoft Entra Подключение в промежуточном режиме. Не выполняйте команду Update-AzureADSSOForest более одного раза на лес. В противном случае функция перестанет действовать, пока не истечет срок действия пользовательского билета Kerberos и пока локальный экземпляр Active Directory не выдаст новый билет.

Как отключить простой единый вход?

Шаг 1. Отключение функции в своем арендаторе

Вариант А. Отключение через Microsoft Entra Connect

  1. Запустите Подключение Microsoft Entra, нажмите кнопку "Изменить вход пользователя" и нажмите кнопку "Далее".
  2. Un проверка параметр "Включить единый вход". Продолжайте выполнять указания мастера.

После завершения работы мастера простой единый вход будет отключен на вашем клиенте. Тем не менее вы увидите на экране следующее сообщение:

"Единый вход теперь отключен, но для завершения очистки необходимо выполнить другие действия вручную. Подробнее здесь.

Чтобы завершить процесс очистки, выполните шаги 2 и 3 на локальном сервере, на котором выполняется microsoft Entra Подключение.

Вариант Б. Отключение с помощью PowerShell

Выполните следующие действия на локальном сервере, где выполняется Microsoft Entra Подключение:

  1. Сначала скачайте и установите Azure PowerShell.
  2. Перейдите в папку $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Импортируйте модуль PowerShell для простого единого входа с помощью следующей команды: Import-Module .\AzureADSSO.psd1.
  4. Откройте PowerShell от имени администратора. В PowerShell вызовите New-AzureADSSOAuthenticationContext. Эта команда выведет на экран всплывающее окно для ввода учетных данных глобального администратора клиента или администратора гибридных удостоверений.
  5. Вызовите процедуру Enable-AzureADSSO -Enable $false.

На этом этапе отключается простой единый вход, но конфигурация доменов сохраняется на тот случай, если вы решите снова включить простой единый вход. Если вам нужно полностью удалить домены из конфигурации простого единого входа, вызовите следующий командлет после описанного выше шага 5: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Важно!

Отключение простого единого входа с помощью PowerShell не изменит состояние в Microsoft Entra Подключение. Простой единый вход будет отображаться включенным на странице Изменение параметров входа пользователя.

Шаг 2. Получение списка лесов AD, где включен простой единый вход

Следуйте задачам 1–4, если вы отключили простой единый вход с помощью Microsoft Entra Подключение. Если вы отключили простой единый вход с помощью PowerShell, перейдите к задаче 5.

  1. Сначала скачайте и установите Azure PowerShell.
  2. Перейдите в папку $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Импортируйте модуль PowerShell для простого единого входа с помощью следующей команды: Import-Module .\AzureADSSO.psd1.
  4. Откройте PowerShell от имени администратора. В PowerShell вызовите New-AzureADSSOAuthenticationContext. Эта команда выведет на экран всплывающее окно для ввода учетных данных глобального администратора клиента или администратора гибридных удостоверений.
  5. Вызовите процедуру Get-AzureADSSOStatus | ConvertFrom-Json. Эта команда выводит список лесов AD (см. список "Домены"), в которых включена эта функция.

Шаг 3. Вручную удалите учетную запись компьютера AZUREADSSO из каждого леса AD в списке, упомянутом выше.

Следующие шаги