快速入門:Microsoft Entra 無縫單一登入
使用者使用連線到公司網路的公司桌上型電腦時,Microsoft Entra 無縫單一登入 (無縫 SSO) 會自動登入使用者。 無縫 SSO 可讓使用者輕鬆存取雲端式應用程式,而不需要使用任何其他內部部署元件。
若要使用 Microsoft Entra Connect 部署 Microsoft Entra ID 的無縫 SSO,請完成下列各節中所述的步驟。
檢查必要條件
請確保已具備下列必要條件︰
設定 Microsoft Entra Connect 伺服器:如果您使用傳遞驗證作為登入方法,不需要進行額外的必要條件檢查。 如果使用密碼雜湊同步處理做為登入方法,且 Microsoft Entra Connect 與 Microsoft Entra ID 之間有防火牆,請確定:
您要使用 Microsoft Entra Connect 1.1.644.0 版或更新版本。
如果您的防火牆或 Proxy 允許,請透過連接埠 443 將
*.msappproxy.net
URL 的連線新增至允許清單。 如果您需要特定 URL,而不是 Proxy 設定的萬用字元,您可以設定tenantid.registration.msappproxy.net
,其中tenantid
是您要設定此功能之租用戶 GUID。 如果您的組織中不可能有 URL 型 Proxy 例外狀況,您可以改為允許存取 Azure 資料中心 IP 範圍,這會每週更新。 只有在啟用無縫 SSO 功能時,才適用此必要條件。 不需要直接使用者登入。注意
- Microsoft Entra Connect 版本 1.1.557.0、1.1.558.0、1.1.561.0 和 1.1.614.0 具有與密碼雜湊同步處理相關的問題。如果您「不」想要使用密碼雜湊同步處理搭配傳遞驗證,請檢閱 Microsoft Entra Connect 版本資訊以深入了解。
使用支援的 Microsoft Entra Connect 拓撲:請確定您使用其中一個Microsoft Entra Connect 支援的拓撲。
注意
無縫 SSO 支援多個內部部署 Windows Server Active Directory (Windows Server AD) 樹系,無論它們之間是否有 Windows Server AD 信任。
設定網域管理員認證:下列情況的每個 Windows Server AD 樹系,均需擁有網域管理員認證:
- 您可以透過 Microsoft Entra Connect 同步至 Microsoft Entra ID。
- 包含您要啟用無縫 SSO 的使用者。
啟用新式驗證:若要使用此功能,您必須在租用戶上啟用新式驗證。
使用最新版的 Microsoft 365 用戶端:若要取得 Microsoft 365 用戶端的無訊息登入體驗 (例如,使用 Outlook、Word 或 Excel),您的使用者必須使用 16.0.8730.xxxx 版或更新版本。
注意
如果您有傳出 HTTP Proxy,請確定 URL autologon.microsoftazuread-sso.com
位於您的允許清單中。 因為可能不接受萬用字元,請明確指定此 URL。
啟用功能
提示
本文中的步驟可能會依據您開始的入口網站而稍有不同。
透過 Microsoft Entra Connect 啟用無縫 SSO。
注意
如果 Microsoft Entra Connect 不符合您的需求,您可以使用 PowerShell 啟用無縫 SSO。 如果您的每個 Windows Server AD 樹系有一個以上的網域,而且您想要以網域為目標來啟用無縫 SSO,請使用此選項。
如果您要執行 Microsoft Entra Connect 的全新安裝,請選擇自訂安裝路徑。 在 [使用者登入] 頁面上,選取 [啟用單一登入] 選項。
注意
只有登入方法選為 [密碼雜湊同步] 或 [傳遞驗證] 時,此選項才可供選取。
如果您已經安裝 Microsoft Entra Connect,請在 [其他工作] 中選取 [變更使用者登入],然後選取 [下一步]。 如果您使用 Microsoft Entra Connect 1.1.880.0 版或更新版本,則預設會選取 [啟用單一登入] 選項。 如果您使用舊版的 Microsoft Entra Connect,請選取 [啟用單一登入] 選項。
繼續執行精靈至 [啟用單一登入] 頁面。 為下列情況的每個 Windows Server AD 樹系提供網域管理員認證:
- 您可以透過 Microsoft Entra Connect 同步至 Microsoft Entra ID。
- 包含您要啟用無縫 SSO 的使用者。
當您完成精靈時,您的租用戶上已啟用無縫 SSO。
注意
網域系統管理員認證不會儲存在 Microsoft Entra Connect 或 Microsoft Entra ID 中。 這些認證僅用於啟用此功能。
若要確認您已正確啟用無縫 SSO:
- 以至少混合式身分識別系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[混合式管理]>[Microsoft Entra Connect]>[Connect 同步處理]。
- 確認無縫單一登入已設定為 [已啟用]。
重要
無縫 SSO 會在內部部署 Windows Server AD 目錄中的每個 Windows Server AD 樹系中建立名為 AZUREADSSOACC
的電腦帳戶。 基於安全考量,AZUREADSSOACC
電腦帳戶必須受到強烈保護。 只有網域系統管理員帳戶才可管理電腦帳戶。 請確定電腦帳戶上的 Kerberos 委派已停用,而且 Windows Server AD 中沒有任何其他帳戶具有 AZUREADSSOACC
電腦帳戶的委派權限。 將電腦帳戶儲存在組織單位中,避免遭到意外刪除,且只有網域系統管理員擁有存取權。
注意
如果您在內部部署環境中使用雜湊傳遞和認證竊取風險降低架構,請執行適當變更,以確定 AZUREADSSOACC
電腦帳戶最終不會出現在隔離容器中。
推出功能
您可以使用下一節中提供的指示,逐步向使用者推出無縫 SSO。 您一開始可使用 Windows Server AD 中的群組原則,將下列 Microsoft Entra URL 新增至所有或已選取之使用者的內部網路區域設定:
https://autologon.microsoftazuread-sso.com
您也必須透過群組策略啟用名為允許透過指令碼更新狀態列的內部網路區域原則設定。
注意
下列指示僅適用於 Windows 上的 Internet Explorer、Microsoft Edge 和 Google Chrome (如果它與 Google Chrome 共用一組受信任的網站 URL)。 了解如何設定 Mozilla Firefox 和 macOS 上的 Google Chrome。
為何您需要修改使用者內部網路區域設定
瀏覽器預設會自動從指定的 URL 計算正確的區域 (網際網路或內部網路)。 例如,http://contoso/
會對應到內部網路區域,而 http://intranet.contoso.com/
則會對應到網際網路區域 (因為 URL 包含句點)。 除非您明確地將 URL 新增至瀏覽器的內部網路區域,否則瀏覽器不會將 Kerberos 票證傳送至雲端端點 (例如 Microsoft Entra URL)。
有兩種方式可以修改使用者內部網路區域設定:
選項 | 管理考量 | 使用者體驗 |
---|---|---|
群組原則 | 管理員鎖定內部網路區域設定的編輯 | 使用者無法修改自己的設定 |
群組原則喜好設定 | 系統管理員允許編輯內部網路區域設定 | 使用者可以修改自己的設定 |
群組策略詳細步驟
開啟群組原則管理編輯器工具。
編輯套用至部分或所有使用者的群組原則。 此範例使用預設網域原則。
前往 [使用者設定]>[原則]>[系統管理範本]>[Windows 元件]>[Internet Explorer]>[網際網路控制台]>[安全性頁面]。 選取 [指派網站到區域清單]。
啟用原則,然後在對話中輸入下列值:
值名稱:轉送 Kerberos 票證的 Microsoft Entra URL。
值 (資料):1 表示內部網路區域。
結果看起來像下列範例:
值名稱:
https://autologon.microsoftazuread-sso.com
值 (資料):1
注意
如果您想要避免部分使用者使用無縫 SSO (例如,如果這些使用者在共用 Kiosk 上登入),請將先前的值設定為 4。 此操作會將 Microsoft Entra URL 新增至限制區域,且使用者的無縫 SSO 始終失敗。
選取確定,然後再選取確定。
前往 [使用者設定]>[原則]>[系統管理範本]>[Windows 元件]>[Internet Explorer]>[網際網路控制台]>[安全性頁面]>[內部網路區域]。 選取 [允許透過指令碼更新狀態列]。
啟用原則設定,然後選取 [確定]。
群組策略喜好設定詳細步驟
開啟群組原則管理編輯器工具。
編輯套用至部分或所有使用者的群組原則。 此範例使用預設網域原則。
前往 [使用者設定]>[喜好設定]>[Windows 設定]>[登錄]>[新增]>[登錄項目]。
輸入或選取下列如示範的值,然後選取 [確定]。
機碼路徑:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
值名稱:https
設置選項: REG_DWORD
值資料:00000001
瀏覽器考量
下一節提供不同瀏覽器類型專屬的無縫 SSO 相關資訊。
Mozilla Firefox (所有平台)
如果您在環境中使用 Authentication 原則設定,請確定您已將 Microsoft Entra URL 的 URL (https://autologon.microsoftazuread-sso.com
) 新增至 [SPNEGO] 區段。 您也可以將 [PrivateBrowsing] 選項設定為 true,以允許在私人瀏覽模式中進行無縫 SSO。
Safari (macOS)
確定執行 macOS 的電腦已加入 Windows Server AD。
將 macOS 裝置加入 Windows Server AD 的指示不在本文的討論範圍內。
以 Chromium 為基礎的 Microsoft Edge (所有平台)
如果您已覆寫環境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 原則設定,請確定您也會將 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com
) 新增至這些原則設定。
以 Chromium 為基礎的 Microsoft Edge (macOS 和其他非 Windows 平台)
如需以 macOS 和其他非 Windows 平台上 Chromium 為基礎的 Microsoft Edge,請參閱以 Chromium 原則清單為基礎的 Microsoft Edge,以取得如何將整合式驗證 Microsoft Entra URL 新增至允許清單的資訊。
Google Chrome (所有平台)
如果您已覆寫環境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 原則設定,請確定您也會將 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com
) 新增至這些原則設定。
macOS
使用協力廠商 Active Directory 群組原則擴充功能,向 macOS 使用者推出 Firefox 和 Google Chrome 的 Microsoft Entra URL,不在本文的範圍內。
已知的瀏覽器限制
如果瀏覽器是在「增強保護」模式中執行,無縫 SSO 無法在 Internet Explorer 上運作。 無縫 SSO 支援下一版以 Chromium 為基礎的 Microsoft Edge,並依設計以 InPrivate 和來賓模式運作。 不再支援 Microsoft Edge (舊版)。
您可能需要根據對應的文件設定 InPrivate 或來賓使用者設定 AmbientAuthenticationInPrivateModesEnabled
:
測試無縫 SSO
若要測試特定使用者的功能,請確認已具備下列所有條件:
- 使用者是在公司裝置上登入。
- 裝置已加入您的 Windows Server AD 網域。 裝置「不」需要加入 Microsoft Entra。
- 裝置能夠直接連線至網域控制站,不論是在公司的有線或無線網路上進行,還是透過遠端存取連線 (例如 VPN 連線) 來進行。
- 您已透過群組原則,向這位使用者推出功能。
若要測試使用者輸入使用者名稱,但未輸入密碼的案例:
- 登入 https://myapps.microsoft.com。 務必清除瀏覽器快取,或以任一支援的瀏覽器,在私人模式下使用新私人瀏覽器工作階段。
若要測試使用者不需要輸入使用者名稱或密碼的案例,請使用下列其中一個步驟:
- 登入
https://myapps.microsoft.com/contoso.onmicrosoft.com
。 務必清除瀏覽器快取,或以任一支援的瀏覽器,在私人模式下使用新私人瀏覽器工作階段。 將contoso
取代為您的租用戶名稱。 - 在新的私用瀏覽器工作階段中,登入
https://myapps.microsoft.com/contoso.com
。 在您的租用戶上以驗證過的網域 (非同盟網域) 取代contoso.com
。
變換金鑰
在 [啟用此功能] 中,Microsoft Entra Connect 會在您啟用無縫 SSO 的所有 Windows Server AD 樹系中建立電腦帳戶(代表 Microsoft Entra ID)。 若要深入了解,請參閱 Microsoft Entra 無縫單一登入:技術深入探討。
重要
如果電腦帳戶上的 Kerberos 解密金鑰外洩,則可用來針對其 Windows Server AD 樹系中的任何使用者產生 Kerberos 票證。 惡意執行者接著可針對遭到入侵的使用者模擬行 Microsoft Entra 登入。 強烈建議您定期 (或至少每隔 30 天一次) 變換這些 Kerberos 解密金鑰。
如需如何變換金鑰的指示,請參閱 Microsoft Entra 無縫單一登入:常見問題集。
重要
您不需要在啟用此功能後「立即」執行此步驟。 至少每隔 30 天變換一次 Kerberos 解密金鑰。