Простой единый вход Microsoft Entra
Что такое простой единый вход Microsoft Entra?
Простой единый вход Microsoft Entra (единый вход Microsoft Entra) автоматически обеспечивает пользователям вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети. Если он включен, пользователям не нужно вводить пароль для входа в Microsoft Entra ID, а в большинстве случаев — даже вводить имя пользователя. Эта функция предоставляет пользователям удобный доступ к облачным приложениям и не требует установки каких-либо дополнительных локальных компонентов.
Простой единый вход можно использовать вместе с методами синхронизация хэша паролей или сквозной проверки подлинности. Простой единый вход не применяется к службам федерации Active Directory (AD FS).
Сравнительный анализ единого входа через основной маркер обновления и простого единого входа
Для Windows 10, а также Windows Server 2016 и боле поздних версий мы рекомендуем использовать единый вход через основной маркер обновления. Для Windows 7 и Windows 8.1 лучше выбрать простой единый вход. Простой единый вход требует, чтобы устройство пользователя было присоединено к домену, но оно не используется на устройствах, присоединенных к Windows 10 Microsoft Entra, или гибридных устройствах, присоединенных к Microsoft Entra. Единый вход в Microsoft Entra joined, microsoft Entra hybrid joined, и зарегистрированные устройства Microsoft Entra работают на основе первичного маркера обновления (PRT)
Единый вход через PRT возможен после регистрации в Microsoft Entra ID для устройств с гибридным присоединением к Microsoft Entra, присоединением к Microsoft Entra или с персональной регистрацией через интерфейс добавления рабочей либо учебной учетной записи. Дополнительные сведения о том, как единый вход работает с Windows 10 с помощью PRT, см. в статье "Основной маркер обновления( PRT) и идентификатор Microsoft Entra ID
Ключевые преимущества
- Удобство работы для пользователей
- Пользователи автоматически входят как в локальные, так и в облачные приложения.
- Пользователям не нужно вводить пароль несколько раз.
- Простота развертывания и администрирования
- Дополнительные локальные компоненты не требуются.
- Эта функция работает с любым методом аутентификации в облаке: синхронизацией хэша паролей и сквозной аутентификацией.
- Ее можно развернуть для всех пользователей или их части с помощью групповой политики.
- Регистрация устройств, отличных от Windows 10, с помощью идентификатора Microsoft Entra без необходимости в инфраструктуре AD FS. Для использования этой возможности требуется версия 2.1 или более поздняя версия клиента подключения к рабочему месту.
Описание функций
- Имя пользователя для входа может быть локальным именем пользователя по умолчанию (
userPrincipalName
) или другим атрибутом, настроенным в Microsoft Entra Connect (Alternate ID
). Оба варианта использования работают, так как простой единый вход используетsecurityIdentifier
утверждение в билете Kerberos для поиска соответствующего объекта пользователя в идентификаторе Microsoft Entra. - Простой единый вход — ситуативно-обусловленная функция. Если это не удается по какой-либо причине, интерфейс входа пользователя возвращается к обычному поведению, то есть пользователю необходимо ввести пароль на странице входа.
- Если приложение (например,
https://myapps.microsoft.com/contoso.com
) пересылаетdomain_hint
параметр (OpenID Connect) илиwhr
(SAML), определяя клиента илиlogin_hint
параметр, определяя пользователя, в запросе на вход Microsoft Entra пользователи автоматически вошли без ввода имени пользователя или паролей. - Пользователи также получают возможность автоматического входа, если приложение (например,
https://contoso.sharepoint.com
) отправляет запросы на вход в конечные точки Идентификатора Microsoft Entra ID, настроенные в качестве клиентов , тоhttps://login.microsoftonline.com/contoso.com/<..>
есть вместоhttps://login.microsoftonline.com/<tenant_ID>/<..>
общей конечной точки Microsoft Entra ID .https://login.microsoftonline.com/common/<...>
- Поддерживается выход. Это позволяет пользователям выбирать другую учетную запись Microsoft Entra для входа, а не автоматически входить с помощью простого единого входа.
- Для поддержки клиентов Microsoft 365 для 32-разрядной версии Windows (Outlook, Word, Excel и др.) версии 16.0.8730.xxxx и более поздних используется неинтерактивный поток. Для OneDrive необходимо активировать функцию автоматической настройки OneDrive для автоматического входа.
- Его можно включить с помощью Microsoft Entra Connect.
- Это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.
- Она поддерживается в клиентах веб-браузера и клиентах Office, поддерживающих современную проверку подлинности на платформах и браузерах, способных выполнять проверку подлинности Kerberos:
Операционная система и браузер | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | Да* | Да | Да | Да*** | Н/П |
Windows 8.1 | Да* | Да**** | Да | Да*** | Н/П |
Windows 8 | Да* | Н/П | Да | Да*** | Н/П |
Windows Server 2012 R2 или более поздней версии | Да** | Н/П | Да | Да*** | Н/П |
Mac OS X | Неприменимо | Неприменимо | Да*** | Да*** | Да*** |
Примечание.
Устаревшая версия Microsoft Edge больше не поддерживается
*Требуется Internet Explorer 11 или более поздней версии. (Начиная с 17 августа 2021 г., приложения и службы Microsoft 365 не поддерживают Internet Explorer 11.)
**Требуется Internet Explorer 11 или более поздней версии. Отключение расширенного защищенного режима.
***Требуется дополнительная настройка.
****Microsoft Edge на базе Chromium
Следующие шаги
- Краткое руководство . Создание и запуск простого единого входа в Microsoft Entra.
- План развертывания. Пошаговый план развертывания.
- Подробное техническое руководство. Сведения о том, как работает эта функция.
- Часто задаваемые вопросы. Ответы на часто задаваемые вопросы.
- Устранение неполадок. Узнайте, как устранить самые распространенные проблемы с этой функцией.
- UserVoice. Отправка запросов на новые функции.