Microsoft Entra 無縫單一登入

什麼是 Microsoft Entra 無縫單一登入？

使用者位於連線到公司網路的公司裝置時，Microsoft Entra 無縫單一登入 (Microsoft Entra 無縫 SSO) 就會自動將他們登入。 當此功能啟用時，使用者不需要輸入密碼就能登入 Microsoft Entra ID，而且在大部分情況下，甚至也不用輸入其使用者名稱。 這項功能可讓使用者輕鬆存取雲端式應用程式，而不需要任何額外的內部部署元件。

無縫 SSO 可以與密碼雜湊同步處理或傳遞驗證登入方法合併使用。 無縫 SSO 不適用於 Active Directory 同盟服務 (ADFS)。

透過主要重新整理權杖 (PRT) 進行 SSO 與無縫 SSO

針對 Windows 10、Windows Server 2016 和更新版本，建議使用透過主要重新整理權杖 (PRT) 的 SSO。 針對 Windows 7 和 Windows 8.1，建議使用無縫 SSO。 無縫 SSO 要求使用者的裝置已加入網域，但在 Windows 10 已加入 Microsoft Entra 的裝置或已使用 Microsoft Entra 混合式聯結的裝置上不使用。 已加入 Microsoft Entra、Microsoft Entra 混合式聯結，以及 Microsoft Entra 已註冊裝置的 SSO 會根據主要重新整理權杖 (PRT)

只要透過 [新增工作或學校帳戶] 為加入 Microsoft Entra 混合式、加入 Microsoft Entra 或個人註冊裝置向 Microsoft Entra ID 註冊之後，透過 PRT 進行 SSO 即可運作。 如需 SSO 如何使用 PRT 在 Windows 10 上運作的詳細資訊，請參閱：主要重新整理權杖 (PRT) 和 Microsoft Entra ID

重點優勢

• 絕佳的使用者體驗
  • 使用者會自動登入內部部署和雲端式應用程式。
  • 使用者不需要重複輸入其密碼。
• 易於部署及管理
  • 在內部部署上不需要任何其他元件，即可進行這項工作。
  • 與任何雲端驗證方法搭配運作：密碼雜湊同步處理或傳遞驗證。
  • 可以推出給使用群組原則的一部分使用者或所有使用者。
  • 可透過 Microsoft Entra ID 註冊非 Windows 10 裝置，無需任何的 AD FS 基礎結構。 此功能需要使用 2.1 版或更新版本的加入工作場所用戶端。

功能要點

• 登入使用者名稱可以是內部部署預設使用者名稱 (userPrincipalName) 或 Microsoft Entra Connect (Alternate ID) 中設定的另一個屬性。 兩種使用案例均可行，因為無縫 SSO 在 Kerberos 票證中使用 securityIdentifier 宣告在 Microsoft Entra ID 中查詢對應的使用者物件。
• 無縫 SSO 是一種靈活變換的功能。 如果因任何原因而失敗，使用者登入體驗會改回其一般行為；亦即，使用者必須在登入頁面上輸入密碼。
• 如果應用程式 (例如 https://myapps.microsoft.com/contoso.com) 在其 Microsoft Entra 登入要求中，轉送 domain_hint (OpenID Connect) 或 whr (SAML) 參數 (識別租用戶) 或 login_hint 參數 (識別使用者)，則使用者不需要輸入使用者名稱或密碼就會自動登入。
• 如果應用程式 (例如，https://contoso.sharepoint.com) 將登入要求傳送至 Microsoft Entra ID 之設定為租用戶的端點 (也就是 https://login.microsoftonline.com/contoso.com/<..> 或 https://login.microsoftonline.com/<tenant_ID>/<..>) 而不是 Microsoft Entra ID 的一般端點 (也就是 https://login.microsoftonline.com/common/<...>)，使用者也可獲得無訊息登入體驗。
• 支援登出。 這可讓使用者選擇使用另一個 Microsoft Entra 帳戶來進行登入，而不自動使用「無縫 SSO」來自動登入。
• 支援在 16.0.8730.xxxx 版和更新版本的 Microsoft 365 Win32 用戶端 (Outlook、Word、Excel 和其他產品) 使用非互動式流程。 針對 OneDrive，您必須啟用 OneDrive 無訊息設定功能以獲得無訊息登入體驗。
• 可以透過 Microsoft Entra Connect 啟用該功能。
• 這是免費功能，使用時不需要任何付費版本的 Microsoft Entra ID。
• 它是在能夠使用 Kerberos 驗證的平台和瀏覽器上，支援新式驗證的網頁瀏覽器型用戶端和 Office 用戶端來支援：

作業系統\瀏覽器	Internet Explorer	Microsoft Edge****	Google Chrome	Mozilla Firefox	Safari
Windows 10	是*	Yes	Yes	是***	N/A
Windows 8.1	是*	是****	Yes	是***	N/A
Windows 8	是*	N/A	Yes	是***	N/A
Windows Server 2012 R2 或更新版本	是**	N/A	Yes	是***	N/A
Mac OS X	N/A	N/A	是***	是***	是***

注意

不再支援 Microsoft Edge 舊版

*需要 Internet Explorer 版本 11 或更新版本。 (自 2021 年 8 月 17 日開始，Microsoft 365 個應用程式和服務不支援 Internet Explorer 11)。

**需要 Internet Explorer 版本 11 或更新版本。 停用增強保護模式。

***需要其他設定。

****以 Chromium 為基礎的 Microsoft Edge

下一步

• 快速入門 - 啟動並執行 Microsoft Entra 無縫 SSO。
• 部署方案 - 逐步部署方案。
• 技術性深入探討 - 了解這項功能的運作方式。
• 常見問題集 - 常見問題集的答案。
• 疑難排解 - 了解如何解決此功能的常見問題。
• UserVoice - 用於提出新的功能要求。