Naadloze eenmalige aanmelding van Microsoft Entra

  • Artikel

Wat is naadloze eenmalige aanmelding van Microsoft Entra?

Met Naadloze eenmalige aanmelding van Microsoft Entra (Naadloze eenmalige aanmelding van Microsoft Entra) worden gebruikers aangemeld als hun bedrijfsapparaten zijn verbonden met net bedrijfsnetwerk. Wanneer de functie is ingeschakeld, hoeven gebruikers hun wachtwoord niet in te typen om zich aan te melden bij Microsoft Entra ID en hun gebruikersnaam ook meestal niet. Deze functie biedt een gebruiker eenvoudig toegang tot cloudtoepassingen zonder dat er aanvullende on-premises onderdelen nodig zijn.

Naadloze eenmalige aanmelding kan worden gecombineerd met de aanmeldingsmethoden Hash-synchronisatie wachtwoord of Passthrough-verificatie. Naadloze eenmalige aanmelding is niet van toepassing op Active Directory Federation Services (ADFS).

Seamless single sign-on

Eenmalige aanmelding via primair vernieuwingstoken versus naadloze eenmalige aanmelding

Voor Windows 10, Windows Server 2016 en latere versies, is het raadzaam eenmalige aanmelding te gebruiken via een primair vernieuwingstoken (PRT). Voor Windows 7 en Windows 8.1 is het raadzaam naadloze eenmalige aanmelding te gebruiken. Naadloze eenmalige aanmelding vereist dat het apparaat van de gebruiker lid is van een domein, maar het wordt niet gebruikt op windows 10 Microsoft Entra-gekoppelde apparaten of hybride apparaten van Microsoft Entra. Eenmalige aanmelding op Microsoft Entra is toegevoegd aan Microsoft Entra hybrid en geregistreerde Apparaten van Microsoft Entra werken op basis van het primaire vernieuwingstoken (PRT)

Eenmalige aanmelding via PRT werkt zodra apparaten zijn geregistreerd bij Microsoft Entra ID voor Microsoft Entra hybride gekoppeld, Microsoft Entra-gekoppeld of persoonlijke geregistreerde apparaten via Werk- of schoolaccount. Zie voor meer informatie over hoe eenmalige aanmelding werkt met Windows 10 met behulp van PRT: Primair vernieuwingstoken (PRT) en Microsoft Entra-id

Belangrijkste voordelen

  • Goede gebruikerservaring
    • Gebruikers worden automatisch aangemeld bij zowel on-premises als cloudtoepassingen.
    • Gebruikers hoeven hun wachtwoorden niet herhaaldelijk in te voeren.
  • Eenvoudig te implementeren en beheren
    • Er zijn on-premises geen extra onderdelen nodig om dit te laten werken.
    • Werkt met elke cloudverificatiemethode: hash-synchronisatie wachtwoord of passthrough-verificatie.
    • Kan worden geïmplementeerd voor sommige of alle gebruikers die groepsbeleid gebruiken.
    • Registreer niet-Windows 10-apparaten met Microsoft Entra ID zonder dat u een AD FS-infrastructuur nodig hebt. Voor deze mogelijkheid moet u versie 2.1 of hoger van de aan de werkplek gekoppelde gebruiken.

Belangrijkste functies

  • De gebruikersnaam voor aanmelden kan de on-premises standaardgebruikersnaam (userPrincipalName) of een ander kenmerk zijn dat is geconfigureerd in Microsoft Entra Verbinding maken (Alternate ID). Beide use cases werken omdat naadloze eenmalige aanmelding de securityIdentifier claim in het Kerberos-ticket gebruikt om het bijbehorende gebruikersobject in Microsoft Entra-id op te zoeken.
  • Naadloze eenmalige aanmelding is een opportunistische functie. Als het om welke reden dan ook mislukt, valt de aanmelding voor de gebruiker terug op het normale gedrag. Dat wil zeggen dat de gebruiker zijn wachtwoord moet invoeren op de aanmeldingspagina.
  • Als een toepassing (bijvoorbeeldhttps://myapps.microsoft.com/contoso.com) een domain_hint parameter (OpenID Verbinding maken) of whr (SAML) doorstuurt , waarmee uw tenant of login_hint parameter wordt geïdentificeerd - waarmee de gebruiker wordt geïdentificeerd, worden gebruikers automatisch aangemeld in de aanmeldingsaanvraag van Microsoft Entra zonder dat ze gebruikersnamen of wachtwoorden hoeven in te voeren.
  • Gebruikers krijgen ook een stille aanmeldingservaring als een toepassing (bijvoorbeeld https://contoso.sharepoint.com) aanmeldingsaanvragen verzendt naar de eindpunten van Microsoft Entra ID die zijn ingesteld als tenants , dat wil gezegd, https://login.microsoftonline.com/contoso.com/<..> of https://login.microsoftonline.com/<tenant_ID>/<..> - in plaats van het algemene eindpunt van Microsoft Entra ID - dat wil https://login.microsoftonline.com/common/<...>gezegd.
  • Afmelden wordt ondersteund. Hierdoor kunnen gebruikers een ander Microsoft Entra-account kiezen om zich aan te melden, in plaats van automatisch te worden aangemeld met naadloze eenmalige aanmelding.
  • Microsoft 365 Win32-clients (Outlook, Word, Excel en andere) met versie 16.0.8730.xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom. Voor OneDrive moet u de stille configuratiefunctie van OneDrive activeren voor een stille aanmeldingservaring.
  • Deze kan worden ingeschakeld via Microsoft Entra Verbinding maken.
  • Het is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.
  • Het wordt ondersteund op webbrowserclients en Office-clients die moderne verificatie ondersteunen op platforms en browsers die geschikt zijn voor Kerberos-verificatie:
Besturingssysteem/browser Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Ja* Ja Ja Ja*** N.v.t.
Windows 8.1 Ja* Ja**** Ja Ja*** N.v.t.
Windows 8 Ja* N.v.t. Ja Ja*** N.v.t.
Windows Server 2012 R2 of hoger Ja** N.v.t. Ja Ja*** N.v.t.
Mac OS X N.v.t. N.v.t. Ja*** Ja*** Ja***

Notitie

Het verouderde Microsoft Edge wordt niet meer ondersteund

*Vereist Internet Explorer versie 11 of hoger. (Vanaf 17 augustus 2021 bieden Microsoft 365-apps en -services geen ondersteuning voor IE 11.)

**Vereist Internet Explorer versie 11 of hoger. Schakel de verbeterde beveiligde modus uit.

***Hiervoor is aanvullende configuratie vereist.

****Microsoft Edge op basis van Chromium

Volgende stappen