Naadloze eenmalige aanmelding van Microsoft Entra
Wat is naadloze eenmalige aanmelding van Microsoft Entra?
Met Naadloze eenmalige aanmelding van Microsoft Entra (Naadloze eenmalige aanmelding van Microsoft Entra) worden gebruikers aangemeld als hun bedrijfsapparaten zijn verbonden met net bedrijfsnetwerk. Wanneer de functie is ingeschakeld, hoeven gebruikers hun wachtwoord niet in te typen om zich aan te melden bij Microsoft Entra ID en hun gebruikersnaam ook meestal niet. Deze functie biedt een gebruiker eenvoudig toegang tot cloudtoepassingen zonder dat er aanvullende on-premises onderdelen nodig zijn.
Naadloze eenmalige aanmelding kan worden gecombineerd met de aanmeldingsmethoden Hash-synchronisatie wachtwoord of Passthrough-verificatie. Naadloze eenmalige aanmelding is niet van toepassing op Active Directory Federation Services (ADFS).
Eenmalige aanmelding via primair vernieuwingstoken versus naadloze eenmalige aanmelding
Voor Windows 10, Windows Server 2016 en latere versies, is het raadzaam eenmalige aanmelding te gebruiken via een primair vernieuwingstoken (PRT). Voor Windows 7 en Windows 8.1 is het raadzaam naadloze eenmalige aanmelding te gebruiken. Naadloze eenmalige aanmelding vereist dat het apparaat van de gebruiker lid is van een domein, maar het wordt niet gebruikt op windows 10 Microsoft Entra-gekoppelde apparaten of hybride apparaten van Microsoft Entra. Eenmalige aanmelding op Microsoft Entra is toegevoegd aan Microsoft Entra hybrid en geregistreerde Apparaten van Microsoft Entra werken op basis van het primaire vernieuwingstoken (PRT)
Eenmalige aanmelding via PRT werkt zodra apparaten zijn geregistreerd bij Microsoft Entra ID voor Microsoft Entra hybride gekoppeld, Microsoft Entra-gekoppeld of persoonlijke geregistreerde apparaten via Werk- of schoolaccount. Zie voor meer informatie over hoe eenmalige aanmelding werkt met Windows 10 met behulp van PRT: Primair vernieuwingstoken (PRT) en Microsoft Entra-id
Belangrijkste voordelen
- Goede gebruikerservaring
- Gebruikers worden automatisch aangemeld bij zowel on-premises als cloudtoepassingen.
- Gebruikers hoeven hun wachtwoorden niet herhaaldelijk in te voeren.
- Eenvoudig te implementeren en beheren
- Er zijn on-premises geen extra onderdelen nodig om dit te laten werken.
- Werkt met elke cloudverificatiemethode: hash-synchronisatie wachtwoord of passthrough-verificatie.
- Kan worden geïmplementeerd voor sommige of alle gebruikers die groepsbeleid gebruiken.
- Registreer niet-Windows 10-apparaten met Microsoft Entra ID zonder dat u een AD FS-infrastructuur nodig hebt. Voor deze mogelijkheid moet u versie 2.1 of hoger van de aan de werkplek gekoppelde gebruiken.
Belangrijkste functies
- De gebruikersnaam voor aanmelden kan de on-premises standaardgebruikersnaam (
userPrincipalName
) of een ander kenmerk zijn dat is geconfigureerd in Microsoft Entra Connect (Alternate ID
). Beide use cases werken omdat naadloze eenmalige aanmelding desecurityIdentifier
claim in het Kerberos-ticket gebruikt om het bijbehorende gebruikersobject in Microsoft Entra-id op te zoeken. - Naadloze eenmalige aanmelding is een opportunistische functie. Als dit om welke reden dan ook mislukt, gaat de aanmeldingservaring van de gebruiker terug naar het normale gedrag. Dat wil gezegd dat de gebruiker het wachtwoord op de aanmeldingspagina moet invoeren.
- Als een toepassing (bijvoorbeeld
https://myapps.microsoft.com/contoso.com
) eendomain_hint
parameter (OpenID Connect) ofwhr
(SAML) doorstuurt , waarbij uw tenant oflogin_hint
parameter wordt geïdentificeerd - waarbij de gebruiker wordt geïdentificeerd in de aanmeldingsaanvraag van Microsoft Entra, worden gebruikers automatisch aangemeld zonder gebruikersnamen of wachtwoorden in te voeren. - Gebruikers krijgen ook een stille aanmeldingservaring als een toepassing (bijvoorbeeld
https://contoso.sharepoint.com
) aanmeldingsaanvragen verzendt naar de eindpunten van Microsoft Entra ID die zijn ingesteld als tenants , dat wil gezegd,https://login.microsoftonline.com/contoso.com/<..>
ofhttps://login.microsoftonline.com/<tenant_ID>/<..>
- in plaats van het algemene eindpunt van Microsoft Entra ID - dat wilhttps://login.microsoftonline.com/common/<...>
gezegd. - Afmelden wordt ondersteund. Hierdoor kunnen gebruikers een ander Microsoft Entra-account kiezen om zich aan te melden, in plaats van automatisch te worden aangemeld met naadloze eenmalige aanmelding.
- Microsoft 365 Win32-clients (Outlook, Word, Excel en andere) met versie 16.0.8730.xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom. Voor OneDrive moet u de stille configuratiefunctie van OneDrive activeren voor een stille aanmeldingservaring.
- Deze kan worden ingeschakeld via Microsoft Entra Connect.
- Het is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.
- Het wordt ondersteund op webbrowserclients en Office-clients die moderne verificatie ondersteunen op platforms en browsers die geschikt zijn voor Kerberos-verificatie:
Besturingssysteem/browser | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | Ja* | Ja | Ja | Ja*** | N.v.t. |
Windows 8.1 | Ja* | Ja**** | Ja | Ja*** | N.v.t. |
Windows 8 | Ja* | N.v.t. | Ja | Ja*** | N.v.t. |
Windows Server 2012 R2 of hoger | Ja** | N.v.t. | Ja | Ja*** | N.v.t. |
Mac OS X | N.v.t. | N.v.t. | Ja*** | Ja*** | Ja*** |
Notitie
Het verouderde Microsoft Edge wordt niet meer ondersteund
*Vereist Internet Explorer versie 11 of hoger. (Vanaf 17 augustus 2021 bieden Microsoft 365-apps en -services geen ondersteuning voor Internet Explorer 11.)
**Vereist Internet Explorer versie 11 of hoger. Schakel de verbeterde beveiligde modus uit.
***Hiervoor is aanvullende configuratie vereist.
****Microsoft Edge op basis van Chromium
Volgende stappen
- Snel aan de slag - Ga naadloze eenmalige aanmelding van Microsoft Entra aan de slag.
- Implementatieplan: stapsgewijs implementatieplan.
- Gedetailleerde technische informatie: inzicht in de functie.
- Veelgestelde vragen: antwoorden op veelgestelde vragen.
- Probleemoplossing: Leer hoe u algemene problemen met deze functie kunt oplossen.
- UserVoice: voor het indienen van nieuwe functieaanvragen.