Bewerken

Delen via


Naadloze eenmalige aanmelding van Microsoft Entra: veelgestelde vragen

In dit artikel behandelen we veelgestelde vragen over naadloze eenmalige aanmelding van Microsoft Entra (naadloze eenmalige aanmelding). Kom af en toe terug om te controleren of er nieuwe inhoud beschikbaar is.

Met welke aanmeldingsmethoden werkt naadloze eenmalige aanmelding?

Naadloze eenmalige aanmelding kan worden gecombineerd met de aanmeldingsmethoden Hash-synchronisatie wachtwoord of Passthrough-verificatie. Deze functie kan echter niet worden gebruikt met Active Directory Federation Services (ADFS).

Is naadloze eenmalige aanmelding een gratis functie?

Naadloze eenmalige aanmelding is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.

Is naadloze eenmalige aanmelding beschikbaar in de Cloud van Microsoft Azure Duitsland en de Microsoft Azure Government-cloud?

Naadloze eenmalige aanmelding is beschikbaar voor de Azure Government-cloud. Bekijk hybride identiteitsoverwegingen voor Azure Government voor meer informatie.

Welke toepassingen profiteren van de parametermogelijkheid 'domain_hint' of 'login_hint' van naadloze eenmalige aanmelding?

De tabel bevat een lijst met toepassingen die deze parameters naar Microsoft Entra-id kunnen verzenden. Deze actie biedt gebruikers een stille aanmeldingservaring met naadloze eenmalige aanmelding::

Toepassingsnaam Toepassings-URL
Toegangsvenster https://myapps.microsoft.com/contoso.com
Webversie van Outlook https://outlook.office365.com/contoso.com
Office 365-portals https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Bovendien krijgen gebruikers een stille aanmeldingservaring als een toepassing aanmeldingsaanvragen verzendt naar Microsoft Entra-eindpunten die zijn ingesteld als tenants , https://login.microsoftonline.com/contoso.com/<dat wil wel ..> of https://login.microsoftonline.com/<tenant_ID>/<..> - in plaats van het algemene Microsoft Entra-eindpunt , dat wil https://login.microsoftonline.com/common/<gezegd ...>. De tabel bevat een lijst met toepassingen die deze typen aanmeldingsaanvragen maken.

Toepassingsnaam Toepassings-URL
SharePoint Online https://contoso.sharepoint.com
Microsoft Entra-beheercentrum https://portal.azure.com/contoso.com

Vervang in de bovenstaande tabellen 'contoso.com' door uw domeinnaam om naar de juiste toepassings-URL's voor uw tenant te gaan.

Als u andere toepassingen wilt gebruiken met onze stille aanmeldingservaring, laat het ons dan weten in de feedbacksectie.

Biedt naadloze eenmalige aanmelding ondersteuning voor 'Alternatieve id' als gebruikersnaam, in plaats van 'userPrincipalName'?

Ja. Naadloze eenmalige aanmelding ondersteunt Alternate ID als gebruikersnaam wanneer deze is geconfigureerd in Microsoft Entra Connect, zoals hier wordt weergegeven. Niet alle Microsoft 365-toepassingen ondersteunen Alternate ID. Raadpleeg de documentatie van de specifieke toepassing voor de ondersteuningsverklaring.

Wat is het verschil tussen de ervaring voor eenmalige aanmelding van Microsoft Entra join en naadloze eenmalige aanmelding?

Microsoft Entra join biedt SSO aan gebruikers als hun apparaten zijn geregistreerd bij Microsoft Entra ID. Deze apparaten hoeven niet noodzakelijkerwijs aan een domein te zijn gekoppeld. Eenmalige aanmelding wordt geleverd met behulp van primaire vernieuwingstokens of PRT's en niet met Kerberos. De gebruikerservaring is optimaal op Windows 10-apparaten. Eenmalige aanmelding vindt automatisch plaats in de Microsoft Edge-browser. Het werkt ook in Chrome wanneer u een browserextensie gebruikt.

U kunt Microsoft Entra join en naadloze eenmalige aanmelding op uw tenant gebruiken. Deze twee functies vullen elkaar aan. Als beide functies zijn ingeschakeld, heeft eenmalige aanmelding van Microsoft Entra join voorrang op naadloze eenmalige aanmelding.

Ik wil niet-Windows 10-apparaten registreren bij Microsoft Entra ID, zonder AD FS te gebruiken. Kan ik in plaats daarvan naadloze eenmalige aanmelding gebruiken?

Ja, voor dit scenario is versie 2.1 of hoger van de workplace-join-client vereist.

Hoe kan ik de Kerberos-ontsleutelingssleutel van het computeraccount 'AZUREADSSO' overrollen?

Het is belangrijk om regelmatig de Kerberos-ontsleutelingssleutel van het AZUREADSSO computeraccount (dat Staat voor Microsoft Entra-id) te gebruiken die is gemaakt in uw on-premises AD-forest.

Belangrijk

We raden u ten zeerste aan om de Kerberos-ontsleutelingssleutel minstens elke 30 dagen over te zetten met behulp van de Update-AzureADSSOForest cmdlet. Wanneer u de Update-AzureADSSOForest cmdlet gebruikt, moet u ervoor zorgen dat u de Update-AzureADSSOForest opdracht niet meer dan één keer per forest uitvoert. Anders werkt de functie niet meer totdat de Kerberos-tickets van uw gebruikers zijn verlopen en deze opnieuw worden uitgegeven door uw on-premises Active Directory.

Volg deze stappen op de on-premises server waarop u Microsoft Entra Connect uitvoert:

Notitie

U hebt de referenties van domeinbeheerder en hybride identiteitsbeheerder nodig voor de stappen. Als u geen domeinbeheerder bent en u machtigingen hebt toegewezen door de domeinbeheerder, moet u het aanroepen Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Stap 1. Lijst met AD-forests ophalen waarvoor naadloze eenmalige aanmelding is ingeschakeld

  1. Download en installeer eerst Azure AD PowerShell.
  2. Navigeer naar de map $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importeer de PowerShell-module voor naadloze eenmalige aanmelding met behulp van deze opdracht: Import-Module .\AzureADSSO.psd1.
  4. Voer PowerShell uit als beheerder. Roep New-AzureADSSOAuthenticationContext aan in PowerShell. Met deze opdracht krijgt u een pop-up om de referenties van de hybride identiteitsbeheerder van uw tenant in te voeren.
  5. Roep Get-AzureADSSOStatus | ConvertFrom-Json aan. Deze opdracht bevat een lijst met AD-forests (bekijk de lijst Domeinen) waarop deze functie is ingeschakeld.

Stap 2. Werk de Kerberos-ontsleutelingssleutel bij voor elk AD-forest waar deze is ingesteld

  1. Roep $creds = Get-Credential aan. Wanneer u hierom wordt gevraagd, voert u de referenties voor domeinbeheerder in voor het beoogde AD-forest.

Notitie

De gebruikersnaam van de domeinbeheerderreferenties moet in de SAM-accountnaamindeling (contoso\johndoe of contoso.com\johndoe) worden ingevoerd. We gebruiken het domeingedeelte van de gebruikersnaam om de domeincontroller van de domeinbeheerder te vinden met behulp van DNS.

Notitie

Het gebruikte domeinbeheerdersaccount mag geen lid zijn van de groep Beveiligde gebruikers. Zo ja, dan mislukt de bewerking.

  1. Roep Update-AzureADSSOForest -OnPremCredentials $creds aan. Met deze opdracht wordt de Kerberos-ontsleutelingssleutel bijgewerkt voor het computeraccount AZUREADSSO in dit specifieke AD-forest. Deze wordt bijgewerkt in Microsoft Entra ID.

  2. Herhaal de voorgaande stappen voor elk AD-forest waarvoor u de functie hebt ingesteld.

Notitie

Als u een forest bijwerkt, behalve microsoft Entra Connect, moet u ervoor zorgen dat de verbinding met de globale catalogusserver (TCP 3268 en TCP 3269) beschikbaar is.

Belangrijk

Dit hoeft niet te worden gedaan op servers waarop Microsoft Entra Connect wordt uitgevoerd in de faseringsmodus.

Hoe kan ik naadloze eenmalige aanmelding uitschakelen?

Stap 1. De functie op uw tenant uitschakelen

Optie A: Uitschakelen met Microsoft Entra Connect

  1. Voer Microsoft Entra Connect uit, kies De aanmeldingspagina van de gebruiker wijzigen en klik op Volgende.
  2. Schakel de optie Eenmalige aanmelding inschakelen uit. Ga door met de wizard.

Na het voltooien van de wizard is naadloze eenmalige aanmelding uitgeschakeld op uw tenant. U ziet echter een bericht op het scherm dat als volgt wordt gelezen:

'Eenmalige aanmelding is nu uitgeschakeld, maar er zijn andere handmatige stappen om opschoning te voltooien. Meer informatie"

Volg stap 2 en 3 op de on-premises server waarop u Microsoft Entra Connect uitvoert om het opschonen te voltooien.

Optie B: uitschakelen met behulp van PowerShell

Voer de volgende stappen uit op de on-premises server waarop u Microsoft Entra Connect uitvoert:

  1. Download en installeer eerst Azure AD PowerShell.
  2. Navigeer naar de map $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importeer de PowerShell-module voor naadloze eenmalige aanmelding met behulp van deze opdracht: Import-Module .\AzureADSSO.psd1.
  4. Voer PowerShell uit als beheerder. Roep New-AzureADSSOAuthenticationContext aan in PowerShell. Met deze opdracht krijgt u een pop-up om de referenties van de hybride identiteitsbeheerder van uw tenant in te voeren.
  5. Roep Enable-AzureADSSO -Enable $false aan.

Op dit moment is naadloze eenmalige aanmelding uitgeschakeld, maar de domeinen blijven geconfigureerd voor het geval u naadloze eenmalige aanmelding wilt inschakelen. Als u de domeinen volledig uit de configuratie voor naadloze eenmalige aanmelding wilt verwijderen, roept u de volgende cmdlet aan nadat u stap 5 hierboven hebt voltooid: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Belangrijk

Als u naadloze eenmalige aanmelding uitschakelt met PowerShell, wordt de status in Microsoft Entra Connect niet gewijzigd. Naadloze eenmalige aanmelding wordt weergegeven als ingeschakeld op de aanmeldingspagina van de gebruiker wijzigen.

Notitie

Als u geen Microsoft Entra Connect Sync-server hebt, kunt u er een downloaden en de eerste installatie uitvoeren. Hiermee wordt de server niet ingesteld, maar worden de benodigde bestanden uitgepakt die nodig zijn om eenmalige aanmelding uit te schakelen. Zodra de MSI-installatie is voltooid, sluit u de Microsoft Entra Connect-wizard en voert u de stappen uit om naadloze eenmalige aanmelding uit te schakelen met behulp van PowerShell.

Stap 2. Haal de lijst met AD-forests op waarvoor naadloze eenmalige aanmelding is ingeschakeld

Volg taken 1 tot en met 4 als u naadloze eenmalige aanmelding hebt uitgeschakeld met Microsoft Entra Connect. Als u in plaats daarvan naadloze eenmalige aanmelding met PowerShell hebt uitgeschakeld, gaat u verder met taak 5.

  1. Download en installeer eerst Azure AD PowerShell.
  2. Navigeer naar de map $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importeer de PowerShell-module voor naadloze eenmalige aanmelding met behulp van deze opdracht: Import-Module .\AzureADSSO.psd1.
  4. Voer PowerShell uit als beheerder. Roep New-AzureADSSOAuthenticationContext aan in PowerShell. Met deze opdracht krijgt u een pop-up om de referenties van de hybride identiteitsbeheerder van uw tenant in te voeren.
  5. Roep Get-AzureADSSOStatus | ConvertFrom-Json aan. Met deze opdracht krijgt u de lijst met AD-forests (bekijk de lijst Domeinen) waarvoor deze functie is ingeschakeld.

Stap 3. Verwijder computeraccount AZUREADSSO handmatig uit elk AD-forest dat wordt vermeld.

Volgende stappen