Soporte y configuración de identidad de Microsoft Edge
En este artículo se describe cómo Microsoft Edge usa la identidad para admitir funciones como la sincronización y el inicio de sesión único (SSO). Microsoft Edge admite el inicio de sesión con Active Directory Domain Services (AD DS), Microsoft Entra ID y cuentas de Microsoft (MSA). Actualmente, Microsoft Edge solo admite cuentas de Microsoft Entra que pertenecen a la nube global o a la nube soberana de GCC. Estamos trabajando para agregar compatibilidad con otras nubes soberanas.
Nota
Esto se aplica a Microsoft Edge, versión 77 o posterior.
Funciones de inicio de sesión y autenticadas en el explorador
Microsoft Edge admite el inicio de sesión en un perfil de explorador con un identificador de Microsoft Entra, MSA o una cuenta de dominio. El tipo de cuenta que se usa para el inicio de sesión determina las funciones autenticadas que están disponibles para el usuario en Microsoft Edge. En la siguiente tabla se resume la compatibilidad de funciones para cada tipo de cuenta.
Característica | Microsoft Entra ID | Microsoft Entra ID Free | AD DS local | MSA |
---|---|---|---|---|
Sincronización | Sí | No | No | Sí |
SSO con token de actualización principal | Sí | Sí | No | Sí |
SSO sin problemas | Sí | Sí | Sí | N/D |
Autenticación de Windows integrada | Sí | Sí | Sí | N/D |
Página Nueva pestaña de empresa | Requiere O365 | Requiere O365 | No | N/D |
Búsqueda de Microsoft | Requiere O365 | Requiere O365 | No | N/D |
Cómo iniciar sesión en Microsoft Edge
Inicio de sesión automático
Microsoft Edge usa la cuenta del SO predeterminada para iniciar sesión automáticamente en el explorador. En función de cómo esté configurado un dispositivo, los usuarios pueden iniciar sesión automáticamente en Microsoft Edge mediante uno de los siguientes métodos.
- El dispositivo es híbrido/AAD-J: disponible en Win10, Windows de nivel inferior y en las versiones de servidor correspondientes. El usuario inicia sesión automáticamente con su cuenta de Microsoft Entra.
- El dispositivo se ha unido a un dominio: disponible en Win10, Windows de nivel inferior y en las versiones de servidor correspondientes. De forma predeterminada, el usuario no inicia sesión automáticamente. Si quiere que los usuarios inicien sesión con cuentas de dominios automáticamente, use la directiva ConfigureOnPremisesAccountAutoSignIn. Si desea iniciar sesión automáticamente los usuarios con sus cuentas de Microsoft Entra, considere la posibilidad de unirse a los dispositivos de forma híbrida.
- La cuenta predeterminada del sistema operativo es MSA: Windows 10 Fall Creators Update (versión 1709/Compilación 10.0.16299) y versiones posteriores. Este escenario es improbable en los dispositivos de empresa. Sin embargo, si la cuenta predeterminada del sistema operativo es MSA, Microsoft Edge inicia sesión automáticamente con la cuenta de MSA.
Inicio de sesión manual
Si el usuario no inicia sesión automáticamente en Microsoft Edge, puede hacerlo manualmente durante la experiencia de primera ejecución, la configuración del explorador o abriendo el control flotante de identidad.
Administrar el inicio de sesión del explorador
Si quiere administrar el inicio de sesión del explorador, puede usar las siguientes directivas:
- Asegúrese de que los usuarios siempre tengan un perfil de trabajo en Microsoft Edge. Ver NonRemovableProfileEnabled
- Restrinja el inicio de sesión a un conjunto de cuentas de confianza. Ver RestrictSigninToPattern
- Deshabilite o fuerce el inicio de sesión del explorador. Ver BrowserSignin
Inicio de sesión único (SSO) del explorador a la Web
En algunas plataformas, puede configurar Microsoft Edge para que inicie sesión automáticamente en los sitios web para los usuarios. Esta opción les ahorra el problema de volver a escribir sus credenciales para tener acceso a sus sitios web de trabajo y aumenta su productividad.
SSO con Token de actualización principal (PRT)
Microsoft Edge tiene un soporte nativo para SSO basado en PRT y no necesita una extensión. En Windows 10 Fall Creators Update y versiones posteriores, si un usuario ha iniciado sesión en su perfil de explorador, obtiene el inicio de sesión único con el mecanismo PRT a los sitios web que admiten el inicio de sesión único basado en PRT.
Un token de actualización principal (PRT) es una clave de id. de Microsoft Entra que se usa para la autenticación en dispositivos Windows 10/11, iOS y Android. Habilita el inicio de sesión único (SSO) entre las aplicaciones que se usan en estos dispositivos. Para obtener más información, consulta ¿Qué es un Token de actualización principal?.
SSO sin problemas
Al igual que el SSO de PRT, Microsoft Edge tiene un soporte nativo para el SSO de conexión directa sin necesidad de una extensión. En Windows 10 Fall Creators Update y versiones posteriores, si un usuario ha iniciado sesión en su perfil de explorador, obtiene el inicio de sesión único con el mecanismo PRT a los sitios web que admiten el inicio de sesión único basado en PRT.
El inicio de sesión único de conexión directa hace que los usuario inicien sesión automáticamente cuando están en dispositivos corporativos conectados a una red corporativa. Cuando está habilitado, los usuarios no necesitan escribir sus contraseñas para iniciar sesión en Microsoft Entra ID. Por lo general, ni siquiera tienen que escribir sus nombres de usuario. Para obtener más información, consulta Inicio de sesión único sin problemas de Active Directory.
Autenticación integrada de Windows (WIA)
Microsoft Edge también es compatible con la Autenticación integrada de Windows para las solicitudes dentro de la red interna de una organización para cualquier aplicación que use un explorador para su autenticación. Esto se admite en todas las versiones de Windows 10/11 y Windows de nivel inferior. De forma predeterminada, Microsoft Edge usa la zona de intranet como lista de permitidos para WIA. Como alternativa, puede personalizar la lista de servidores que estén habilitados para la Autenticación integrada a través de la directiva AuthServerAllowlist. En macOS, esta directiva es necesaria para habilitar la Autenticación integrada.
Para admitir el SSO basado en WIA en Microsoft Edge (versión 77 y posteriores), puede que también deba realizar algunas tareas de configuración del servidor. Probablemente tendrá que configurar la propiedad Servicios de federación de Active Directory (AD FS) WiaSupportedUserAgents para agregar compatibilidad con la nueva cadena del agente de usuario de Microsoft Edge. Para obtener instrucciones sobre cómo realizar esta acción, vea la configuración Ver WIASupportedUserAgent y Cambiar WIASupportedUserAgent. A continuación, se muestra un ejemplo de la cadena de agente de usuario de Microsoft Edge en Windows 10 y puede obtener más información sobre la cadena de Microsoft Edge aquí.
El siguiente ejemplo de una cadena de agente de usuario es para la última compilación del canal para desarrolladores en el momento en que se publicó este artículo:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
Para los servicios que requieren la delegación de credenciales de negociación, Microsoft Edge admite la delegación restringida a través de la directiva AuthNegotiateDelegateAllowlist.
Conceptos de autenticación adicionales
Autenticación proactiva
La autenticación proactiva es una optimización del SSO del explorador al sitio web que carga por adelantado la autenticación en ciertos sitios web propios. Esto permite mejorar el rendimiento de la barra de direcciones si el usuario usa Bing como motor de búsqueda. Esto proporciona a los usuarios resultados de Búsqueda de Microsoft para empresas (MSB) y resultados personalizados. También permite la autenticación en servicios clave, como la página nueva pestaña de Office, MSN y Microsoft Copilot.
Nota
Puede controlar este servicio mediante la directiva ProactiveAuthWorkflowEnabled para Microsoft Edge versión 126 o posterior; o mediante la directiva ProactiveAuthEnabled para Microsoft Edge versión 90 o inferior. Para entre versiones, si desea configurar el inicio de sesión del explorador, use la directiva BrowserSignin .
CredUI de Windows Hello para la autenticación NTLM
Cuando un sitio web intenta que los usuarios inicien sesión con los mecanismos de autenticación NTLM o Negotiate y el SSO no está disponible, les ofrecemos a una experiencia en la que podrán compartir sus credenciales del SO con el sitio web para cumplir el desafío de autenticación con CredUI de Windows Hello. Este flujo de inicio de sesión solo aparecerá para los usuarios de Windows 10/11 que no obtengan inicio de sesión único durante un desafío NTLM o Negotiate.
Iniciar sesión automáticamente con contraseñas guardadas
Si un usuario guarda las contraseñas en Microsoft Edge, puede habilitar una función para iniciar sesión automáticamente en los sitios web en los que se hayan guardado las credenciales. Para cambiar esta función, los usuarios pueden ir a edge://settings/passwords. Si quiere configurar esta característica, puede usar las directivas de administrador de contraseñas.