Ebben a cikkben a Microsoft Entra közvetlen egyszeri bejelentkezésre (közvetlen egyszeri bejelentkezésre) vonatkozó gyakori kérdéseket foglalkozunk. Az új tartalmakért látogasson vissza.
Milyen bejelentkezési módszerekkel működik a közvetlen egyszeri bejelentkezés?
A közvetlen egyszeri bejelentkezés összevonható a jelszókivonat-szinkronizálási vagy az átmenő hitelesítési bejelentkezési módszerrel. Ez a funkció azonban nem használható Active Directory összevonási szolgáltatások (AD FS) (ADFS) esetén.
Ingyenes szolgáltatás a közvetlen egyszeri bejelentkezés?
A közvetlen egyszeri bejelentkezés egy ingyenes funkció, és a használatához nincs szükség a Microsoft Entra ID fizetős kiadásaira.
Elérhető a közvetlen egyszeri bejelentkezés a Microsoft Azure Germany felhőben és a Microsoft Azure Government felhőben?
A közvetlen egyszeri bejelentkezés az Azure Government-felhőhöz érhető el. Részletekért tekintse meg az Azure Government hibrid identitással kapcsolatos szempontjait.
Mely alkalmazások használják ki a közvetlen egyszeri bejelentkezés "domain_hint" vagy "login_hint" paraméterképességét?
A táblázat tartalmazza azokat az alkalmazásokat, amelyek elküldhetik ezeket a paramétereket a Microsoft Entra ID-nak. Ez a művelet csendes bejelentkezési élményt biztosít a felhasználóknak a közvetlen egyszeri bejelentkezés használatával:
Alkalmazás neve | Használandó alkalmazás URL-címe |
---|---|
Hozzáférési panel | https://myapps.microsoft.com/contoso.com |
Webes Outlook | https://outlook.office365.com/contoso.com |
Office 365-portálok | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Emellett a felhasználók csendes bejelentkezési élményt kapnak, ha egy alkalmazás bejelentkezési kéréseket küld a bérlőként beállított Microsoft Entra-végpontoknak - azaz https://login.microsoftonline.com/contoso.com/<..> vagy https://login.microsoftonline.com/<tenant_ID>/<..> - a Microsoft Entra gyakori végpontja helyett, https://login.microsoftonline.com/common/<azaz ...>. A táblázat felsorolja azokat az alkalmazásokat, amelyek ilyen típusú bejelentkezési kéréseket tesznek.
Alkalmazás neve | Használandó alkalmazás URL-címe |
---|---|
SharePoint Online | https://contoso.sharepoint.com |
Microsoft Entra Felügyeleti központ | https://portal.azure.com/contoso.com |
A fenti táblázatokban cserélje le a "contoso.com" kifejezést a tartománynévre, hogy a bérlőhöz megfelelő alkalmazás URL-címeket kapjon.
Ha azt szeretné, hogy más alkalmazások is használják a csendes bejelentkezési élményt, a visszajelzési szakaszban tudassa velünk.
A közvetlen egyszeri bejelentkezés támogatja az "Alternatív azonosítót" felhasználónévként a "userPrincipalName" helyett?
Igen. A közvetlen egyszeri bejelentkezés a Microsoft Entra Csatlakozás konfigurálásakor felhasználónévként támogatja Alternate ID
az itt látható módon. Nem minden Microsoft 365-alkalmazás támogatja Alternate ID
. A támogatási nyilatkozatokat az egyes alkalmazások dokumentációjában találja.
Mi a különbség a Microsoft Entra-csatlakozás és a közvetlen egyszeri bejelentkezés által biztosított egyszeri bejelentkezési élmény között?
A Microsoft Entra join egyszeri bejelentkezést biztosít a felhasználóknak, ha az eszközeik regisztrálva vannak a Microsoft Entra-azonosítóval. Ezeknek az eszközöknek nem feltétlenül kell tartományhoz csatlakozniuk. Az egyszeri bejelentkezés elsődleges frissítési jogkivonatokkal vagy PRT-ekkel történik, és nem Kerberos használatával. A felhasználói élmény Windows 10 eszközökön optimális. Az SSO a Microsoft Edge böngészőben automatikus. De működik a Chrome böngészőbővítmény használatával is.
Használhatja a Microsoft Entra csatlakozást és a közvetlen egyszeri bejelentkezést a bérlőn. Ez a két funkció kiegészítheti egymást. Ha mindkét funkció be van kapcsolva, akkor a Microsoft Entra-csatlakozás egyszeri bejelentkezése elsőbbséget élvez a közvetlen egyszeri bejelentkezésnél.
Nem Windows 10 rendszerű eszközöket szeretnék regisztrálni a Microsoft Entra ID-val az AD FS használata nélkül. Használhatom helyette a közvetlen egyszeri bejelentkezést?
Igen, ehhez a forgatókönyvhez a munkahelyi csatlakozási ügyfél 2.1-es vagy újabb verziójára van szükség.
Hogyan helyezhetem át az "AZUREADSSO" számítógépfiók Kerberos-visszafejtési kulcsát?
Fontos, hogy gyakran helyezze át a helyszíni AD-erdőben létrehozott számítógépfiók Kerberos-visszafejtési kulcsát (amely a AZUREADSSO
Microsoft Entra-azonosítót jelöli).
Fontos
Erősen ajánlott a Kerberos-visszafejtési kulcs legalább 30 naponta való átváltása.
Kövesse az alábbi lépéseket azon a helyszíni kiszolgálón, amelyen a Microsoft Entra Csatlakozás fut:
Feljegyzés
A lépésekhez tartományi rendszergazdai és globális rendszergazdai/hibrid identitás-rendszergazdai hitelesítő adatokra lesz szüksége.
Ha ön nem tartományi rendszergazda, és a tartományi rendszergazda engedélyekkel rendelkezik, hívja fel a Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
1. lépés Kérje le azon AD-erdők listáját, amelyeken engedélyezve van a közvetlen egyszeri bejelentkezés
- Először töltse le és telepítse az Azure AD PowerShellt.
- Lépjen a
$env:programfiles"\Microsoft Azure Active Directory Connect"
mappába. - Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő paranccsal:
Import-Module .\AzureADSSO.psd1
. - Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt:
New-AzureADSSOAuthenticationContext
. Ennek a parancsnak előugró ablakban kell megadnia a bérlő globális Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator hitelesítő adatait. - Hívja meg a következőt:
Get-AzureADSSOStatus | ConvertFrom-Json
. Ez a parancs azon AD-erdők listáját tartalmazza (nézze meg a „Tartományok” listáját), amelyeken ez a funkció engedélyezve van.
2. lépés Frissítse a Kerberos-visszafejtési kulcsot minden olyan AD-erdőn, amelyben be lett állítva.
- Hívja meg a következőt:
$creds = Get-Credential
. Amikor a rendszer kéri, adja meg a kívánt AD-erdő tartományi rendszergazdai hitelesítő adatait.
Feljegyzés
A tartományi rendszergazda hitelesítő adatait sam-fióknév formátumban kell megadni (contoso\johndoe vagy contoso.com\johndoe). A felhasználónév tartományt jelölő része alapján megkeressük a tartományi rendszergazda tartományvezérlőjét DNS használatával.
Feljegyzés
A tartományi rendszergazdai fiók, amelyet megadunk, nem lehet szerepelhet a védett felhasználók csoportjában. Ellenkező esetben a művelet sikertelen lesz.
Hívja meg a következőt:
Update-AzureADSSOForest -OnPremCredentials $creds
. Ez a parancs frissíti az adott AD-erdőben lévőAZUREADSSO
Ismételje meg az előző lépéseket minden olyan AD-erdő esetében, amelynél beállította a funkciót.
Feljegyzés
Ha nem a Microsoft Entra Csatlakozás erdőt frissít, győződjön meg arról, hogy elérhető a kapcsolat a globális katalóguskiszolgálóval (TCP 3268 és TCP 3269).
Fontos
Ezt nem kell elvégezni a Microsoft Entra Csatlakozás átmeneti módban futó kiszolgálókon.
Győződjön meg arról, hogy a Update-AzureADSSOForest
parancsot erdőnként csak egyszer futtatja. Ellenkező esetben a funkció mindaddig nem fog működni, amíg a felhasználók Kerberos-jegyei le nem járnak, és a rendszer újra ki nem osztja őket a helyi Active Directoryban.
Hogyan tilthatom le a közvetlen egyszeri bejelentkezést?
1. lépés A szolgáltatás letiltása a bérlőn
A. lehetőség: A Microsoft Entra Connect használatának letiltása
- Futtassa a Microsoft Entra Csatlakozás, válassza a Felhasználói bejelentkezési lap módosítása lehetőséget, és kattintson a Tovább gombra.
- Törölje a jelet az Egyszeri bejelentkezés engedélyezése lehetőségből. Folytassa a varázslót.
A varázsló befejezése után a közvetlen egyszeri bejelentkezés le lesz tiltva a bérlőn. A képernyőn azonban megjelenik egy üzenet, amely a következőképpen hangzik el:
"Az egyszeri bejelentkezés most le van tiltva, de a tisztítás elvégzéséhez más manuális lépéseket is végre kell hajtani. További információ"
A tisztítási folyamat befejezéséhez kövesse a 2. és a 3. lépést azon a helyszíni kiszolgálón, amelyen a Microsoft Entra Csatlakozás fut.
„B” lehetőség: Letiltás a PowerShell használatával
Futtassa a következő lépéseket azon a helyszíni kiszolgálón, amelyen a Microsoft Entra Csatlakozás fut:
- Először töltse le és telepítse az Azure AD PowerShellt.
- Lépjen a
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"
mappába. - Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő paranccsal:
Import-Module .\AzureADSSO.psd1
. - Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt:
New-AzureADSSOAuthenticationContext
. Ennek a parancsnak előugró ablakban kell megadnia a bérlő globális Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator hitelesítő adatait. - Hívja meg a következőt:
Enable-AzureADSSO -Enable $false
.
Ezen a ponton a közvetlen egyszeri bejelentkezés le van tiltva, de a tartományok konfigurálva maradnak, ha engedélyezni szeretné a közvetlen egyszeri bejelentkezést. Ha teljesen el szeretné távolítani a tartományokat a közvetlen egyszeri bejelentkezés konfigurációjából, a fenti 5. lépés elvégzése után hívja meg a következő parancsmagot: Disable-AzureADSSOForest -DomainFqdn <fqdn>
.
Fontos
Ha letiltja a közvetlen egyszeri bejelentkezést a PowerShell használatával, az nem változtatja meg a Microsoft Entra Csatlakozás állapotát. A közvetlen egyszeri bejelentkezés engedélyezettként jelenik meg a Felhasználói bejelentkezés módosítása oldalon.
2. lépés Kérje le azon AD-erdők listáját, amelyeken engedélyezve van a közvetlen egyszeri bejelentkezés
Kövesse az 1–4. feladatokat, ha letiltotta a közvetlen egyszeri bejelentkezést a Microsoft Entra Csatlakozás használatával. Ha ehelyett letiltotta a közvetlen egyszeri bejelentkezést a PowerShell használatával, ugorjon az 5. feladatra.
- Először töltse le és telepítse az Azure AD PowerShellt.
- Lépjen a
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"
mappába. - Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő paranccsal:
Import-Module .\AzureADSSO.psd1
. - Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt:
New-AzureADSSOAuthenticationContext
. Ennek a parancsnak előugró ablakban kell megadnia a bérlő globális Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator hitelesítő adatait. - Hívja meg a következőt:
Get-AzureADSSOStatus | ConvertFrom-Json
. Ez a parancs azon AD-erdők listáját tartalmazza (nézze meg a „Tartományok” listáját), amelyeken ez a funkció engedélyezve van.
3. lépés Törölje manuálisan az AZUREADSSO
számítógépes fiókot minden olyan AD-erdőből, ahol megjelenik a felsorolásban.
Következő lépések
- Rövid útmutató – A Microsoft Entra közvetlen egyszeri bejelentkezésének üzembe helyezéséhez és futtatásához.
- Technical Deep Dive – A funkció működésének ismertetése.
- Hibaelhárítás – Megtudhatja, hogyan háríthatja el a funkcióval kapcsolatos gyakori problémákat.
- UserVoice – Új funkciókérések benyújtásához.