Compartilhar via


Início Rápido: logon único contínuo do Microsoft Entra

O logon único contínuo (SSO contínuo) do Microsoft Entra conecta os usuários automaticamente quando estão nos usando os respectivos desktops corporativos conectados à sua rede corporativa. O SSO contínuo fornece aos usuários acesso fácil aos seus aplicativos baseados em nuvem, sem usar outros componentes locais adicionais.

Para implantar o SSO contínuo para o Microsoft Entra ID usando o Microsoft Entra Connect, conclua as etapas descritas nas seções a seguir.

Verificar os pré-requisitos

Verifique se os seguintes pré-requisitos estão em vigor:

  • Configurar seu servidor do Microsoft Entra Connect: se você usa a autenticação de passagem como seu método de entrada, não é necessária nenhuma verificação de outros pré-requisitos. Se você usar a sincronização de hash de senha como seu método de logon e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, verifique se:

    • Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.

    • Se o seu firewall ou proxy permitir, adicione as conexões à sua lista de permitidos para URLs *.msappproxy.net na porta 443. Se você precisar de uma URL específica em vez de um caractere curinga para a configuração do proxy, pode configurar tenantid.registration.msappproxy.net, em que tenantid é o GUID do locatário para o qual você está configurando o recurso. Se as exceções de proxy baseado em URL não forem possíveis em sua organização, você pode permitir o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente. Esse pré-requisito é aplicável somente quando você habilita o recurso SSO Contínuo. Não é necessário para entradas diretas do usuário.

      Observação

      • As versões 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 do Microsoft Entra Connect têm um problema relacionado à sincronização de hash de senha. Se você não pretende usar a sincronização de hash de senha em conjunto com a autenticação de passagem, examine as notas sobre a versão do Microsoft Entra Connect para saber mais.
  • Usar uma topologia do Microsoft Entra Connect com suporte: verifique se você está usando uma das topologias com suporte do Microsoft Entra Connect.

    Observação

    O SSO contínuo dá suporte a várias florestas locais de Windows Server Active Directory (Windows Server AD), independentemente de haver ou não relações de confiança do Windows Server AD entre elas.

  • Configurar credenciais de administrador de domínio: você deve ter credenciais de administrador de domínio para cada floresta do Windows Server AD que:

    • Você sincroniza com o Microsoft Entra ID por meio do Microsoft Entra Connect.
    • Contém os usuários para os quais você deseja habilitar o SSO Contínuo.
  • Habilitar autenticação moderna: para usar esse recurso, você precisa habilitar a autenticação moderna em seu locatário.

  • Use as versões mais recentes dos clientes do Microsoft 365: para obter uma experiência de logon silencioso com clientes do Microsoft 365 (por exemplo, com Outlook, Word ou Excel), seus usuários devem usar as versões 16.0.8730.xxxx ou posterior.

Observação

Se você tiver um proxy HTTP de saída, certifique-se que a URL autologon.microsoftazuread-sso.com está na lista de permitidos. Você deve especificar essa URL explicitamente, pois o caractere curinga pode não ser aceito.

habilitar o recurso

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Habilite o SSO Contínuo por meio do Microsoft Entra Connect.

Observação

Se o Microsoft Entra Connect não atender aos seus requisitos, você poderá habilitar o Logon único contínuo usando o PowerShell. Use essa opção se tiver mais de um domínio por floresta do Windows Server AD e quiser direcionar o domínio para habilitar o Logon único contínuo.

Se você está realizando uma instalação nova do Microsoft Entra Connect, escolha o caminho de instalação personalizada. Na página Entrada do usuário, selecione a opção Habilitar logon único.

Captura de tela que mostra a página Entrada do usuário no Microsoft Entra Connect, com Habilitar logon único selecionado.

Observação

A opção estará disponível para seleção somente se o método de logon selecionado é Sincronização de Hash de Senha ou Autenticação de Passagem.

Se você já tem uma instalação do Microsoft Entra Connect, em Tarefas adicionais, selecione Alterar entrada do usuário e, em seguida, selecione Avançar. Se você estiver usando o Microsoft Entra Connect versão 1.1.880.0 ou superior, a opção Habilitar o logon único será selecionada por padrão. Se você estiver usando uma versão mais antiga do Microsoft Entra Connect, selecione a opção Habilitar o logon único.

Captura de tela que mostra a página Tarefas adicionais com Alterar a entrada do usuário selecionada.

Prossiga com o assistente até você chegar à página Habilitar logon único. Forneça credenciais de Administrador de Domínio para cada floresta do Windows Server AD que:

  • Você sincroniza com o Microsoft Entra ID por meio do Microsoft Entra Connect.
  • Contém os usuários para os quais você deseja habilitar o SSO Contínuo.

Após a conclusão do assistente, o Logon Único Contínuo está habilitado no seu locatário.

Observação

As credenciais de Administrador de Domínio não são armazenadas no Microsoft Entra Connect ou no Microsoft Entra ID. Elas são usadas somente para habilitar o recurso.

Para verificar se você habilitou o SSO de conexão remota corretamente:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue até Identidade>Gerenciamento híbrido >Microsoft Entra Connect>Sincronização do Connect.
  3. Verifique se o Logon único contínuo está definido como Habilitado.

Captura de tela que mostra o painel Microsoft Entra Connect no portal de administração.

Importante

O logon único contínuo cria uma conta de computador chamada AZUREADSSOACC em cada floresta Windows Server AD no diretório Windows Server AD local. A conta do computador AZUREADSSOACC deve estar fortemente protegida por motivos de segurança. Somente contas de administrador de domínio devem ter permissão de gerenciar a conta de computador. Verifique se a delegação Kerberos na conta do computador está desabilitada e se nenhuma outra conta no Windows Server AD tem permissões de delegação na conta do computador AZUREADSSOACC. Armazene as contas de computador em uma unidade da organização para que elas estejam seguras contra exclusões acidentais e apenas os Administradores de Domínio possam acessá-las.

Observação

Se você estiver usando as arquiteturas Pass-the-Hash e Mitigação de roubo de credencial em seu ambiente local, faça as alterações apropriadas para garantir que a conta do computador AZUREADSSOACC não acabe no contêiner de quarentena.

Distribuir o recurso

Você pode gradualmente implantar o Logon único contínuo para seus usuários usando as instruções fornecidas nas seções a seguir. Comece adicionando a seguinte URL do Microsoft Entra a todas as configurações de zona de Intranet do usuário ou selecionadas por meio da Política de Grupo no Windows Server AD:

https://autologon.microsoftazuread-sso.com

Você também deve habilitar uma configuração da política de zona de intranet chamada Permitir atualizações à barra de status via script por meio da Política de Grupo.

Observação

As instruções a seguir só funcionam para o Internet Explorer, Microsoft Edge e o Google Chrome no Windows (se o Google Chrome compartilha um conjunto de URLs de sites confiáveis com o Internet Explorer). Aprenda como configurar o Mozilla Firefox e o Google Chrome no macOS.

Por que você precisa modificar as configurações de zona da Intranet do usuário

Por padrão, um navegador calcula automaticamente a zona correta, internet ou intranet, de uma URL específica. Por exemplo, http://contoso/ é mapeada para a zona da intranete http://intranet.contoso.com/ é mapeada para a zona da internet (porque a URL contém um ponto). Os navegadores não enviam tíquetes Kerberos para um ponto de extremidade da nuvem, como a URL do Microsoft Entra, a menos que a URL seja explicitamente adicionada à zona da intranet do navegador.

Há duas maneiras de modificar as configurações de zona de intranet do usuário:

Opção Consideração de administração Experiência do usuário
Política de grupo O administrador bloqueia a edição das configurações da zona da intranet Os usuários não podem modificar as próprias configurações
Preferência de política de grupo O administrador permite edição nas configurações da zona de intranet Os usuários podem modificar as próprias configurações

Etapas detalhadas da política de grupo

  1. Abra a ferramenta Editor de Gerenciamento de Política de Grupo.

  2. Edite a política de grupo que é aplicada a alguns ou todos os seus usuários. Este exemplo usa a Política de domínio padrão.

  3. Acesse Configuração do Usuário>Políticas>Modelos Administrativos>Componentes do Windows>Internet Explorer>Painel de controle da Internet>Página de Segurança. Selecione Lista de atribuição de sites a zonas.

    Captura de tela que mostra a Página de Segurança com Lista de Atribuições de Sites a Zonas selecionada.

  4. Habilite a política e insira os valores a seguir na caixa de diálogo:

    • Nome do valor: a URL do Microsoft Entra para as quais os tíquetes Kerberos são encaminhados.

    • Valor (Dados): 1 indica a zona da intranet.

      O resultado será semelhante a esse exemplo:

      Nome do valor: https://autologon.microsoftazuread-sso.com

      Valor (dados): 1

    Observação

    Se você quiser impedir que alguns usuários usem SSO Contínuo (por exemplo, se esses usuários estiverem entrando em quiosques compartilhados), defina os valores anteriores como 4. Essa ação adiciona a URL do Microsoft Entra à zona restrita e o SSO Contínuo falha para os usuários o tempo todo.

  5. Selecione OK e depois OK novamente.

    Captura de tela que mostra a janela Mostrar Conteúdo com uma atribuição de zona selecionada.

  6. Acesse Configuração do Usuário>Políticas>Modelos Administrativos>Componentes do Windows>Internet Explorer>Painel de controle da Internet>Página de Segurança>Zona de Intranet. Selecione Permitir atualizações à barra de status por meio de script.

    Captura de tela que mostra a página Zona da Intranet com Permitir atualizações na barra de status por meio do script selecionado.

  7. Habilite a configuração de política e, em seguida, selecione OK.

    Captura de tela que mostra a janela Permitir atualizações na barra de status por meio da janela de script com a configuração de política habilitada.

Etapas detalhadas da preferência da política de grupo

  1. Abra a ferramenta Editor de Gerenciamento de Política de Grupo.

  2. Edite a política de grupo que é aplicada a alguns ou todos os seus usuários. Este exemplo usa a Política de domínio padrão.

  3. Acesse Configuração do Usuário>Preferências>Configurações do Windows>Registro>Novo>Item de Registro.

    Captura de tela que mostra Registro selecionado e Item de registro selecionado.

  4. Insira ou selecione os valores a seguir, conforme demonstrado, e selecione OK.

    • Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nome do valor: https

    • Tipo de valor: REG_DWORD

    • Dados do valor: 00000001

      Captura de tela que mostra a janela Novas Propriedades do Registro.

      Captura de tela que mostra os novos valores listados no Editor do Registro.

Considerações de navegador

As próximas seções têm informações sobre o SSO Contínuo que são específicas para diferentes tipos de navegadores.

Mozilla Firefox (todas as plataformas)

Se você estiver usando as configurações de política de Autenticação em seu ambiente, certifique-se de adicionar a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com) à seção SPNEGO. Você também pode definir a opção PrivateBrowsing como verdadeira para permitir o SSO Contínuo no modo de navegação particular.

Safari (macOS)

Verifique se o computador que está executando o macOS está associado ao Windows Server AD.

As instruções para ingressar seu dispositivo macOS em Windows Server AD estão fora do escopo deste artigo.

Microsoft Edge com base em Chromium (todas as plataformas)

Caso tenha substituído as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist no seu ambiente, certifique-se de adicionar também a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com) a essas configurações de política.

Microsoft Edge com base em Chromium (macOS e outras plataformas não Windows)

Para o Microsoft Edge com base em Chromium no macOS e outras plataformas não Windows, consulte o Microsoft Edge com base na Lista de Políticas do Chromium para obter informações sobre como adicionar a URL do Microsoft Entra para autenticação integrada à sua lista de permitidos.

Google Chrome (todas as plataformas)

Caso tenha substituído as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist no seu ambiente, certifique-se de adicionar também a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com) a essas configurações de política.

macOS

O uso de extensões de Política de Grupo do Active Directory de terceiros para distribuir a URL do Microsoft Entra para usuários do Firefox e do Google Chrome no macOS está fora do escopo deste artigo.

Limitações conhecidas do navegador

SSO contínuo não funciona no Internet Explorer se o navegador estiver em execução no modo de proteção aprimorada. O SSO contínuo oferece suporte à próxima versão do Microsoft Edge com base no Chromium e funciona no modo InPrivate e Convidado por design. O Microsoft Edge (herdado) não tem mais suporte.

Talvez seja necessário configurar AmbientAuthenticationInPrivateModesEnabled para usuários InPrivate e/ou convidados com base na documentação correspondente:

Testar o SSO contínuo

Para testar o recurso para um usuário específico, verifique se todas as seguintes condições estão em vigor:

  • O usuário entra em um dispositivo corporativo.
  • O dispositivo é ingressado em seu domínio Windows Server AD. O dispositivo não precisa ser ingressado no Microsoft Entra.
  • O dispositivo tem uma conexão direta com seu controlador de domínio, seja na rede corporativa com ou sem fio ou por meio de uma conexão de acesso remoto, como uma conexão VPN.
  • Você distribuiu o recurso a esse usuário por meio da Política de Grupo.

Para testar um cenário no qual o usuário insere um nome de usuário, mas não uma senha:

  • Entrar no https://myapps.microsoft.com. Certifique-se de limpar o cache do navegador ou usar uma nova sessão privada do navegador com qualquer um dos navegadores com suporte no modo particular.

Para testar o cenário em que o usuário não tem que inserir o nome de usuário ou a senha, siga uma destas etapas:

  • Entrar no https://myapps.microsoft.com/contoso.onmicrosoft.com. Certifique-se de limpar o cache do navegador ou usar uma nova sessão privada do navegador com qualquer um dos navegadores com suporte no modo particular. Substitua contoso pelo seu nome de locatário.
  • Entre no https://myapps.microsoft.com/contoso.com em uma nova sessão privada do navegador. Substitua contoso.com por um domínio verificado (não um domínio federado) em seu locatário.

Sobrepor chaves

Em Habilitar o recurso, o Microsoft Entra Connect cria contas de computador (representando o Microsoft Entra ID) em todas as florestas do Windows Server AD nas quais você habilitou o SSO contínuo. Para saber mais, consulte Logon único contínuo do Microsoft Entra: aprofundamento técnico.

Importante

A chave de descriptografia do Kerberos em uma conta de computador, se vazada, poderá ser usada para gerar tíquetes Kerberos para todos os usuários sincronizados. Indivíduos mal-intencionados então poderão representar logons do Microsoft Entra para usuários comprometidos. É altamente recomendável renovar periodicamente essas chaves de descriptografia do Kerberos ou, pelo menos, uma vez a cada 30 dias.

Para obter instruções sobre como implantar as chaves, veja Logon único contínuo do Microsoft Entra: perguntas frequentes.

Importante

Você não precisa executar essa etapa imediatamente depois de habilitar o recurso. Sobrepor as chaves de descriptografia Kerberos pelo menos uma vez a cada 30 dias.

Próximas etapas