Unterstützung und Konfiguration der Identität in Microsoft Edge
In diesem Artikel wird beschrieben, wie Microsoft Edge die Identität verwendet, um Features wie Synchronisierung und Einmaliges Anmelden (Single Sign-On, SSO) zu unterstützen. Microsoft Edge unterstützt die Anmeldung mit Active Directory Domain Services (AD DS), Microsoft Entra ID und Microsoft-Konten (MSA). Derzeit unterstützt Microsoft Edge nur Microsoft Entra-Konten, die zur globalen Cloud oder zur GCC Sovereign Cloud gehören. Wir arbeiten daran, Unterstützung für andere Sovereign Clouds hinzuzufügen.
Hinweis
Dieser Artikel bezieht sich auf Microsoft Edge Version 77 oder höher.
Browser-Anmelde- und Authentifizierungsfeatures
Microsoft Edge unterstützt die Anmeldung bei einem Browserprofil mit einer Microsoft Entra-ID, msa oder einem Domänenkonto. Der für die Anmeldung verwendete Kontotyp bestimmt, welche authentifizierten Features für den Benutzer in Microsoft Edge verfügbar sind. In der folgenden Tabelle wird die Funktionsunterstützung für die einzelnen Kontotypen zusammengefasst.
| Feature | Microsoft Entra ID | Microsoft Entra ID Free | Lokale AD DS | MSA |
|---|---|---|---|---|
| Synchronisieren | Ja | Nein | Nein | Ja |
| SSO mit Primärem Aktualisierungstoken | Ja | Ja | Nein | Ja |
| Nahtlose SSO | Ja | Ja | Ja | n. a. |
| Integrierte Windows-Authentifizierung | Ja | Ja | Ja | n. a. |
| Enterprise-Seite „Neue Registerkarte” | Erfordert O365 | Erfordert O365 | Nein | n. a. |
| Microsoft Search | Erfordert O365 | Erfordert O365 | Nein | n. a. |
Wie Benutzer sich bei Microsoft Edge anmelden können
Automatische Anmeldung
Microsoft Edge verwendet für die automatische Anmeldung beim Browser das BS-Standardkonto. Je nachdem, wie ein Gerät konfiguriert ist, können die Benutzer mit einer der folgenden Vorgehensweisen automatisch bei Microsoft Edge angemeldet werden.
- Das Gerät ist Hybrid/AAD-J: verfügbar unter Win10, niedrigeren Windows-Versionen und entsprechenden Serverversionen. Der Benutzer wird automatisch mit dem Microsoft Entra-Konto angemeldet.
- Das Gerät ist einer Domäne beigetreten: verfügbar unter Win10, niedrigeren Windows-Versionen und entsprechenden Serverversionen. Standardmäßig wird der Benutzer nicht automatisch angemeldet. Wenn Benutzer automatisch mit Domänenkonten angemeldet werden sollen, verwenden Sie die ConfigureOnPremisesAccountAutoSignIn-Richtlinie. Wenn Sie Benutzer automatisch mit ihren Microsoft Entra-Konten anmelden möchten, sollten Sie eine Hybridverbindung mit Ihren Geräten in Betracht ziehen.
- Das Standardkonto des Betriebssystems ist MSA: Windows 10 Fall Creators Update (Version 1709/Build 10.0.16299) und höher. Dieses Szenario ist auf Unternehmensgeräten unwahrscheinlich. Wenn das Standardkonto des Betriebssystems jedoch MSA ist, meldet sich Microsoft Edge automatisch mit dem MSA-Konto an.
Manuelle Anmeldung
Wenn der Benutzer nicht automatisch bei Microsoft Edge angemeldet wird, kann er sich bei der ersten Ausführung, in den Browsereinstellungen oder im Identitäts-Flyout manuell bei Microsoft Edge anmelden.
Verwalten der Browser-Anmeldung
Zur Verwaltung der Browser-Anmeldung können Sie die folgenden Richtlinien verwenden:
- Stellen Sie sicher, dass die Benutzer immer über ein Arbeitsprofil in Microsoft Edge verfügen. Siehe NonRemovableProfileEnabled
- Beschränken Sie die Anmeldung auf eine Gruppe vertrauenswürdiger Konten. Siehe RestrictSigninToPattern
- Deaktivieren oder Erzwingen der Browser-Anmeldung. Siehe BrowserSignin
Browser für einmaliges Anmelden (SSO) im Web
Auf einigen Plattformen können Sie Microsoft Edge so konfigurieren, dass die Benutzer automatisch bei Websites angemeldet werden. Mit dieser Option müssen sie die Anmeldeinformationen für den Zugriff auf ihre Arbeits-Websites nicht jedes Mal erneut eingeben, was zur Steigerung der Produktivität beiträgt.
SSO mit Primärem Aktualisierungstoken (PRT)
Microsoft Edge bietet native Unterstützung für PRT-basiertes SSO, es wird auch keine Erweiterung benötigt. Wenn ein Benutzer unter Windows 10 Fall Creators Update und höher bei seinem Browserprofil angemeldet ist, erhält er SSO mit dem PRT-Mechanismus für Websites, die PRT-basiertes einmaliges Anmelden unterstützen.
Ein primäres Aktualisierungstoken (PRT) ist ein Microsoft Entra ID-Schlüssel, der für die Authentifizierung auf Windows 10/11-, iOS- und Android-Geräten verwendet wird. Es ermöglicht das Einmalige Anmelden (Single Sign-On, SSO) bei den Anwendungen, die auf diesen Geräten verwendet werden. Weitere Informationen finden Sie unter Was ist ein Primäres Aktualisierungstoken?.
Nahtlose SSO
Ähnlich wie für PRT SSO bietet Microsoft Edge native Unterstützung für nahtlose SSO, ohne dass eine Erweiterung erforderlich ist. Wenn ein Benutzer unter Windows 10 Fall Creators Update und höher bei seinem Browserprofil angemeldet ist, erhält er SSO mit dem PRT-Mechanismus für Websites, die PRT-basiertes einmaliges Anmelden unterstützen.
Bei der nahtlosen einmaligen Anmeldung werden Benutzer automatisch angemeldet, wenn sie Unternehmensgeräte verwenden, die mit einem Unternehmensnetzwerk verbunden sind. Wenn diese Option aktiviert ist, müssen Benutzer ihre Kennwörter nicht eingeben, um sich bei Microsoft Entra ID anzumelden. Normalerweise müssen sie nicht einmal ihre Benutzernamen eingeben. Weitere Informationen finden Sie unter Active Directory – nahtlose Einmalige Anmeldung.
Integrierte Windows-Authentifizierung (WIA)
Microsoft Edge unterstützt auch die integrierte Windows-Authentifizierung für Authentifizierungsanforderungen im internen Netzwerk einer Organisation für alle Anwendungen, die einen Browser für die Authentifizierung verwenden. Dies wird von allen Versionen von Windows 10/11 und windows down-level unterstützt. Standardmäßig verwendet Microsoft Edge die Intranetzone als Positivliste für WIA. Alternativ können Sie die Liste der Server, die für die integrierte Authentifizierung aktiviert sind, mithilfe der AuthServerAllowlist-Richtlinie anpassen. Unter MacOS ist diese Richtlinie erforderlich, um die integrierte Authentifizierung zu ermöglichen.
Damit WIA-basiertes SSO in Microsoft Edge (Version 77 und höher) unterstützt wird, müssen Sie möglicherweise auch einige serverseitige Konfigurationen vornehmen. Sie müssen wahrscheinlich die Active Directory-Verbunddienste (AD FS)-Eigenschaft WiaSupportedUserAgents konfigurieren, um Unterstützung für die neue Microsoft Edge-Benutzer-Agent-Zeichenfolge hinzuzufügen. Informationen hierzu finden Sie unter Anzeigen von WIASupportedUserAgent-Einstellungen und Ändern der WIASupportedUserAgent-Einstellungen. Nachstehend finden Sie ein Beispiel für die Microsoft Edge-Zeichenfolge des Benutzer-Agenten unter Windows 10. Näheres erfahren Sie unter Microsoft Edge Benutzer-Agent.
Das folgende Beispiel einer UA-Zeichenfolge bezieht sich auf den zum Zeitpunkt der Veröffentlichung dieses Artikels neuesten Entwicklerkanal-Build:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
Für Dienste, die das Delegieren von „Anmeldeinformationen aushandeln“ erfordern, unterstützt Microsoft Edge die beschränkte Delegierung mithilfe der AuthNegotiateDelegateAllowlist-Richtlinie.
Zusätzliche Authentifizierungskonzepte
Proaktive Authentifizierung
Proaktive Authentifizierung ist eine Optimierung gegenüber einer Browser-zu-Website-SSO, bei der die Authentifizierung für bestimmte Erstanbieterwebsites per Frontlader geladen wird. Dadurch wird die Leistung der Adressleiste verbessert, wenn der Benutzer Bing als Suchmaschine verwendet. Auf diese Weise erhalten Benutzer personalisierte MSB-Suchergebnisse (Microsoft Search for Business). Es ermöglicht auch die Authentifizierung bei wichtigen Diensten wie office New Tab Page, MSN und Microsoft Copilot.
Hinweis
Sie können diesen Dienst mithilfe der ProactiveAuthWorkflowEnabled-Richtlinie für Microsoft Edge Version 126 oder höher steuern. oder die ProactiveAuthEnabled-Richtlinie für Microsoft Edge Version 90 oder niedriger verwenden. Verwenden Sie für zwischen verschiedenen Versionen die Browsersignin-Richtlinie , wenn Sie die Browseranmeldung konfigurieren möchten.
Windows Hello CredUI für die NTLM-Authentifizierung
Wenn eine Website versucht, Benutzer mit den NTLM- oder Negotiate-Mechanismen anzumelden und SSO nicht verfügbar ist, bieten wir den Benutzern eine Möglichkeit, ihre BS-Anmeldeinformationen für die Website freizugeben, um die Authentifizierungsaufforderung mithilfe von Windows Hello CredUI zu erfüllen. Dieser Anmeldeflow wird nur für Benutzer unter Windows 10/11 angezeigt, die während einer NTLM- oder Negotiate-Herausforderung kein einmaliges Anmelden erhalten.
Automatische Anmeldung mit gespeicherten Kennwörtern
Wenn ein Benutzer Kennwörter in Microsoft Edge speichert, kann er eine Funktion aktivieren, die ihn automatisch bei Websites anmeldet, auf denen sie Anmeldeinformationen gespeichert haben. Benutzer können diese Funktion unter edge://settings/passwords ein- bzw. ausschalten. Wenn Sie diese Funktion konfigurieren möchten, können Sie hierfür die Kennwort-Manager-Richtlinien verwenden.