In dit artikel behandelen we veelgestelde vragen over naadloze eenmalige aanmelding van Microsoft Entra (naadloze eenmalige aanmelding). Kom af en toe terug om te controleren of er nieuwe inhoud beschikbaar is.
Met welke aanmeldingsmethoden werkt naadloze eenmalige aanmelding?
Naadloze eenmalige aanmelding kan worden gecombineerd met de aanmeldingsmethoden Hash-synchronisatie wachtwoord of Passthrough-verificatie. Deze functie kan echter niet worden gebruikt met Active Directory Federation Services (ADFS).
Is naadloze eenmalige aanmelding een gratis functie?
Naadloze eenmalige aanmelding is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.
Is naadloze eenmalige aanmelding beschikbaar in de Cloud van Microsoft Azure Duitsland en de Microsoft Azure Government-cloud?
Naadloze eenmalige aanmelding is beschikbaar voor de Azure Government-cloud. Bekijk hybride identiteitsoverwegingen voor Azure Government voor meer informatie.
Welke toepassingen profiteren van de parametermogelijkheid 'domain_hint' of 'login_hint' van naadloze eenmalige aanmelding?
De tabel bevat een lijst met toepassingen die deze parameters naar Microsoft Entra-id kunnen verzenden. Deze actie biedt gebruikers een stille aanmeldingservaring met naadloze eenmalige aanmelding::
| Toepassingsnaam | Toepassings-URL die moet worden gebruikt |
|---|---|
| Toegangsvenster | https://myapps.microsoft.com/contoso.com |
| Webversie van Outlook | https://outlook.office365.com/contoso.com |
| Office 365-portals | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Bovendien krijgen gebruikers een stille aanmeldingservaring als een toepassing aanmeldingsaanvragen verzendt naar Microsoft Entra-eindpunten die zijn ingesteld als tenants , https://login.microsoftonline.com/contoso.com/<dat wil wel ..> of https://login.microsoftonline.com/<tenant_ID>/<..> - in plaats van het algemene Microsoft Entra-eindpunt , dat wil https://login.microsoftonline.com/common/<gezegd ...>. De tabel bevat een lijst met toepassingen die deze typen aanmeldingsaanvragen maken.
| Toepassingsnaam | Toepassings-URL die moet worden gebruikt |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Microsoft Entra-beheercentrum | https://portal.azure.com/contoso.com |
Vervang in de bovenstaande tabellen 'contoso.com' door uw domeinnaam om naar de juiste toepassings-URL's voor uw tenant te gaan.
Als u andere toepassingen wilt gebruiken met onze stille aanmeldingservaring, laat het ons dan weten in de feedbacksectie.
Biedt naadloze eenmalige aanmelding ondersteuning voor 'Alternatieve id' als gebruikersnaam, in plaats van 'userPrincipalName'?
Ja. Naadloze eenmalige aanmelding ondersteunt Alternate ID als gebruikersnaam wanneer deze is geconfigureerd in Microsoft Entra Verbinding maken, zoals hier wordt weergegeven. Niet alle Microsoft 365-toepassingen ondersteunen Alternate ID. Raadpleeg de documentatie van de specifieke toepassing voor de ondersteuningsverklaring.
Wat is het verschil tussen de ervaring voor eenmalige aanmelding van Microsoft Entra join en naadloze eenmalige aanmelding?
Microsoft Entra join biedt SSO aan gebruikers als hun apparaten zijn geregistreerd bij Microsoft Entra ID. Deze apparaten hoeven niet noodzakelijkerwijs aan een domein te zijn gekoppeld. Eenmalige aanmelding wordt geleverd met behulp van primaire vernieuwingstokens of PRT's en niet met Kerberos. De gebruikerservaring is optimaal op Windows 10-apparaten. Eenmalige aanmelding vindt automatisch plaats in de Microsoft Edge-browser. Het werkt ook in Chrome wanneer u een browserextensie gebruikt.
U kunt Microsoft Entra join en naadloze eenmalige aanmelding op uw tenant gebruiken. Deze twee functies vullen elkaar aan. Als beide functies zijn ingeschakeld, heeft eenmalige aanmelding van Microsoft Entra join voorrang op naadloze eenmalige aanmelding.
Ik wil niet-Windows 10-apparaten registreren bij Microsoft Entra ID, zonder AD FS te gebruiken. Kan ik in plaats daarvan naadloze eenmalige aanmelding gebruiken?
Ja, voor dit scenario is versie 2.1 of hoger van de workplace-join-client vereist.
Hoe kan ik de Kerberos-ontsleutelingssleutel van het computeraccount 'AZUREADSSO' overrollen?
Het is belangrijk om regelmatig de Kerberos-ontsleutelingssleutel van het AZUREADSSO computeraccount (dat Staat voor Microsoft Entra-id) te gebruiken die is gemaakt in uw on-premises AD-forest.
Belangrijk
We raden u ten zeerste aan om de Kerberos-ontsleutelingssleutel ten minste elke 30 dagen te vernieuwen.
Volg deze stappen op de on-premises server waarop u Microsoft Entra Verbinding maken uitvoert:
Notitie
U hebt de referenties van domeinbeheerder en globale beheerder/hybride identiteitsbeheerder nodig voor de stappen.
Als u geen domeinbeheerder bent en u machtigingen hebt toegewezen door de domeinbeheerder, moet u het aanroepen Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Stap 1. Haal de lijst met AD-forests op waarvoor naadloze eenmalige aanmelding is ingeschakeld
- Download en installeer eerst Azure AD PowerShell.
- Navigeer naar de map
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importeer de PowerShell-module voor naadloze eenmalige aanmelding met behulp van deze opdracht:
Import-Module .\AzureADSSO.psd1. - Voer PowerShell uit als beheerder. Roep
New-AzureADSSOAuthenticationContextaan in PowerShell. Met deze opdracht krijgt u een pop-up om de referenties van de globale Beheer istrator of hybride identiteit van uw tenant in te voeren Beheer istrator. - Roep
Get-AzureADSSOStatus | ConvertFrom-Jsonaan. Met deze opdracht krijgt u de lijst met AD-forests (bekijk de lijst Domeinen) waarvoor deze functie is ingeschakeld.
Stap 2. Werk de Kerberos-ontsleutelingssleutel bij voor elk AD-forest waar deze is ingesteld
- Roep
$creds = Get-Credentialaan. Wanneer u hierom wordt gevraagd, voert u de referenties voor domeinbeheerder in voor het beoogde AD-forest.
Notitie
De gebruikersnaam van de domeinbeheerderreferenties moet in de SAM-accountnaamindeling (contoso\johndoe of contoso.com\johndoe) worden ingevoerd. We gebruiken het domeingedeelte van de gebruikersnaam om de domeincontroller van de domeinbeheerder te vinden met behulp van DNS.
Notitie
Het gebruikte domeinbeheerdersaccount mag geen lid zijn van de groep Beveiligde gebruikers. Anders mislukt de bewerking.
Roep
Update-AzureADSSOForest -OnPremCredentials $credsaan. Met deze opdracht wordt de Kerberos-ontsleutelingssleutel bijgewerkt voor het computeraccountAZUREADSSOin dit specifieke AD-forest. Deze wordt bijgewerkt in Microsoft Entra ID.Herhaal de voorgaande stappen voor elk AD-forest waarvoor u de functie hebt ingesteld.
Notitie
Als u een forest bijwerkt, behalve de Microsoft Entra-Verbinding maken, moet u ervoor zorgen dat de verbinding met de globale catalogusserver (TCP 3268 en TCP 3269) beschikbaar is.
Belangrijk
Dit hoeft niet te gebeuren op servers waarop Microsoft Entra Verbinding maken wordt uitgevoerd in de faseringsmodus.
Zorg ervoor dat u de Update-AzureADSSOForest opdracht niet meer dan één keer per forest uitvoert. Anders werkt de functie niet meer totdat de Kerberos-tickets van uw gebruikers zijn verlopen en deze opnieuw worden uitgegeven door uw on-premises Active Directory.
Hoe kan ik naadloze eenmalige aanmelding uitschakelen?
Stap 1. De functie op uw tenant uitschakelen
Optie A: Uitschakelen met Microsoft Entra Connect
- Voer Microsoft Entra Verbinding maken uit, kies Aanmeldingspagina van gebruiker wijzigen en klik op Volgende.
- Schakel de optie Eenmalige aanmelding inschakelen uit. Ga door met de wizard.
Nadat u de wizard hebt doorlopen, wordt Naadloze eenmalige aanmelding voor uw tenant uitgeschakeld. U ziet echter een bericht op het scherm dat als volgt wordt gelezen:
'Eenmalige aanmelding is nu uitgeschakeld, maar er zijn andere handmatige stappen om opschoning te voltooien. Meer informatie"
Volg stap 2 en 3 op de on-premises server waarop u Microsoft Entra Verbinding maken uitvoert om het opschonen te voltooien.
Optie B: uitschakelen met behulp van PowerShell
Voer de volgende stappen uit op de on-premises server waarop u Microsoft Entra uitvoert Verbinding maken:
- Download en installeer eerst Azure AD PowerShell.
- Navigeer naar de map
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importeer de PowerShell-module voor naadloze eenmalige aanmelding met behulp van deze opdracht:
Import-Module .\AzureADSSO.psd1. - Voer PowerShell uit als beheerder. Roep
New-AzureADSSOAuthenticationContextaan in PowerShell. Met deze opdracht krijgt u een pop-up om de referenties van de globale Beheer istrator of hybride identiteit van uw tenant in te voeren Beheer istrator. - Roep
Enable-AzureADSSO -Enable $falseaan.
Op dit moment is naadloze eenmalige aanmelding uitgeschakeld, maar de domeinen blijven geconfigureerd voor het geval u naadloze eenmalige aanmelding wilt inschakelen. Als u de domeinen volledig uit de configuratie voor naadloze eenmalige aanmelding wilt verwijderen, roept u de volgende cmdlet aan nadat u stap 5 hierboven hebt voltooid: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Belangrijk
Als u naadloze eenmalige aanmelding uitschakelt met PowerShell, wordt de status in Microsoft Entra Verbinding maken niet gewijzigd. Op de pagina Van gebruikersaanmelding wisselen wordt Naadloze eenmalige aanmelding weergegeven als ingeschakeld.
Stap 2. Haal de lijst met AD-forests op waarvoor naadloze eenmalige aanmelding is ingeschakeld
Volg taken 1 tot en met 4 als u naadloze eenmalige aanmelding hebt uitgeschakeld met behulp van Microsoft Entra Verbinding maken. Als u in plaats daarvan naadloze eenmalige aanmelding met PowerShell hebt uitgeschakeld, gaat u verder met taak 5.
- Download en installeer eerst Azure AD PowerShell.
- Navigeer naar de map
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importeer de PowerShell-module voor naadloze eenmalige aanmelding met behulp van deze opdracht:
Import-Module .\AzureADSSO.psd1. - Voer PowerShell uit als beheerder. Roep
New-AzureADSSOAuthenticationContextaan in PowerShell. Met deze opdracht krijgt u een pop-up om de referenties van de globale Beheer istrator of hybride identiteit van uw tenant in te voeren Beheer istrator. - Roep
Get-AzureADSSOStatus | ConvertFrom-Jsonaan. Met deze opdracht krijgt u de lijst met AD-forests (bekijk de lijst Domeinen) waarvoor deze functie is ingeschakeld.
Stap 3. Verwijder computeraccount AZUREADSSO handmatig uit elk AD-forest dat wordt vermeld.
Volgende stappen
- Quickstart : Ga aan de slag met naadloze eenmalige aanmelding van Microsoft Entra.
- Gedetailleerde technische informatie: inzicht in de functie.
- Probleemoplossing: Leer hoe u algemene problemen met deze functie kunt oplossen.
- UserVoice: voor het indienen van nieuwe functieaanvragen.