Naadloze eenmalige aanmelding van Microsoft Entra
Wat is naadloze eenmalige aanmelding van Microsoft Entra?
Met de naadloze eenmalige aanmelding van Microsoft Entra (Naadloze eenmalige aanmelding van Microsoft Entra) worden gebruikers automatisch aangemeld wanneer ze hun bedrijfsapparaten gebruiken die zijn verbonden met het bedrijfsnetwerk. Wanneer de functie is ingeschakeld, hoeven gebruikers hun wachtwoord niet in te typen om zich aan te melden bij Microsoft Entra ID en hun gebruikersnaam ook meestal niet. Deze functie biedt een gebruiker eenvoudig toegang tot cloudtoepassingen zonder dat er aanvullende on-premises onderdelen nodig zijn.
Naadloze SSO kan worden gecombineerd met de aanmeldmethoden Wachtwoord-hashsynchronisatie of Pass-through-authenticatie. Naadloze eenmalige aanmelding is niet van toepassing op Active Directory Federation Services (ADFS).
Single Sign-On (SSO) via primair vernieuwingstoken (Primary Refresh Token) versus naadloze Single Sign-On (SSO)
Voor Windows 10, Windows Server 2016 en latere versies wordt aanbevolen om Single Sign-On (SSO) te gebruiken via een Primary Refresh Token (PRT). Voor Windows 7 en Windows 8.1 is het aanbevolen om Seamless SSO te gebruiken. Naadloze eenmalige aanmelding vereist dat het apparaat van de gebruiker lid is van een domein, maar het wordt niet gebruikt op windows 10 Microsoft Entra-gekoppelde apparaten of hybride apparaten van Microsoft Entra. Eenmalige aanmelding op Microsoft Entra is toegevoegd aan Microsoft Entra hybrid en geregistreerde Apparaten van Microsoft Entra werken op basis van het primaire vernieuwingstoken (PRT)
SSO via PRT werkt zodra apparaten zijn geregistreerd bij Microsoft Entra ID voor Microsoft Entra hybride gekoppelde, Microsoft Entra gekoppelde of persoonlijk geregistreerde apparaten via een Werk- of schoolaccount. Zie voor meer informatie over hoe Single Sign-On (SSO) werkt met Windows 10 door middel van PRT: Primair Vernieuwingstoken (PRT) en Microsoft Entra ID
Belangrijkste voordelen
-
Goede gebruikerservaring
- Gebruikers worden automatisch aangemeld bij zowel on-premises als cloudtoepassingen.
- Gebruikers hoeven hun wachtwoorden niet herhaaldelijk in te voeren.
-
Eenvoudig te implementeren en beheren
- Er zijn on-premises geen extra onderdelen nodig om dit te laten werken.
- Werkt met elke cloudverificatiemethode: wachtwoordsynchronisatie met hash of pass-through authenticatie.
- Kan worden geïmplementeerd voor sommige of alle gebruikers die groepsbeleid gebruiken.
- Registreer niet-Windows 10-apparaten met Microsoft Entra ID zonder dat u een AD FS-infrastructuur nodig hebt. Voor deze functionaliteit moet u versie 2.1 of hoger van de workplace-join-client gebruiken.
Belangrijkste functies
- De gebruikersnaam voor aanmelden kan de on-premises standaardgebruikersnaam (
userPrincipalName
) of een ander kenmerk zijn dat is geconfigureerd in Microsoft Entra Connect (Alternate ID
). Beide use cases werken omdat Seamless SSO desecurityIdentifier
claim in het Kerberos-ticket gebruikt om het bijbehorende gebruikersobject in Microsoft Entra ID op te zoeken. - Naadloze eenmalige aanmelding is een opportunistische functie. Als dit om welke reden dan ook mislukt, gaat de aanmeldingservaring van de gebruiker terug naar het normale gedrag. Dat wil gezegd dat de gebruiker het wachtwoord op de aanmeldingspagina moet invoeren.
- Als een toepassing (bijvoorbeeld
https://myapps.microsoft.com/contoso.com
) eendomain_hint
parameter (OpenID Connect) ofwhr
(SAML) doorstuurt , waarbij uw tenant oflogin_hint
parameter wordt geïdentificeerd - waarbij de gebruiker wordt geïdentificeerd in de aanmeldingsaanvraag van Microsoft Entra, worden gebruikers automatisch aangemeld zonder gebruikersnamen of wachtwoorden in te voeren. - Gebruikers krijgen ook een stille aanmeldingservaring als een toepassing (bijvoorbeeld
https://contoso.sharepoint.com
) aanmeldingsaanvragen verzendt naar de eindpunten van Microsoft Entra ID die zijn ingesteld als tenants, dat wil zeggen,https://login.microsoftonline.com/contoso.com/<..>
ofhttps://login.microsoftonline.com/<tenant_ID>/<..>
- in plaats van het algemene eindpunt van Microsoft Entra ID - dat wil zeggen,https://login.microsoftonline.com/common/<...>
. - Afmelden wordt ondersteund. Hierdoor kunnen gebruikers een ander Microsoft Entra-account kiezen om zich aan te melden, in plaats van automatisch te worden aangemeld met naadloze eenmalige aanmelding.
- Microsoft 365 Win32-clients (Outlook, Word, Excel en andere) met versie 16.0.8730.xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom. Voor OneDrive moet u de functie voor stille configuratie van OneDrive activeren voor een stille aanmeldingservaring.
- Deze kan worden ingeschakeld via Microsoft Entra Connect.
- Het is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.
- Het wordt ondersteund op webbrowserclients en Office-clients die moderne verificatie ondersteunen op platforms en browsers die geschikt zijn voor Kerberos-verificatie:
Besturingssysteem/browser | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | Ja* | Ja | Ja | Ja*** | N.v.t. |
Windows 8.1 | Ja* | Ja**** | Ja | Ja*** | N.v.t. |
Windows 8 | Ja* | N.v.t. | Ja | Ja*** | N.v.t. |
Windows Server 2012 R2 of hoger | Ja** | N.v.t. | Ja | Ja*** | N.v.t. |
Mac OS X | N.v.t. | N.v.t. | Ja*** | Ja*** | Ja*** |
Notitie
Het verouderde Microsoft Edge wordt niet meer ondersteund
*Vereist Internet Explorer versie 11 of hoger. (Vanaf 17 augustus 2021 bieden Microsoft 365-apps en -services geen ondersteuning voor Internet Explorer 11.)
**Vereist Internet Explorer versie 11 of hoger. Schakel de verbeterde beveiligde modus uit.
***Hiervoor is aanvullende configuratie vereist.
****Microsoft Edge op basis van Chromium
Volgende stappen
- Snel aan de slag - Start met de naadloze eenmalige aanmelding van Microsoft Entra.
- Implementatieplan: stapsgewijs implementatieplan.
- Technische diepgaande analyse - Begrijp hoe deze functie werkt.
- Veelgestelde vragen: antwoorden op veelgestelde vragen.
- Probleemoplossing: Leer hoe u algemene problemen met deze functie kunt oplossen.
- UserVoice: voor het indienen van nieuwe functieaanvragen.