Microsoft Entra 无缝单一登录

项目
11/06/2023

什么是 Microsoft Entra 无缝单一登录？

Microsoft Entra 无缝单一登录（Microsoft Entra 无缝 SSO）可使连接到企业网络的企业设备上的用户自动登录。启用此功能后，用户无需键入其密码即可登录到 Microsoft Entra ID；通常情况下，甚至无需键入其用户名。此功能可让用户轻松访问基于云的应用程序，而无需使用其他任何本地组件。

无缝 SSO 可与密码哈希同步或传递身份验证登录方法结合使用。无缝 SSO 不适用于 Active Directory 联合身份验证服务 (ADFS)。

Seamless single sign-on

通过主刷新令牌进行的 SSO 与无缝 SSO

对于 Windows 10、Windows Server 2016 及更高版本，建议使用通过主刷新令牌 (PRT) 进行的 SSO。对于 Windows 7 和 Windows 8.1，建议使用无缝 SSO。无缝 SSO 需要用户的设备是已加入域的，但不在 Windows 10 已加入 Microsoft Entra 的设备或已加入 Microsoft Entra ID混合的设备上使用。 Microsoft Entra联接、Microsoft Entra 混合联接和注册 Microsoft Entra 设备上的 SSO 基于主刷新令牌 (PRT)

当设备注册到 Microsoft Entra ID 中，成为已加入混合 Microsoft Entra 的设备、已加入 Microsoft Entra 的设备或个人注册的设备（通过“添加工作或学校帐户”）之后，通过 PRT 进行的 SSO 即可正常工作。若要详细了解 SSO 如何通过 PRT 与 Windows 10 配合使用，请参阅：主刷新令牌 (PRT) 和 Microsoft Entra ID

关键优势

出色的用户体验
- 用户将自动登录到本地应用程序和基于云的应用程序。
- 用户不必重复输入其密码。
易于部署和管理
- 不需要本地任何其他组件来完成此操作。
- 与云身份验证的任何方法 - 密码哈希同步或直通身份验证结合使用。
- 可以使用组策略向部分或所有用户推出。
- 使用 Microsoft Entra ID 注册非 Windows 10 设备，无需任何 AD FS 基础结构。此功能需要使用 2.1 版或更高版本的 Workplace Join 客户端。

功能特点

登录用户名可以是本地默认用户名 (userPrincipalName)，也可以是 Microsoft Entra Connect 中配置的另一个属性 (Alternate ID)。两种用例均可运行，因为无缝 SSO 使用 Kerberos 票证中的 securityIdentifier 声明，在 Microsoft Entra ID 中查找相应的用户对象。
无缝 SSO 是一种商机功能。如果由于任何原因而失败，则用户登录体验会恢复到常规行为 - 即用户需要在登录页面上输入密码。
如果应用程序（例如 https://myapps.microsoft.com/contoso.com）在其 Microsoft Entra 登录请求中转发 domain_hint (OpenID Connect) 或 whr (SAML) 参数（用于标识租户）或 login_hint 参数（用于标识用户），则用户将自动登录，而无需输入用户名或密码。
如果应用程序（例如 https://contoso.sharepoint.com）向设置为租户的 Microsoft Entra ID 的终结点（即 https://login.microsoftonline.com/contoso.com/<..> 或 https://login.microsoftonline.com/<tenant_ID>/<..>）而不是 Microsoft Entra ID 的通用终结点（即 https://login.microsoftonline.com/common/<...>）发送登录请求，则用户也可获得无提示登录体验。
支持注销。这可以让用户选择另一个 Microsoft Entra 帐户进行登录，而不是自动使用无缝 SSO 自动登录。
版本 16.0.8730.xxxx 及更高版本的 Microsoft 365 Win32 客户端（Outlook、Word、Excel 等）支持使用非交互式流。对于 OneDrive，必须激活 OneDrive 无提示配置功能才能获得无提示登录体验。
它可以通过 Microsoft Entra 连接启用。
这是一项免费功能，无需任何付费版本 Microsoft Entra ID 即可使用。
在能够进行 Kerberos 身份验证的平台和浏览器上，支持新式身份验证的基于 Web 浏览器的客户端和 Office 客户端支持此功能：

操作系统\浏览器	Internet Explorer	Microsoft Edge****	Google Chrome	Mozilla Firefox	Safari
Windows 10	是*	是	是	是***	不可用
Windows 8.1	是*	是****	是	是***	空值
Windows 8	是*	不可用	是	是***	空值
Windows Server 2012 R2 或更高版本	是**	不可用	是	是***	空值
Mac OS X	空值	不可用	是***	是***	是***

注意

不再支持 Microsoft Edge 旧版本

*需要 Internet Explorer 11 或更高版本。（自 2021 年 8 月 17 日起，Microsoft 365 应用和服务将不支持 IE 11。）

**需要 Internet Explorer 11 或更高版本。禁用增强保护模式。

***需要其他配置。

****基于 Chromium 的 Microsoft Edge

后续步骤

快速入门 - 启动并运行Microsoft Entra无缝 SSO。
部署计划 - 分步部署计划。
深入技术探究 - 了解此功能如何运作。
常见问题 - 常见问题解答。
故障排除 - 了解如何解决使用此功能时遇到的常见问题。
UserVoice - 用于填写新功能请求。