快速入門:Microsoft Entra 無縫單一登入

  • 文章

Microsoft Entra 無縫單一登入 (無縫 SSO) 會在使用者使用連線到公司網路的公司桌面時自動登入使用者。 無縫 SSO 可讓使用者輕鬆存取雲端式應用程式,而不需要使用任何其他內部部署元件。

若要使用 Microsoft Entra 連線 部署適用于 Microsoft Entra 識別碼的無縫 SSO,請完成下列各節中所述的步驟。

檢查必要條件

請確定下列必要條件已就緒:

  • 設定 Microsoft Entra 連線 伺服器 :如果您使用 傳遞驗證 作為登入方法,則不需要進行其他必要條件檢查。 如果您使用 密碼雜湊同步 處理作為登入方法,且 Microsoft Entra 連線 與 Microsoft Entra 識別碼之間有防火牆,請確定:

    • 您可以使用 Microsoft Entra 連線 1.1.644.0 版或更新版本。

    • 如果您的防火牆或 Proxy 允許,請透過埠 443 將 URL 的連線新增至允許清單 *.msappproxy.net 。 如果您需要特定 URL,而不是 Proxy 組態的萬用字元,您可以設定 tenantid.registration.msappproxy.net ,其中 tenantid 是您要設定此功能之租使用者的 GUID。 如果您的組織中不可能發生 URL 型 Proxy 例外狀況,您可以改為允許存取每週更新的 Azure 資料中心 IP 範圍 。 只有在啟用無縫 SSO 功能時,才適用此必要條件。 不需要直接使用者登入。

      注意

      • Microsoft Entra 連線 1.1.557.0、1.1.558.0、1.1.561.0 和 1.1.614.0 版與密碼雜湊同步有問題。如果您 打算搭配傳遞驗證使用密碼雜湊同步處理,請檢閱 Microsoft Entra 連線版本資訊 以深入瞭解。

  • 使用支援的 Microsoft Entra 連線拓撲 :請確定您使用其中一個 Microsoft Entra 連線 支援的拓撲

    注意

    無縫 SSO 支援多個內部部署 Windows Server Active Directory (Windows Server AD) 樹系,無論它們之間是否有 Windows Server AD 信任。

  • 設定網域管理員認證 :您必須擁有每個 Windows Server AD 樹系的網域管理員認證,才能:

    • 您可以透過 Microsoft Entra 連線 同步至 Microsoft Entra 識別碼。
    • 包含您想要啟用無縫 SSO 的使用者。

  • 啟用新式驗證 :若要使用此功能,您必須在租使用者上啟用 新式驗證

  • 使用最新版本的 Microsoft 365 用戶端 :若要取得 Microsoft 365 用戶端的無訊息登錄體驗(例如,使用 Outlook、Word 或 Excel),您的使用者必須使用 16.0.8730.xxxx 版或更新版本。

注意

如果您有連出 HTTP Proxy,請確定 URL autologon.microsoftazuread-sso.com 位於您的允許清單中。 您應該明確指定此 URL,因為可能不接受萬用字元。

啟用功能

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

透過 Microsoft Entra 連線 啟用無縫 SSO。

注意

如果 Microsoft Entra 連線不符合您的需求,您可以使用 PowerShell 來啟用無縫 SSO。 如果您的每個 Windows Server AD 樹系有多個網域,而且您想要以網域為目標來啟用無縫 SSO,請使用此選項。

如果您要執行 Microsoft Entra 連線 的全新安裝,請選擇 自訂安裝路徑 。 在 [ 使用者登入 ] 頁面上,選取 [ 啟用單一登入] 選項。

Screenshot that shows the User sign-in page in Microsoft Entra Connect, with Enable single sign on selected.

注意

只有在選取 的登入方法是密碼雜湊同步 處理或 傳遞驗證 時,才能選取此選項。

如果您 已經安裝 Microsoft Entra 連線 ,請在 [其他工作 ] 中 選取 [變更使用者登入 ],然後選取 [ 下一步 ]。 如果您使用 Microsoft Entra 連線 1.1.880.0 版或更新版本,預設會選取 [ 啟用單一登入 ] 選項。 如果您使用舊版的 Microsoft Entra 連線,請選取 [ 啟用單一登入 ] 選項。

Screenshot that shows the Additional tasks page with Change the user sign-in selected.

繼續執行精靈至 [ 啟用單一登入] 頁面。 針對每個 Windows Server AD 樹系提供網域管理員istrator 認證:

  • 您可以透過 Microsoft Entra 連線 同步至 Microsoft Entra 識別碼。
  • 包含您想要啟用無縫 SSO 的使用者。

當您完成精靈時,您的租使用者上已啟用無縫 SSO。

注意

網域管理員istrator 認證不會儲存在 Microsoft Entra 連線 或 Microsoft Entra 識別碼中。 它們只會用來啟用此功能。

若要確認您已正確啟用無縫 SSO:

  1. 以至少 混合式身分識別管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至身 > 識別混合式管理 > Microsoft Entra 連線 > 連線同步 處理。
  3. 確認 無縫單一登入 已設定為 [已啟用 ]。

Screenshot that shows the Microsoft Entra Connect pane in the admin portal.

重要

無縫 SSO 會在內部部署 Windows Server AD 目錄中的每個 Windows Server AD 樹系中建立名為 AZUREADSSOACC 的電腦帳戶。 基於 AZUREADSSOACC 安全性考慮,電腦帳戶必須受到強烈保護。 應該只允許網域管理員istrator 帳戶管理電腦帳戶。 請確定電腦帳戶上的 Kerberos 委派已停用,而且 Windows Server AD 中沒有任何其他帳戶具有電腦帳戶的 AZUREADSSOACC 委派許可權。 將電腦帳戶儲存在組織單位中,使其無法意外刪除,且只有 Domain 管理員istrators 可以存取它們。

注意

如果您在內部部署環境中使用傳遞雜湊和認證竊取風險降低架構,請進行適當的變更,以確保 AZUREADSSOACC 電腦帳戶不會最終出現在隔離容器中。

推出功能

您可以使用下一節中提供的指示,逐漸向使用者推出無縫 SSO。 首先,您會透過 Windows Server AD 中的群組原則,將下列 Microsoft Entra URL 新增至所有或選取的使用者內部網路區域設定:

https://autologon.microsoftazuread-sso.com

您也必須透過群組原則啟用稱為 允許透過腳本 更新狀態列的內部網路區域原則設定。

注意

下列指示僅適用于 Windows 上的 Internet Explorer、Microsoft Edge 和 Google Chrome(如果 Google Chrome 與 Internet Explorer 共用一組受信任的網站 URL)。 瞭解如何在 macOS 上設定 Mozilla Firefox 和 Google Chrome。

為何您需要修改使用者內部網路區域設定

根據預設,瀏覽器會自動從特定 URL 計算正確的區域,無論是網際網路或內部網路。 例如, http://contoso/ 對應至 內部網路 區域,並 http://intranet.contoso.com/ 對應至 網際網路 區域(因為 URL 包含句點)。 除非您明確將 URL 新增至瀏覽器的內部網路區域,否則瀏覽器不會將 Kerberos 票證傳送至雲端端點,例如 Microsoft Entra URL。

有兩種方式可以修改使用者內部網路區域設定:

選項 管理員考慮 使用者體驗
群組原則 管理員鎖定內部網路區域設定的編輯 使用者無法修改自己的設定
群組原則喜好設定 管理員允許編輯內部網路區域設定 使用者可以修改自己的設定

群組原則詳細步驟

  1. 開啟群組原則管理編輯器工具。

  2. 編輯套用至部分或所有使用者的群組原則。 此範例使用 預設網域原則

  3. 移至 使用者設定 > 原則 > 管理員 Windows > 元件 > Internet Explorer > Internet 主控台 > Security 頁面。 選取 [站對區域指派清單 ]。

    Screenshot that shows the Security Page with Site to Zone Assignment List selected.

  4. 啟用原則,然後在對話方塊中輸入下列值:

    • 值名稱 :轉送 Kerberos 票證的 Microsoft Entra URL。

    • (資料): 1 表示內部網路區域。

      結果看起來像下列範例:

      值名稱:https://autologon.microsoftazuread-sso.com

      值 (資料): 1

    注意

    如果您想要防止某些使用者使用無縫 SSO(例如,如果這些使用者登入共用 kiosk),請將上述值設定為 4 。 此動作會將 Microsoft Entra URL 新增至限制區域,且使用者一直無縫 SSO 失敗。

  5. 選取確定,然後再選取確定

    Screenshot that shows the Show Contents window with a zone assignment selected.

  6. 移至 [使用者設定 > 原則 > 管理員範本 > Windows 元件 > Internet Explorer Internet Explorer > Internet 主控台 > 安全性頁面 > 內部網路區域]。 選取 [ 允許透過腳本 更新狀態列]。

    Screenshot that shows the Intranet Zone page with Allow updates to status bar via script selected.

  7. 啟用原則設定,然後選取 [ 確定 ]。

    Screenshot that shows the Allow updates to status bar via script window with the policy setting enabled.

群組原則喜好設定詳細步驟

  1. 開啟群組原則管理編輯器工具。

  2. 編輯套用至部分或所有使用者的群組原則。 此範例使用 預設網域原則

  3. 移至 [使用者設定 > 喜好設定 > ][Windows 設定 > Registry > 新增 > 登錄專案]。

    Screenshot that shows Registry selected and Registry Item selected.

  4. 輸入或選取下列如示範的值,然後選取 [ 確定 ]。

    • 機碼路徑 :Software\Microsoft\Windows\CurrentVersion\Internet 設定\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • 值名稱 :HTTPs

    • 實數值型別 :REG_DWORD

    • 值資料 :00000001

      Screenshot that shows the New Registry Properties window.

      Screenshot that shows the new values listed in Registry Editor.

瀏覽器考量

下一節提供不同瀏覽器類型專屬的無縫 SSO 相關資訊。

Mozilla Firefox (所有平臺)

如果您在環境中使用 驗證 原則設定,請確定您已將 Microsoft Entra URL ( https://autologon.microsoftazuread-sso.com ) 新增至 SPNEGO 區段。 您也可以將 PrivateBrowsing 選項設定為 true ,以在私人流覽模式中允許無縫 SSO。

Safari (macOS)

確定執行 macOS 的電腦已加入 Windows Server AD。

將macOS裝置加入 Windows Server AD 的指示不在本文的範圍內。

以 Chromium 為基礎的 Microsoft Edge (所有平臺)

如果您已在環境中覆寫 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 原則設定,請確定您也會將 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com) 新增至這些原則設定。

以 Chromium 為基礎的 Microsoft Edge (macOS 和其他非 Windows 平臺)

如需以 macOS 和其他非 Windows 平臺上 Chromium 為基礎的 Microsoft Edge,請參閱 以 Chromium 原則清單 為基礎的 Microsoft Edge,以取得如何將整合式驗證的 Microsoft Entra URL 新增至允許清單的資訊。

Google Chrome (所有平臺)

如果您已在環境中覆寫 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 原則設定,請確定您也會將 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com) 新增至這些原則設定。

macOS

使用第三方 Active Directory 組策略延伸模組來推出適用於 macOS 使用者的 Firefox 和 Google Chrome 的 Microsoft Entra URL,已超出本文的範圍。

已知的瀏覽器限制

如果瀏覽器以增強的受保護模式執行,無縫 SSO 將無法在 Internet Explorer 上運作。 無縫 SSO 支援以 Chromium 為基礎的下一個 Microsoft Edge 版本,並依設計在 InPrivate 和客體模式中運作。 不再支援 Microsoft Edge (舊版)。

您可能需要 AmbientAuthenticationInPrivateModesEnabled 根據對應的檔案設定 InPrivate 或來賓使用者:

測試無縫 SSO

若要測試特定使用者的功能,請確定下列所有條件都已就緒:

  • 使用者登入公司裝置。
  • 裝置已加入您的 Windows Server AD 網域。 裝置不需要加入 Microsoft Entra。
  • 裝置會透過公司有線或無線網路或透過遠端訪問連線,例如 VPN 連線,直接連線到您的域控制器。
  • 您已透過組策略將此功能推出給此使用者。

若要測試使用者輸入使用者名稱但不是密碼的案例:

  • 登入 https://myapps.microsoft.com。 請務必清除瀏覽器快取,或使用新的私人瀏覽器會話搭配任何支援模式的瀏覽器。

若要測試使用者不需要輸入使用者名稱或密碼的案例,請使用下列其中一個步驟:

  • 登入 https://myapps.microsoft.com/contoso.onmicrosoft.com。 請務必清除瀏覽器快取,或使用新的私人瀏覽器會話搭配任何支援模式的瀏覽器。 將取代 contoso 為您的租用戶名稱。
  • 在新的私人瀏覽器會話中登入 https://myapps.microsoft.com/contoso.com 。 將取代 contoso.com 為您租使用者上已驗證的網域(而非同盟網域)。

變換金鑰

[啟用此功能] 中,Microsoft Entra 連線 在您啟用無縫 SSO 的所有 Windows Server AD 樹系中建立計算機帳戶(代表 Microsoft Entra ID)。 若要深入瞭解,請參閱 Microsoft Entra 無縫單一登錄:技術深入探討

重要

如果外泄,計算機帳戶上的 Kerberos 解密金鑰可用來為其 Windows Server AD 樹系中的任何用戶產生 Kerberos 票證。 惡意執行者接著可以模擬遭入侵使用者的 Microsoft Entra 登入。 強烈建議您定期變換這些 Kerberos 解密金鑰,或至少每 30 天一次。

如需如何變換密鑰的指示,請參閱 Microsoft Entra 無縫單一登錄:常見問題

重要

啟用此功能之後,您不需要立即執行此步驟。 每隔 30 天至少變換一次 Kerberos 解密密鑰。

下一步

  • 技術深入探討:瞭解無縫單一登錄功能的運作方式。
  • 常見問題:取得無縫單一登錄常見問題的解答。
  • 疑難解答:瞭解如何解決無縫單一登錄功能的常見問題。
  • UserVoice:使用 Microsoft Entra 論壇來提出新功能要求。