V tomto článku řešíme nejčastější dotazy týkající se bezproblémového jednotného přihlašování Microsoft Entra (Bezproblémové jednotné přihlašování). Občas zkontrolujte, jestli nepřibyl nový obsah.
S jakými metodami přihlašování funguje bezproblémové jednotné přihlašování
Bezproblémové jednotné přihlašování je možné kombinovat s přihlašovacími metodami Synchronizace hodnoty hash hesla a Předávací ověřování. Tuto funkci ale nejde použít s Active Directory Federation Services (AD FS) (ADFS).
Je bezproblémové jednotné přihlašování bezplatnou funkcí?
Bezproblémové jednotné přihlašování je bezplatná funkce a k jejímu použití nepotřebujete žádné placené edice Microsoft Entra ID.
Je bezproblémové jednotné přihlašování dostupné v cloudu Microsoft Azure Germany a v cloudu Microsoft Azure Government?
Bezproblémové jednotné přihlašování je k dispozici pro cloud Azure Government. Podrobnosti najdete v tématu Aspekty hybridní identity pro Azure Government.
Jaké aplikace využívají možnosti parametru domain_hint nebo login_hint bezproblémového jednotného přihlašování?
Tabulka obsahuje seznam aplikací, které mohou tyto parametry odeslat do Microsoft Entra ID. Tato akce poskytuje uživatelům tiché přihlašování pomocí bezproblémového jednotného přihlašování:
| Název aplikace | Adresa URL aplikace, která se má použít |
|---|---|
| Přístupový panel | https://myapps.microsoft.com/contoso.com |
| Outlook na webu | https://outlook.office365.com/contoso.com |
| Portály Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Uživatelé navíc získají bezobslužné přihlašování, pokud aplikace odesílá žádosti o přihlášení do koncových bodů Microsoft Entra nastavených jako tenanti – tj https://login.microsoftonline.com/contoso.com/<. ..> nebo https://login.microsoftonline.com/<tenant_ID>/<..> – místo společného koncového bodu Microsoft Entra , tj https://login.microsoftonline.com/common/<. ...>. Tabulka obsahuje seznam aplikací, které tyto typy žádostí o přihlášení dělají.
| Název aplikace | Adresa URL aplikace, která se má použít |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Centrum pro správu Microsoft Entra | https://portal.azure.com/contoso.com |
Ve výše uvedených tabulkách nahraďte "contoso.com" názvem vaší domény, abyste získali správné adresy URL aplikací pro vašeho tenanta.
Pokud chcete, aby jiné aplikace používaly naše tiché přihlašování, dejte nám vědět v části pro zpětnou vazbu.
Podporuje bezproblémové jednotné přihlašování jako uživatelské jméno alternativní ID místo userPrincipalName?
Ano. Bezproblémové jednotné přihlašování podporuje Alternate ID jako uživatelské jméno při konfiguraci v Microsoft Entra Připojení, jak je znázorněno zde. Ne všechny aplikace Microsoft 365 podporují Alternate ID. Prohlášení o podpoře najdete v dokumentaci ke konkrétní aplikaci.
Jaký je rozdíl mezi prostředím jednotného přihlašování poskytovaného službou Microsoft Entra Join a bezproblémovým jednotným přihlašováním?
Připojení k Microsoft Entra poskytuje uživatelům jednotné přihlašování, pokud jsou jejich zařízení zaregistrovaná s ID Microsoft Entra. Tato zařízení nemusí být nutně připojená k doméně. Jednotné přihlašování se poskytuje pomocí primárních obnovovacích tokenů nebo PRT, nikoli kerberos. Uživatelské prostředí je optimální na zařízeních s Windows 10. V prohlížeči Microsoft Edge dochází k jednotnému přihlašování automaticky. S využitím rozšíření prohlížeče to funguje i v prohlížeči Chrome.
Ve svém tenantovi můžete použít připojení k Microsoft Entra a bezproblémové jednotné přihlašování. Tyto dvě funkce se vzájemně doplňují. Pokud jsou obě funkce zapnuté, má jednotné přihlašování z microsoft Entra join přednost před bezproblémovým jednotným přihlašováním.
Chci zaregistrovat zařízení s jiným systémem než Windows 10 pomocí Microsoft Entra ID bez použití služby AD FS. Můžu místo toho použít bezproblémové jednotné přihlašování?
Jak můžu převést dešifrovací klíč Kerberos účtu počítače AZUREADSSO?
Je důležité často převést dešifrovací klíč AZUREADSSO Kerberos účtu počítače (který představuje Id Microsoft Entra) vytvořeného v místní doménové struktuře AD.
Důležité
Důrazně doporučujeme dešifrovací klíč Kerberos vyměňovat alespoň každých 30 dnů.
Postupujte podle těchto kroků na místním serveru, na kterém používáte Microsoft Entra Připojení:
Poznámka:
Pro tento postup budete potřebovat správce domény a globální správce nebo správce hybridní identity.
Pokud nejste správcem domény a správce domény vám přiřadil oprávnění, měli byste zavolat. Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Krok 1. Získání seznamu doménových struktur AD, ve kterých je povolené bezproblémové jednotné přihlašování
- Nejprve si stáhněte a nainstalujte Azure AD PowerShell.
- Přejděte do složky
$env:programfiles"\Microsoft Azure Active Directory Connect". - Pomocí tohoto příkazu importujte modul PowerShellu pro bezproblémové jednotné přihlašování:
Import-Module .\AzureADSSO.psd1. - Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext. Tento příkaz by vám měl poskytnout automaticky otevírané okno pro zadání globálního Správa istratoru nebo hybridní identity Správa istratoru. - Zavolejte
Get-AzureADSSOStatus | ConvertFrom-Json. Tento příkaz zobrazí seznam doménových struktur AD (prohlédněte si seznam domén), ve kterých je tato funkce povolená.
Krok 2. Aktualizace dešifrovacího klíče Kerberos ve všech doménových strukturách AD, ve kterých je nastavený
- Zavolejte
$creds = Get-Credential. Po zobrazení výzvy zadejte přihlašovací údaje správce domény pro danou doménovou strukturu AD.
Poznámka:
Uživatelské jméno přihlašovacích údajů správce domény musí být zadané ve formátu názvu účtu SAM (contoso\johndoe nebo contoso.com\johndoe). Informace o doméně z uživatelského jména používáme k vyhledání řadiče domény správce domény pomocí DNS.
Poznámka:
Použitý účet správce domény nesmí být členem skupiny Chránění uživatelé. Pokud je, operace selže.
Zavolejte
Update-AzureADSSOForest -OnPremCredentials $creds. Tento příkaz aktualizuje dešifrovací klíč Kerberos pro účet počítačeAZUREADSSOv této konkrétní doménové struktuře AD a také v Microsoft Entra ID.Zopakujte výše uvedené kroky pro každou doménovou strukturu AD, ve které jste tuto funkci nastavili.
Poznámka:
Pokud aktualizujete doménovou strukturu, která není Připojení Microsoft Entra, ujistěte se, že je k dispozici připojení k serveru globálního katalogu (TCP 3268 a TCP 3269).
Důležité
To není nutné provádět na serverech, na kterých běží Microsoft Entra Připojení v pracovním režimu.
Ujistěte se, že příkaz nespustíte Update-AzureADSSOForest více než jednou pro každou doménovou strukturu. Jinak funkce přestane fungovat až do vypršení platnosti lístků Kerberos uživatelů a jejich opětovného vystavení místní službou Active Directory.
Jak můžu bezproblémové jednotné přihlašování zakázat?
Krok 1. Zakázání funkce ve vašem tenantovi
Možnost A: Zakázání používání Microsoft Entra Connect
- Spusťte Microsoft Entra Připojení, zvolte Změnit přihlašovací stránku uživatele a klikněte na Další.
- Zrušte zaškrtnutí políčka Povolit jednotné přihlašování. Pokračujte v průvodci.
Po dokončení průvodce bude ve vašem tenantovi zakázáno bezproblémové jednotné přihlašování. Na obrazovce se ale zobrazí zpráva, která čte takto:
Jednotné přihlašování je teď zakázané, ale k dokončení čištění je potřeba provést další ruční kroky. Další informace
Pokud chcete dokončit proces čištění, postupujte podle kroků 2 a 3 na místním serveru, na kterém používáte Microsoft Entra Připojení.
Možnost B: Zakázání pomocí PowerShellu
Na místním serveru, na kterém používáte Microsoft Entra Připojení, spusťte následující kroky:
- Nejprve si stáhněte a nainstalujte Azure AD PowerShell.
- Přejděte do složky
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Pomocí tohoto příkazu importujte modul PowerShellu pro bezproblémové jednotné přihlašování:
Import-Module .\AzureADSSO.psd1. - Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext. Tento příkaz by vám měl poskytnout automaticky otevírané okno pro zadání globálního Správa istratoru nebo hybridní identity Správa istratoru. - Zavolejte
Enable-AzureADSSO -Enable $false.
V tomto okamžiku je bezproblémové jednotné přihlašování zakázané, ale domény zůstanou nakonfigurované pro případ, že byste chtěli povolit bezproblémové jednotné přihlašování zpět. Pokud chcete domény úplně odebrat z konfigurace bezproblémového jednotného přihlašování, zavolejte následující rutinu po dokončení kroku 5 výše: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Důležité
Zakázání bezproblémového jednotného přihlašování pomocí PowerShellu nezmění stav v Microsoft Entra Připojení. Bezproblémové jednotné přihlašování se na stránce Změna přihlašovacích údajů uživatele zobrazí jako povolené.
Krok 2. Získání seznamu doménových struktur AD, ve kterých je povolené bezproblémové jednotné přihlašování
Pokud jste bezproblémové jednotné přihlašování zakázali pomocí nástroje Microsoft Entra Připojení, postupujte podle úkolů 1 až 4. Pokud jste místo toho zakázali bezproblémové jednotné přihlašování pomocí PowerShellu, přejděte k úkolu 5.
- Nejprve si stáhněte a nainstalujte Azure AD PowerShell.
- Přejděte do složky
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Pomocí tohoto příkazu importujte modul PowerShellu pro bezproblémové jednotné přihlašování:
Import-Module .\AzureADSSO.psd1. - Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext. Tento příkaz by vám měl poskytnout automaticky otevírané okno pro zadání globálního Správa istratoru nebo hybridní identity Správa istratoru. - Zavolejte
Get-AzureADSSOStatus | ConvertFrom-Json. Tento příkaz zobrazí seznam doménových struktur AD (prohlédněte si seznam domén), ve kterých je tato funkce povolená.
Krok 3. Ručně odstraňte účet počítače AZUREADSSO ze všech doménových struktur služby Active Directory, které vidíte v seznamu.
Další kroky
- Rychlý start – Zprovoznění bezproblémového jednotného přihlašování Microsoft Entra
- Technické podrobné informace – Porozumíte tomu, jak tato funkce funguje.
- Řešení potíží – Zjistěte, jak vyřešit běžné problémy s funkcí.
- UserVoice – pro vytváření nových žádostí o funkce