Nahtlose einmalige Anmeldung mit Azure Active DirectoryAzure Active Directory Seamless Single Sign-On

Was ist die nahtlose einmalige Anmeldung mit Azure Active Directory?What is Azure Active Directory Seamless Single Sign-On?

Die nahtlose einmalige Anmeldung mit Azure Active Directory (nahtlose SSO mit Azure AD) meldet Benutzer automatisch auf ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Wenn diese Funktion aktiviert ist, müssen Benutzer zur Anmeldung bei Azure AD nicht ihr Kennwort und in der Regel nicht einmal ihren Benutzernamen eingeben.When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. Diese Funktion ermöglicht Ihren Benutzern einen einfachen Zugriff auf Ihre cloudbasierten Anwendungen, ohne dass zusätzliche lokale Komponenten erforderlich sind.This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

Die nahtlose SSO kann mit den Anmeldemethoden Kennworthashsynchronisierung oder Passthrough-Authentifizierung kombiniert werden.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. Die nahtlose einmalige Anmeldung ist nicht auf Active Directory-Verbunddienste (AD FS) anwendbar.Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

Nahtloses einmaliges Anmelden

Wichtig

Für das nahtlose einmalige Anmelden darf das Gerät des Benutzers ausschließlich in die Domäne eingebunden sein, für in Azure AD eingebundene oder In Hybrid-Azure AD eingebundene Geräte kann diese Funktion nicht verwendet werden.Seamless SSO needs the user's device to be domain-joined only, but it is not used on Azure AD Joined or Hybrid Azure AD joined devices. Das einmalige Anmelden (SSO) für in Azure AD oder in Hybrid-Azure AD eingebundene Geräte sowie in Azure AD registrierte Geräte funktioniert basierend auf dem primären Aktualisierungstoken.SSO on Azure AD joined, Hybrid Azure AD joined, and Azure AD registered devices works based on the primary refresh token.

HauptvorteileKey benefits

  • Große BenutzerfreundlichkeitGreat user experience
    • Benutzer werden automatisch sowohl bei lokalen als auch bei cloudbasierten Anwendungen angemeldet.Users are automatically signed into both on-premises and cloud-based applications.
    • Benutzer müssen nicht ständig ihr Kennwort eingeben.Users don't have to enter their passwords repeatedly.
  • Einfache Bereitstellung und VerwaltungEasy to deploy & administer
    • Keine zusätzlichen lokalen Komponenten erforderlich.No additional components needed on-premises to make this work.
    • Funktioniert mit jedem Verfahren für die Cloudauthentifizierung: Kennworthashsynchronisierung oder Passthrough-Authentifizierung.Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • Kann mithilfe einer Gruppenrichtlinie für einige oder alle Benutzer eingeführt werden.Can be rolled out to some or all your users using Group Policy.
    • Registrieren Sie Geräte ohne Windows 10 bei Azure AD, ohne dass eine AD FS-Infrastruktur erforderlich ist.Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. Für diese Funktion benötigen Sie Version 2.1 oder höher des Clients für die Arbeitsplatzeinbindung.This capability needs you to use version 2.1 or later of the workplace-join client.

Wichtige FeaturesFeature highlights

  • Beim Anmeldebenutzernamen kann es sich entweder um den lokalen Standard-Benutzernamen (userPrincipalName) handeln oder um ein anderes Attribut (Alternate ID), das in Azure AD Connect konfiguriert ist.Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). Beide Anwendungsfälle funktionieren, weil die nahtloses SSO den securityIdentifier-Anspruch im Kerberos-Ticket verwendet, um die entsprechenden Benutzerobjekte in Azure AD zu suchen.Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • Die nahtlose SSO ist eine opportunistische Funktion.Seamless SSO is an opportunistic feature. Tritt aus irgendeinem Grund ein Fehler auf, wird die reguläre Benutzeranmeldung durchgeführt, d.h. Benutzer müssen ihr Kennwort auf der Anmeldeseite eingeben.If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • Leitet eine Anwendung (z.B. https://myapps.microsoft.com/contoso.com) die Parameter domain_hint (OpenID Connect) oder whr (SAML) – die Ihren Mandanten identifizieren – oder den Parameter login_hint – der den Benutzer identifiziert – in der Azure AD-Anmeldeanforderung weiter, werden Benutzer automatisch ohne Eingabe von Benutzername oder Kennwort angemeldet.If an application (for example, https://myapps.microsoft.com/contoso.com) forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • Benutzer profitieren auch dann von einer Anmeldung ohne Benutzereingaben, wenn eine Anwendung (z.B. https://contoso.sharepoint.com) Anmeldeanforderungen an Azure AD-Endpunkte sendet, die als Mandanten eingerichtet sind – also https://login.microsoftonline.com/contoso.com/<..> oder https://login.microsoftonline.com/<tenant_ID>/<..> –, anstatt die Anforderungen an den allgemeinem Azure AD-Endpunkt – also https://login.microsoftonline.com/common/<...> – zu senden.Users also get a silent sign-on experience if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>.
  • Die Abmeldung wird unterstützt.Sign out is supported. Dadurch können Benutzer ein anderes Azure AD-Konto für die Anmeldung auswählen, anstatt mit der nahtlosen einmaligen Anmeldung automatisch angemeldet zu werden.This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Win32-Clients für Microsoft 365 (Outlook, Word, Excel usw.) ab Version 16.0.8730.xxxx werden mit einem nicht interaktiven Flow unterstützt.Microsoft 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. Bei OneDrive müssen Sie das OneDrive-Feature zur automatischen Konfiguration aktivieren, um von einer automatischen Anmeldung profitieren zu können.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Kann über Azure AD Connect aktiviert werdenIt can be enabled via Azure AD Connect.
  • Es handelt sich um ein kostenloses Feature, sodass Sie für dessen Verwendung keine kostenpflichtigen Editionen von Azure AD benötigen.It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • Ist auf webbrowserbasierten Clients und Office-Clients möglich, die eine moderne Authentifizierung auf Plattformen und Browsern unterstützen, die eine Kerberos-Authentifizierung ausführen können:It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
Betriebssystem/BrowserOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 Ja*Yes* JaYes JaYes Ja***Yes*** N/A
Windows 8.1Windows 8.1 Ja*Yes* N/A JaYes Ja***Yes*** N/A
Windows 8Windows 8 Ja*Yes* N/A JaYes Ja***Yes*** N/A
Windows 7Windows 7 Ja*Yes* N/A JaYes Ja***Yes*** N/A
Windows Server 2012 R2 oder höherWindows Server 2012 R2 or above Ja**Yes** N/A JaYes Ja***Yes*** N/A
Mac OS XMac OS X N/A N/A Ja***Yes*** Ja***Yes*** Ja***Yes***

*Internet Explorer 10 oder höher erforderlich*Requires Internet Explorer versions 10 or above

**Internet Explorer 10 oder höher ist erforderlich.**Requires Internet Explorer versions 10 or above. Deaktivieren des erweiterten geschützten ModusDisable Enhanced Protected Mode

***Erfordert eine zusätzliche Konfiguration***Requires additional configuration

Hinweis

Bei Windows 10 wird empfohlen, Azure AD Join zu verwenden, um eine optimale Funktionsweise der nahtlosen SSO mit Azure AD sicherzustellen.For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

Nächste SchritteNext steps