W tym artykule znajdziesz odpowiedzi na często zadawane pytania dotyczące bezproblemowego logowania jednokrotnego firmy Microsoft (Bezproblemowe logowanie jednokrotne). Zaglądaj do tego materiału od czasu do czasu, aby zapoznać się z nową treścią.
Z jakimi metodami logowania działa bezproblemowe logowanie jednokrotne
Bezproblemowe logowanie jednokrotne można połączyć z metodami logowania takimi jak synchronizacja skrótów haseł lub uwierzytelnianie z przekazywaniem. Jednak tej funkcji nie można używać z usługami Active Directory Federation Services (ADFS).
Czy bezproblemowe logowanie jednokrotne jest bezpłatną funkcją?
Bezproblemowe logowanie jednokrotne to bezpłatna funkcja i do korzystania z niej nie są potrzebne żadne płatne wersje identyfikatora Microsoft Entra.
Czy bezproblemowe logowanie jednokrotne jest dostępne w chmurze Microsoft Azure (Niemcy) i w chmurze Microsoft Azure Government?
Bezproblemowe logowanie jednokrotne jest dostępne dla chmury platformy Azure Government. Aby uzyskać szczegółowe informacje, zobacz Zagadnienia dotyczące tożsamości hybrydowej dla platformy Azure Government.
Jakie aplikacje korzystają z możliwości parametru "domain_hint" lub "login_hint" bezproblemowego logowania jednokrotnego?
Tabela zawiera listę aplikacji, które mogą wysyłać te parametry do identyfikatora Entra firmy Microsoft. Ta akcja zapewnia użytkownikom środowisko logowania dyskretnego przy użyciu bezproblemowego logowania jednokrotnego:
| Nazwa aplikacji | Adres URL aplikacji |
|---|---|
| Panel dostępu | https://myapps.microsoft.com/contoso.com |
| Outlook on Web | https://outlook.office365.com/contoso.com |
| Portale usługi Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Ponadto użytkownicy uzyskują środowisko logowania dyskretnego, jeśli aplikacja wysyła żądania logowania do punktów końcowych firmy Microsoft Entra skonfigurowanych jako dzierżawy — czyli https://login.microsoftonline.com/contoso.com/<..> lub https://login.microsoftonline.com/<tenant_ID>/<..> — zamiast wspólnego punktu końcowego firmy Microsoft Entra — czyli https://login.microsoftonline.com/common/<...>. Tabela zawiera listę aplikacji, które tworzą te typy żądań logowania.
| Nazwa aplikacji | Adres URL aplikacji |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Centrum administracyjne firmy Microsoft Entra | https://portal.azure.com/contoso.com |
W powyższych tabelach zastąp ciąg "contoso.com" nazwą domeny, aby uzyskać odpowiednie adresy URL aplikacji dla dzierżawy.
Jeśli chcesz, aby inne aplikacje korzystały z naszego środowiska logowania dyskretnego, daj nam znać w sekcji opinii.
Czy bezproblemowe logowanie jednokrotne obsługuje wartość "Identyfikator alternatywny" jako nazwę użytkownika, a nie "userPrincipalName"?
Tak. Bezproblemowe logowanie jednokrotne obsługuje Alternate ID jako nazwę użytkownika skonfigurowaną w programie Microsoft Entra Connect, jak pokazano tutaj. Nie wszystkie aplikacje platformy Microsoft 365 obsługują usługę Alternate ID. Aby dowiedzieć się, czy dana aplikacja obsługuje identyfikator alternatywny, zapoznaj się z jej dokumentacją.
Jaka jest różnica między środowiskiem logowania jednokrotnego udostępnianym przez firmę Microsoft Entra join i Seamless SSO?
Dołączenie do firmy Microsoft Entra zapewnia użytkownikom logowanie jednokrotne, jeśli ich urządzenia są zarejestrowane w usłudze Microsoft Entra ID. Te urządzenia nie muszą być przyłączone do domeny. Logowanie jednokrotne jest udostępniane przy użyciu podstawowych tokenów odświeżania lub żądań ściągnięcia, a nie protokołu Kerberos. Wrażenia użytkownika są najbardziej optymalne na urządzeniach z systemem Windows 10. Logowanie jednokrotne odbywa się automatycznie w przeglądarce Microsoft Edge. Funkcja ta działa również w przeglądarce Chrome z wykorzystaniem rozszerzenia przeglądarki.
W dzierżawie możesz użyć funkcji Microsoft Entra join i bezproblemowego logowania jednokrotnego. Te dwie funkcje wzajemnie się uzupełniają. Jeśli obie funkcje są włączone, logowanie jednokrotne z aplikacji Microsoft Entra ma pierwszeństwo przed bezproblemowym logowaniem jednokrotnym.
Chcę zarejestrować urządzenia z systemem innych niż Windows 10 przy użyciu identyfikatora Entra firmy Microsoft bez korzystania z usług AD FS. Czy zamiast tego można używać bezproblemowego logowania jednokrotnego?
Tak, ten scenariusz wymaga wersji 2.1 lub nowszej klienta przyłączonego do miejsca pracy.
Jak mogę przerzucić klucz odszyfrowywania Kerberos konta komputera "AZUREADSSO"?
Ważne jest, aby często przerzucać klucz AZUREADSSO odszyfrowywania Kerberos konta komputera (który reprezentuje identyfikator Microsoft Entra ID) utworzony w lokalnym lesie usługi AD.
Ważne
Zdecydowanie zalecamy przerzucanie klucza odszyfrowywania Kerberos co najmniej co 30 dni przy użyciu Update-AzureADSSOForest polecenia cmdlet . W przypadku korzystania z Update-AzureADSSOForest polecenia cmdlet upewnij się, że nie uruchamiasz Update-AzureADSSOForest polecenia więcej niż raz w każdym lesie. W przeciwnym razie funkcja przestanie działać do czasu wygaśnięcia biletów użytkowników Kerberos oraz ich ponownego wydania przez Ciebie w lokalnej usłudze Active Directory.
Wykonaj następujące kroki na serwerze lokalnym, na którym działa program Microsoft Entra Connect:
Uwaga
Aby wykonać kroki, potrzebne są poświadczenia administratora domeny i administratora tożsamości hybrydowej.
Jeśli nie jesteś administratorem domeny i masz przypisane uprawnienia przez administratora domeny, należy wywołać metodę Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Krok 1. Pobieranie listy lasów usługi AD, w których włączono bezproblemowe logowanie jednokrotne
- Najpierw pobierz i zainstaluj program Azure AD PowerShell.
- Przejdź do folderu
$env:programfiles"\Microsoft Azure Active Directory Connect". - Zaimportuj moduł bezproblemowego logowania jednokrotnego programu PowerShell przy użyciu tego polecenia:
Import-Module .\AzureADSSO.psd1. - Uruchom program PowerShell jako administrator. W programie PowerShell wywołaj
New-AzureADSSOAuthenticationContext. To polecenie powinno zawierać wyskakujące okienko umożliwiające wprowadzenie poświadczeń administratora tożsamości hybrydowej dzierżawy. - Wywołaj polecenie
Get-AzureADSSOStatus | ConvertFrom-Json. To polecenie zawiera listę lasów usługi AD (spójrz na listę "Domeny", na której włączono tę funkcję.
Krok 2. Zaktualizuj klucz odszyfrowywania Kerberos w każdym lesie usługi AD, w którym go skonfigurowano
- Wywołaj polecenie
$creds = Get-Credential. Po wyświetleniu monitu wprowadź poświadczenia administratora domeny zamierzonego lasu usługi AD.
Uwaga
Nazwa użytkownika poświadczeń administratora domeny musi być wprowadzona w formacie nazwy konta SAM (contoso\johndoe lub contoso.com\johndoe). Używamy domenowej części nazwy użytkownika w celu zlokalizowania kontrolera domeny administratora domeny przy użyciu systemu DNS.
Uwaga
Używane konto administratora domeny nie może być członkiem grupy użytkowników chronionych. Jeśli tak, operacja zakończy się niepowodzeniem.
Wywołaj polecenie
Update-AzureADSSOForest -OnPremCredentials $creds. To polecenie aktualizuje klucz odszyfrowywania Kerberos w przypadku konta komputeraAZUREADSSOw tym konkretnym lesie usługi AD oraz aktualizuje go w usłudze Microsoft Entra ID.Powtórz poprzednie kroki dla każdego lasu usługi AD, w których skonfigurowano tę funkcję.
Uwaga
Jeśli aktualizujesz las, inny niż microsoft Entra Connect, upewnij się, że jest dostępna łączność z serwerem wykazu globalnego (TCP 3268 i TCP 3269).
Ważne
Nie trzeba tego robić na serwerach z programem Microsoft Entra Connect w trybie przejściowym.
Jak wyłączyć bezproblemowe logowanie jednokrotne?
Krok 1. Wyłączanie funkcji w dzierżawie
Opcja A: Wyłączanie przy użyciu usługi Microsoft Entra Connect
- Uruchom program Microsoft Entra Connect, wybierz pozycję Zmień stronę logowania użytkownika i kliknij przycisk Dalej.
- Usuń zaznaczenie opcji Włącz logowanie jednokrotne . Przejdź przez kolejne ekrany kreatora.
Po ukończeniu pracy kreatora bezproblemowe logowanie jednokrotne jest wyłączone w dzierżawie. Zobaczysz jednak komunikat na ekranie, który odczytuje się w następujący sposób:
"Logowanie jednokrotne jest teraz wyłączone, ale istnieją inne kroki ręczne do wykonania w celu ukończenia czyszczenia. Dowiedz się więcej"
Aby ukończyć proces czyszczenia, wykonaj kroki 2 i 3 na serwerze lokalnym, na którym działa program Microsoft Entra Connect.
Opcja B: Wyłączanie przy użyciu programu PowerShell
Uruchom następujące kroki na serwerze lokalnym, na którym działa program Microsoft Entra Connect:
- Najpierw pobierz i zainstaluj program Azure AD PowerShell.
- Przejdź do folderu
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Zaimportuj moduł bezproblemowego logowania jednokrotnego programu PowerShell przy użyciu tego polecenia:
Import-Module .\AzureADSSO.psd1. - Uruchom program PowerShell jako administrator. W programie PowerShell wywołaj
New-AzureADSSOAuthenticationContext. To polecenie powinno zawierać wyskakujące okienko umożliwiające wprowadzenie poświadczeń administratora tożsamości hybrydowej dzierżawy. - Wywołaj polecenie
Enable-AzureADSSO -Enable $false.
W tym momencie bezproblemowe logowanie jednokrotne jest wyłączone, ale domeny pozostają skonfigurowane na wypadek, gdyby chcesz włączyć bezproblemowe logowanie jednokrotne z powrotem. Jeśli chcesz całkowicie usunąć domeny z konfiguracji bezproblemowego logowania jednokrotnego, po ukończeniu kroku 5 powyżej wywołaj następujące polecenie cmdlet: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Ważne
Wyłączenie bezproblemowego logowania jednokrotnego przy użyciu programu PowerShell nie spowoduje zmiany stanu w programie Microsoft Entra Connect. Bezproblemowe logowanie jednokrotne jest wyświetlane jako włączone na stronie Zmienianie logowania użytkownika.
Uwaga
Jeśli nie masz serwera microsoft Entra Connect Sync, możesz go pobrać i uruchomić instalację początkową. Nie spowoduje to skonfigurowania serwera, ale rozpakuje wymagane pliki wymagane do wyłączenia logowania jednokrotnego. Po zakończeniu instalacji msi zamknij kreatora Microsoft Entra Connect i uruchom kroki, aby wyłączyć bezproblemowe logowanie jednokrotne przy użyciu programu PowerShell.
Krok 2. Uzyskiwanie listy lasów usługi AD, w których włączono bezproblemowe logowanie jednokrotne
Wykonaj zadania od 1 do 4, jeśli bezproblemowe logowanie jednokrotne zostało wyłączone przy użyciu programu Microsoft Entra Connect. Jeśli zamiast tego wyłączono bezproblemowe logowanie jednokrotne przy użyciu programu PowerShell, przejdź do zadania 5.
- Najpierw pobierz i zainstaluj program Azure AD PowerShell.
- Przejdź do folderu
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Zaimportuj moduł bezproblemowego logowania jednokrotnego programu PowerShell przy użyciu tego polecenia:
Import-Module .\AzureADSSO.psd1. - Uruchom program PowerShell jako administrator. W programie PowerShell wywołaj
New-AzureADSSOAuthenticationContext. To polecenie powinno zawierać wyskakujące okienko umożliwiające wprowadzenie poświadczeń administratora tożsamości hybrydowej dzierżawy. - Wywołaj polecenie
Get-AzureADSSOStatus | ConvertFrom-Json. To polecenie udostępnia listę lasów usługi AD (przyjrzyj się liście „Domeny”), w których włączono tę funkcję.
Krok 3. Ręcznie usuń konto komputera AZUREADSSO z każdego wyświetlonego lasu usługi AD.
Następne kroki
- Szybki start — rozpoczynanie pracy i uruchamianie bezproblemowego logowania jednokrotnego firmy Microsoft.
- Szczegółowe omówienie techniczne — dowiedz się, jak działa ta funkcja.
- Rozwiązywanie problemów — dowiedz się, jak rozwiązywać typowe problemy z funkcją.
- UserVoice — w przypadku zgłaszania nowych żądań funkcji.