共用方式為


Microsoft Edge 身分識別支援和設定

本文介紹 Microsoft Edge 如何使用身分識別來支援同步和單一登入 (SSO) 等功能。 Microsoft Edge 支援使用 Active Directory Domain Services (AD DS) 、Microsoft Entra ID,以及 (MSA) Microsoft 帳戶登入。 目前,Microsoft Edge 僅支援Microsoft屬於全球雲端或 GCC 主權雲端的 Entra 帳戶。 我們正努力新增對其他主權雲端的支援。

注意

本文適用於 Microsoft Edge 版本 77 或更新版本。

瀏覽器登入和驗證功能

Microsoft Edge 支援使用 Microsoft Entra ID、MSA 或網域帳戶登入瀏覽器配置檔。 登入所用的帳戶類型將決定使用者在 Microsoft Edge 中可使用何種驗證功能。 下表總結了每種帳戶類型的功能支援。

功能 Microsoft Entra ID Microsoft免費編碼標識符 內部部署 AD DS MSA
同步
SSO 搭配主要重新整理權杖
無縫 SSO
整合式 Windows 驗證
企業新索引標籤頁 需要 O365 需要 O365
Microsoft 搜尋 需要 O365 需要 O365

使用者登入 Microsoft Edge 的方式

自動登入

Microsoft Edge 使用 OS 預設帳戶來自動登入瀏覽器。 依據裝置的設定方式而定,使用者可以使用下列其中一種方法來自動登入 Microsoft Edge。

  • 裝置是混合式/AAD-J: 可在 Win10、舊版 Windows 與對應的伺服器版本上使用。 使用者會使用其 Microsoft Entra 帳戶自動登入。
  • 裝置為已加入網域: 可在 Win10、舊版 Windows 與對應的伺服器版本上使用。 根據預設,使用者不會自動登入。 如果您想要以網域帳戶自動登入使用者,請使用 ConfigureOnPremisesAccountAutoSignIn 原則。 如果您想要使用使用者的 Microsoft Entra 帳戶自動登入使用者,請考慮混合式加入您的裝置。
  • OS 預設帳戶為 MSA: Windows 10 Fall Creators Update (版本 1709/組建 10.0.16299) 及更新版本。 這種情況不太可能出現在企業裝置上。 但是,如果 OS 預設帳戶是 MSA,Microsoft Edge 會使用 MSA 帳戶自動登入。

手動登入

如果使用者未能自動登入 Microsoft Edge,可以在初次執行體驗、瀏覽器設定或透過開啟身分識別飛出視窗手動登入 Microsoft Edge。

管理瀏覽器登入

如果您想要管理瀏覽器登入,可以使用下列原則:

瀏覽器至網頁單一登入 (SSO)

在某些平臺上,您可以設定 Microsoft Edge 為使用者自動登入網站。 此選項免除他們重新輸入認證的麻煩,方便存取他們的工作網站並提高其生產力。

SSO 搭配主要重新整理權杖 (PRT)

Microsoft Edge 具有 PRT 式 SSO 原生支援,且不需要擴充。 在 Windows 10 Fall Creators Update 和更新版本上,如果使用者已登入其瀏覽器設定檔,他們會使用 PRT 機制取得 SSO 給支援 PRT 型 SSO 的網站。

主要重新整理令牌 (PRT) 是在 Windows 10/11、iOS 和 Android 裝置上用於驗證的 Microsoft Entra ID 金鑰。 它支援在這些裝置上使用的應用程式之間進行單一登入 (SSO)。 如需詳細資訊,請參閱主要重新整理權杖是什麼?

無縫 SSO

就像 PRT SSO 一樣,Microsoft Edge 有原生無縫 SSO 支援,且不需要擴充。 在 Windows 10 Fall Creators Update 和更新版本上,如果使用者已登入其瀏覽器設定檔,他們會使用 PRT 機制取得 SSO 給支援 PRT 型 SSO 的網站。

無縫單一登入在使用者位於連接到公司網路的公司裝置上時,會自動登入使用者。 啟用時,使用者不需要輸入其密碼即可登入 Microsoft Entra ID。 通常甚至不需要輸入其使用者名稱。 如需詳細資訊,請參閱 Active Directory 無縫單一登入

Windows 整合式驗證 (WIA)

Microsoft Edge 也支援在組織內部網路中針對使用瀏覽器進行其驗證的任何應用程式,進行驗證要求的 Windows 整合驗證。 所有版本的 Windows 10/11 和舊版 Windows 都支援此功能。 根據預設,Microsoft Edge 會使用內部網路區域作為 WIA 的允許清單。 或者,您也可以使用 AuthServerAllowlist 原則來自訂已啟用整合式驗證的伺服器清單。 若使用 macOS,則需要此原則才能啟用整合式驗證。

若要支援 Microsoft Edge (版本 77 及更新版本) 上的 WIA 式 SSO,您可能也需要執行某些伺服器端設定。 您可能必須設定 Active Directory Federation Services (AD FS) 属性 WiaSupportedUserAgents ,以新增對新 Microsoft Edge 使用者代理程式字串的支援。 如需如何執行此動作的指示,請參閱檢視 WIASupportedUserAgent 設定以及變更 WIASupportedUserAgent 設定 (英文)。 下列顯示的是 Windows 10 上 Microsoft Edge 使用者代理程式字串的範例,而您可以在這裡深入了解 Microsoft Edge UA 字串 (英文)。

UA 字串的以下範例適用於本文發佈時的最新 Dev 通道組建:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"

針對需要委派協商認證的服務,Microsoft Edge 使用 AuthNegotiateDelegateAllowlist 原則支援 [限制委派]。

其他驗證概念

主動式驗證

主動式驗證是對瀏覽器到網站 SSO 的最佳化,可將驗證事先載入到某些第一方網站。 如果使用者使用 Bing 做為搜尋引擎,這會改善網址列的效能。 還會提供使用者個人化和商務用 Microsoft 搜尋 (MSB) 的搜尋結果。 它也允許驗證重要服務,例如 Office 新增索引標籤面、MSN 和 Microsoft Copilot。

注意

您可以使用 Microsoft Edge 126 版或更新版本的 ProactiveAuthWorkflowEnabled 原則來控制此服務;或針對 Microsoft Edge 90 版或更低版本使用 ProactiveAuthEnabled 原則。 針對在版本之間,如果您想要設定瀏覽器登入,請使用 BrowserSignin 原則。

NTLM 驗證的 Windows Hello CredUI

當網站嘗試使用 NTLM 或交涉機制來登入使用者且無法使用 SSO 時,我們為使用者提供了可以使用網站共用其 OS 認證,進而得以使用 Windows Hello Cred UI 來滿足身份驗證挑戰的體驗。 此登入流程只會針對在NTLM或交涉挑戰期間未取得單一登錄的Windows 10/11用戶顯示。

使用儲存的密碼自動登入

如果使用者在 Microsoft Edge 中儲存密碼,他們可以啟用位於具有儲存其認證的網站時即可自動登入的功能。 使用者可以流覽至 edge://settings/passwords來切換此功能。 如果您想要設定此功能,可以使用 密碼管理員 原則。

請參閱