Nahtlose einmalige Anmeldung mit Azure Active Directory

Was ist die nahtlose einmalige Anmeldung mit Azure Active Directory?

Die nahtlose einmalige Anmeldung mit Azure Active Directory (nahtlose SSO mit Azure AD) meldet Benutzer automatisch auf ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind. Wenn diese Funktion aktiviert ist, müssen Benutzer zur Anmeldung bei Azure AD nicht ihr Kennwort und in der Regel nicht einmal ihren Benutzernamen eingeben. Diese Funktion ermöglicht Ihren Benutzern einen einfachen Zugriff auf Ihre cloudbasierten Anwendungen, ohne dass zusätzliche lokale Komponenten erforderlich sind.

Die nahtlose SSO kann mit den Anmeldemethoden Kennworthashsynchronisierung oder Passthrough-Authentifizierung kombiniert werden. Die nahtlose einmalige Anmeldung ist nicht auf Active Directory-Verbunddienste (AD FS) anwendbar.

Seamless Single Sign-On

Einmaliges Anmelden über primäres Aktualisierungstoken und nahtloses einmaliges Anmelden

Unter Windows 10, Windows Server 2016 und höheren Versionen empfiehlt sich das einmalige Anmelden über das primäre Aktualisierungstoken. Unter Windows 7 und Windows 8.1 ist die Verwendung des nahtlosen einmaligen Anmeldens empfehlenswert. Das nahtlose einmalige Anmelden setzt voraus, dass das Gerät des Benutzers in die Domäne eingebunden ist, kann aber unter Windows 10 nicht für in Azure AD eingebundene Geräteoder für hybrid in Azure AD eingebundene Geräte verwendet werden. Das einmalige Anmelden (SSO) für in Azure AD oder hybrid in Azure AD eingebundene Geräte sowie in Azure AD registrierte Geräte erfolgt auf Basis des primären Aktualisierungstokens.

Das einmalige Anmelden (SSO) über das primäre Aktualisierungstoken funktioniert für hybrid in Azure AD eingebundene Geräte, in Azure AD eingebundene oder persönliche registrierte Geräte, sobald die Geräte durch Hinzufügen eines Geschäfts-, Schul- oder Unikontos bei Azure AD registriert wurden. Weitere Informationen zur Funktionsweise des einmaligen Anmeldens (SSO) über das primäre Aktualisierungstoken unter Windows 10 finden Sie unter: Primäres Aktualisierungstoken und Azure AD

Hauptvorteile

  • Große Benutzerfreundlichkeit
    • Benutzer werden automatisch sowohl bei lokalen als auch bei cloudbasierten Anwendungen angemeldet.
    • Benutzer müssen nicht ständig ihr Kennwort eingeben.
  • Einfache Bereitstellung &Verwaltung
    • Keine zusätzlichen lokalen Komponenten erforderlich.
    • Funktioniert mit jedem Verfahren für die Cloudauthentifizierung: Kennworthashsynchronisierung oder Passthrough-Authentifizierung.
    • Kann mithilfe einer Gruppenrichtlinie für einige oder alle Benutzer eingeführt werden.
    • Registrieren Sie Geräte ohne Windows 10 bei Azure AD, ohne dass eine AD FS-Infrastruktur erforderlich ist. Für diese Funktion benötigen Sie Version 2.1 oder höher des Clients für die Arbeitsplatzeinbindung.

Wichtige Features

  • Beim Anmeldebenutzernamen kann es sich entweder um den lokalen Standard-Benutzernamen (userPrincipalName) handeln oder um ein anderes Attribut (Alternate ID), das in Azure AD Connect konfiguriert ist. Beide Anwendungsfälle funktionieren, weil die nahtloses SSO den securityIdentifier-Anspruch im Kerberos-Ticket verwendet, um die entsprechenden Benutzerobjekte in Azure AD zu suchen.
  • Die nahtlose SSO ist eine opportunistische Funktion. Tritt aus irgendeinem Grund ein Fehler auf, wird die reguläre Benutzeranmeldung durchgeführt, d.h. Benutzer müssen ihr Kennwort auf der Anmeldeseite eingeben.
  • Leitet eine Anwendung (z.B. https://myapps.microsoft.com/contoso.com) die Parameter domain_hint (OpenID Connect) oder whr (SAML) – die Ihren Mandanten identifizieren – oder den login_hint Parameter – der den Benutzer identifiziert – in der Azure AD-Anmeldeanforderung weiter, werden Benutzer automatisch ohne Eingabe von Benutzername oder Kennwort angemeldet.
  • Benutzer profitieren auch dann von einer Anmeldung ohne Benutzereingaben, wenn eine Anwendung (z.B. https://contoso.sharepoint.com) Anmeldeanforderungen an Azure AD-Endpunkte sendet, die als Mandanten eingerichtet sind – also https://login.microsoftonline.com/contoso.com/<..> oder https://login.microsoftonline.com/<tenant_ID>/<..> –, anstatt die Anforderungen an den allgemeinem Azure AD-Endpunkt – also https://login.microsoftonline.com/common/<...> – zu senden.
  • Die Abmeldung wird unterstützt. Dadurch können Benutzer ein anderes Azure AD-Konto für die Anmeldung auswählen, anstatt mit der nahtlosen einmaligen Anmeldung automatisch angemeldet zu werden.
  • Win32-Clients für Microsoft 365 (Outlook, Word, Excel usw.) ab Version 16.0.8730.xxxx werden mit einem nicht interaktiven Flow unterstützt. Bei OneDrive müssen Sie das OneDrive-Feature zur automatischen Konfiguration aktivieren, um von einer automatischen Anmeldung profitieren zu können.
  • Kann über Azure AD Connect aktiviert werden
  • Es handelt sich um ein kostenloses Feature, sodass Sie für dessen Verwendung keine kostenpflichtigen Editionen von Azure AD benötigen.
  • Ist auf webbrowserbasierten Clients und Office-Clients möglich, die eine moderne Authentifizierung auf Plattformen und Browsern unterstützen, die eine Kerberos-Authentifizierung ausführen können:
Betriebssystem/Browser Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Ja* Ja Ja Ja***
Windows 8.1 Ja* Ja**** Yes Ja***
Windows 8 Ja* Ja Ja***
Windows Server 2012 R2 oder höher Ja** Ja Ja***
Mac OS X Ja*** Ja*** Ja***

Hinweis

Die Legacyversion von Microsoft Edge wird nicht mehr unterstützt.

*Erfordert Internet Explorer 11 oder höher (Ab dem 17. August 2021 unterstützen Microsoft 365-Apps und -Dienste IE 11 nicht mehr.)

*Erfordert Internet Explorer 11 oder höher Deaktivieren Sie den erweiterten geschützten Modus.

***Erfordert zusätzliche Konfigurationsschritte.

****Microsoft Edge auf Basis von Chromium

Nächste Schritte