Naadloze eenmalige aanmelding via Azure Active Directory: Snelstart

Naadloze enkele Sign-On implementeren

Naadloze naadloze eenmalige aanmelding van Azure Active Directory (Azure AD) naadloos single Sign-On (naadloze eenmalige aanmelding) meldt gebruikers automatisch aan wanneer ze zich op hun bedrijfscomputers bevinden die zijn verbonden met uw bedrijfsnetwerk. Naadloze eenmalige aanmelding biedt uw gebruikers eenvoudige toegang tot uw cloudtoepassingen zonder extra on-premises onderdelen nodig te hebben.

Volg deze stappen om naadloze eenmalige aanmelding te implementeren.

Stap 1: Controleer de vereisten

Zorg ervoor dat de volgende vereisten zijn ingesteld:

  • Uw Azure AD Connect-server instellen: als u passthrough-verificatie gebruikt als aanmeldingsmethode, is er geen aanvullende controle van vereisten vereist. Als u wachtwoord-hashsynchronisatie gebruikt als uw aanmeldingsmethode en als er een firewall is tussen Azure AD Connect en Azure AD, moet u ervoor zorgen dat:

    • U gebruikt versie 1.1.644.0 of hoger van Azure AD Connect.

    • Als uw firewall of proxy toestaat, voegt u de verbindingen toe aan de lijst met toegestane *.msappproxy.net URL's via poort 443. Als u een specifieke URL nodig hebt in plaats van een jokerteken voor proxyconfiguratie, kunt u tenantid.registration.msappproxy.net configureren, waarbij tenantid de GUID is van de tenant waar u de functie configureert. Als op URL's gebaseerde proxy-uitzonderingen niet mogelijk zijn in uw organisatie, kunt u in plaats daarvan toegang verlenen tot de IP-adresbereiken van het Azure-datacenter, die wekelijks worden bijgewerkt. Deze vereiste is alleen van toepassing wanneer u de functie inschakelt. Het is niet vereist voor werkelijke aanmeldingen van gebruikers.

      Notitie

      Azure AD Connect-versies 1.1.557.0, 1.1.558.0, 1.1.561.0 en 1.1.614.0 hebben een probleem met betrekking tot wachtwoordhashsynchronisatie. Als u geen wachtwoord-hashsynchronisatie wilt gebruiken in combinatie met passthrough-verificatie, leest u de opmerkingen bij de release van Azure AD Connect voor meer informatie.

      Notitie

      Als u een uitgaande HTTP-proxy hebt, controleert u of deze URL, autologon.microsoftazuread-sso.com, in de lijst met toegestane url's staat. U moet deze URL expliciet opgeven omdat jokertekens mogelijk niet worden geaccepteerd.

  • Gebruik een ondersteunde Azure AD Connect-topologie: zorg ervoor dat u een van de ondersteunde topologieën van Azure AD Connect gebruikt die hier worden beschreven.

    Notitie

    Naadloze eenmalige aanmelding ondersteunt meerdere AD-forests, ongeacht of er AD-vertrouwensrelaties zijn.

  • Domeinbeheerdersreferenties instellen: u moet domeinbeheerdersreferenties hebben voor elk Active Directory-forest dat:

    • U synchroniseert met Azure AD via Azure AD Connect.
    • Gebruikers bevat die u wilt inschakelen voor naadloze eenmalige aanmelding.
  • Moderne verificatie inschakelen: u moet moderne verificatie inschakelen voor uw tenant zodat deze functie werkt.

  • Gebruik de nieuwste versies van Microsoft 365-clients: als u een stille aanmeldingservaring wilt krijgen met Microsoft 365-clients (Outlook, Word, Excel en anderen), moeten uw gebruikers versies 16.0.8730.xxxx of hoger gebruiken.

Stap 2: De functie inschakelen

Naadloze eenmalige aanmelding via Azure AD Connect inschakelen.

Notitie

U kunt naadloze eenmalige aanmelding ook inschakelen met Behulp van PowerShell als Azure AD Connect niet aan uw vereisten voldoet. Gebruik deze optie als u meer dan één domein per Active Directory-forest hebt en u meer gericht wilt zijn op het domein waarvoor u naadloze eenmalige aanmelding wilt inschakelen.

Als u een nieuwe installatie van Azure AD Connect uitvoert, kiest u het aangepaste installatiepad. Selecteer op de pagina Gebruikersaanmelding de optie Eenmalige aanmelding inschakelen.

Notitie

De optie is alleen beschikbaar voor selectie als de aanmeldingsmethode wachtwoord-hashsynchronisatie of passthrough-verificatie is.

Azure AD Connect: User sign-in

Als u al een installatie van Azure AD Connect hebt, selecteert u de aanmeldingspagina van de gebruiker wijzigen in Azure AD Connect en selecteert u vervolgens Volgende. Als u Azure AD Connect versie 1.1.880.0 of hoger gebruikt, is de optie Eenmalige aanmelding inschakelen standaard geselecteerd. Als u oudere versies van Azure AD Connect gebruikt, selecteert u de optie Eenmalige aanmelding inschakelen.

Azure AD Connect: Change the user sign-in

Ga door met de wizard totdat u op de pagina Eenmalige aanmelding inschakelen. Geef domeinbeheerdersreferenties op voor elk Active Directory-forest dat:

  • U synchroniseert met Azure AD via Azure AD Connect.
  • Gebruikers bevat die u wilt inschakelen voor naadloze eenmalige aanmelding.

Nadat de wizard is voltooid, wordt naadloze eenmalige aanmelding ingeschakeld voor uw tenant.

Notitie

De domeinbeheerdersreferenties worden niet opgeslagen in Azure AD Connect of in Azure AD. Ze worden alleen gebruikt om de functie in te schakelen.

Volg deze instructies om te controleren of naadloze eenmalige aanmelding correct is ingeschakeld:

  1. Meld u aan bij het Azure Active Directory-beheercentrum met de referenties van de globale beheerder of hybride identiteitsbeheerder voor uw tenant.
  2. Selecteer Azure Active Directory in het linkerdeelvenster.
  3. Selecteer Azure AD Connect.
  4. Controleer of de functie Naadloze eenmalige aanmelding wordt weergegeven als Ingeschakeld.

Azure portal: Azure AD Connect pane

Belangrijk

Naadloze eenmalige aanmelding maakt een computeraccount met de naam AZUREADSSOACC in uw on-premises Active Directory (AD) in elk AD-forest. Het computeraccount AZUREADSSOACC moet uit veiligheidsoverwegingen sterk worden beveiligd. Alleen domeinbeheerders mogen het computeraccount kunnen beheren. Zorg ervoor dat Kerberos-delegering op het computeraccount is uitgeschakeld en dat geen ander account in Active Directory delegatiemachtigingen heeft voor het AZUREADSSOACC computeraccount. Sla het computeraccount op in een organisatie-eenheid (OE) waar het veilig is tegen onbedoelde verwijderingen en waar alleen domeinbeheerders toegang tot hebben.

Notitie

Als u Pass-the-Hash- en Referentiediefstalbeperkingsarchitecturen gebruikt in uw on-premises omgeving, moet u de juiste wijzigingen aanbrengen om ervoor te zorgen dat het AZUREADSSOACC computeraccount niet in de quarantainecontainer terechtkomt.

Stap 3: de functie implementeren

U kunt naadloze eenmalige aanmelding geleidelijk implementeren voor uw gebruikers met behulp van de onderstaande instructies. U begint met het toevoegen van de volgende Azure AD-URL aan de intranetzone-instellingen van alle of geselecteerde gebruikers met behulp van groepsbeleid in Active Directory:

  • https://autologon.microsoftazuread-sso.com

Daarnaast moet u een beleidsinstelling voor de intranetzone met de naam Updates naar statusbalk toestaan via een script via groepsbeleid inschakelen.

Notitie

De volgende instructies werken alleen voor Internet Explorer, Microsoft Edge en Google Chrome in Windows (als deze een set vertrouwde site-URL's deelt met Internet Explorer). Lees de volgende sectie voor instructies over het instellen van Mozilla Firefox en Google Chrome op macOS.

Waarom moet u de instellingen van de intranetzone van gebruikers wijzigen?

Standaard berekent de browser automatisch de juiste zone, internet of intranet, van een specifieke URL. Bijvoorbeeld: http://contoso/ wordt toegewezen aan de intranetzone, terwijl http://intranet.contoso.com/ deze wordt toegewezen aan de internetzone (omdat de URL een punt bevat). Browsers verzenden Kerberos-tickets niet naar een cloudeindpunt, zoals de Azure AD-URL, tenzij u de URL expliciet toevoegt aan de intranetzone van de browser.

Er zijn twee manieren om de intranetzone-instellingen van gebruikers te wijzigen:

Optie Beheerdersoverweging Gebruikerservaring
Groepsbeleid Beheerder vergrendelt het bewerken van instellingen voor de intranetzone Gebruikers kunnen hun eigen instellingen niet wijzigen
Voorkeur voor groepsbeleid Beheerder kan bewerken op de instellingen van de intranetzone Gebruikers kunnen hun eigen instellingen wijzigen

Optie Groepsbeleid - Gedetailleerde stappen

  1. Open het hulpprogramma Editor voor groepsbeleidsbeheer.

  2. Bewerk het groepsbeleid dat wordt toegepast op sommige of al uw gebruikers. In dit voorbeeld wordt standaarddomeinbeleid gebruikt.

  3. Blader naarbeheersjablonen vangebruikersconfiguratiebeleid>>>voor Windows-onderdelen>Internet Explorer>Internet Control Panel>Security Page. Selecteer vervolgens Site-naar-zonetoewijzingslijst. Screenshot that shows the

  4. Schakel het beleid in en voer de volgende waarden in het dialoogvenster in:

    • Waardenaam: de Azure AD-URL waar de Kerberos-tickets worden doorgestuurd.

    • Waarde (gegevens): 1 geeft de intranetzone aan.

      Het resultaat ziet er als volgt uit:

      Waardenaam: https://autologon.microsoftazuread-sso.com

      Waarde (gegevens): 1

    Notitie

    Als u wilt toestaan dat sommige gebruikers naadloze eenmalige aanmelding gebruiken (bijvoorbeeld als deze gebruikers zich aanmelden bij gedeelde kiosken), stelt u de voorgaande waarden in op 4. Met deze actie wordt de Azure AD-URL toegevoegd aan de beperkte zone en wordt naadloze eenmalige aanmelding voortdurend mislukt.

  5. Selecteer OK en vervolgens weer OK.

    Screenshot that shows the

  6. Blader naar beheersjablonen voor gebruikersconfiguratiebeleid>>voor>Windows-onderdelen>Internet Explorer>Internet Control Panel>Security Page>Intranet Zone. Selecteer vervolgens Updates naar statusbalk toestaan via script.

    Screenshot that shows the

  7. Schakel de beleidsinstelling in en selecteer OK.

    Screenshot that shows

Optie 'Voorkeur voor groepsbeleid' - Gedetailleerde stappen

  1. Open het hulpprogramma Editor voor groepsbeleidsbeheer.

  2. Bewerk het groepsbeleid dat wordt toegepast op sommige of al uw gebruikers. In dit voorbeeld wordt standaarddomeinbeleid gebruikt.

  3. Blader naar gebruikersconfiguratievoorkeuren>>Windows-instellingen>register>nieuw>registeritem.

    Screenshot that shows

  4. Voer de volgende waarden in de juiste velden in en klik op OK.

    • Sleutelpad: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Waardenaam: https

    • Waardetype: REG_DWORD

    • Waardegegevens: 00000001

      Screenshot that shows the

      Single sign-on

Overwegingen voor browsers

Mozilla Firefox (alle platforms)

Als u de instellingen voor verificatiebeleid in uw omgeving gebruikt, moet u ervoor zorgen dat u de URL (https://autologon.microsoftazuread-sso.com) van Azure AD toevoegt aan de sectie SPNEGO . U kunt de optie PrivateBrowsing ook instellen op True om naadloze eenmalige aanmelding toe te staan in de modus voor privé browsen.

Safari (macOS)

Zorg ervoor dat de computer waarop de macOS wordt uitgevoerd, is gekoppeld aan AD. Instructies voor ad-deelname aan uw macOS-apparaat vallen buiten het bereik van dit artikel.

Microsoft Edge op basis van Chromium (alle platforms)

Als u de AuthNegotiateDelegateAllowlist of de beleidsinstellingen AuthServerAllowlist in uw omgeving hebt overschreven, moet u ervoor zorgen dat u ook de URL (https://autologon.microsoftazuread-sso.com) van Azure AD toevoegt.

Microsoft Edge op basis van Chromium (macOS en andere niet-Windows-platforms)

Voor Microsoft Edge op basis van Chromium op macOS- en andere niet-Windows-platforms raadpleegt u de Microsoft Edge op basis van Chromium Policy List voor informatie over het toevoegen van de Azure AD-URL voor geïntegreerde verificatie aan uw acceptatielijst.

Google Chrome (alle platforms)

Als u de AuthNegotiateDelegateAllowlist of de beleidsinstellingen AuthServerAllowlist in uw omgeving hebt overschreven, moet u ervoor zorgen dat u ook de URL (https://autologon.microsoftazuread-sso.com) van Azure AD toevoegt.

macOS

Het gebruik van extensies van Active Directory-groepsbeleid van derden voor het implementeren van de Azure AD-URL naar Firefox en Google Chrome voor macOS-gebruikers valt buiten het bereik van dit artikel.

Bekende browserbeperkingen

Naadloze eenmalige aanmelding werkt niet in Internet Explorer als de browser wordt uitgevoerd in de uitgebreide beveiligde modus. Naadloze eenmalige aanmelding ondersteunt de volgende versie van Microsoft Edge op basis van Chromium en werkt standaard in de InPrivate- en gastmodus. Microsoft Edge (verouderd) wordt niet meer ondersteund.

AmbientAuthenticationInPrivateModesEnabledmogelijk moet worden geconfigureerd voor InPrivate- en/of gastgebruikers op basis van de bijbehorende documentatie:

Stap 4: De functie testen

Als u de functie voor een specifieke gebruiker wilt testen, moet u ervoor zorgen dat aan alle volgende voorwaarden wordt voldaan:

  • De gebruiker meldt zich aan op een bedrijfsapparaat.
  • Het apparaat is gekoppeld aan uw Active Directory-domein. Het apparaat hoeft niet lid te zijn van Azure AD.
  • Het apparaat heeft een directe verbinding met uw domeincontroller (DC), ofwel op het bekabelde of draadloze netwerk van het bedrijf of via een externe toegangsverbinding, zoals een VPN-verbinding.
  • U hebt de functie voor deze gebruiker geïmplementeerd via Groepsbeleid.

Om het scenario te testen waarbij de gebruiker alleen de gebruikersnaam invoert, maar niet het wachtwoord:

  • Meld u aan bij https://myapps.microsoft.com/. Wis de browsercache of gebruik een nieuwe privébrowsersessie met een van de ondersteunde browsers in de privémodus.

Gebruik een van de volgende stappen om het scenario te testen waarbij de gebruiker de gebruikersnaam of het wachtwoord niet hoeft in te voeren:

  • Meld u aan om https://myapps.microsoft.com/contoso.onmicrosoft.com de browsercache te wissen of gebruik een nieuwe privébrowsersessie met een van de ondersteunde browsers in de privémodus. Vervang contoso door de naam van uw tenant.
  • Meld u aan bij https://myapps.microsoft.com/contoso.com een nieuwe privébrowsersessie. Vervang contoso.com door een geverifieerd domein (geen federatief domein) in uw tenant.

Stap 5: Sleutels overrollen

In stap 2 maakt Azure AD Connect computeraccounts (die Azure AD vertegenwoordigen) in alle Active Directory-forests waarvoor u naadloze eenmalige aanmelding hebt ingeschakeld. Zie naadloze eenmalige aanmelding van Azure Active Directory voor meer informatie: technische uitgebreide informatie.

Belangrijk

De Kerberos-ontsleutelingssleutel op een computeraccount, indien gelekt, kan worden gebruikt om Kerberos-tickets te genereren voor elke gebruiker in het AD-forest. Kwaadwillende actoren kunnen zich vervolgens voordoen als Azure AD-aanmeldingen voor gecompromitteerde gebruikers. We raden u ten zeerste aan om deze Kerberos-ontsleutelingssleutels periodiek over te rollen - ten minste eenmaal per 30 dagen.

Zie naadloze eenmalige aanmelding van Azure Active Directory voor instructies over het overrollen van sleutels: veelgestelde vragen.

Belangrijk

U hoeft deze stap niet onmiddellijk uit te voeren nadat u de functie hebt ingeschakeld. Rol de Kerberos-ontsleutelingssleutels minstens één keer per 30 dagen over.

Volgende stappen

  • Technische informatie: inzicht in hoe de naadloze functie voor één Sign-On werkt.
  • Veelgestelde vragen: krijg antwoorden op veelgestelde vragen over naadloze eenmalige aanmelding.
  • Troubleshoot: Learn how to resolve common problems with the Seamless Single Sign-On feature.
  • UserVoice: gebruik het Azure Active Directory-forum om nieuwe functieaanvragen in te voeren.