共用方式為

如何使用 VPN 單一登入 (SSO) 及 Wi-Fi 連線

本文說明透過 Wi-Fi 或 VPN 連線啟用內部部署網域資源的單一登錄 (SSO) 的需求。 通常會使用下列案例:

  • 使用 Wi-Fi 或 VPN 連線到網路
  • 使用認證進行 Wi-Fi 或 VPN 驗證,同時驗證存取網域資源的要求,而不會提示您輸入網域認證

例如,您想要連線到公司網路,並存取需要 Windows 整合式驗證的內部網站。

用於連線驗證的認證會放在 認證 管理員中,作為 登入會話的默認認證。 認證管理員會儲存可用於特定網域資源的認證。 這些是以資源的目標名稱為基礎:

  • 針對 VPN,VPN 堆疊會將其認證儲存為 會話預設值
  • 針對Wi-Fi,可延伸驗證通訊協定 (EAP) 提供支援

認證會以 會話認證的方式放在認證管理員中:

  • 會話認證表示它對目前的用戶會話有效
  • 當 Wi-Fi 或 VPN 連線中斷連線時,會清除認證

注意

在 Windows 10 21H2 版和更新版本中,認證管理員中看不到會話認證

例如,如果有人使用 Microsoft Edge 嘗試存取網域資源,則 Microsoft Edge 具有正確的企業驗證功能。 這可讓 WinInet 將它從認證管理員取得的認證釋放到要求它的 SSP。 如需企業驗證功能的詳細資訊,請參閱 應用程式功能宣告

本機安全性授權單位會查看裝置應用程式,以判斷其是否具有正確的功能。 這包括 通用 Windows 平台 (UWP) 應用程式等專案。 如果應用程式不是 UWP,這並不重要。 但是,如果應用程式是 UWP 應用程式,則會評估企業驗證的裝置功能。 如果它具有該功能,而且您嘗試存取的資源位於 Internet Options (ZoneMap) 的內部網路區域,則會釋出認證。 此行為有助於防止未受信任的第三方誤用認證。

內部網路區域

針對內部網路區域,根據預設,它只允許單一標籤名稱,例如 http://finance。 如果需要存取的資源有多個網域卷標,則因應措施是使用 登錄 CSP

設定 ZoneMap

ZoneMap 是使用可透過 MDM 設定的登錄來控制。 根據預設,像是 http://finance 的單一標籤名稱已經在內部網路區域中。 針對多標籤名稱,例如 http://finance.net,必須更新 ZoneMap。

MDM 原則

OMA URI 範例:

./Vendor/MSFT/Registry/HKU/S-1-5-21-2702878673-795188819-444038987-2781/Software/Microsoft/Windows/CurrentVersion/Internet%20Settings/ZoneMap/Domains/<domain name>Integer做為您想要從裝置 SSO 傳入之每個網域的 值1。 這會將指定的網域新增至 Microsoft Edge 瀏覽器的內部網路區域。

認證需求

針對 VPN,在驗證之後,會將下列類型的認證新增至認證管理員:

  • 用戶名稱和密碼
  • 憑證式驗證:
    • TPM 金鑰記憶體提供者 (KSP) 憑證
    • 軟體金鑰儲存提供者 (KSP) 憑證
    • 智慧卡憑證
    • Windows Hello 企業版 憑證

用戶名稱也應該包含可透過連線 (VPN 或 WiFi) 連線的網域。

使用者證書範本

如果認證是以憑證為基礎,則必須為證書範本設定下表中的元素,以確保它們也可以用於 Kerberos 客戶端驗證。

Template 元素 設定
SubjectName 用戶的辨別名稱 (DN) 當 SubjectAlternativeName 沒有尋找域控制器所需的完整 UPN 時,辨別名稱的網域元件會反映內部 DNS 命名空間。
這項需求在多樹系環境中是相關的,因為它可確保可以找到域控制器。
SubjectAlternativeName 使用者的完整UPN,其中使用者UPN的網域名稱元件符合組織內部網域的 DNS 命名空間。
這項需求在多樹系環境中是相關的,因為它可確保當 SubjectName 沒有尋找域控制器所需的 DN 時,可以找到域控制器。
金鑰儲存提供者 (KSP) 如果裝置已加入 Microsoft Entra ID,則會使用離散 SSO 憑證。
EnhancedKeyUsage 需要下列一或多個 EKU:
  • VPN) 的客戶端驗證 (
  • 適用於 Windows Hello 企業版) 的 EAP 篩選 OID (
  • 已加入 Microsoft Entra 裝置的 SmartCardLogon ()
如果網域控制器需要智慧卡 EKU:
  • SmartCardLogon
  • id-pkinit-KPClientAuth (1.3.6.1.5.2.3.4)
或者:
  • TLS/SSL 用戶端驗證 (1.3.6.1.5.5.7.3.2)

NDES 伺服器組態

必須設定 NDES 伺服器,才能將傳入的 SCEP 要求對應至要使用的正確範本。 如需詳細資訊, 請參閱設定 SCEP 的憑證基礎結構

Active Directory 需求

您需要透過網路介面對 DNS 伺服器和域控制器進行 IP 連線,以便驗證也能成功。

域控制器必須有適當的 KDC 憑證,用戶端才能信任它們作為域控制器。 由於手機未加入網域,因此 KDC 憑證的根 CA 必須位於第三方根 CA 或智慧卡信任根存放區中。

域控制器必須使用以更新的 KDC 證書範本 Kerberos 驗證為基礎的憑證。