Partilhar via

Início de sessão único sem interrupções no Microsoft Entra

  • Artigo

O que é o logon único contínuo do Microsoft Entra?

O Início de sessão único totalmente integrado no Microsoft Entra (SSO Totalmente Integrado do Microsoft Entra) inicia automaticamente a sessão dos utilizadores quando estão a utilizar os dispositivos da empresa associados à rede empresarial. Quando ativado, os utilizadores não precisam de escrever as palavras-passe para iniciar sessão no Microsoft Entra ID e, geralmente, nem precisam de escrever o nome de utilizador. Esta funcionalidade dá aos utilizadores acesso fácil às aplicações baseadas na cloud sem serem precisos componentes no local adicionais.

O SSO Totalmente Integrado pode ser combinado com os métodos de início de sessão de Sincronização do Hash de Palavras-passe ou de Autenticação Pass-through. O SSO Transparente não se aplica aos Serviços de Federação do Active Directory (ADFS).

Início de sessão único totalmente integrado

SSO via token de atualização primário versus SSO sem interrupções

Para Windows 10, Windows Server 2016 e versões posteriores, é recomendável usar o SSO por meio do token de atualização primário (PRT). Para Windows 7 e Windows 8.1, é recomendável usar a Autenticação Única Contínua. O SSO sem interrupções precisa que o dispositivo do usuário seja associado ao domínio, mas não é usado em dispositivos associados ao Microsoft Entra ou associados híbridos ao Microsoft Entra no Windows 10. O SSO em dispositivos associados ao Microsoft Entra, dispositivos híbridos associados ao Microsoft Entra e dispositivos registados no Microsoft Entra funciona com base no PRT (Primary Refresh Token)

O SSO via PRT funciona quando os dispositivos estão registados no Microsoft Entra ID como dispositivos associados ao Microsoft Entra híbrido, associados ao Microsoft Entra ou como dispositivos pessoais registados através da Adicionar Conta de Trabalho ou Escolar. Para obter mais informações sobre como o SSO funciona com o Windows 10 usando PRT, consulte: Primary Refresh Token (PRT) e Microsoft Entra ID

Principais benefícios

  • Experiência de utilizador excecional
    • Os usuários são automaticamente conectados em aplicativos locais e baseados em nuvem.
    • Os usuários não precisam digitar suas senhas repetidamente.
  • Fácil de implantar e administrar
    • Não são necessários componentes adicionais no local para que isso funcione.
    • Funciona com qualquer método de autenticação na nuvem - Sincronização de Hash de Senha ou Autenticação de Passagem.
    • Pode ser implementado para alguns ou todos os seus usuários usando a Diretiva de Grupo.
    • Registre dispositivos que não sejam Windows 10 com a ID do Microsoft Entra sem a necessidade de qualquer infraestrutura do AD FS. Esta funcionalidade requer a utilização da versão 2.1 ou posterior do cliente de ingresso no local de trabalho.

Destaques das funcionalidades

  • O nome de usuário de entrada pode ser o nome de usuário padrão local (userPrincipalName) ou outro atributo configurado no Microsoft Entra Connect (Alternate ID). Ambos os casos de uso funcionam porque o SSO contínuo usa a securityIdentifier declaração no tíquete Kerberos para procurar o objeto de usuário correspondente no ID do Microsoft Entra.
  • O SSO sem interrupções é um recurso oportunista. Se falhar por qualquer motivo, a experiência de início de sessão do utilizador volta ao seu comportamento normal - ou seja, o utilizador tem de introduzir a sua palavra-passe na página de início de sessão.
  • Se uma aplicação (por exemplo, https://myapps.microsoft.com/contoso.com) encaminhar um parâmetro domain_hint (OpenID Connect) ou whr (SAML), identificando o seu locatário, ou um parâmetro login_hint, identificando o utilizador, na sua solicitação de entrada do Microsoft Entra, os utilizadores entram automaticamente sem inserir nomes de utilizador ou senhas.
  • Os utilizadores também obterão uma experiência de início de sessão silencioso se uma aplicação (por exemplo, https://contoso.sharepoint.com) enviar pedidos de início de sessão para os endpoints do Microsoft Entra ID configurados como inquilinos - ou seja, https://login.microsoftonline.com/contoso.com/<..> ou https://login.microsoftonline.com/<tenant_ID>/<..> - em vez do endpoint comum do Microsoft Entra ID - ou seja, https://login.microsoftonline.com/common/<...>.
  • A opção de terminar sessão é suportada. Isso permite que os utilizadores escolham uma outra conta do Microsoft Entra para iniciar sessão, em vez de iniciarem sessão automaticamente através do SSO contínuo.
  • Os clientes Microsoft 365 Win32 (Outlook, Word, Excel e outros) com versões 16.0.8730.xxxx e superiores são suportados usando um fluxo não interativo. Para o OneDrive, tem de ativar a funcionalidade de configuração silenciosa do OneDrive para uma experiência de início de sessão silencioso.
  • Pode ser ativado através do Microsoft Entra Connect.
  • É um recurso gratuito e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
  • Ele é suportado em clientes baseados em navegador da Web e clientes do Office que suportam autenticação moderna em plataformas e navegadores capazes de autenticação Kerberos.
SO\Navegador Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Sim* Sim Sim Sim*** N/A
Windows 8.1 Sim* Sim**** Sim Sim*** N/A
Windows 8 Sim* N/A Sim Sim*** N/A
Windows Server 2012 R2 ou superior Sim** N/A Sim Sim*** N/A
Mac OS X N/A N/A Sim*** Sim*** Sim***

Nota

O legado do Microsoft Edge não é mais suportado

*Requer Internet Explorer versão 11 ou posterior. (A partir de 17 de agosto de 2021, os aplicativos e serviços do Microsoft 365 não suportarão o Internet Explorer 11.)

**Requer Internet Explorer versão 11 ou posterior. Desative o Modo Protegido Avançado.

Requer configuração adicional.

Microsoft Edge baseado no Chromium

Próximos passos