Azure Active Directory sorunsuz çoklu oturum açma: Sık sorulan sorularAzure Active Directory Seamless Single Sign-On: Frequently asked questions

Bu makalede, biz sık sorulan sorular hakkında Azure Active Directory sorunsuz çoklu oturum açma (sorunsuz çoklu oturum açma) adresi.In this article, we address frequently asked questions about Azure Active Directory Seamless Single Sign-On (Seamless SSO). Yeni içerik için geri kontrol etmeyi unutmayın.Keep checking back for new content.

Oturum açma yöntemleri ile sorunsuz çoklu oturum açma çalışır?What sign-in methods do Seamless SSO work with?

Sorunsuz çoklu oturum açma ile birleştirilebilir parola karması eşitleme veya geçişli kimlik doğrulaması oturum açma yöntemleri.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. Ancak bu özellik Active Directory Federasyon Hizmetleri (ADFS) ile kullanılamaz.However this feature cannot be used with Active Directory Federation Services (ADFS).

Sorunsuz çoklu oturum açma, ücretsiz bir özellik mi var?Is Seamless SSO a free feature?

Sorunsuz çoklu oturum açma ücretsiz bir özelliktir ve kullanmak için Azure AD Ücretli tüm sürümleri gerekmez.Seamless SSO is a free feature and you don't need any paid editions of Azure AD to use it.

Sorunsuz çoklu oturum açma kullanılabilir Microsoft Azure Almanya bulut ve Microsoft Azure kamu bulutundaki?Is Seamless SSO available in the Microsoft Azure Germany cloud and the Microsoft Azure Government cloud?

Hayır.No. Sorunsuz çoklu oturum açma, yalnızca dünya çapındaki örneğini Azure AD içinde kullanılabilir.Seamless SSO is only available in the worldwide instance of Azure AD.

Hangi uygulamaların domain_hint veya login_hint parametresi sorunsuz çoklu oturum açma yeteneğini?What applications take advantage of domain_hint or login_hint parameter capability of Seamless SSO?

Aşağıda listelenen, bu parametreleri Azure AD'ye gönderebilir ve bu nedenle kullanıcıların sorunsuz çoklu oturum açma (yani, kullanıcılarınızın, kullanıcı adlarını veya parolaları giriş gerek) kullanarak sessiz oturum açma deneyimi sağlayan uygulamalar kapsamlı olmayan bir listesidir:Listed below is a non-exhaustive list of applications that can send these parameters to Azure AD, and therefore provides users a silent sign-on experience using Seamless SSO (i.e., no need for your users to input their usernames or passwords):

Uygulama adıApplication name Kullanılacak uygulama URL'siApplication URL to be used
Erişim paneliAccess panel https://myapps.microsoft.com/contoso.comhttps://myapps.microsoft.com/contoso.com
Web üzerinde Outlook'uOutlook on Web https://outlook.office365.com/contoso.comhttps://outlook.office365.com/contoso.com
Office 365 portalıOffice 365 portals https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.comhttps://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Uygulamanın oturum açma istekleri için Azure AD'nin uç noktaları ayarlama - kiracıları olarak diğer bir deyişle, https gönderirse kullanıcılar sessiz bir oturum açma deneyimi ayrıca Al://login.microsoftonline.com/contoso.com/ <... > ya da https://login.microsoftonline.com/ < Kiracı > / <... > - Azure AD'nin ortak uç nokta - diğer bir deyişle, https yerine://login.microsoftonline.com/common/ <... >.In addition, users get a silent sign-on experience if an application sends sign-in requests to Azure AD's endpoints set up as tenants - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>. Aşağıda listelenen, oturum açma istekleri bu tür uygulamalar, kapsamlı olmayan bir listesidir.Listed below is a non-exhaustive list of applications that make these types of sign-in requests.

Uygulama adıApplication name Kullanılacak uygulama URL'siApplication URL to be used
SharePoint OnlineSharePoint Online https://contoso.sharepoint.comhttps://contoso.sharepoint.com
Azure portalAzure portal https://portal.azure.com/contoso.comhttps://portal.azure.com/contoso.com

Yukarıdaki tablolarda, "contoso.com" etki alanı adınızın kiracınız için doğru uygulama URL'lere almak için değiştirin.In the above tables, replace "contoso.com" with your domain name to get to the right application URLs for your tenant.

Sessiz oturum açma deneyimimizi kullanarak diğer uygulamaları istiyorsanız geri bildirim bölümünde bize bildirin.If you want other applications using our silent sign-on experience, let us know in the feedback section.

Sorunsuz çoklu oturum açmayı destekliyor mu Alternate ID kullanıcı adı olarak yerine userPrincipalName?Does Seamless SSO support Alternate ID as the username, instead of userPrincipalName?

Evet.Yes. Sorunsuz çoklu oturum açmayı destekleyen Alternate ID gösterildiği gibi Azure AD Connect yapılandırılmış kullanıcı adı olarak burada.Seamless SSO supports Alternate ID as the username when configured in Azure AD Connect as shown here. Tüm Office 365 uygulamaları desteklemez Alternate ID.Not all Office 365 applications support Alternate ID. Destek bildirimi için belirli bir uygulamanın belgelerine bakın.Refer to the specific application's documentation for the support statement.

Hangi çoklu oturum açma deneyimini arasındaki farkı tarafından sağlanan Azure AD'ye katılımı ve sorunsuz çoklu oturum açma?What is the difference between the single sign-on experience provided by Azure AD Join and Seamless SSO?

Azure AD'ye katılım cihazlarını Azure AD'ye kaydedildiyse, kullanıcılara SSO sağlar.Azure AD Join provides SSO to users if their devices are registered with Azure AD. Bu cihazlar mutlaka etki alanına katılmış olması gerekmez.These devices don't necessarily have to be domain-joined. SSO kullanarak sağlanan birincil yenileme belirteçleri veya PRTsve Kerberos değil.SSO is provided using primary refresh tokens or PRTs, and not Kerberos. Windows 10 cihazlarda en iyi kullanıcı deneyimi.The user experience is most optimal on Windows 10 devices. SSO, Microsoft Edge tarayıcısında otomatik olarak gerçekleşir.SSO happens automatically on the Microsoft Edge browser. Bir tarayıcı uzantısı kullanımı ile Chrome üzerinde de çalışır.It also works on Chrome with the use of a browser extension.

Kiracınızda Azure AD Join ve sorunsuz çoklu oturum açma kullanabilirsiniz.You can use both Azure AD Join and Seamless SSO on your tenant. Bu iki özellik tamamlayıcıdır.These two features are complementary. Her iki özelliği açıksa, Azure AD'ye katılım'nden SSO sorunsuz çoklu oturum açma öncelik kazanır.If both features are turned on, then SSO from Azure AD Join takes precedence over Seamless SSO.

AD FS kullanmadan Windows 10 cihazlarını Azure AD'ye kaydetme istiyorsunuz.I want to register non-Windows 10 devices with Azure AD, without using AD FS. Sorunsuz çoklu oturum açma yerine kullanabilir miyim?Can I use Seamless SSO instead?

Evet, bu senaryo 2.1 veya sonraki sürümü gerekir çalışma alanına katılma istemcisi.Yes, this scenario needs version 2.1 or later of the workplace-join client.

Nasıl miyim geri Kerberos şifre çözme anahtarı AZUREADSSOACC bilgisayar hesabı?How can I roll over the Kerberos decryption key of the AZUREADSSOACC computer account?

Kerberos şifre çözme anahtarı sık geri önemlidir AZUREADSSOACC şirket içinde oluşturulan (Azure AD temsil eder) bilgisayar hesabını AD ormanı.It is important to frequently roll over the Kerberos decryption key of the AZUREADSSOACC computer account (which represents Azure AD) created in your on-premises AD forest.

Önemli

En azından her 30 günde Kerberos şifre çözme anahtarını başa döndürmek önemle öneririz.We highly recommend that you roll over the Kerberos decryption key at least every 30 days.

Azure AD Connect çalıştırdığınız şirket içi sunucusunda bu adımları izleyin:Follow these steps on the on-premises server where you are running Azure AD Connect:

1.AdımStep 1. Sorunsuz çoklu oturum açma yeri etkinleştirilmiş AD ormanına listesini alınGet list of AD forests where Seamless SSO has been enabled

  1. İlk olarak, indirme ve yükleme Azure AD PowerShell.First, download, and install Azure AD PowerShell.
  2. %programfiles%\Microsoft Azure Active Directory Connect klasörüne gidin.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  3. Bu komutu kullanarak sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  4. PowerShell'i yönetici olarak çalıştırın.Run PowerShell as an Administrator. PowerShell'de, çağrı New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Bu komut, kiracınızın genel yönetici kimlik bilgilerini girmek için bir açılan pencere vermeniz gerekir.This command should give you a popup to enter your tenant's Global Administrator credentials.
  5. Çağrı Get-AzureADSSOStatus | ConvertFrom-Json.Call Get-AzureADSSOStatus | ConvertFrom-Json. Bu komut, bu özelliğin etkinleştirildiği üzerinde AD ormanına ("Etki alanları" listesinde bakın) listesini sağlar.This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

2.AdımStep 2. Bu, üzerinde ayarlanmış her AD ormanında Kerberos şifre çözme anahtarı güncelleştirmeUpdate the Kerberos decryption key on each AD forest that it was set it up on

  1. Çağrı $creds = Get-Credential.Call $creds = Get-Credential. İstendiğinde, hedeflenen AD ormanı için etki alanı yöneticisi kimlik bilgilerini girin.When prompted, enter the Domain Administrator credentials for the intended AD forest.

    Not

    Etki alanı yöneticisinin kullanıcı adı, kullanıcı asıl adı (UPN) içinde sağlanan kullanırız (johndoe@contoso.com) biçimi veya hedeflenen AD ormanı bulmak için etki alanı tam sam hesabı adı (contoso\johndoe veya contoso.com\johndoe) biçimi.We use the Domain Administrator's username, provided in the User Principal Names (UPN) (johndoe@contoso.com) format or the domain qualified sam-account name (contoso\johndoe or contoso.com\johndoe) format, to find the intended AD forest. Etki alanı tam sam hesabı adı kullanırsanız, etki alanı bölümü için kullanıcı adını kullanıyoruz , DNS kullanarak olan etki alanı yöneticisi etki alanı denetleyicisinin yerini.If you use domain qualified sam-account name, we use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS. Bunun yerine, UPN kullanırsanız, biz bir etki alanı tam sam hesabı adı için çevir uygun etki alanı denetleyicisi bulunurken önce.If you use UPN instead, we translate it to a domain qualified sam-account name before locating the appropriate Domain Controller.

  2. Çağrı Update-AzureADSSOForest -OnPremCredentials $creds.Call Update-AzureADSSOForest -OnPremCredentials $creds. Bu komut için Kerberos şifre çözme anahtarı güncelleştirir AZUREADSSOACC bu belirli AD ormanında bilgisayar hesabı ve Azure AD'de güncelleştirir.This command updates the Kerberos decryption key for the AZUREADSSOACC computer account in this specific AD forest and updates it in Azure AD.

  3. Özelliği ayarladığınız her AD ormanı için önceki adımları yineleyin.Repeat the preceding steps for each AD forest that you’ve set up the feature on.

Önemli

Emin olun, yoksa çalıştırma Update-AzureADSSOForest birden çok kez komutu.Ensure that you don't run the Update-AzureADSSOForest command more than once. Aksi takdirde, bu özellik, kullanıcılarınızın Kerberos biletleri süresinin dolmasını ve şirket içi Active Directory tarafından yeniden zamana kadar çalışmayı durduruyor.Otherwise, the feature stops working until the time your users' Kerberos tickets expire and are reissued by your on-premises Active Directory.

Sorunsuz çoklu oturum açma nasıl devre dışı bırakabilirim?How can I disable Seamless SSO?

1.AdımStep 1. Kiracınızın özelliği devre dışı bırakDisable the feature on your tenant

Seçenek A: Azure AD Connect kullanarak devre dışı bırakOption A: Disable using Azure AD Connect

  1. Azure AD Connect'i çalıştırın öğesini değişiklik kullanıcı oturum açma sayfası tıklatıp sonraki.Run Azure AD Connect, choose Change user sign-in page and click Next.
  2. Onay kutusunu temizleyin etkinleştirme çoklu oturum açma seçeneği.Uncheck the Enable single sign on option. Sihirbaza devam edin.Continue through the wizard.

Sihirbazı tamamladıktan sonra sorunsuz çoklu oturum açma kiracınızda devre dışı bırakılır.After completing the wizard, Seamless SSO will be disabled on your tenant. Ancak, aşağıdaki ekranda bir ileti görürsünüz:However, you will see a message on screen that reads as follows:

"Çoklu oturum açma devre dışı bırakıldı, ancak temizliği tamamlamak için gereken ek el ile adımlar vardır."Single sign-on is now disabled, but there are additional manual steps to perform in order to complete clean-up. Daha fazla bilgi edinin"Learn more"

Temizleme işlemi tamamlamak için Azure AD Connect çalıştırdığınız şirket içi sunucuda 2 ve 3. adımları izleyin.To complete the clean-up process, follow steps 2 and 3 on the on-premises server where you are running Azure AD Connect.

Seçenek B: PowerShell kullanarak devre dışı bırakOption B: Disable using PowerShell

Aşağıdaki adımlar, Azure AD Connect çalıştırdığınız şirket içi sunucusunda çalıştırın:Run the following steps on the on-premises server where you are running Azure AD Connect:

  1. İlk olarak, indirme ve yükleme Azure AD PowerShell.First, download, and install Azure AD PowerShell.
  2. %programfiles%\Microsoft Azure Active Directory Connect klasörüne gidin.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  3. Bu komutu kullanarak sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  4. PowerShell'i yönetici olarak çalıştırın.Run PowerShell as an Administrator. PowerShell'de, çağrı New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Bu komut, kiracınızın genel yönetici kimlik bilgilerini girmek için bir açılan pencere vermeniz gerekir.This command should give you a popup to enter your tenant's Global Administrator credentials.
  5. Çağrı Enable-AzureADSSO -Enable $false.Call Enable-AzureADSSO -Enable $false.

Önemli

Sorunsuz çoklu oturum açma devre dışı bırakma PowerShell kullanarak Azure AD CONNECT'te durumu değiştirmez.Disabling Seamless SSO using PowerShell will not change the state in Azure AD Connect. Sorunsuz çoklu oturum açma etkin olarak gösterilir değiştirme kullanıcı oturum açma sayfası.Seamless SSO will show as enabled in the Change user sign-in page.

2.AdımStep 2. Sorunsuz çoklu oturum açma yeri etkinleştirilmiş AD ormanına listesini alınGet list of AD forests where Seamless SSO has been enabled

Sorunsuz bir Azure AD Connect kullanarak çoklu oturum açma devre dışı bıraktıysanız, 1 ile 4 aşağıdaki görevleri izleyin.Follow tasks 1 through 4 below if you have disabled Seamless SSO using Azure AD Connect. Bunun yerine PowerShell kullanarak sorunsuz SSO devre dışı bıraktıysanız, görev 5 atlamayın.If you have disabled Seamless SSO using PowerShell instead, jump ahead to task 5 below.

  1. İlk olarak, indirme ve yükleme Azure AD PowerShell.First, download, and install Azure AD PowerShell.
  2. %programfiles%\Microsoft Azure Active Directory Connect klasörüne gidin.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  3. Bu komutu kullanarak sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  4. PowerShell'i yönetici olarak çalıştırın.Run PowerShell as an Administrator. PowerShell'de, çağrı New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Bu komut, kiracınızın genel yönetici kimlik bilgilerini girmek için bir açılan pencere vermeniz gerekir.This command should give you a popup to enter your tenant's Global Administrator credentials.
  5. Çağrı Get-AzureADSSOStatus | ConvertFrom-Json.Call Get-AzureADSSOStatus | ConvertFrom-Json. Bu komut, bu özelliğin etkinleştirildiği üzerinde AD ormanına ("Etki alanları" listesinde bakın) listesini sağlar.This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

Adım 3.Step 3. El ile silmeniz AZUREADSSOACCT listelenen gördüğünüz her AD ormanında bilgisayar hesabı.Manually delete the AZUREADSSOACCT computer account from each AD forest that you see listed.

Sonraki adımlarNext steps