Bezproblémové jednotné přihlašování s Azure Active Directory
Co je bezproblémové jednotné přihlašování Azure Active Directory?
Bezproblémové jednotné přihlašování Azure Active Directory (bezproblémové jednotné přihlašování Azure AD) automaticky přihlašuje uživatele, kteří zrovna používají svá podniková zařízení připojená k vaší podnikové síti. Pokud je tato možnost povolená, uživatelé nebudou muset zadávat hesla pro přihlášení ke službě Azure AD a obvykle dokonce zadávejte své uživatelské jméno. Tato funkce poskytuje uživatelům snadný přístup k vašim cloudovým aplikacím bez potřeby dalších místních komponent.
Bezproblémové jednotné přihlašování se dá kombinovat buď se synchronizací hodnot hash hesel , nebo pomocí předávacích ověřovacích metod ověřování . Bezproblémové jednotné přihlašování se nevztahuje na Active Directory Federation Services (AD FS) (ADFS).
Jednotné přihlašování prostřednictvím tokenu primární aktualizace vs. bezproblémové jednotné přihlašování
u Windows 10, Windows Server 2016 a novějších verzí se doporučuje používat jednotné přihlašování prostřednictvím primárního obnovovacího tokenu (PRT). u Windows 7 a Windows 8.1 se doporučuje používat bezproblémové jednotné přihlašování. bezproblémové jednotné přihlašování vyžaduje, aby zařízení uživatele bylo připojené k doméně, ale nepoužívá se na Windows 10 zařízeních připojených k azure ad nebo na zařízeních připojených k hybridní službě Azure ad. Jednotné přihlašování k Azure AD, připojené k hybridní službě Azure AD a zařízení registrovaná službou Azure AD funguje na základě primárního obnovovacího tokenu (PRT) .
Jednotné přihlašování prostřednictvím PRT funguje, když jsou zařízení zaregistrovaná ve službě Azure AD pro připojení k hybridní službě Azure AD, připojené k Azure AD nebo osobní registrovaná zařízení prostřednictvím Přidat pracovní nebo školní účet. další informace o tom, jak jednotné přihlašování funguje s Windows 10 pomocí PRT, najdete v tématech: primární aktualizační Token (PRT) a Azure AD .
Klíčové výhody
- Skvělé uživatelské prostředí
- Uživatelé se automaticky přihlásí k místním i cloudovým aplikacím.
- Uživatelé nemusejí opakovaně zadávat hesla.
- Snadné nasazení & spravovat
- K provedení této práce nejsou potřeba žádné další součásti v místním prostředí.
- Funguje s libovolnou metodou cloudového ověřování – synchronizace hodnot hash hesel nebo předávacího ověřování.
- Je možné je navrátit pro některé nebo všechny uživatele pomocí Zásady skupiny.
- zaregistrujte zařízení bez Windows 10 ve službě Azure AD bez nutnosti žádné AD FS infrastruktury. Tato funkce vyžaduje, abyste používali verzi 2,1 nebo novější z klienta připojení k síti na pracovišti.
Zvýraznění funkcí
- přihlašovací uživatelské jméno může být buď místní výchozí uživatelské jméno (
userPrincipalName), nebo jiný atribut nakonfigurovaný v Azure AD Connect (Alternate ID). Jak fungují případy použití, protože bezproblémová služba jednotného přihlašování používásecurityIdentifierdeklaraci identity v lístku protokolu Kerberos k vyhledání odpovídajícího objektu uživatele v Azure AD. - Bezproblémové jednotné přihlašování je příležitostné funkce. Pokud z nějakého důvodu dojde k chybě, přihlašovací prostředí uživatele se vrátí k běžnému chování – tzn. uživatel musí na přihlašovací stránce zadat heslo.
- pokud aplikace (například
https://myapps.microsoft.com/contoso.com) předádomain_hintparametr (OpenID Připojení) nebowhr(SAML), který identifikuje vašeho tenanta, nebologin_hintparametr-identifikuje uživatele, v jeho žádosti o přihlášení k Azure AD se uživatelé automaticky přihlásí, aniž by museli zadávat uživatelská jména nebo hesla. - Uživatelé také získají tiché přihlašování, pokud aplikace (například
https://contoso.sharepoint.com) odesílá žádosti o přihlášení koncovým bodům služby Azure AD nastaveným jako klienti – to znamenáhttps://login.microsoftonline.com/contoso.com/<..>nebohttps://login.microsoftonline.com/<tenant_ID>/<..>– místo společného koncového bodu služby Azure AD – to znamenáhttps://login.microsoftonline.com/common/<...>. - Odhlášení se podporuje. To umožňuje uživatelům zvolit si jiný účet služby Azure AD pro přihlášení, místo aby se automaticky přihlásili pomocí bezproblémového jednotného přihlašování automaticky.
- Microsoft 365 klienti Win32 (Outlook, Word, Excel a další) s verzemi 16.0.8730. xxxx a vyšší jsou podporovány pomocí neinteraktivního toku. pro OneDrive budete muset pro tiché přihlašování aktivovat funkci OneDrive silent config .
- dá se povolit prostřednictvím Azure AD Connect.
- Je to bezplatná funkce a nepotřebujete žádné placené edice Azure AD, abyste ji mohli používat.
- podporuje se na klientech a Office klientech založených na webovém prohlížeči, které podporují moderní ověřování na platformách a prohlížečích, které podporují ověřování pomocí protokolu Kerberos:
| OS\Browser | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
|---|---|---|---|---|---|
| Windows 10 | Ano* | Yes | Yes | Ano*** | – |
| Windows 8.1 | Yes* | Odpoví*** | Yes | Ano*** | – |
| Windows 8 | Yes* | Není k dispozici | Ano | Ano*** | – |
| Windows Server 2012 R2 nebo vyšší | Ano** | Není k dispozici | Ano | Ano*** | – |
| Mac OS X | N/A | N/A | Ano*** | Ano*** | Ano*** |
Poznámka
Microsoft Edge starší verze již není podporována
*Vyžaduje Internet Explorer verze 11 nebo novější. (od 17. srpna 2021 Microsoft 365 aplikace a služby nebude podporovat IE 11.)
**Vyžaduje Internet Explorer verze 11 nebo novější. Zakažte Rozšířený chráněný režim.
***Vyžaduje Další konfiguraci.
****Microsoft Edge na základě Chromium
Další kroky
- Rychlé zprovoznění – zprovoznění služby Azure AD bez problémů s jednotným přihlašováním
- Plán nasazení – podrobný plán nasazení.
- Technický obsáhlý podrobně – pochopení, jak tato funkce funguje.
- Nejčastější dotazy – odpovědi na nejčastější dotazy
- Řešení potíží – Naučte se řešit běžné problémy s touto funkcí.
- UserVoice – pro nové žádosti o funkce