快速入门:Microsoft Entra 无缝单一登录
Microsoft Entra 无缝单一登录(无缝 SSO)可使用户在使用连接到企业网络的企业台式机时自动登录。 无缝 SSO 可让用户轻松访问基于云的应用程序,而无需使用其他任何本地组件。
若要使用 Microsoft Entra Connect 为 Microsoft Entra ID 部署无缝 SSO,请完成以下部分中所述的步骤。
检查先决条件
请确保符合以下先决条件:
设置 Microsoft Entra Connect 服务器:如果使用直通身份验证作为登录方法,则无需进行其他先决条件检查。 如果使用密码哈希同步作为登录方法,并且 Microsoft Entra Connect 与 Microsoft Entra ID 之间有防火墙,则请确保:
使用 Microsoft Entra Connect 1.1.6440 或更高版本。
如果防火墙或代理允许,则将连接添加到通过端口 443 的
*.msappproxy.net
URL 的允许列表。 如果需要特定的 URL 而不是通配符来配置代理,则可以配置tenantid.registration.msappproxy.net
,其中tenantid
是要在其中配置该功能的租户的 GUID。 如果在组织中无法使用基于 URL 的代理例外,则可以改为允许访问每周更新的 Azure 数据中心 IP 范围。 此先决条件仅适用于启用了无缝 SSO 功能的情况。 用户直接登录不需要它。注意
- Microsoft Entra Connect 版本 1.1.557.0、1.1.558.0、1.1.561.0 和 1.1.614.0 存在与密码哈希同步相关的问题。如果不打算将密码哈希同步与直通身份验证配合使用,请查看 Microsoft Entra Connect 发行说明 来了解详细信息。
使用受支持的 Microsoft Entra Connect 拓扑:请确保使用 Microsoft Entra Connect 支持的拓扑之一。
注意
无缝 SSO 支持多个本地 Windows Server Active Directory (Windows Server AD) 林,无论它们之间是否存在 Windows Server AD 信任。
设置域管理员凭据:你必须为每个 Windows Server AD 林提供域管理员凭据,以便:
- 通过 Microsoft Entra Connect 同步到 Microsoft Entra ID。
- 包含想要为其启用无缝 SSO 的用户。
启用新式身份验证:若要使用此功能,必须在租户上启用新式身份验证。
使用最新版本的 Microsoft 365 客户端:若要获取 Microsoft 365 客户端(例如 Outlook、Word 或 Excel)的无提示登录体验,用户必须使用 16.0.8730.xxxx 或更高版本。
备注
如果你有传出 HTTP 代理,请确保 URL autologon.microsoftazuread-sso.com
位于允许列表中。 应显式指定此 URL,因为可能不接受通配符。
启用功能
提示
本文中的步骤可能因开始使用的门户而略有不同。
通过 Microsoft Entra Connect 启用无缝 SSO。
注意
如果 Microsoft Entra Connect 不能满足你的要求,可以使用 PowerShell 启用无缝 SSO。 如果每个 Windows Server AD 林具有多个域,并且你想要针对性地指向要启用无缝 SSO 的域,请使用此选项。
如果你要全新安装 Microsoft Entra Connect,请选择自定义安装路径。 在“用户登录”页上,请选择“启用单一登录”选项。
注意
仅当所选的登录方法为“密码哈希同步”或“直通身份验证”时,该选项才适用。
如果你已安装 Microsoft Entra Connect,请在“其他任务”中选择“更改用户登录”,然后选择“下一步”。 如果使用的是 Microsoft Entra Connect 1.1.880.0 或更高版本,则默认选择“启用单一登录”选项。 如果使用的是更低版本的 Microsoft Entra Connect,请选择“启用单一登录”选项。
在向导中继续操作,直到出现“启用单一登录”页。 为每个 Windows Server AD 林提供域管理员凭据,以便:
- 通过 Microsoft Entra Connect 同步到 Microsoft Entra ID。
- 包含想要为其启用无缝 SSO 的用户。
完成向导后,即在租户上启用了无缝 SSO。
注意
域管理员凭据没有存储在 Microsoft Entra Connect 中或 Microsoft Entra ID 中。 它们仅用于启用该功能。
若要验证是否已正确启用无缝 SSO,请执行以下操作:
- 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“混合管理”>“Microsoft Entra Connect”>“Connect 同步”。
- 确认“无缝单一登录”设置为“已启用”。
重要
无缝 SSO 将在每个 Windows Server AD 林的本地 Windows Server AD 目录中创建一个名为 AZUREADSSOACC
的计算机帐户。 出于安全原因,必须对 AZUREADSSOACC
计算机帐户进行严格保护。 应仅允许域管理员帐户管理该计算机帐户。 请确保计算机帐户上的 Kerberos 委派处于禁用状态,并且 Windows Server AD 中的其他帐户对 AZUREADSSOACC
计算机帐户没有委派权限。 将计算机帐户存储在组织单位中,以防止这些帐户被意外删除,并且只有域管理员才能访问它们。
注意
如果在本地环境中使用哈希传递和凭据盗用缓解体系结构,请进行适当更改,确保 AZUREADSSOACC
计算机帐户最终不会出现在“隔离”容器中。
推出此功能
可按照以下部分提供的说明向用户逐步推出无缝 SSO。 首先,通过 Windows Server AD 中的组策略将下列 Microsoft Entra URL 添加到所有或选定的用户 Intranet 区域设置:
https://autologon.microsoftazuread-sso.com
还必须通过组策略启用称为“允许通过脚本更新状态栏”的 Intranet 区域策略设置。
注意
以下说明仅适用于 Windows 上的 Internet Explorer、Microsoft Edge 和 Google Chrome(如果 Google Chrome 与 Internet Explorer 共享一组受信任站点 URL)。 了解如何设置 Mozilla Firefox 和 macOS 上的 Google Chrome。
为什么需要修改用户的 Intranet 区域设置
默认情况下,浏览器将自动从特定 URL 计算正确的区域(Internet 或 Intranet)。 例如,http://contoso/
映射到 Intranet 区域,而 http://intranet.contoso.com/
映射到 Internet 区域(因为此 URL 包含句点)。 浏览器不会将 Kerberos 票证发送到云终结点(例如 Microsoft Entra URL),除非你将此 URL 显式添加到浏览器的 Intranet 区域。
可通过两种方法来修改用户的 Intranet 区域设置:
选项 | 管理员注意事项 | 用户体验 |
---|---|---|
组策略 | 管理员锁定 Intranet 区域设置的编辑 | 用户无法修改自己的设置 |
组策略首选项 | 管理员允许编辑 Intranet 区域设置 | 用户可以修改自己的设置 |
组策略详细步骤
打开“组策略管理编辑器”工具。
编辑适用于部分或全部用户的组策略。 此示例使用默认域策略。
转到“用户配置”>“策略”>“管理模板”>“Windows 组件”>“Internet Explorer”>“Internet 控制面板”>“安全页”。 选择“站点到区域分配列表”。
启用策略,然后在对话框中输入以下值:
值名称:要将 Kerberos 票证转发到的 Microsoft Entra URL。
值(数据):1 指示 Intranet 区域。
结果类似于以下示例:
值名称:
https://autologon.microsoftazuread-sso.com
值(数据):1
注意
如果你想阻止某些用户使用无缝 SSO(例如,如果这些用户在共享展台上登录),请将前面的值设置为 4。 此操作会将 Microsoft Entra URL 添加到受限区域,并且用户始终无法使用无缝 SSO。
选择“确定”,然后再选择“确定”。
转到“用户配置”>“策略”>“管理模板”>“Windows 组件”>“Internet Explorer”>“Internet 控制面板”>“安全页”>“Intranet 区域”。 选择“允许通过脚本更新状态栏”。
启用策略设置,然后选择“确定”。
组策略首选项详细步骤
打开“组策略管理编辑器”工具。
编辑适用于部分或全部用户的组策略。 此示例使用默认域策略。
转到“用户配置”>“首选项”>“Windows 设置”>“注册表”>“新建”>“注册表项”。
如图所示输入或选择以下值,然后选择“确定”。
密钥路径:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
值名称:https
值类型:REG_DWORD
值数据:00000001
浏览器注意事项
后续部分将提供特定于不同类型浏览器的无缝 SSO 的相关信息。
Mozilla Firefox(所有平台)
如果要在环境中使用身份验证策略设置,请确保将 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com
) 添加到 SPNEGO 部分。 还可以将 PrivateBrowsing 选项设置为 true,以允许在隐私浏览模式下使用无缝 SSO。
Safari (macOS)
确保运行 macOS 的计算机已加入 Windows Server AD。
有关将 macOS 设备加入 Windows Server AD 的说明不在本文讨论范围之内。
基于 Chromium 的 Microsoft Edge(所有平台)
如果已替代环境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 策略设置,请确保也向这些策略设置添加 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com
)。
基于 Chromium 的 Microsoft Edge(macOS 和其他非 Windows 平台)
有关 macOS 和其他非 Windows 平台上基于 Chromium 的 Microsoft Edge,请参阅基于 Chromium 的 Microsoft Edge 策略列表,了解如何将用于集成身份验证的 Microsoft Entra URL 添加到允许列表。
Google Chrome(所有平台)
如果已替代环境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 策略设置,请确保也向这些策略设置添加 Microsoft Entra URL (https://autologon.microsoftazuread-sso.com
)。
macOS
使用第三方 Active Directory 组策略扩展将 Microsoft Entra URL 扩展到 macOS 用户的 Firefox 和 Google Chrome 不在本文讨论范围之内。
已知的浏览器限制
无缝 SSO 在以增强保护模式下运行的 Internet Explorer 中不起作用。 无缝 SSO 支持基于 Chromium 的下一版本的 Microsoft Edge,它根据设计在 InPrivate 和来宾模式下工作。 不再支持 Microsoft Edge(旧版)。
可能需要根据相应的文档,为 InPrivate 或来宾用户配置 AmbientAuthenticationInPrivateModesEnabled
:
测试无缝 SSO
要测试特定用户的功能,请确保符合以下所有条件:
- 用户登录到某个企业设备。
- 设备已加入 Windows Server AD 域。 设备不需要建立 Microsoft Entra 联接。
- 该设备已通过远程访问连接(例如 VPN 连接)与企业有线或无线网络中的域控制器建立了直接连接。
- 已通过组策略将此功能扩展到用户。
若要测试用户输入用户名而不是密码的场景,请执行以下操作:
- 登录 https://myapps.microsoft.com 。 请确保清除浏览器缓存,或在专用模式下将新的专用浏览器会话与任何受支持的浏览器一起使用。
若要测试用户不必输入用户名或密码的场景,请使用以下步骤之一:
- 登录
https://myapps.microsoft.com/contoso.onmicrosoft.com
。 请确保清除浏览器缓存,或在专用模式下将新的专用浏览器会话与任何受支持的浏览器一起使用。 将contoso
替换为你的租户名称。 - 在新的专用浏览器会话中登录到
https://myapps.microsoft.com/contoso.com
。 将“contoso.com”contoso.com
替换为租户中的已验证域(而不是联盟域)。
滚动更新密钥
在启用功能中,Microsoft Entra Connect 在已启用无缝 SSO 的所有 Windows Server AD 林中创建了计算机帐户(表示 Microsoft Entra ID)。 若要了解详细信息,请参阅 Microsoft Entra 无缝单一登录:深入技术探究。
重要
如果泄露,可以使用计算机帐户上的 Kerberos 解密密钥为任何同步的用户生成 Kerberos 票证。 然后,恶意行动者可能会冒充遭到入侵的用户的 Microsoft Entra 登录。 强烈建议定期滚动更新这些 Kerberos 解密密钥,或者至少每 30 天一次。
有关如何轮换密钥的说明,请参阅 Microsoft Entra 无缝单一登录:常见问题解答。
重要
启用该功能后无需立即执行此步骤。 至少每隔 30 天滚动更新一次 Kerberos 解密密钥。