I den här artikeln tar vi upp vanliga frågor om sömlös enkel inloggning med Microsoft Entra (sömlös enkel inloggning). Kom snart tillbaka och ta del av nytt innehåll.
Vilka inloggningsmetoder fungerar sömlös enkel inloggning med
Seamless SSO kan kombineras med inloggningsmetoderna synkronisering av lösenordshash och autentisering via direktströmning. Den här funktionen kan dock inte användas med Active Directory Federation Services (AD FS) (ADFS).
Är sömlös enkel inloggning en kostnadsfri funktion?
Sömlös enkel inloggning är en kostnadsfri funktion och du behöver inga betalda utgåvor av Microsoft Entra ID för att använda den.
Är sömlös enkel inloggning tillgänglig i Microsoft Azure Germany-molnet och Microsoft Azure Government-molnet?
Sömlös enkel inloggning är tillgängligt för Azure Government-molnet. Mer information finns i hybrididentitetsöverväganden för Azure Government.
Vilka program drar nytta av parameterfunktionen "domain_hint" eller "login_hint" för sömlös enkel inloggning?
Tabellen har en lista över program som kan skicka dessa parametrar till Microsoft Entra-ID. Den här åtgärden ger användarna en tyst inloggningsupplevelse med sömlös enkel inloggning.:
| Appnamn | Program-URL som ska användas |
|---|---|
| Åtkomstpanel | https://myapps.microsoft.com/contoso.com |
| Outlook på webben | https://outlook.office365.com/contoso.com |
| Office 365-portaler | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Dessutom får användarna en tyst inloggningsupplevelse om ett program skickar inloggningsbegäranden till Microsoft Entra-slutpunkter som konfigurerats som klientorganisationer, https://login.microsoftonline.com/contoso.com/<dvs. ..> eller https://login.microsoftonline.com/<tenant_ID>/<..> – i stället för den vanliga Microsoft Entra-slutpunkten – dvs https://login.microsoftonline.com/common/<. ...>. Tabellen har en lista över program som gör dessa typer av inloggningsbegäranden.
| Appnamn | Program-URL som ska användas |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Administrationscenter för Microsoft Entra | https://portal.azure.com/contoso.com |
I tabellerna ovan ersätter du "contoso.com" med ditt domännamn för att komma till rätt program-URL:er för din klientorganisation.
Om du vill att andra program ska använda vår upplevelse för tyst inloggning kan du meddela oss i feedbackavsnittet.
Stöder sömlös enkel inloggning "alternativt ID" som användarnamn i stället för "userPrincipalName"?
Ja. Sömlös enkel inloggning stöder Alternate ID som användarnamn när det konfigureras i Microsoft Entra Anslut som visas här. Alla Microsoft 365-program stöder Alternate IDinte . Information om vilka program som stöder funktionen finns i den tillhörande dokumentationen.
Vad är skillnaden mellan den enkel inloggningsupplevelse som tillhandahålls av Microsoft Entra-anslutning och sömlös enkel inloggning?
Microsoft Entra Join tillhandahåller enkel inloggning till användare om deras enheter är registrerade med Microsoft Entra-ID. Sådana enheter behöver inte nödvändigtvis vara domänanslutna. Enkel inloggning tillhandahålls med hjälp av primära uppdateringstoken eller PRT och inte Kerberos. Användarupplevelsen är anpassad för enheter med Windows 10. Enkel inloggning sker automatiskt i webbläsaren Microsoft Edge. Det fungerar även i Chrome med hjälp av ett webbläsartillägg.
Du kan använda Microsoft Entra-anslutning och sömlös enkel inloggning i din klientorganisation. De två funktionerna kompletterar varandra. Om båda funktionerna är aktiverade har enkel inloggning från Microsoft Entra-anslutning företräde framför sömlös enkel inloggning.
Jag vill registrera icke-Windows 10-enheter med Microsoft Entra-ID, utan att använda AD FS. Kan jag använda sömlös enkel inloggning i stället?
Ja, det här scenariot behöver version 2.1 eller senare av klienten för arbetsplatsanslutning.
Hur kan jag rulla över Kerberos-dekrypteringsnyckeln för datorkontot "AZUREADSSO"?
Det är viktigt att du ofta rullar över Kerberos-dekrypteringsnyckeln AZUREADSSO för datorkontot (som representerar Microsoft Entra-ID) som skapats i din lokala AD-skog.
Viktigt!
Vi rekommenderar starkt att du återställer dekrypteringsnyckeln för Kerberos minst var 30:e dag.
Följ dessa steg på den lokala servern där du kör Microsoft Entra Anslut:
Kommentar
Du behöver autentiseringsuppgifter för domänadministratör och global administratör/hybrididentitetsadministratör för stegen.
Om du inte är domänadministratör och har tilldelats behörigheter av domänadministratören bör du anropa Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Steg 1. Hämta listan med AD-skogar där smidig enkel inloggning är aktiverad
- Ladda först ner och installera Azure AD PowerShell.
- Gå till mappen
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importera PowerShell-modulen för smidig SSO med det här kommandot:
Import-Module .\AzureADSSO.psd1. - Kör PowerShell som administratör. Anropa
New-AzureADSSOAuthenticationContexti PowerShell. Det här kommandot bör ge dig ett popup-fönster för att ange autentiseringsuppgifterna global administratör eller hybrididentitetsadministratör för din klientorganisation. - Anropa
Get-AzureADSSOStatus | ConvertFrom-Json. Kommandot visar en lista med AD-skogar (se listan ”Domäner”) där funktionen är aktiverad.
Steg 2. Uppdatera Kerberos-dekrypteringsnyckeln för varje AD-skog där den är konfigurerad
- Anropa
$creds = Get-Credential. När du uppmanas till det anger du autentiseringsuppgifterna för domänadministratören för den aktuella AD-skogen.
Kommentar
Användarnamnet för domänadministratörens autentiseringsuppgifter måste anges i formatet SAM-kontonamn (contoso\johndoe eller contoso.com\johndoe). Vi använder domändelen av användarnamnet till att hitta domänadministratörens domänkontrollant via DNS.
Kommentar
Det domänadministratörskonto som används får inte vara medlem i gruppen Skyddade användare. Då misslyckas åtgärden.
Anropa
Update-AzureADSSOForest -OnPremCredentials $creds. Det här kommandot uppdaterar Kerberos-dekrypteringsnyckeln för datorkontotAZUREADSSOi den här specifika AD-skogen och uppdaterar den i Microsoft Entra ID.Upprepa föregående steg för varje AD-skog där funktionen är aktiverad.
Kommentar
Om du uppdaterar en skog, förutom Microsoft Entra Anslut en, kontrollerar du att anslutningen till den globala katalogservern (TCP 3268 och TCP 3269) är tillgänglig.
Viktigt!
Detta behöver inte göras på servrar som kör Microsoft Entra Anslut i mellanlagringsläge.
Se till att du inte kör Update-AzureADSSOForest kommandot mer än en gång per skog. Då slutar funktionen att fungera tills användarnas Kerberos-biljetter upphör att gälla och sedan utfärdas i ditt lokala Active Directory på nytt.
Hur inaktiverar jag sömlös enkel inloggning?
Steg 1. Inaktivera funktionen i din klientorganisation
Alternativ A: Inaktivera användning av Microsoft Entra Connect
- Kör Microsoft Entra Anslut, välj Ändra användarens inloggningssida och klicka på Nästa.
- Avmarkera alternativet Aktivera enkel inloggning. Fortsätt med guiden.
När du har slutfört guiden är sömlös enkel inloggning inaktiverad i din klientorganisation. Du ser dock ett meddelande på skärmen som ser ut så här:
"Enkel inloggning är nu inaktiverat, men det finns andra manuella steg att utföra för att slutföra rensningen. Läs mer"
Följ steg 2 och 3 på den lokala servern där du kör Microsoft Entra Anslut för att slutföra rensningsprocessen.
Alternativ B: Inaktivera med PowerShell
Kör följande steg på den lokala servern där du kör Microsoft Entra Anslut:
- Ladda först ner och installera Azure AD PowerShell.
- Gå till mappen
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importera PowerShell-modulen för smidig SSO med det här kommandot:
Import-Module .\AzureADSSO.psd1. - Kör PowerShell som administratör. Anropa
New-AzureADSSOAuthenticationContexti PowerShell. Det här kommandot bör ge dig ett popup-fönster för att ange autentiseringsuppgifterna global administratör eller hybrididentitetsadministratör för din klientorganisation. - Anropa
Enable-AzureADSSO -Enable $false.
Vid den här tidpunkten är sömlös enkel inloggning inaktiverad, men domänerna förblir konfigurerade om du vill aktivera sömlös enkel inloggning igen. Om du vill ta bort domänerna från sömlös SSO-konfiguration helt anropar du följande cmdlet när du har slutfört steg 5 ovan: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Viktigt!
Om du inaktiverar sömlös enkel inloggning med PowerShell ändras inte tillståndet i Microsoft Entra Anslut. Sömlös enkel inloggning visas som aktiverat på sidan Ändra användarinloggning.
Steg 2. Hämta listan med AD-skogar där smidig enkel inloggning är aktiverad
Följ uppgifterna 1 till 4 om du har inaktiverat sömlös enkel inloggning med Microsoft Entra Anslut. Om du har inaktiverat sömlös enkel inloggning med PowerShell i stället kan du gå vidare till uppgift 5.
- Ladda först ner och installera Azure AD PowerShell.
- Gå till mappen
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importera PowerShell-modulen för smidig SSO med det här kommandot:
Import-Module .\AzureADSSO.psd1. - Kör PowerShell som administratör. Anropa
New-AzureADSSOAuthenticationContexti PowerShell. Det här kommandot bör ge dig ett popup-fönster för att ange autentiseringsuppgifterna global administratör eller hybrididentitetsadministratör för din klientorganisation. - Anropa
Get-AzureADSSOStatus | ConvertFrom-Json. Kommandot visar en lista med AD-skogar (se listan ”Domäner”) där funktionen är aktiverad.
Steg 3. Ta bort datorkontot AZUREADSSO manuellt från varje AD-skog som visas i listan.
Nästa steg
- Snabbstart – Kom igång med Sömlös enkel inloggning med Microsoft Entra.
- Teknisk djupdykning – Förstå hur den här funktionen fungerar.
- Felsökning – Lär dig hur du löser vanliga problem med funktionen.
- UserVoice – för att skicka in nya funktionsbegäranden.