Bezproblémové jednotné přihlašování Azure Active Directory: Rychlý start

Nasazení bezproblémového jednoduchého Sign-On

Azure Active Directory (Azure AD) Bezproblémové jednotné Sign-On (bezproblémové jednotné přihlašování) se uživatelům automaticky přihlásí, když jsou na firemních stolních počítačích, které jsou připojené k podnikové síti. Bezproblémové jednotné přihlašování poskytuje uživatelům snadný přístup k cloudovým aplikacím bez nutnosti jakýchkoli dalších místních komponent.

Pokud chcete bezproblémové jednotné přihlašování nasadit, postupujte takto.

Krok 1: Kontrola požadavků

Ujistěte se, že jsou splněné následující požadavky:

  • Nastavení Připojení serveru Azure AD: Pokud jako metodu přihlašování používáte předávací ověřování, nevyžaduje se žádná další kontrola požadavků. Pokud jako metodu přihlašování používáte synchronizaci hodnot hash hesel a pokud mezi azure AD Připojení a Azure AD existuje brána firewall, ujistěte se, že:

    • Používáte verzi 1.1.644.0 nebo novější Připojení Azure AD.

    • Pokud brána firewall nebo proxy server povolí, přidejte připojení k seznamu povolených adres URL *.msappproxy.net přes port 443. Pokud pro konfiguraci proxy serveru potřebujete určitou adresu URL, můžete nakonfigurovat tenantid.registration.msappproxy.net, kde id tenanta je identifikátor GUID tenanta, ve kterém konfigurujete tuto funkci. Pokud ve vaší organizaci nejsou možné výjimky proxy serveru založené na adrese URL, můžete místo toho povolit přístup k rozsahům IP adres datacentra Azure, které se aktualizují týdně. Tento požadavek platí jenom v případě, že tuto funkci povolíte. U skutečných přihlášení uživatelů se nevyžaduje.

      Poznámka

      Azure AD Připojení verze 1.1.557.0, 1.1.558.0, 1.1.561.0 a 1.1.614.0 mají potíže související se synchronizací hodnot hash hesel. Pokud nemáte v úmyslu používat synchronizaci hodnot hash hesel ve spojení s předávacím ověřováním, přečtěte si poznámky k verzi služby Azure AD Připojení a přečtěte si další informace.

      Poznámka

      Pokud máte odchozí proxy server HTTP, ujistěte se, že je tato adresa URL autologon.microsoftazuread-sso.com na seznamu povolených. Tuto adresu URL byste měli explicitně zadat, protože zástupný znak nemusí být přijat.

  • Použijte podporovanou topologii Připojení Azure AD: Ujistěte se, že používáte některou z podporovaných topologií azure AD Připojení popsaných tady.

    Poznámka

    Bezproblémové jednotné přihlašování podporuje více doménových struktur AD, ať už mezi nimi existují vztahy důvěryhodnosti AD, nebo ne.

  • Nastavení přihlašovacích údajů správce domény: Pro každou doménovou strukturu služby Active Directory musíte mít přihlašovací údaje správce domény, které:

    • Synchronizujete ji s Azure AD prostřednictvím služby Azure AD Connect.
    • Obsahuje uživatele, pro které chcete povolit bezproblémové jednotné přihlašování.
  • Povolit moderní ověřování: Aby tato funkce fungovala, musíte v tenantovi povolit moderní ověřování .

  • Použijte nejnovější verze klientů Microsoft 365: Pokud chcete získat tiché přihlašování s klienty Microsoft 365 (Outlook, Word, Excel a další), musí uživatelé používat verze 16.0.8730.xxxx nebo vyšší.

Krok 2: Povolení funkce

Povolte bezproblémové jednotné přihlašování prostřednictvím azure AD Připojení.

Poznámka

Bezproblémové jednotné přihlašování můžete povolit také pomocí PowerShellu, pokud Azure AD Připojení nesplňuje vaše požadavky. Tuto možnost použijte, pokud máte více než jednu doménu na doménovou strukturu služby Active Directory a chcete být cílenější na doménu, pro kterou chcete povolit bezproblémové jednotné přihlašování.

Pokud provádíte novou instalaci služby Azure AD Připojení, zvolte vlastní instalační cestu. Na stránce Přihlášení uživatele vyberte možnost Povolit jednotné přihlašování.

Poznámka

Tato možnost bude dostupná pouze v případě, že metoda Sign On je synchronizace hodnot hash hesel nebo předávací ověřování.

Azure AD Connect: User sign-in

Pokud už máte instalaci služby Azure AD Připojení, vyberte přihlašovací stránku změnit uživatele ve službě Azure AD Připojení a pak vyberte Další. Pokud používáte Azure AD Connect verze 1.1.880.0 nebo novější, bude možnost Povolit jednotné přihlašování vybraná ve výchozím nastavení. Pokud používáte starší verze služby Azure AD Connectvyberte možnost Povolit jednotné přihlašování.

Azure AD Connect: Change the user sign-in

Pokračujte v průvodci, dokud se nedostanete na stránku Povolit jednotné přihlašování. Zadejte přihlašovací údaje správce domény pro každou doménovou strukturu služby Active Directory, která má tyto charakteristiky:

  • Synchronizujete ji s Azure AD prostřednictvím služby Azure AD Connect.
  • Obsahuje uživatele, pro které chcete povolit bezproblémové jednotné přihlašování.

Po dokončení průvodce je ve vašem tenantovi povolené bezproblémové jednotné přihlašování.

Poznámka

Přihlašovací údaje správce domény se neukládají ve službě Azure AD Připojení ani v Azure AD. Používají se jenom k povolení této funkce.

Podle těchto pokynů ověřte, že jste bezproblémové jednotné přihlašování povolili správně:

  1. Přihlaste se do centra pro správu Azure Active Directory pomocí přihlašovacích údajů globálního správce nebo správce hybridní identity pro vašeho tenanta.
  2. V levém podokně vyberte Azure Active Directory.
  3. Vyberte Azure AD Connect.
  4. Ověřte, že se u možnosti Bezproblémové jednotné přihlašování zobrazuje Povoleno.

Azure portal: Azure AD Connect pane

Důležité

Bezproblémové jednotné přihlašování vytvoří účet počítače pojmenovaný AZUREADSSOACC ve vaší místní Active Directory (AD) v každé doménové struktuře AD. Účet počítače AZUREADSSOACC musí být z bezpečnostních důvodů silně chráněný. Tento účet počítače by měli mít možnost spravovat jenom správci domény. Ujistěte se, že je delegování protokolu Kerberos v účtu počítače zakázané a že v účtu počítače nemá žádný jiný účet ve službě AZUREADSSOACC Active Directory oprávnění delegování. Tento účet počítače uložte v organizační jednotce (OU), kde je v bezpečí před náhodným odstraněním a kam mají přístup jenom správci domény.

Poznámka

Pokud v místním prostředí používáte architekturu omezení rizik krádeže hodnot hash a přihlašovacích údajů, proveďte příslušné změny, aby se zajistilo, že AZUREADSSOACC se účet počítače nedokončí v kontejneru karantény.

Krok 3: Zavedení funkce

K postupnému zavedení bezproblémového jednotného přihlašování uživatelům můžete použít následující pokyny. Začnete přidáním následující adresy URL služby Azure AD do nastavení zóny intranetu všech nebo vybraných uživatelů pomocí Zásady skupiny ve službě Active Directory:

  • https://autologon.microsoftazuread-sso.com

Kromě toho musíte povolit nastavení zásad zóny intranetu s názvem Povolit aktualizace stavového řádku prostřednictvím skriptu prostřednictvím Zásady skupiny.

Poznámka

Následující pokyny fungují jenom pro Internet Explorer, Microsoft Edge a Google Chrome na Windows (pokud sdílí sadu adres URL důvěryhodných webů s Internet Explorerem). Přečtěte si další část s pokyny, jak nastavit Mozilla Firefox a Google Chrome v macOS.

Proč potřebujete upravit nastavení zóny intranetu uživatelů?

Ve výchozím nastavení prohlížeč automaticky vypočítá správnou zónu( internet nebo intranet) z konkrétní adresy URL. Například http://contoso/ se mapuje na zónu intranetu, zatímco http://intranet.contoso.com/ mapy na internetovou zónu (protože adresa URL obsahuje tečku). Prohlížeče neodesílají lístky Kerberos do cloudového koncového bodu, jako je adresa URL služby Azure AD, pokud adresu URL explicitně nepřidáte do zóny intranetu prohlížeče.

Existují dva způsoby, jak změnit nastavení zóny intranetu uživatelů:

Možnost Důležité informace o správci Uživatelské prostředí
Zásady skupiny Správce uzamkne úpravy nastavení zóny intranetu. Uživatelé nemůžou upravovat vlastní nastavení
Předvolba zásad skupiny Správce umožňuje úpravy nastavení zóny intranetu Uživatelé můžou upravit vlastní nastavení.

Možnost Zásady skupiny – Podrobné kroky

  1. Otevřete nástroj editor pro správu Zásady skupiny.

  2. Upravte zásady skupiny, které se vztahují na některé nebo všechny vaše uživatele. Tento příklad používá výchozí zásady domény.

  3. Přejděte na stránku UserConfigurationPoliciesAdministrative>>Templates>Windows ComponentsInternet>ExplorerInternet>Ovládací panely>Security. Pak vyberte web pro seznam přiřazení zóny. Screenshot that shows the

  4. Povolte zásadu a do dialogového okna zadejte následující hodnoty:

    • Název hodnoty: Adresa URL služby Azure AD, kde se přeposílají lístky Kerberos.

    • Hodnota (Data): 1 označuje zónu intranetu.

      Výsledek vypadá takto:

      Název hodnoty: https://autologon.microsoftazuread-sso.com

      Hodnota (data): 1

    Poznámka

    Pokud chcete některým uživatelům zakázat používání bezproblémového jednotného přihlašování (například pokud se tito uživatelé přihlašují ke sdíleným beznabídkovým terminálům), nastavte předchozí hodnoty na 4. Tato akce přidá adresu URL Služby Azure AD do zóny s omezeným přístupem a po celou dobu se nezdaří bezproblémové jednotné přihlašování.

  5. Vyberte OK a potom znovu vyberte OK.

    Screenshot that shows the

  6. Přejděte do šablon ConfigurationPoliciesAdministrative>>Windows>ComponentsInternet>ExplorerInternet>Ovládací panely>SecurityPageIntranet> Zone. Potom vyberte Povolit aktualizace stavového řádku prostřednictvím skriptu.

    Screenshot that shows the

  7. Povolte nastavení zásad a pak vyberte OK.

    Screenshot that shows

Možnost Předvolby zásad skupiny – podrobné kroky

  1. Otevřete nástroj editor pro správu Zásady skupiny.

  2. Upravte zásady skupiny, které se vztahují na některé nebo všechny vaše uživatele. Tento příklad používá výchozí zásady domény.

  3. Přejděte na položku UserConfigurationPreferences>>Windows Nastavení>RegistryNewRegistry>.>

    Screenshot that shows

  4. Do příslušných polí zadejte následující hodnoty a klikněte na tlačítko OK.

    • Cesta klíče: Software\Microsoft\Windows\CurrentVersion\Internet Nastavení\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Název hodnoty: https

    • Typ hodnoty: REG_DWORD

    • Data hodnot: 00000001

      Screenshot that shows the

      Single sign-on

Důležité informace o prohlížeči

Mozilla Firefox (všechny platformy)

Pokud ve svém prostředí používáte nastavení zásad ověřování, ujistěte se, že do oddílu SPNEGO přidáte adresu URLhttps://autologon.microsoftazuread-sso.com služby Azure AD. Můžete také nastavit možnost PrivateBrowsing na true, aby bylo možné bezproblémové jednotné přihlašování v režimu privátního procházení.

Safari (macOS)

Ujistěte se, že je počítač se systémem macOS připojený ke službě AD. Pokyny pro připojení zařízení s macOS k AD jsou mimo rozsah tohoto článku.

Microsoft Edge založené na Chromium (všechny platformy)

Pokud jste přepsali nastavení zásad AuthNegotiateDelegateAllowlist nebo AuthServerAllowlist ve vašem prostředí, ujistěte se, že do nich přidáte i adresu URL službyhttps://autologon.microsoftazuread-sso.com Azure AD.

Microsoft Edge na základě Chromium (macOS a jiných platforem, které nejsou Windows)

Informace o tom, jak přidat adresu URL azure AD pro integrované ověřování do seznamu povolených, Microsoft Edge najdete v Microsoft Edge Microsoft Edge založené Chromium na Chromium na Chromium na macOS a dalších platformách, které nejsou Windows.

Google Chrome (všechny platformy)

Pokud jste přepsali nastavení zásad AuthNegotiateDelegateAllowlist nebo AuthServerAllowlist ve vašem prostředí, ujistěte se, že do nich přidáte i adresu URL službyhttps://autologon.microsoftazuread-sso.com Azure AD.

macOS

Použití rozšíření služby Active Directory třetích stran Zásady skupiny k zavedení adresy URL služby Azure AD pro Firefox a Google Chrome pro uživatele s macOS je mimo rozsah tohoto článku.

Známá omezení prohlížeče

Bezproblémové jednotné přihlašování nefunguje v Internet Exploreru, pokud je prohlížeč spuštěný v rozšířeném chráněném režimu. Bezproblémové jednotné přihlašování podporuje další verzi Microsoft Edge na základě Chromium a funguje v režimu InPrivate a Host podle návrhu. Microsoft Edge (starší verze) se už nepodporuje.

AmbientAuthenticationInPrivateModesEnabledmůže být potřeba nakonfigurovat pro uživatele InPrivate a / nebo typu host na základě odpovídající dokumentace:

Krok 4: Testování funkce

Pokud chcete otestovat funkci pro konkrétního uživatele, ujistěte se, že jsou splněny všechny následující podmínky:

  • Uživatel se přihlásí na podnikovém zařízení.
  • Zařízení je připojené k doméně služby Active Directory. Zařízení nemusí být připojené k Azure AD.
  • Zařízení má přímé připojení k vašemu řadiči domény (DC) buď v podnikové drátové nebo bezdrátové síti, nebo prostřednictvím připojení ke vzdálenému přístupu, jako je připojení VPN.
  • Tuto funkci jste pro tohoto uživatele nasadili prostřednictvím Zásady skupiny.

Pokud chcete otestovat scénář, ve kterém uživatel zadá jenom uživatelské jméno, ale ne heslo:

  • Přihlaste se k webu https://myapps.microsoft.com/. Nezapomeňte vymazat mezipaměť prohlížeče nebo použít novou relaci privátního prohlížeče s některým z podporovaných prohlížečů v privátním režimu.

Pokud chcete otestovat scénář, ve kterém uživatel nemusí zadat uživatelské jméno nebo heslo, použijte jeden z těchto kroků:

  • Přihlaste se a https://myapps.microsoft.com/contoso.onmicrosoft.com nezapomeňte vymazat mezipaměť prohlížeče nebo použít novou relaci privátního prohlížeče s některým z podporovaných prohlížečů v privátním režimu. Nahraďte contoso názvem vašeho tenanta.
  • Přihlaste se k https://myapps.microsoft.com/contoso.com nové relaci privátního prohlížeče. Nahraďte contoso.com ověřenou doménou (ne federovanou doménou) ve vašem tenantovi.

Krok 5: Vrácení klíčů

V kroku 2 azure AD Připojení vytvoří účty počítačů (představující Azure AD) ve všech doménových strukturách služby Active Directory, na kterých jste povolili bezproblémové jednotné přihlašování. Další informace najdete v tématu Azure Active Directory bezproblémové jednotné přihlašování: Technické podrobné informace.

Důležité

Dešifrovací klíč Kerberos na účtu počítače, pokud dojde k úniku, je možné použít k vygenerování lístků Protokolu Kerberos pro každého uživatele v doménové struktuře AD. Aktéři se zlými úmysly pak můžou zosobnit přihlášení Azure AD pro ohrožené uživatele. Důrazně doporučujeme, abyste tyto dešifrovací klíče Kerberos pravidelně převráceli – aspoň jednou za 30 dnů.

Pokyny k vrácení klíčů najdete v tématu Azure Active Directory Bezproblémové jednotné přihlašování: Nejčastější dotazy.

Důležité

Tento krok nemusíte provést hned po povolení funkce. Dešifrovací klíče Kerberos můžete vrátit alespoň jednou každých 30 dnů.

Další kroky

  • Technické podrobné informace: Seznamte se s fungováním funkce bezproblémového jednoduchého Sign-On.
  • Nejčastější dotazy: Získejte odpovědi na nejčastější dotazy týkající se bezproblémového jednotného přihlašování.
  • Řešení potíží: Zjistěte, jak vyřešit běžné problémy s funkcí bezproblémového jednoduchého Sign-On.
  • UserVoice: Pomocí fóra Azure Active Directory vytvořte nové žádosti o funkce.