Düzenle

Microsoft Entra sorunsuz çoklu oturum açma: Sık sorulan sorular

  • SSS

Bu makalede, Microsoft Entra sorunsuz çoklu oturum açma (Sorunsuz SSO) hakkında sık sorulan soruları ele alıyoruz. Yeni içerikler için takipte kalın.

Sorunsuz SSO'nun hangi oturum açma yöntemleriyle çalıştığı

Sorunsuz SSO özelliği, Parola Karması Eşitleme veya Geçiş Kimlik Doğrulaması oturum açma yöntemleriyle birlikte kullanılabilir. Ancak bu özellik Active Directory Federasyon Hizmetleri (AD FS) (ADFS) ile kullanılamaz.

Sorunsuz SSO ücretsiz bir özellik mi?

Sorunsuz SSO ücretsiz bir özelliktir ve bunu kullanmak için Microsoft Entra Id'nin ücretli sürümlerine ihtiyacınız yoktur.

Sorunsuz SSO, Microsoft Azure Almanya bulutunda ve Microsoft Azure Kamu bulutunda kullanılabilir mi?

Sorunsuz SSO, Azure Kamu bulut için kullanılabilir. Ayrıntılar için Azure Kamu için Karma KimlikLe İlgili Önemli Noktalar'ı görüntüleyin.

Hangi uygulamalar Sorunsuz SSO'nun 'domain_hint' veya 'login_hint' parametre özelliğinden yararlanan uygulamalardır?

Tabloda, bu parametreleri Microsoft Entra Id'ye gönderebilen uygulamaların listesi bulunur. Bu eylem, kullanıcılara Sorunsuz SSO kullanarak sessiz oturum açma deneyimi sağlar:

Uygulama adı Kullanılacak uygulama URL'si
Erişim paneli https://myapps.microsoft.com/contoso.com
Web üzerinde Outlook https://outlook.office365.com/contoso.com
Office 365 portalları https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Buna ek olarak, bir uygulama kiracı olarak ayarlanmış Microsoft Entra uç noktalarına oturum açma istekleri gönderirse kullanıcılar sessiz oturum açma deneyimine sahip olur ; diğer bir deyişle, https://login.microsoftonline.com/contoso.com/<..> veya https://login.microsoftonline.com/<tenant_ID>/<..> - Microsoft Entra ortak uç noktası yerine . https://login.microsoftonline.com/common/<..>. Tabloda, bu tür oturum açma isteklerinde bulunan uygulamaların listesi bulunur.

Uygulama adı Kullanılacak uygulama URL'si
SharePoint Online https://contoso.sharepoint.com
Microsoft Entra yönetim merkezi https://portal.azure.com/contoso.com

Yukarıdaki tablolarda, kiracınız için doğru uygulama URL'lerine ulaşmak için "contoso.com" yerine etki alanı adınızı yazın.

Sessiz oturum açma deneyimimizi kullanan başka uygulamalar istiyorsanız geri bildirim bölümünden bize bildirin.

Sorunsuz SSO, 'userPrincipalName' yerine kullanıcı adı olarak 'Alternatif Kimlik'i destekliyor mu?

Evet. Sorunsuz SSO, burada gösterildiği gibi Microsoft Entra Bağlan yapılandırıldığında kullanıcı adı olarak desteklerAlternate ID. Tüm Microsoft 365 uygulamaları desteklemez Alternate ID. Destek bildirimi için ilgili uygulamanın belgelerine bakın.

Microsoft Entra join tarafından sağlanan çoklu oturum açma deneyimi ile Sorunsuz SSO arasındaki fark nedir?

Microsoft Entra join , cihazlarının Microsoft Entra Id ile kayıtlı olması durumunda kullanıcılara SSO sağlar. Bu cihazların mutlaka etki alanına katılmış olması gerekmez. SSO, Kerberos değil birincil yenileme belirteçleri veya PRT'ler kullanılarak sağlanır. En iyi kullanıcı deneyimi Windows 10 cihazlarda sağlanır. SSO, Microsoft Edge tarayıcısında otomatik olarak gerçekleşir. Ayrıca bir tarayıcı eklentisi kullanılarak Chrome’da da çalışır.

Kiracınızda Microsoft Entra join ve Sorunsuz SSO kullanabilirsiniz. Bu iki özellik birbirini tamamlar. Her iki özellik de açıksa, Microsoft Entra join'tan gelen SSO, Sorunsuz SSO'dan önceliklidir.

AD FS kullanmadan Windows 10 dışı cihazları Microsoft Entra ID'ye kaydetmek istiyorum. Bunun yerine Sorunsuz SSO kullanabilir miyim?

Evet, bu senaryonun çalışma alanına katılma istemcisinin 2.1 veya sonraki bir sürümü gerekir.

'AZUREADSSO' bilgisayar hesabının Kerberos şifre çözme anahtarını nasıl devredebilirim?

Şirket içi AD ormanınızda oluşturulan bilgisayar hesabının (Microsoft Entra Kimliğini temsil eder) Kerberos şifre çözme anahtarını AZUREADSSO sık sık almak önemlidir.

Önemli

Kerberos şifre çözme anahtarını en az 30 günde bir değiştirmenizi önemle tavsiye ederiz.

Microsoft Entra Bağlan çalıştırdığınız şirket içi sunucuda şu adımları izleyin:

Not

Adımlar için etki alanı yöneticisi ve genel yönetici/karma kimlik yöneticisi kimlik bilgileri gerekir. Etki alanı yöneticisi değilseniz ve size etki alanı yöneticisi tarafından izinler atandıysa, Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Adım 1. Sorunsuz SSO’nun etkinleştirildiği AD ormanlarının listesini alın

  1. İlk olarak, Azure AD PowerShell’i indirip yükleyin.
  2. $env:programfiles"\Microsoft Azure Active Directory Connect" klasörüne gidin.
  3. Bu komutu kullanarak Sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.
  4. PowerShell’i Yönetici olarak çalıştırın. PowerShell’de New-AzureADSSOAuthenticationContext çağrısı yapın. Bu komut, kiracınızın Genel Yönetici istrator veya Karma Kimlik Yönetici istrator kimlik bilgilerini girmeniz için size bir açılır pencere vermelidir.
  5. Get-AzureADSSOStatus | ConvertFrom-Json çağrısı yapın. Bu komut, bu özelliğin etkinleştirildiği AD ormanlarının listesini sağlar (“Etki Alanları” listesine bakın).

Adım 2. Ayarlandığı her AD ormanındaki Kerberos şifre çözme anahtarını güncelleştirin

  1. $creds = Get-Credential çağrısı yapın. İstendiğinde, hedeflenen AD ormanı için Etki Alanı Yöneticisi kimlik bilgilerini girin.

Not

Etki alanı yöneticisi kimlik bilgileri kullanıcı adı SAM hesabı adı biçiminde girilmelidir (contoso\johndoe veya contoso.com\johndoe). DNS kullanarak Etki Alanı Yöneticisinin Etki Alanı Denetleyicisini bulmak için kullanıcı adının etki alanı bölümünü kullanıyoruz.

Not

Kullanılan etki alanı yöneticisi hesabı, Korumalı Kullanıcılar grubunun bir üyesi olmamalıdır. Aksi takdirde işlem başarısız olur.

  1. Update-AzureADSSOForest -OnPremCredentials $creds çağrısı yapın. Bu komut, bu belirli AD ormanındaki AZUREADSSO bilgisayar hesabı için Kerberos şifre çözme anahtarını güncelleştirir ve Microsoft Entra Kimlik'te güncelleştirir.

  2. Özelliği ayarladığınız her AD ormanı için önceki adımları tekrarlayın.

Not

Microsoft Entra Bağlan dışında bir ormanı güncelleştiriyorsanız, genel katalog sunucusuna (TCP 3268 ve TCP 3269) bağlantının kullanılabilir olduğundan emin olun.

Önemli

Bunun, Hazırlama modunda Microsoft Entra Bağlan çalıştıran sunucularda yapılması gerekmez. Komutu orman başına birden çok kez çalıştırmadığınızdan Update-AzureADSSOForest emin olun. Aksi takdirde özellik, kullanıcılarınızın Kerberos anahtarlarının süresi dolana ve şirket içi Active Directory’niz tarafından yeniden yayınlanana kadar çalışmayı durdurur.

Sorunsuz SSO'yi nasıl devre dışı bırakabilirim?

1. Adım. Kiracınızda özelliği devre dışı bırakma

Seçenek A: Microsoft Entra Connect'i kullanarak devre dışı bırakma

  1. Microsoft Entra Bağlan çalıştırın, Kullanıcı oturum açma sayfasını değiştir'i seçin ve İleri'ye tıklayın.
  2. Çoklu oturum açmayı etkinleştir seçeneğinin işaretini kaldırın. İşleminize sihirbazdan devam edin.

Sihirbazı tamamladıktan sonra kiracınızda Sorunsuz SSO devre dışı bırakılır. Ancak ekranda aşağıdaki gibi okunan bir ileti görürsünüz:

"Çoklu oturum açma artık devre dışı, ancak temizlemeyi tamamlamak için el ile gerçekleştirmeniz gereken başka adımlar da var. Daha fazla bilgi edinin"

Temizleme işlemini tamamlamak için Microsoft Entra Bağlan çalıştırdığınız şirket içi sunucuda 2. ve 3. adımları izleyin.

Seçenek B: PowerShell kullanarak devre dışı bırakma

Microsoft Entra Bağlan çalıştırdığınız şirket içi sunucuda aşağıdaki adımları çalıştırın:

  1. İlk olarak, Azure AD PowerShell’i indirip yükleyin.
  2. $env:ProgramFiles"\Microsoft Azure Active Directory Connect" klasörüne gidin.
  3. Bu komutu kullanarak Sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.
  4. PowerShell’i Yönetici olarak çalıştırın. PowerShell’de New-AzureADSSOAuthenticationContext çağrısı yapın. Bu komut, kiracınızın Genel Yönetici istrator veya Karma Kimlik Yönetici istrator kimlik bilgilerini girmeniz için size bir açılır pencere vermelidir.
  5. Enable-AzureADSSO -Enable $false çağrısı yapın.

Bu noktada Sorunsuz SSO devre dışı bırakılmıştır ancak Sorunsuz SSO'nun yeniden etkinleştirilmesini isterseniz etki alanları yapılandırılmış olarak kalır. Etki alanlarını Sorunsuz SSO yapılandırmasından tamamen kaldırmak isterseniz, yukarıdaki 5. adımı tamamladıktan sonra aşağıdaki cmdlet'i çağırın: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Önemli

PowerShell kullanarak Sorunsuz SSO'nun devre dışı bırakılması, Microsoft Entra Bağlan'nin durumunu değiştirmez. Sorunsuz SSO, Kullanıcı oturumunu değiştir sayfasında etkin olarak görünür.

Adım 2. Sorunsuz SSO’nun etkinleştirildiği AD ormanlarının listesini alın

Microsoft Entra Bağlan kullanarak Sorunsuz SSO'yı devre dışı bırakmışsanız 1 ile 4 arasında görevleri izleyin. Bunun yerine PowerShell kullanarak Sorunsuz SSO'yı devre dışı bırakmışsanız, 5. göreve atlayın.

  1. İlk olarak, Azure AD PowerShell’i indirip yükleyin.
  2. $env:ProgramFiles"\Microsoft Azure Active Directory Connect" klasörüne gidin.
  3. Bu komutu kullanarak Sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.
  4. PowerShell’i Yönetici olarak çalıştırın. PowerShell’de New-AzureADSSOAuthenticationContext çağrısı yapın. Bu komut, kiracınızın Genel Yönetici istrator veya Karma Kimlik Yönetici istrator kimlik bilgilerini girmeniz için size bir açılır pencere vermelidir.
  5. Get-AzureADSSOStatus | ConvertFrom-Json çağrısı yapın. Bu komut size bu özelliğin etkinleştirildiği AD ormanlarının listesini sağlar (“Etki Alanları” listesine bakın).

3. Adım Listede gördüğünüz her AD ormanından AZUREADSSO bilgisayar hesabını el ile silin.

Sonraki adımlar