Поделиться через


Простой единый вход Microsoft Entra

Что такое простой единый вход Microsoft Entra?

Простой единый вход Microsoft Entra (единый вход Microsoft Entra) автоматически обеспечивает пользователям вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети. Если он включен, пользователям не нужно вводить пароль для входа в Microsoft Entra ID, а в большинстве случаев — даже вводить имя пользователя. Эта функция предоставляет пользователям удобный доступ к облачным приложениям и не требует установки каких-либо дополнительных локальных компонентов.

Простой единый вход можно использовать вместе с методами синхронизация хэша паролей или сквозной проверки подлинности. Простой единый вход не применяется к службам федерации Active Directory (AD FS).

Бесшовный единый вход

Сравнительный анализ единого входа через основной маркер обновления и простого единого входа

Для Windows 10, а также Windows Server 2016 и боле поздних версий мы рекомендуем использовать единый вход через основной маркер обновления. Для Windows 7 и Windows 8.1 лучше выбрать простой единый вход. Простой единый вход требует, чтобы устройство пользователя было присоединено к домену, но оно не используется на устройствах, присоединенных к Windows 10 Microsoft Entra, или гибридных устройствах, присоединенных к Microsoft Entra. Единый вход в Microsoft Entra joined, microsoft Entra hybrid joined, и зарегистрированные устройства Microsoft Entra работают на основе первичного маркера обновления (PRT)

Единый вход через PRT возможен после регистрации в Microsoft Entra ID для устройств с гибридным присоединением к Microsoft Entra, присоединением к Microsoft Entra или с персональной регистрацией через интерфейс добавления рабочей либо учебной учетной записи. Дополнительные сведения о том, как единый вход работает с Windows 10 с помощью PRT, см. в статье "Основной маркер обновления( PRT) и идентификатор Microsoft Entra ID

Ключевые преимущества

  • Удобство работы для пользователей
    • Пользователи автоматически входят как в локальные, так и в облачные приложения.
    • Пользователям не нужно вводить пароль несколько раз.
  • Простота развертывания и администрирования
    • Дополнительные локальные компоненты не требуются.
    • Эта функция работает с любым методом аутентификации в облаке: синхронизацией хэша паролей и сквозной аутентификацией.
    • Ее можно развернуть для всех пользователей или их части с помощью групповой политики.
    • Регистрация устройств, отличных от Windows 10, с помощью идентификатора Microsoft Entra без необходимости в инфраструктуре AD FS. Для использования этой возможности требуется версия 2.1 или более поздняя версия клиента подключения к рабочему месту.

Описание функций

  • Имя пользователя для входа может быть локальным именем пользователя по умолчанию (userPrincipalName) или другим атрибутом, настроенным в Microsoft Entra Connect (Alternate ID). Оба варианта использования работают, так как простой единый вход использует securityIdentifier утверждение в билете Kerberos для поиска соответствующего объекта пользователя в идентификаторе Microsoft Entra.
  • Простой единый вход — ситуативно-обусловленная функция. Если это не удается по какой-либо причине, интерфейс входа пользователя возвращается к обычному поведению, то есть пользователю необходимо ввести пароль на странице входа.
  • Если приложение (например, https://myapps.microsoft.com/contoso.com) пересылает domain_hint параметр (OpenID Connect) или whr (SAML), определяя клиента или login_hint параметр, определяя пользователя, в запросе на вход Microsoft Entra пользователи автоматически вошли без ввода имени пользователя или паролей.
  • Пользователи также получают возможность автоматического входа, если приложение (например, https://contoso.sharepoint.com) отправляет запросы на вход в конечные точки Идентификатора Microsoft Entra ID, настроенные в качестве клиентов , то https://login.microsoftonline.com/contoso.com/<..> есть вместо https://login.microsoftonline.com/<tenant_ID>/<..> общей конечной точки Microsoft Entra ID . https://login.microsoftonline.com/common/<...>
  • Поддерживается выход. Это позволяет пользователям выбирать другую учетную запись Microsoft Entra для входа, а не автоматически входить с помощью простого единого входа.
  • Для поддержки клиентов Microsoft 365 для 32-разрядной версии Windows (Outlook, Word, Excel и др.) версии 16.0.8730.xxxx и более поздних используется неинтерактивный поток. Для OneDrive необходимо активировать функцию автоматической настройки OneDrive для автоматического входа.
  • Его можно включить с помощью Microsoft Entra Connect.
  • Это бесплатная функция, и вам не нужны платные выпуски идентификатора Microsoft Entra ID для его использования.
  • Она поддерживается в клиентах веб-браузера и клиентах Office, поддерживающих современную проверку подлинности на платформах и браузерах, способных выполнять проверку подлинности Kerberos:
Операционная система и браузер Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Да* Да Да Да*** Н/П
Windows 8.1 Да* Да**** Да Да*** Н/П
Windows 8 Да* Н/П Да Да*** Н/П
Windows Server 2012 R2 или более поздней версии Да** Н/П Да Да*** Н/П
Mac OS X Неприменимо Неприменимо Да*** Да*** Да***

Примечание.

Устаревшая версия Microsoft Edge больше не поддерживается

*Требуется Internet Explorer 11 или более поздней версии. (Начиная с 17 августа 2021 г., приложения и службы Microsoft 365 не поддерживают Internet Explorer 11.)

**Требуется Internet Explorer 11 или более поздней версии. Отключение расширенного защищенного режима.

***Требуется дополнительная настройка.

****Microsoft Edge на базе Chromium

Следующие шаги