Naadloze eenmalige aanmelding met Azure Active Directory
Wat is naadloze eenmalige aanmelding via Azure Active Directory?
Met Naadloze eenmalige aanmelding van Azure Active Directory (Naadloze SSO van Azure AD) worden gebruikers aangemeld als hun bedrijfsapparaten zijn verbonden met net bedrijfsnetwerk. Wanneer deze functie is ingeschakeld, hoeven gebruikers hun wachtwoord niet in te typen om zich aan te melden bij Azure AD en typen ze meestal zelfs hun gebruikersnamen. Deze functie biedt een gebruiker eenvoudig toegang tot cloudtoepassingen zonder dat er aanvullende on-premises onderdelen nodig zijn.
Naadloze eenmalige aanmelding kan worden gecombineerd met de aanmeldingsmethoden wachtwoord-hashsynchronisatie of pass-through-verificatie. Naadloze eenmalige aanmelding is niet van toepassing op Active Directory Federation Services (ADFS).
Eenmalige aanmelding via primair vernieuwings token versus naadloze eenmalige aanmelding
Voor Windows 10, Windows Server 2016 en latere versies is het raadzaam om eenmalige aanmelding te gebruiken via prt (Primary Refresh Token). Voor Windows 7 en Windows 8.1 is het raadzaam naadloze eenmalige aanmelding te gebruiken. Naadloze eenmalige aanmelding heeft het apparaat van de gebruiker nodig om lid te zijn van een domein, maar wordt niet gebruikt op Windows 10 aan Azure AD of hybride Azure AD-apparaten. Eenmalige aanmelding op azure AD-apparaten, hybride Azure AD-apparaten en geregistreerde Azure AD-apparaten werkt op basis van het primaire vernieuwings token (PRT)
Eenmalige aanmelding via PRT werkt zodra apparaten zijn geregistreerd bij Azure AD voor hybride Azure AD-apparaten, aan Azure AD of persoonlijke geregistreerde apparaten via Werk- of schoolaccount toevoegen. Zie primary refresh token (PRT) and Azure AD (Primaire vernieuwings token (PRT) en Azure AD) voor meer informatie over hoe SSO werkt met Windows 10 met behulp van PRT
Belangrijkste voordelen
- Goede gebruikerservaring
- Gebruikers worden automatisch aangemeld bij zowel on-premises als cloudtoepassingen.
- Gebruikers hoeven hun wachtwoord niet herhaaldelijk in te voeren.
- Eenvoudig te implementeren & beheren
- Er zijn geen extra onderdelen on-premises nodig om dit te laten werken.
- Werkt met elke methode van cloudverificatie: wachtwoord-hashsynchronisatie of pass-through-verificatie.
- Kan worden uitgerold voor sommige of al uw gebruikers met behulp van groepsbeleid.
- Registreer niet-Windows 10-apparaten bij Azure AD zonder dat u een AD FS nodig hebt. Voor deze mogelijkheid moet u versie 2.1 of hoger van de client workplace-join gebruiken.
Functie-highlights
- Aanmeldingsnaam kan de on-premises standaard gebruikersnaam ( ) of een ander kenmerk zijn dat is geconfigureerd
userPrincipalNamein Azure AD Verbinding maken (Alternate ID). Beide gebruiksgevallen werken omdat Naadloze eenmalige aanmelding de claim in het Kerberos-ticket gebruikt om het bijbehorende gebruikersobjectsecurityIdentifierin Azure AD op te zoeken. - Naadloze eenmalige aanmelding is een opportunistische functie. Als de aanmeldingservaring van de gebruiker om een of andere reden mislukt, gaat deze terug naar het normale gedrag. Dat wil zeggen dat de gebruiker zijn wachtwoord moet invoeren op de aanmeldingspagina.
- Als een toepassing (bijvoorbeeld ) een
https://myapps.microsoft.com/contoso.comdomain_hintparameter (OpenID Verbinding maken) ofwhr(SAML) doorgeeft , die uw tenant of parameter identificeert, worden gebruikers in de aanmeldingsaanvraag van Azure AD automatisch aangemeld zonder dat ze gebruikersnamen of wachtwoordenlogin_hintinvoeren. - Gebruikers krijgen ook een stille aanmeldingservaring als een toepassing (bijvoorbeeld ) aanmeldingsaanvragen verzendt naar azure AD-eindpunten die zijn ingesteld als tenants, of , in plaats van het algemene eindpunt van
https://contoso.sharepoint.comhttps://login.microsoftonline.com/contoso.com/<..>Azurehttps://login.microsoftonline.com/<tenant_ID>/<..>AD, dat wil zeggen,https://login.microsoftonline.com/common/<...>. - Aanmelden wordt ondersteund. Hierdoor kunnen gebruikers een ander Azure AD-account kiezen om zich bij aan te melden, in plaats van automatisch te worden aangemeld met naadloze eenmalige aanmelding.
- Microsoft 365 Win32-clients (Outlook, Word, Excel en andere) met versie 16.0.8730.xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom. Voor OneDrive moet u de functie voor stille OneDrive activeren voor een stille aanmelding.
- Deze kan worden ingeschakeld via Azure AD Verbinding maken.
- Het is een gratis functie en u hebt geen betaalde edities van Azure AD nodig om deze te gebruiken.
- Het wordt ondersteund op webbrowser-clients en Office clients die moderne verificatie ondersteunen op platforms en browsers die geschikt zijn voor Kerberos-verificatie:
| OS\Browser | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
|---|---|---|---|---|---|
| Windows 10 | Ja* | Ja | Ja | Ja*** | N.v.t. |
| Windows 8.1 | Yes* | Ja**** | Yes | Ja*** | N.v.t. |
| Windows 8 | Yes* | N.v.t. | Ja | Ja*** | N.v.t. |
| Windows Server 2012 R2 of hoger | Ja** | N.v.t. | Ja | Ja*** | N.v.t. |
| Mac OS X | N.v.t. | N.v.t. | Ja*** | Ja*** | Ja*** |
Notitie
Microsoft Edge verouderde wordt niet meer ondersteund
*Vereist Internet Explorer versie 11 of hoger. (Vanaf 17 augustus 2021 bieden Microsoft 365-appsen -services geen ondersteuning voor IE 11 .)
**Vereist Internet Explorer versie 11 of hoger. Uitgebreide beveiligde modus uitschakelen.
***Hiervoor is aanvullende configuratie vereist.
****Microsoft Edge op basis van Chromium
Volgende stappen
- Snel starten: naadloze eenmalige aanmelding van Azure AD.
- Implementatieplan: stapsgewijs implementatieplan.
- Technical Deep Dive: meer informatie over hoe deze functie werkt.
- Veelgestelde vragen: antwoorden op veelgestelde vragen.
- Problemen oplossen : informatie over het oplossen van veelvoorkomende problemen met de functie.
- UserVoice: voor het indienen van nieuwe functieaanvragen.