Microsoft Entra zökkenőmentes egyszeri bejelentkezés: Gyakran ismételt kérdések

A közvetlen egyszeri bejelentkezés összevonható a jelszókivonat-szinkronizálási vagy az átmenő hitelesítési bejelentkezési módszerrel. Ez a funkció azonban nem használható Active Directory összevonási szolgáltatások (AD FS) (ADFS) esetén.

A közvetlen egyszeri bejelentkezés egy ingyenes funkció, és a használatához nincs szükség a Microsoft Entra ID fizetős kiadásaira.

A közvetlen egyszeri bejelentkezés az Azure Government-felhőhöz érhető el. Részletekért tekintse meg az Azure Government hibrid identitással kapcsolatos szempontjait.

A táblázat tartalmazza azokat az alkalmazásokat, amelyek elküldhetik ezeket a paramétereket a Microsoft Entra ID-nak. Ez a művelet csendes bejelentkezési élményt biztosít a felhasználóknak a közvetlen egyszeri bejelentkezés használatával:

Emellett a felhasználók csendes bejelentkezési élményt kapnak, ha egy alkalmazás bejelentkezési kéréseket küld a bérlőként beállított Microsoft Entra-végpontoknak - azaz https://login.microsoftonline.com/contoso.com/<..> vagy https://login.microsoftonline.com/<tenant_ID>/<..> - a Microsoft Entra gyakori végpontja helyett, https://login.microsoftonline.com/common/<azaz ...>. A táblázat felsorolja azokat az alkalmazásokat, amelyek ilyen típusú bejelentkezési kéréseket tesznek.

A fenti táblázatokban cserélje le a "contoso.com" kifejezést a tartománynévre, hogy a bérlőhöz megfelelő alkalmazás URL-címeket kapjon.

Ha azt szeretné, hogy más alkalmazások is használják a csendes bejelentkezési élményt, a visszajelzési szakaszban tudassa velünk.

Igen. A közvetlen egyszeri bejelentkezés a Microsoft Entra Csatlakozás konfigurálásakor felhasználónévként támogatja Alternate ID az itt látható módon. Nem minden Microsoft 365-alkalmazás támogatja Alternate ID. A támogatási nyilatkozatokat az egyes alkalmazások dokumentációjában találja.

A Microsoft Entra join egyszeri bejelentkezést biztosít a felhasználóknak, ha az eszközeik regisztrálva vannak a Microsoft Entra-azonosítóval. Ezeknek az eszközöknek nem feltétlenül kell tartományhoz csatlakozniuk. Az egyszeri bejelentkezés elsődleges frissítési jogkivonatokkal vagy PRT-ekkel történik, és nem Kerberos használatával. A felhasználói élmény Windows 10 eszközökön optimális. Az SSO a Microsoft Edge böngészőben automatikus. De működik a Chrome böngészőbővítmény használatával is.

Használhatja a Microsoft Entra csatlakozást és a közvetlen egyszeri bejelentkezést a bérlőn. Ez a két funkció kiegészítheti egymást. Ha mindkét funkció be van kapcsolva, akkor a Microsoft Entra-csatlakozás egyszeri bejelentkezése elsőbbséget élvez a közvetlen egyszeri bejelentkezésnél.

Igen, ehhez a forgatókönyvhez a munkahelyi csatlakozási ügyfél 2.1-es vagy újabb verziójára van szükség.

Fontos, hogy gyakran helyezze át a helyszíni AD-erdőben létrehozott számítógépfiók Kerberos-visszafejtési kulcsát (amely a AZUREADSSO Microsoft Entra-azonosítót jelöli).

Kövesse az alábbi lépéseket azon a helyszíni kiszolgálón, amelyen a Microsoft Entra Csatlakozás fut:

1. lépés Kérje le azon AD-erdők listáját, amelyeken engedélyezve van a közvetlen egyszeri bejelentkezés

1. Először töltse le és telepítse az Azure AD PowerShellt.
2. Lépjen a $env:programfiles"\Microsoft Azure Active Directory Connect" mappába.
3. Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő paranccsal: Import-Module .\AzureADSSO.psd1.
4. Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt: New-AzureADSSOAuthenticationContext. Ennek a parancsnak előugró ablakban kell megadnia a bérlő globális Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator hitelesítő adatait.
5. Hívja meg a következőt: Get-AzureADSSOStatus | ConvertFrom-Json. Ez a parancs azon AD-erdők listáját tartalmazza (nézze meg a „Tartományok” listáját), amelyeken ez a funkció engedélyezve van.

2. lépés Frissítse a Kerberos-visszafejtési kulcsot minden olyan AD-erdőn, amelyben be lett állítva.

1. Hívja meg a következőt: $creds = Get-Credential. Amikor a rendszer kéri, adja meg a kívánt AD-erdő tartományi rendszergazdai hitelesítő adatait.

2. Hívja meg a következőt: Update-AzureADSSOForest -OnPremCredentials $creds. Ez a parancs frissíti az adott AD-erdőben lévő AZUREADSSO

3. Ismételje meg az előző lépéseket minden olyan AD-erdő esetében, amelynél beállította a funkciót.

1. lépés A szolgáltatás letiltása a bérlőn

A. lehetőség: A Microsoft Entra Connect használatának letiltása

1. Futtassa a Microsoft Entra Csatlakozás, válassza a Felhasználói bejelentkezési lap módosítása lehetőséget, és kattintson a Tovább gombra.
2. Törölje a jelet az Egyszeri bejelentkezés engedélyezése lehetőségből. Folytassa a varázslót.

A varázsló befejezése után a közvetlen egyszeri bejelentkezés le lesz tiltva a bérlőn. A képernyőn azonban megjelenik egy üzenet, amely a következőképpen hangzik el:

"Az egyszeri bejelentkezés most le van tiltva, de a tisztítás elvégzéséhez más manuális lépéseket is végre kell hajtani. További információ"

A tisztítási folyamat befejezéséhez kövesse a 2. és a 3. lépést azon a helyszíni kiszolgálón, amelyen a Microsoft Entra Csatlakozás fut.

„B” lehetőség: Letiltás a PowerShell használatával

Futtassa a következő lépéseket azon a helyszíni kiszolgálón, amelyen a Microsoft Entra Csatlakozás fut:

1. Először töltse le és telepítse az Azure AD PowerShellt.
2. Lépjen a $env:ProgramFiles"\Microsoft Azure Active Directory Connect" mappába.
3. Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő paranccsal: Import-Module .\AzureADSSO.psd1.
4. Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt: New-AzureADSSOAuthenticationContext. Ennek a parancsnak előugró ablakban kell megadnia a bérlő globális Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator hitelesítő adatait.
5. Hívja meg a következőt: Enable-AzureADSSO -Enable $false.

Ezen a ponton a közvetlen egyszeri bejelentkezés le van tiltva, de a tartományok konfigurálva maradnak, ha engedélyezni szeretné a közvetlen egyszeri bejelentkezést. Ha teljesen el szeretné távolítani a tartományokat a közvetlen egyszeri bejelentkezés konfigurációjából, a fenti 5. lépés elvégzése után hívja meg a következő parancsmagot: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

2. lépés Kérje le azon AD-erdők listáját, amelyeken engedélyezve van a közvetlen egyszeri bejelentkezés

Kövesse az 1–4. feladatokat, ha letiltotta a közvetlen egyszeri bejelentkezést a Microsoft Entra Csatlakozás használatával. Ha ehelyett letiltotta a közvetlen egyszeri bejelentkezést a PowerShell használatával, ugorjon az 5. feladatra.

1. Először töltse le és telepítse az Azure AD PowerShellt.
2. Lépjen a $env:ProgramFiles"\Microsoft Azure Active Directory Connect" mappába.
3. Importálja a közvetlen egyszeri bejelentkezéses PowerShell-modult a következő paranccsal: Import-Module .\AzureADSSO.psd1.
4. Futtassa a PowerShellt rendszergazdaként. A PowerShellben hívja meg a következőt: New-AzureADSSOAuthenticationContext. Ennek a parancsnak előugró ablakban kell megadnia a bérlő globális Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator hitelesítő adatait.
5. Hívja meg a következőt: Get-AzureADSSOStatus | ConvertFrom-Json. Ez a parancs azon AD-erdők listáját tartalmazza (nézze meg a „Tartományok” listáját), amelyeken ez a funkció engedélyezve van.

3. lépés Törölje manuálisan az AZUREADSSO számítógépes fiókot minden olyan AD-erdőből, ahol megjelenik a felsorolásban.

Következő lépések

• Rövid útmutató – A Microsoft Entra közvetlen egyszeri bejelentkezésének üzembe helyezéséhez és futtatásához.
• Technical Deep Dive – A funkció működésének ismertetése.
• Hibaelhárítás – Megtudhatja, hogyan háríthatja el a funkcióval kapcsolatos gyakori problémákat.
• UserVoice – Új funkciókérések benyújtásához.