Быстрый старт: Бесшовная единая авторизация Microsoft Entra
Microsoft Entra бесшовный единый вход (Seamless SSO) автоматически авторизует пользователей при использовании корпоративных рабочих столов, подключенных к корпоративной сети. Простой единый вход предоставляет пользователям простой доступ к облачным приложениям без использования других локальных компонентов.
Чтобы развернуть бесшовную однофакторную аутентификацию для идентификатора Microsoft Entra с помощью Microsoft Entra Connect, выполните действия, описанные в следующих разделах.
Проверьте соблюдение Предварительных требований
Выполните указанные ниже предварительные требования.
Настройте сервер Microsoft Entra Connect: если вы используете сквозную проверку подлинности в качестве метода входа, то никаких других предварительных требований не требуется. Если вы используете синхронизацию хэша паролей в качестве метода входа и существует брандмауэр между Microsoft Entra Connect и идентификатором Microsoft Entra, убедитесь, что:
Вы используете Microsoft Entra Connect версии 1.1.644.0 или более поздней.
Если ваш межсетевой экран или прокси-сервер разрешает, добавьте подключения в список одобренных для URL-адресов
*.msappproxy.net
через порт 443. Если вам нужен определенный URL-адрес вместо подстановочного знака для конфигурации прокси-сервера, можно настроитьtenantid.registration.msappproxy.net
, гдеtenantid
находится GUID клиента, для которого настраивается функция. Если исключения прокси-сервера на основе URL-адресов недоступны в вашей организации, вы можете вместо этого разрешить доступ к диапазонам IP-адресов центра обработки данных Azure, которые обновляются еженедельно. Это необходимое условие применимо только при включении функции простого единого входа. Он не требуется для прямого входа пользователей.Примечание.
- Microsoft Entra Connect версии 1.1.557.0, 1.1.558.0, 1.1.561.0 и 1.1.614.0 имеют проблему, связанную с синхронизацией хэша паролей. Если вы не планируете использовать синхронизацию хэша паролей в сочетании со сквозной проверкой подлинности, ознакомьтесь c заметками о выпуске Microsoft Entra Connect, чтобы узнать больше.
Используйте поддерживаемую топологию Microsoft Entra Connect: убедитесь, что вы используете одну из поддерживаемых топологий Microsoft Entra Connect.
Примечание.
Бесшовный единый вход поддерживает несколько локальных лесов Windows Server Active Directory (Windows Server AD), независимо от того, существуют ли между ними отношения доверия Windows Server AD.
Настройте учетные данные администратора домена: для каждого леса Windows Server AD необходимо иметь учетные данные администратора домена, которые:
- Вы синхронизируете идентификатор Microsoft Entra с помощью Microsoft Entra Connect.
- Содержит пользователей, для которых требуется включить бесшовный единый вход.
Включение современной проверки подлинности: Чтобы использовать эту функцию, необходимо включить современную проверку подлинности в вашем клиенте.
Используйте последние версии клиентов Microsoft 365: чтобы получить бесшумный вход с клиентами Microsoft 365 (например, с Outlook, Word или Excel), пользователи должны использовать версию 16.0.8730.xxxx или более позднюю.
Примечание.
Если у вас есть исходящий HTTP-прокси, убедитесь, что URL-адрес autologon.microsoftazuread-sso.com
находится в списке разрешений. Этот URL-адрес следует указать явно, так как подстановочный знак может не приниматься.
Включение функции
Включите простой единый вход с помощью Microsoft Entra Connect.
Примечание.
Если Microsoft Entra Connect не соответствует вашим требованиям, вы можете включить простой единый вход с помощью PowerShell. Используйте этот параметр, если у вас несколько доменов в лесу Windows Server AD, и вы хотите выбрать домен для включения функции беспроблемного единого входа (Seamless SSO).
Если вы выполняете новую установку Microsoft Entra Connect, выберите пользовательский путь установки. На странице входа пользователя выберите параметр "Включить единый вход".
Примечание.
Этот параметр доступен, только если выбранный метод входа — синхронизация хэша паролей или сквозная проверка подлинности.
Если у вас уже есть установка Microsoft Entra Connect, в разделе "Дополнительные задачи" выберите "Изменить вход пользователя" и нажмите кнопку "Далее". Если вы используете Microsoft Entra Connect версии 1.1.880.0 или более поздней версии, параметр "Включить единый вход " выбран по умолчанию. Если вы используете более раннюю версию Microsoft Entra Connect, выберите параметр "Включить единый вход ".
Перейдите на страницу "Включить единый вход". Укажите учетные данные администратора домена для каждого леса Windows Server AD, который:
- Вы синхронизируете идентификатор Microsoft Entra с помощью Microsoft Entra Connect.
- Содержит пользователей, для которых требуется включить бесшовный единый вход.
После завершения работы мастера в клиенте включен простой единый вход.
Примечание.
Учетные данные администратора домена не хранятся в Microsoft Entra Connect или в идентификаторе Microsoft Entra. Они используются только для включения функции.
Чтобы убедиться, что вы правильно настроили функцию Seamless SSO, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra с правами как минимум Гибридный администратор удостоверений.
- Перейдите к разделу Идентификация>Гибридное управление>Microsoft Entra Connect>Синхронизация соединений.
- Убедитесь, что для простого единого входа задано значение Enabled.
Внимание
Бесшовная единая аутентификация создает учетную запись компьютера с именем AZUREADSSOACC
в каждом лесе Windows Server AD в локальной среде Windows Server AD. Учетная AZUREADSSOACC
запись компьютера должна быть строго защищена по соображениям безопасности. Только учетные записи администратора домена должны быть разрешены для управления учетной записью компьютера. Убедитесь, что делегирование Kerberos в учетной записи компьютера отключено, и что никакой другой учетной записи в Windows Server AD не предоставлены разрешения на делегирование учетной записи AZUREADSSOACC
компьютера. Сохраните учетные записи компьютеров в подразделении организации, чтобы они были безопасными от случайного удаления, и к ним могут обращаться только администраторы домена.
Примечание.
Если вы используете архитектуры Pass-the-Hash и защиты от кражи учетных данных в локальной среде, внесите соответствующие изменения, чтобы учетная запись компьютера AZUREADSSOACC
не оказалась в контейнере карантина.
Развертывание функции
Вы можете постепенно развернуть простой единый вход для пользователей, используя инструкции, приведенные в следующих разделах. Сначала необходимо добавить следующий URL-адрес Microsoft Entra ко всем или выбранным параметрам зоны интрасети пользователя с помощью групповой политики в Windows Server AD:
https://autologon.microsoftazuread-sso.com
Кроме того, необходимо включить параметр политики зоны интрасети с именем Разрешить обновление строки состояния с помощью скриптов с помощью групповой политики.
Примечание.
Следующие инструкции работают только для Internet Explorer, Microsoft Edge и Google Chrome в Windows (если Google Chrome предоставляет общий доступ к набору URL-адресов доверенных сайтов с Internet Explorer). Узнайте, как настроить Mozilla Firefox и Google Chrome в macOS.
Почему необходимо изменить параметры зоны интрасети пользователя
По умолчанию браузер автоматически вычисляет правильную зону из Интернета или интрасети из определенного URL-адреса. Например, http://contoso/
сопоставляется с зоной интрасети и сопоставляется http://intranet.contoso.com/
зоной Интернета (так как URL-адрес содержит период). Браузеры не отправляют билеты Kerberos в облачную конечную точку, например URL-адрес Microsoft Entra, если вы явно не добавите URL-адрес в зону интрасети браузера.
Существует два способа изменения параметров зоны интрасети пользователей.
Вариант | Решение администратора | Взаимодействие с пользователем |
---|---|---|
Групповая политика | Администратор блокирует редактирование параметров зоны интрасети | Пользователи не могут изменять собственные параметры |
Предпочтение групповой политики | Администратор разрешает редактирование параметров зоны интрасети | Пользователи могут изменить свои параметры. |
Детальные шаги групповой политики
Откройте редактор "Управление групповыми политиками".
Измените групповую политику, которая применяется к некоторым или всем пользователям. В этом примере используется политика домена по умолчанию.
Перейдите в Конфигурация пользователя>Политики>Административные шаблоны>Компоненты Windows>Internet Explorer>Панель управления интернетом>Страница безопасности. Выберите список назначений зоны сайта.
Включите политику и введите следующие значения в диалоговом окне:
Имя параметра: URL-адрес Microsoft Entra, куда пересылаются билеты Kerberos.
Значение (данные): 1 указывает зону интрасети.
Результат выглядит следующим образом:
Имя значения:
https://autologon.microsoftazuread-sso.com
Значение (данные): 1
Примечание.
Если вы хотите запретить пользователям использовать простой единый вход (например, если эти пользователи входят в общие киоски), задайте для предыдущих значений значение 4. Это действие добавляет URL-адрес Microsoft Entra в ограниченную зону, и бесшовный единый вход всегда терпит неудачу для пользователей.
Выберите ОК, затем выберите ОК еще раз.
Перейдите в Конфигурация пользователя>Политики>Административные шаблоны>Компоненты Windows>Internet Explorer>Панель управления Интернетом>Страница безопасности>Зона локальной сети. Выберите "Разрешить обновления" в строке состояния с помощью скрипта.
Включите параметр политики и нажмите кнопку ОК.
Подробные шаги по настройке предпочтений в политике группы
Откройте редактор "Управление групповыми политиками".
Измените групповую политику, которая применяется к некоторым или всем пользователям. В этом примере используется политика домена по умолчанию.
Перейдите к Параметры конфигурации>Предпочтения>Параметры Windows>Реестр>Создать>Элемент реестра.
Введите или выберите следующие значения, как показано, и нажмите кнопку "ОК".
Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
Имя значения: https
Тип значения: REG_DWORD
Данные о значении: 00000001
Рекомендации в отношении браузера
В следующих разделах содержатся сведения о бесшовном едином входе, относящиеся к разным типам браузеров.
Mozilla Firefox (все платформы)
Если вы используете параметры политики проверки подлинности в вашей среде, убедитесь, что вы добавите URL-адрес Microsoft Entra (https://autologon.microsoftazuread-sso.com
) в раздел SPNEGO . Вы также можете установить параметр PrivateBrowsing в значение true, чтобы разрешить Seamless SSO в приватном режиме.
Safari (macOS)
Убедитесь, что компьютер под управлением macOS присоединен к Windows Server AD.
Инструкции по присоединению устройства macOS к Windows Server AD находятся за пределами этой статьи.
Microsoft Edge на базе Chromium (все платформы)
Если вы переопределили настройки политики AuthNegotiateDelegateAllowlist или AuthServerAllowlist в вашей среде, убедитесь, что вы также добавили URL-адрес Microsoft Entra (https://autologon.microsoftazuread-sso.com
) в эти настройки политики.
Microsoft Edge на основе Chromium (macOS и другие платформы, отличные от Windows)
Для Microsoft Edge на базе Chromium для macOS и других платформ, отличных от Windows, см. список политик Microsoft Edge на основе Chromium для получения информации о том, как добавить URL-адрес Microsoft Entra для интегрированной проверки подлинности в список разрешенных.
Google Chrome (все платформы)
Если вы переопределили параметры политики AuthNegotiateDelegateAllowlist или AuthServerAllowlist в вашей среде, убедитесь, что вы также добавите URL-адрес Microsoft Entra (https://autologon.microsoftazuread-sso.com
) в эти параметры политики.
macOS
Использование сторонних расширений групповой политики Active Directory для развертывания URL-адреса Microsoft Entra в Firefox и Google Chrome для пользователей macOS выходит за рамки этой статьи.
Известные ограничения браузеров
Простой единый вход не работает в Internet Explorer, если этот браузер работает в режиме повышенной защиты. Бесшовная единая аутентификация поддерживает следующую версию Microsoft Edge на базе Chromium и работает в режиме InPrivate и в гостевом режиме по умолчанию. Microsoft Edge (устаревшая версия) больше не поддерживается.
Возможно, потребуется настроить AmbientAuthenticationInPrivateModesEnabled
для пользователей InPrivate или гостевых пользователей в соответствии с соответствующей документацией:
Тестирование бесшовного единого входа
Чтобы проверить функцию для конкретного пользователя, убедитесь, что соблюдаются все следующие условия:
- Пользователь входит в систему на корпоративном устройстве.
- Устройство присоединено к домену Windows Server AD. Устройство не требуется бытьподключенным к Microsoft Entra.
- Устройство имеет прямое подключение к контроллеру домена либо в корпоративной проводной или беспроводной сети, либо через удаленное подключение, например VPN-подключение.
- Вы развернули функцию для этого пользователя с помощью групповой политики.
Чтобы проверить сценарий, в котором пользователь вводит имя пользователя, но не пароль:
- Войдите в https://myapps.microsoft.com. Не забудьте очистить кэш браузера или использовать новый частный сеанс с любым из поддерживаемых браузеров в частном режиме.
Чтобы протестировать сценарий, в котором пользователю не нужно вводить имя пользователя или пароль, выполните одно из следующих действий:
- Выполните вход в
https://myapps.microsoft.com/contoso.onmicrosoft.com
. Не забудьте очистить кэш браузера или использовать новый частный сеанс с любым из поддерживаемых браузеров в частном режиме. Заменитеcontoso
именем своего клиента. - Войдите в
https://myapps.microsoft.com/contoso.com
в новом частном сеансе браузера. Заменитеcontoso.com
проверенным доменом (не федеративным доменом) в вашей организации.
Смена ключей
В Включить функцию, Microsoft Entra Connect создает учетные записи компьютеров (представляющие идентификатор Microsoft Entra) во всех лесах Windows Server AD, в которых вы включили бесшовную аутентификацию. Дополнительные сведения см. в статье Microsoft Entra с простым единым входом: технический разбор.
Внимание
Ключ расшифровки Kerberos в учетной записи компьютера, если произошла утечка, может быть использован для создания билетов Kerberos для любого синхронизированного пользователя. Злоумышленники могут затем подделывать учетные записи входа Microsoft Entra для скомпрометированных пользователей. Мы настоятельно рекомендуем вам периодически обновлять эти ключи расшифровки Kerberos, или по крайней мере раз в 30 дней.
Инструкции по обновлению ключей см. в разделе Microsoft Entra с простым единым входом: часто задаваемые вопросы.
Внимание
Этот шаг не требуется выполнять немедленно после включения функции. Меняйте ключи расшифровки Kerberos по крайней мере каждые 30 дней.
Следующие шаги
- Технический глубокий анализ: Понять, как работает функция бесшовного единого входа.
- Часто задаваемые вопросы: ответы на часто задаваемые вопросы о простом едином входе.
- Устранение неполадок. Узнайте, как устранить распространенные проблемы с функцией простого единого входа.
- UserVoice: используйте форум Microsoft Entra для отправки новых запросов функций.