Microsoft Entra 無縫單一登入：常見問題集

無縫 SSO 可以與密碼雜湊同步處理或傳遞驗證登入方法合併使用。 不過，此功能無法與 Active Directory 同盟服務 （ADFS） 搭配使用。

無縫 SSO 是免費功能，您不需要任何付費版本的 Microsoft Entra ID 即可使用它。

無縫 SSO 適用於 Azure Government 雲端。 如需詳細資訊，請檢視 Azure Government 的混合式身分識別考慮。

數據表有一份應用程式清單，可將這些參數傳送至 Microsoft Entra ID。 此動作會使用無縫 SSO 為使用者提供無訊息登入體驗。：

此外，如果應用程式將登入要求傳送至設定為租使用者的 Microsoft Entra 端點，即 https://login.microsoftonline.com/contoso.com/<..> 或 https://login.microsoftonline.com/<tenant_ID>/<.，> 則使用者會收到無訊息登入體驗。而不是 Microsoft Entra 通用端點， https://login.microsoftonline.com/common/<也就是 ...>。 數據表有一份應用程式清單，可提出這些類型的登入要求。

在上述數據表中，將 「contoso.com」 取代為您的功能變數名稱，以取得租用戶的正確應用程式 URL。

如果您想要使用無訊息登錄體驗的其他應用程式，請在意見反應一節中告訴我們。

是。 在 Microsoft Entra 連線 中設定時，無縫 SSO 支援Alternate ID作為用戶名稱，如下所示。 並非所有 Microsoft 365 應用程式都支援 Alternate ID。 如需支援聲明，請參閱特定應用程式的檔。

如果裝置已向 Microsoft Entra ID 註冊，Microsoft Entra Join 會提供 SSO 給使用者。 這些裝置不一定要加入網域。 SSO 是使用主要重新整理令牌或 PRT 提供，而不是 Kerberos。 在 Windows 10 裝置上可獲得最佳使用者體驗。 SSO 在 Microsoft Edge 瀏覽器上會自動執行。 在 Chrome 上則藉由使用瀏覽器擴充功能也能運作。

您可以在租使用者上使用 Microsoft Entra join 和無縫 SSO。 這兩個功能是互補的。 如果開啟這兩個功能，則來自 Microsoft Entra join 的 SSO 優先於無縫 SSO。

是，此案例需要 2.1 版或更新版本的 加入工作場所用戶端。

請務必經常變換在內部部署AD樹系中建立之電腦帳戶的 Kerberos 解密密鑰 AZUREADSSO （代表 Microsoft Entra ID）。

請遵循您在內部部署伺服器上執行 Microsoft Entra 連線 中的下列步驟：

步驟 1： 取得已啟用無縫 SSO 的 AD 樹系清單

1. 首先，下載並安裝 Azure AD PowerShell。
2. 瀏覽至 $env:programfiles"\Microsoft Azure Active Directory Connect" 資料夾。
3. 使用此命令匯入順暢 SSO PowerShell 模組：Import-Module .\AzureADSSO.psd1。
4. 以系統管理員身分執行 PowerShell。 在 PowerShell 中，呼叫 New-AzureADSSOAuthenticationContext。 此命令應該會提供彈出視窗，以輸入租使用者的全域 管理員 istrator 或混合式身分識別 管理員 istrator 認證。
5. 呼叫 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令會提供已啟用這項功能的 AD 樹系清單 (查看 [網域] 清單)。

步驟 2： 在已設定 Kerberos 解密金鑰的每個 AD 樹系上更新該金鑰

1. 呼叫 $creds = Get-Credential。 出現提示時，輸入預定 Azure AD 樹系的網域系統管理員認證。

2. 呼叫 Update-AzureADSSOForest -OnPremCredentials $creds。 此命令會更新此特定 AD 樹系中 AZUREADSSO 電腦帳戶的 Kerberos 解密金鑰，並且在 Microsoft Entra ID 中更新它。

3. 針對您已設定此功能的每個 AD 樹系，重複上述步驟。

步驟 1： 停用租使用者上的功能

選項 A：使用 Microsoft Entra Connect 來停用

1. 執行 Microsoft Entra 連線，選擇 [變更使用者登入] 頁面，然後按 [下一步]。
2. 取消核取 [ 啟用單一登錄] 選項。 繼續執行精靈。

完成精靈之後，租用戶就會停用無縫 SSO。 不過，您會在畫面上看到如下所示的訊息：

「現在已停用單一登錄，但還有其他手動步驟要執行，才能完成清除。 深入瞭解”

若要完成清除程式，請遵循您在內部部署伺服器上執行 Microsoft Entra 連線 的步驟 2 和 3。

選項 B：使用 PowerShell 來停用

在執行 Microsoft Entra 連線 的內部部署伺服器上執行下列步驟：

1. 首先，下載並安裝 Azure AD PowerShell。
2. 瀏覽至 $env:ProgramFiles"\Microsoft Azure Active Directory Connect" 資料夾。
3. 使用此命令匯入順暢 SSO PowerShell 模組：Import-Module .\AzureADSSO.psd1。
4. 以系統管理員身分執行 PowerShell。 在 PowerShell 中，呼叫 New-AzureADSSOAuthenticationContext。 此命令應該會提供彈出視窗，以輸入租使用者的全域 管理員 istrator 或混合式身分識別 管理員 istrator 認證。
5. 呼叫 Enable-AzureADSSO -Enable $false。

此時會停用無縫 SSO，但如果您想要啟用無縫 SSO，網域仍會維持設定狀態。 如果您想要完全從無縫 SSO 設定中移除網域，請在完成上述步驟 5 之後呼叫下列 Cmdlet： Disable-AzureADSSOForest -DomainFqdn <fqdn>。

步驟 2： 取得已啟用無縫 SSO 的 AD 樹系清單

如果您已使用 Microsoft Entra 連線 停用無縫 SSO，請遵循工作 1 到 4。 如果您已改為使用PowerShell停用無縫 SSO，請跳至工作 5。

1. 首先，下載並安裝 Azure AD PowerShell。
2. 瀏覽至 $env:ProgramFiles"\Microsoft Azure Active Directory Connect" 資料夾。
3. 使用此命令匯入順暢 SSO PowerShell 模組：Import-Module .\AzureADSSO.psd1。
4. 以系統管理員身分執行 PowerShell。 在 PowerShell 中，呼叫 New-AzureADSSOAuthenticationContext。 此命令應該會提供彈出視窗，以輸入租使用者的全域 管理員 istrator 或混合式身分識別 管理員 istrator 認證。
5. 呼叫 Get-AzureADSSOStatus | ConvertFrom-Json。 此命令會提供已啟用這項功能的 AD 樹系清單 (查看 [網域] 清單)。

步驟 3： 從您看到的每個列出 AD 樹系，手動刪除 AZUREADSSO 電腦帳戶。

下一步

• 快速入門 - 啟動並執行 Microsoft Entra 無縫 SSO。
• 技術深入探討 - 瞭解此功能的運作方式。
• 疑難解答 - 瞭解如何解決功能的常見問題。
• UserVoice - 用於提出新功能要求。