Поделиться через

Бесшовный единый вход Microsoft Entra

  • Статья

Что такое бесшовный единый вход Microsoft Entra?

Простой единый вход Microsoft Entra (единый вход Microsoft Entra) автоматически обеспечивает пользователям вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети. Если он включен, пользователям не нужно вводить пароль для входа в Microsoft Entra ID, а в большинстве случаев — даже вводить имя пользователя. Эта функция предоставляет пользователям удобный доступ к облачным приложениям и не требует установки каких-либо дополнительных локальных компонентов.

Простой единый вход можно использовать вместе с методами синхронизация хэша паролей или сквозной проверки подлинности. Бесшовное SSO не применяется к Службам федерации Active Directory (ADFS).

Бесшовный единый вход

Сравнительный анализ единого входа через основной токен обновления и бесшовного единого входа

Для Windows 10, Windows Server 2016 и более поздних версий рекомендуется использовать авторизацию единого входа с помощью основного токена обновления (PRT). Для Windows 7 и Windows 8.1 рекомендуется использовать Seamless SSO. Простой единый вход требует, чтобы устройство пользователя было присоединено к домену, но оно не используется на устройствах, присоединенных к Windows 10 Microsoft Entra, или гибридных устройствах, присоединенных к Microsoft Entra. Единый вход в Microsoft Entra joined, Microsoft Entra hybrid joined и зарегистрированные устройства Microsoft Entra работают на основе ПМП (Первичного маркера обновления).

Единый вход через PRT становится доступным после регистрации устройств в Microsoft Entra ID для подключения в режиме гибридного присоединения к Microsoft Entra, присоединения к Microsoft Entra или для устройств, зарегистрированных как личные, через интерфейс добавления рабочей или учебной учетной записи. Дополнительные сведения о том, как единый вход работает с Windows 10 с помощью PRT, см. в "Основной маркер обновления (PRT) и Microsoft Entra ID"

Ключевые преимущества

  • Удобство работы для пользователей
    • Пользователи автоматически входят как в локальные, так и в облачные приложения.
    • Пользователям не нужно вводить пароль несколько раз.
  • Простота развертывания и администрирования
    • Дополнительные локальные компоненты не требуются для этого.
    • Эта функция работает с любым методом аутентификации в облаке: синхронизацией хэша паролей и сквозной аутентификацией.
    • Ее можно развернуть для части или всех пользователей с помощью групповой политики.
    • Регистрация устройств, отличных от Windows 10, с помощью идентификатора Microsoft Entra без необходимости в инфраструктуре AD FS. Для использования этой возможности требуется версия 2.1 или более поздняя версия клиента подключения к рабочему месту.

Описание функций

  • Имя пользователя для входа может быть локальным именем пользователя по умолчанию (userPrincipalName) или другим атрибутом, настроенным в Microsoft Entra Connect (Alternate ID). Оба варианта использования работают, так как Seamless SSO использует securityIdentifier заявку в билете Kerberos для поиска соответствующего объекта пользователя в Microsoft Entra ID.
  • Бесшовный единый вход — это оппортунистическая функция. Если это не удается по какой-либо причине, интерфейс входа пользователя возвращается к обычному поведению, то есть пользователю необходимо ввести пароль на странице входа.
  • Если приложение (например, https://myapps.microsoft.com/contoso.com) пересылает параметр domain_hint (OpenID Connect) или whr (SAML) для идентификации клиента, или параметр login_hint для идентификации пользователя в запросе на вход в Microsoft Entra, пользователи автоматически входят в систему без ввода имени пользователя или пароля.
  • Пользователи также получают возможность автоматического входа, если приложение (например, https://contoso.sharepoint.com) отправляет запросы на вход в конечные точки Microsoft Entra ID, настроенные как арендаторы — то есть https://login.microsoftonline.com/contoso.com/<..> или https://login.microsoftonline.com/<tenant_ID>/<..> — вместо общей конечной точки Microsoft Entra ID, такой как https://login.microsoftonline.com/common/<...>.
  • Возможен выход из системы. Это позволяет пользователям выбирать другую учетную запись Microsoft Entra для входа, а не автоматически входить с помощью простого единого входа.
  • Клиенты Microsoft 365 Win32 (Outlook, Word, Excel и другие) версии 16.0.8730.xxxx и выше поддерживаются с использованием неинтерактивного процесса. Для OneDrive необходимо активировать функцию тихой настройки OneDrive для обеспечения тихой регистрации.
  • Его можно включить с помощью Microsoft Entra Connect.
  • Это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.
  • Она поддерживается в клиентах веб-браузера и клиентах Office, поддерживающих современную проверку подлинности на платформах и браузерах, способных выполнять проверку подлинности Kerberos:
Операционная система и браузер Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Да* Да Да Да*** Н/П
Windows 8.1 Да* Да**** Да Да*** Н/П
Windows 8 Да* Н/П Да Да*** Н/П
Windows Server 2012 R2 или более поздней версии Да** Н/П Да Да*** Н/П
Mac OS X Н/П Не применимо Да*** Да*** Да***

Примечание.

Устаревшая версия Microsoft Edge больше не поддерживается

*Требуется Internet Explorer 11 или более поздней версии. (Начиная с 17 августа 2021 г., приложения и службы Microsoft 365 не поддерживают Internet Explorer 11.)

**Требуется Internet Explorer 11 или более поздней версии. Отключение расширенного защищенного режима.

***Требуется дополнительная настройка.

****Microsoft Edge на базе Chromium

Следующие шаги