Azure Active Directory naadloze een aanmelding: Quickstart

Naadloze één Sign-On

Azure Active Directory (Azure AD) Seamless Single Sign-On (Naadloze eenmalige aanmelding) meldt gebruikers automatisch aan wanneer ze zich op hun zakelijke bureaubladen die zijn verbonden met uw bedrijfsnetwerk. Naadloze eenmalige aanmelding biedt uw gebruikers eenvoudige toegang tot uw cloudtoepassingen zonder dat er extra on-premises onderdelen nodig zijn.

Volg deze stappen om naadloze eenmalige aanmelding te implementeren.

Stap 1: Controleer de vereisten

Zorg ervoor dat aan de volgende vereisten is gezorgd:

  • Uw server Azure AD Connect: als u pass-through-verificatie als aanmeldingsmethode gebruikt, is er geen aanvullende controle van vereisten vereist. Als u wachtwoord-hashsynchronisatie als aanmeldingsmethode gebruikt en als er een firewall tussen Azure AD Connect en Azure AD is, controleert u het volgende:

    • U gebruikt versie 1.1.644.0 of hoger van Azure AD Connect.

    • Als uw firewall of proxy dit toestaat, voegt u de verbindingen toe aan de lijst met toegestane * .msappproxy.net via poort 443. Als u een specifieke URL nodig hebt in plaats van een jokerteken voor proxyconfiguratie, kunt u tenantid.registration.msappproxy.net configureren, waarbij tenantid de GUID is van de tenant waar u de functie configureert. Als url-gebaseerde proxyuitzonderingen niet mogelijk zijn in uw organisatie, kunt u in plaats daarvan toegang toestaan tot de IP-bereiken van het Azure-datacenter,die wekelijks worden bijgewerkt. Deze vereiste is alleen van toepassing wanneer u de functie inschakelen. Dit is niet vereist voor daadwerkelijke gebruikers aanmeldingen.

      Notitie

      Azure AD Connect versies 1.1.557.0, 1.1.558.0, 1.1.561.0 en 1.1.614.0 hebben een probleem met betrekking tot wachtwoordhashsynchronisatie. Als u niet van plan bent om wachtwoordhashsynchronisatie te gebruiken in combinatie met pass-through-verificatie, leest u de Azure AD Connect voor meer informatie.

      Notitie

      Als u een uitgaande HTTP-proxy hebt, moet u ervoor zorgen dat autologon.microsoftazuread-sso.com URL in de lijst met toegestane proxy's staat. U moet deze URL expliciet opgeven omdat jokertekens mogelijk niet worden geaccepteerd.

  • Een ondersteunde Azure AD Connect gebruiken: zorg ervoor dat u een van de ondersteunde topologieën van Azure AD Connect gebruikt die hier worden beschreven.

    Notitie

    Naadloze eenmalige aanmelding ondersteunt meerdere AD-forests, ongeacht of er AD-vertrouwensrelatie tussen deze forests is of niet.

  • Domeinbeheerdersreferenties instellen: u moet domeinbeheerdersreferenties hebben voor elk Active Directory-forest dat:

    • U synchroniseert met Azure AD via Azure AD Connect.
    • Bevat gebruikers die u wilt inschakelen voor naadloze eenmalige aanmelding.
  • Moderne verificatie inschakelen: u moet moderne verificatie in uw tenant inschakelen om deze functie te laten werken.

  • Gebruik de nieuwste versies van Microsoft 365-clients: als u een stille aanmeldingservaring wilt met Microsoft 365-clients (Outlook, Word, Excel en andere), moeten uw gebruikers versie 16.0.8730.xxxx of hoger gebruiken.

Stap 2: de functie inschakelen

Schakel naadloze eenmalige aanmelding in via Azure AD Connect.

Notitie

U kunt naadloze eenmalige aanmelding ook inschakelen met behulp van PowerShell als Azure AD Connect niet aan uw vereisten voldoet. Gebruik deze optie als u meer dan één domein per Active Directory-forest hebt en u meer gericht wilt zijn op het domein waar u naadloze eenmalige aanmelding voor wilt inschakelen.

Als u een nieuwe installatie van een Azure AD Connect, kiest u het aangepaste installatiepad. Selecteer op de aanmeldingspagina Gebruiker de optie Een aanmelding inschakelen.

Notitie

De optie is alleen beschikbaar voor selectie als de aanmeldingsmethode Wachtwoord-hashsynchronisatie of Pass-through-verificatie is.

Azure AD Connect: Gebruikers aanmelden

Als u al een installatie van Azure AD Connect hebt, selecteert u de aanmeldingspagina Gebruikers wijzigen in Azure AD Connect selecteert u volgende. Als u Azure AD Connect versie 1.1.880.0 of hoger gebruikt, wordt standaard de optie Een aanmelding inschakelen geselecteerd. Als u oudere versies van een Azure AD Connect, selecteert u de optie Een aanmelding inschakelen.

Azure AD Connect: de aanmelding van de gebruiker wijzigen

Ga door met de wizard totdat u op de pagina Een enkele aanmelding inschakelen bent. Geef domeinbeheerdersreferenties op voor elk Active Directory-forest dat:

  • U synchroniseert met Azure AD via Azure AD Connect.
  • Bevat gebruikers die u wilt inschakelen voor naadloze eenmalige aanmelding.

Nadat de wizard is voltooid, wordt Naadloze eenmalige aanmelding ingeschakeld voor uw tenant.

Notitie

De referenties van de domeinbeheerder worden niet opgeslagen in Azure AD Connect of in Azure AD. Ze worden alleen gebruikt om de functie in teschakelen.

Volg deze instructies om te controleren of naadloze eenmalige aanmelding correct is ingeschakeld:

  1. Meld u aan bij Azure Active Directory beheercentrum met de referenties van de globale beheerder voor uw tenant.
  2. Selecteer Azure Active Directory in het linkerdeelvenster.
  3. Selecteer Azure AD Connect.
  4. Controleer of de functie Naadloze een aanmelding wordt weergegeven als Ingeschakeld.

Azure Portal: Azure AD Connect deelvenster

Belangrijk

Naadloze eenmalige aanmelding maakt een computeraccount met de naam AZUREADSSOACC in uw on-premises Active Directory (AD) in elk AD-forest. Het AZUREADSSOACC computeraccount moet om veiligheidsredenen sterk worden beveiligd. Alleen domeinbeheerders mogen het computeraccount kunnen beheren. Zorg ervoor dat Kerberos-delegering op het computeraccount is uitgeschakeld en dat er geen ander account in Active Directory delegatiemachtigingen heeft voor het AZUREADSSOACC computeraccount. Sla het computeraccount op in een organisatie-eenheid (OE) waar ze zijn veilig tegen onbedoelde verwijderingen en waar alleen domeinbeheerders toegang hebben.

Notitie

Als u gebruik maakt van pass-the-hash- en referentiediefstal-architecturen in uw on-premises omgeving, moet u de juiste wijzigingen aanbrengen om ervoor te zorgen dat het computeraccount niet in de AZUREADSSOACC quarantainecontainer belandt.

Stap 3: de functie uitrollen

U kunt naadloze eenmalige aanmelding geleidelijk voor uw gebruikers uitrollen met behulp van de onderstaande instructies. U begint met het toevoegen van de volgende Azure AD-URL aan de intranetzone-instellingen van alle of geselecteerde gebruikers met behulp van groepsbeleid in Active Directory:

  • https://autologon.microsoftazuread-sso.com

Daarnaast moet u een beleidsinstelling intranetzone inschakelen met de naam Updates aan statusbalk toestaan via script via groepsbeleid.

Notitie

De volgende instructies werken alleen voor Internet Explorer, Microsoft Edge en Google Chrome in Windows (als deze een set vertrouwde site-URL's deelt met Internet Explorer). Lees de volgende sectie voor instructies over het instellen van Mozilla Firefox en Google Chrome in macOS.

Waarom moet u de intranetzone-instellingen van gebruikers wijzigen?

Standaard berekent de browser automatisch de juiste zone, internet of intranet, op basis van een specifieke URL. Wijs bijvoorbeeld http://contoso/ toe aan de intranetzone, terwijl http://intranet.contoso.com/ wordt gebruikt voor de internetzone (omdat de URL een punt bevat). Browsers verzenden geen Kerberos-tickets naar een cloud-eindpunt, zoals de Azure AD-URL, tenzij u de URL expliciet toevoegt aan de intranetzone van de browser.

Er zijn twee manieren om de intranetzone-instellingen van gebruikers te wijzigen:

Optie Beheerdersoverwegingen Gebruikerservaring
Groepsbeleid Beheerder vergrendelt het bewerken van intranetzone-instellingen Gebruikers kunnen hun eigen instellingen niet wijzigen
Voorkeur voor groepsbeleid Beheerder staat bewerken toe op intranetzone-instellingen Gebruikers kunnen hun eigen instellingen wijzigen

Optie Groepsbeleid - Gedetailleerde stappen

  1. Open het Groepsbeleidsbeheer-editor hulpprogramma.

  2. Bewerk het groepsbeleid dat wordt toegepast op sommige of al uw gebruikers. In dit voorbeeld wordt Standaarddomeinbeleid gebruikt.

  3. Blader naar Configuratiebeleid > voor gebruikers > Beheersjablonen > Windows-onderdelen > Internet Explorer de Configuratiescherm > Internet-Configuratiescherm. > Selecteer vervolgens Site-naar-zonetoewijzingslijst. Schermopname van de 'beveiligingspagina' met 'Toewijzingslijst van site naar zone' geselecteerd.

  4. Schakel het beleid in en voer de volgende waarden in het dialoogvenster in:

    • Waardenaam: de Azure AD-URL waar de Kerberos-tickets worden doorgestuurd.

    • Waarde (gegevens): 1 geeft de intranetzone aan.

      Het resultaat ziet er als volgt uit:

      Waardenaam: https://autologon.microsoftazuread-sso.com

      Waarde (gegevens): 1

    Notitie

    Als u wilt dat sommige gebruikers naadloze eenmalige aanmelding niet kunnen gebruiken (bijvoorbeeld als deze gebruikers zich aanmelden bij gedeelde kiosken), stelt u de voorgaande waarden in op 4. Met deze actie wordt de Azure AD-URL toegevoegd aan de beperkte zone en mislukt naadloze eenmalige aanmelding de hele tijd.

  5. Selecteer OK en vervolgens weer OK.

    Schermopname van het venster Inhoud weergeven met een zonetoewijzing geselecteerd.

  6. Blader naar Configuratiebeleid > voor gebruikers > Beheersjablonen > Windows-onderdelen > Internet Explorer Internet > Configuratiescherm > pagina > Intranetzone. Selecteer vervolgens Updates aan de statusbalk toestaan via script.

    Schermopname van de pagina Intranetzone met 'Updates aan statusbalk via script toestaan' geselecteerd.

  7. Schakel de beleidsinstelling in en selecteer ok.

    Schermopname van het venster 'Updates aan de statusbalk via script toestaan' met de beleidsinstelling ingeschakeld.

Optie 'Voorkeur voor groepsbeleid' - Gedetailleerde stappen

  1. Open het Groepsbeleidsbeheer-editor hulpprogramma.

  2. Bewerk het groepsbeleid dat wordt toegepast op een aantal of alle gebruikers. In dit voorbeeld wordt Standaarddomeinbeleid gebruikt.

  3. Blader naar User Configuration > Preferences > Windows Settings Registry > > New > Registry item.

    Schermopname met 'Register' geselecteerd en 'Registeritem' geselecteerd.

  4. Voer de volgende waarden in de juiste velden in en klik op OK.

    • Sleutelpad: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Waardenaam: https

    • Waardetype: REG_DWORD

    • Waardegegevens: 00000001

      Schermopname van het venster 'Nieuwe registereigenschappen'.

      Eenmalige aanmelding

Browseroverwegingen

Mozilla Firefox (alle platforms)

Mozilla Firefox maakt niet automatisch gebruik van Kerberos-verificatie. Elke gebruiker moet de Azure AD-URL handmatig toevoegen aan de Firefox-instellingen door de volgende stappen uit te voeren:

  1. Voer Firefox uit en voer about:config in de adresbalk in. Alle meldingen die u ziet, kunt u afwijzen.
  2. Zoek naar de voorkeur network.negotiate-auth.trusted-uris. Deze voorkeur geeft een lijst van de vertrouwde sites van Firefox voor Kerberos-verificatie.
  3. Klik met de rechtermuisknop en selecteer Wijzigen.
  4. Voer https://autologon.microsoftazuread-sso.com in het veld in.
  5. Selecteer OK en open de browser opnieuw.

Safari (macOS)

Zorg ervoor dat de computer met macOS lid is van AD. Instructies voor ad-deelname aan uw macOS-apparaat vallen buiten het bereik van dit artikel.

Microsoft Edge gebaseerd op Chromium (alle platforms)

Als u de authNegotiateDelegateAllowlist of de authServerAllowlist-beleidsinstellingen in uw omgeving hebt overgeslagen, moet u ervoor zorgen dat u er ook de URL van Azure AD () aan https://autologon.microsoftazuread-sso.com toevoegt.

Microsoft Edge gebaseerd op Chromium (macOS en andere niet-Windows-platforms)

Voor Microsoft Edge op basis van Chromium op macOS en andere niet-Windows-platforms raadpleegt u de Microsoft Edge op basis van de lijst met Chromium-beleid voor informatie over het toevoegen van de Azure AD-URL voor geïntegreerde verificatie aan uw lijst met toegestane apparaten.

Google Chrome (alle platforms)

Als u de authNegotiateDelegateWhitelist of de authServerWhitelist-beleidsinstellingen in uw omgeving hebt overgeslagen, moet u ervoor zorgen dat u ook de URL van Azure AD () aan deze instellingen https://autologon.microsoftazuread-sso.com toevoegt.

Google Chrome (macOS en andere niet-Windows-platforms)

Voor Google Chrome op macOS en andere niet-Windows-platforms raadpleegt u The Chromium Project Policy List (Lijst met Chromium-projectbeleid) voor informatie over het bepalen van de lijst met toegestane bestanden voor de Azure AD-URL voor geïntegreerde verificatie.

Het gebruik van Active Directory-extensies van derden groepsbeleid voor het implementeren van de Azure AD-URL naar Firefox en Google Chrome op Mac-gebruikers valt buiten het bereik van dit artikel.

Bekende browserbeperkingen

Naadloze eenmalige aanmelding werkt niet in de modus voor privé browsen in Firefox. Het werkt ook niet op Internet Explorer als de browser wordt uitgevoerd in de modus Uitgebreid beveiligd. Naadloze eenmalige aanmelding ondersteunt de volgende versie van Microsoft Edge op basis van Chromium en werkt in de InPrivate- en gastmodus. Microsoft Edge (verouderd) wordt niet meer ondersteund.

Stap 4: de functie testen

Als u de functie voor een specifieke gebruiker wilt testen, moet u ervoor zorgen dat aan alle volgende voorwaarden is voldaan:

  • De gebruiker meldt zich aan op een bedrijfsapparaat.
  • Het apparaat is lid van uw Active Directory-domein. Het apparaat hoeft niet lid te zijn van Azure AD.
  • Het apparaat heeft een directe verbinding met uw domeincontroller (DC), via het bekabelde of draadloze bedrijfsnetwerk of via een externe toegangsverbinding, zoals een VPN-verbinding.
  • U hebt de functie voor deze gebruiker uitgerold via groepsbeleid.

Als u het scenario wilt testen waarin de gebruiker alleen de gebruikersnaam invoert, maar niet het wachtwoord:

  • Meld u aan bij https://myapps.microsoft.com/ . Zorg ervoor dat u de browsercache leeg maakt of een nieuwe privébrowsersessie gebruikt met een van de ondersteunde browsers in de privémodus.

Voer een van de volgende stappen uit om het scenario te testen waarin de gebruiker de gebruikersnaam of het wachtwoord niet hoeft in te voeren:

  • Meld u aan bij Zorg ervoor dat u de browsercache leeg maakt of een nieuwe privébrowsersessie gebruikt met een van de ondersteunde https://myapps.microsoft.com/contoso.onmicrosoft.com browsers in de privémodus. Vervang contoso door de naam van uw tenant.
  • Meld u aan https://myapps.microsoft.com/contoso.com bij in een nieuwe privébrowsersessie. Vervang contoso.com door een geverifieerd domein (geen federatief domein) in uw tenant.

Stap 5: Sleutels omdraaien

In stap 2 maakt Azure AD Connect computeraccounts (ter vertegenwoordiging van Azure AD) in alle Active Directory-forests waarvoor u Naadloze eenmalige aanmelding hebt ingeschakeld. Zie naadloze een Azure Active Directory voor meer informatie: Technical deep dive.

Belangrijk

De Kerberos-ontsleutelingssleutel op een computeraccount kan, indien gelekt, worden gebruikt voor het genereren van Kerberos-tickets voor elke gebruiker in het AD-forest. Kwaadwillende actoren kunnen vervolgens Azure AD-aanmeldingen imiteren voor gecompromitteerde gebruikers. We raden u ten zeerste aan deze Kerberos-ontsleutelingssleutels regelmatig te gebruiken, ten minste eenmaal per 30 dagen.

Zie naadloze een Azure Active Directory: veelgestelde vragen voor instructies over het omdraaien van sleutels. We werken aan een mogelijkheid om het automatisch overrollen van sleutels te introduceren.

Belangrijk

U hoeft deze stap niet onmiddellijk uit te doen nadat u de functie hebt ingeschakeld. Rol de Kerberos-ontsleutelingssleutels ten minste eenmaal per 30 dagen over.

Volgende stappen

  • Technische details:inzicht in de manier waarop de functie naadloze Sign-On werkt.
  • Veelgestelde vragen:krijg antwoorden op veelgestelde vragen over naadloze een aanmelding.
  • Problemenoplossen: meer informatie over het oplossen van veelvoorkomende problemen met de functie naadloze Sign-On functie.
  • UserVoice:gebruik het Azure Active Directory Forum om nieuwe functieaanvragen in te stellen.