Kesintisiz çoklu oturum açma Azure Active Directory: Hızlı başlangıçAzure Active Directory Seamless Single Sign-On: Quick start

Kesintisiz çoklu oturum açma dağıtınDeploy Seamless Single Sign-On

Azure Active Directory (Azure AD) sorunsuz çoklu oturum açma (sorunsuz SSO), şirket ağınıza bağlı olan kurumsal masaüstlerinde olduklarında kullanıcılar tarafından otomatik olarak oturum açar.Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO) automatically signs in users when they are on their corporate desktops that are connected to your corporate network. Sorunsuz SSO, kullanıcılarınıza ek şirket içi bileşenlere gerek duymadan bulut tabanlı uygulamalarınıza kolay erişim sağlar.Seamless SSO provides your users with easy access to your cloud-based applications without needing any additional on-premises components.

Sorunsuz SSO dağıtmak için aşağıdaki adımları izleyin.To deploy Seamless SSO, follow these steps.

1. adım: Önkoşulları denetlemeStep 1: Check the prerequisites

Aşağıdaki önkoşulların yerinde olduğundan emin olun:Ensure that the following prerequisites are in place:

  • Azure AD Connect sunucunuzu ayarlayın: Geçiş kimlik doğrulamasını oturum açma yönteminiz olarak kullanırsanız, ek önkoşul denetimi gerekli değildir.Set up your Azure AD Connect server: If you use Pass-through Authentication as your sign-in method, no additional prerequisite check is required. Oturum açma yönteminiz olarak Parola karması eşitlemesi kullanıyorsanız ve Azure AD Connect Ile Azure AD arasında bir güvenlik duvarı varsa, aşağıdakileri doğrulayın:If you use password hash synchronization as your sign-in method, and if there is a firewall between Azure AD Connect and Azure AD, ensure that:

    • Azure AD Connect sürüm 1.1.644.0 veya üstünü kullanıyorsunuz.You use version 1.1.644.0 or later of Azure AD Connect.

    • Güvenlik duvarınız veya proxy DNS beyaz listeye izin veriyorsa, bağlantı noktası 443 üzerinden *. msappproxy.net URL 'lerine yönelik bağlantıları beyaz listeye ekleyin.If your firewall or proxy allows DNS whitelisting, whitelist the connections to the *.msappproxy.net URLs over port 443. Aksi takdirde, haftalık olarak güncellenen Azure veri MERKEZI IP aralıklarınaerişime izin verin.If not, allow access to the Azure datacenter IP ranges, which are updated weekly. Bu önkoşul yalnızca özelliği etkinleştirdiğinizde geçerlidir.This prerequisite is applicable only when you enable the feature. Bu, gerçek Kullanıcı oturum açma işlemleri için gerekli değildir.It is not required for actual user sign-ins.

      Not

      Azure AD Connect sürümleri 1.1.557.0, 1.1.558.0, 1.1.561.0 ve 1.1.614.0, Parola karması eşitlemeyle ilgili bir sorun var.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Parola karması eşitlemesini doğrudan kimlik doğrulamasıyla birlikte kullanmayı düşünmüyorsanız, daha fazla bilgi edinmek için Azure AD Connect sürüm notlarını okuyun.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes to learn more.

  • Desteklenen bir Azure AD Connect topolojisi kullanın: Buradaaçıklanan Azure AD Connect desteklenen topolojilerden birini kullandığınızdan emin olun.Use a supported Azure AD Connect topology: Ensure that you are using one of Azure AD Connect's supported topologies described here.

    Not

    Sorunsuz SSO, aralarında AD güvenleri olup olmadığı gibi birden çok AD ormanını destekler.Seamless SSO supports multiple AD forests, whether there are AD trusts between them or not.

  • Etki alanı yöneticisi kimlik bilgilerini ayarlama: Her bir Active Directory ormanı için etki alanı yöneticisi kimlik bilgilerine sahip olmanız gerekir:Set up domain administrator credentials: You need to have domain administrator credentials for each Active Directory forest that:

    • Azure AD Connect aracılığıyla Azure AD 'ye eşitliyorsanız.You synchronize to Azure AD through Azure AD Connect.
    • Sorunsuz SSO için etkinleştirmek istediğiniz kullanıcıları içerir.Contains users you want to enable for Seamless SSO.
  • Modern kimlik doğrulamayı etkinleştir: Bu özelliğin çalışması için kiracınızda modern kimlik doğrulamayı etkinleştirmeniz gerekir.Enable modern authentication: You need to enable modern authentication on your tenant for this feature to work.

  • Office 365 istemcilerinin en son sürümlerini kullanın: Office 365 istemcileri (Outlook, Word, Excel ve diğerleri) ile sessiz oturum açma deneyimi almak için, kullanıcılarınızın 16.0.8730. xxxx veya üzeri sürümlerini kullanması gerekir.Use the latest versions of Office 365 clients: To get a silent sign-on experience with Office 365 clients (Outlook, Word, Excel, and others), your users need to use versions 16.0.8730.xxxx or above.

2. adım: Özelliği etkinleştirinStep 2: Enable the feature

Azure AD Connectaracılığıyla sorunsuz SSO 'yu etkinleştirin.Enable Seamless SSO through Azure AD Connect.

Not

Gereksinimlerinizi karşılamıyorsa, PowerShell kullanarak sorunsuz SSO 'yu de etkinleştirebilirsiniz Azure AD Connect.You can also enable Seamless SSO using PowerShell if Azure AD Connect doesn't meet your requirements. Active Directory ormanı başına birden fazla etki alanınız varsa ve için sorunsuz SSO 'yu etkinleştirmek istediğiniz etki alanı hakkında daha fazla bilgi almak istiyorsanız bu seçeneği kullanın.Use this option if you have more than one domain per Active Directory forest, and you want to be more targeted about the domain you want to enable Seamless SSO for.

Azure AD Connect yeni bir yüklemesini gerçekleştiriyorsanız, özel yükleme yolunuseçin.If you're doing a fresh installation of Azure AD Connect, choose the custom installation path. Kullanıcı oturum açma sayfasında Çoklu oturum açmayı etkinleştir seçeneğini belirleyin.At the User sign-in page, select the Enable single sign on option.

Not

Seçenek yalnızca oturum açma yöntemi Parola karması eşitleme veya geçişli kimlik doğrulamaolduğunda seçilebilir.The option will be available for selection only if the Sign On method is Password Hash Synchronization or Pass-through Authentication.

Azure AD Connect: Kullanıcı oturumu açma

Zaten bir Azure AD Connect kurulumunuz varsa, Azure AD Connect Kullanıcı oturum açma sayfasını Değiştir ' i seçin ve ardından İleri' yi seçin.If you already have an installation of Azure AD Connect, select the Change user sign-in page in Azure AD Connect, and then select Next. Azure AD Connect sürümleri 1.1.880.0 veya üzerini kullanıyorsanız, Çoklu oturum açmayı etkinleştir seçeneği varsayılan olarak seçilir.If you are using Azure AD Connect versions 1.1.880.0 or above, the Enable single sign on option will be selected by default. Azure AD Connect eski sürümlerini kullanıyorsanız Çoklu oturum açmayı etkinleştir seçeneğini belirleyin.If you are using older versions of Azure AD Connect, select the Enable single sign on option.

Azure AD Connect: Kullanıcı oturumunu değiştirme

Çoklu oturum açmayı etkinleştir sayfasına ulaşana kadar sihirbaza devam edin.Continue through the wizard until you get to the Enable single sign on page. Her bir Active Directory ormanı için etki alanı yöneticisi kimlik bilgilerini sağlayın:Provide domain administrator credentials for each Active Directory forest that:

  • Azure AD Connect aracılığıyla Azure AD 'ye eşitliyorsanız.You synchronize to Azure AD through Azure AD Connect.
  • Sorunsuz SSO için etkinleştirmek istediğiniz kullanıcıları içerir.Contains users you want to enable for Seamless SSO.

Sihirbazın tamamlanmasından sonra, kiracınızda sorunsuz SSO etkinleştirilmiştir.After completion of the wizard, Seamless SSO is enabled on your tenant.

Not

Etki alanı yöneticisi kimlik bilgileri Azure AD Connect veya Azure AD 'de depolanmaz.The domain administrator credentials are not stored in Azure AD Connect or in Azure AD. Yalnızca özelliği etkinleştirmek için kullanılır.They're used only to enable the feature.

Sorunsuz SSO 'yu doğru şekilde etkinleştirdiğinizi doğrulamak için aşağıdaki yönergeleri izleyin:Follow these instructions to verify that you have enabled Seamless SSO correctly:

  1. Azure Active Directory Yönetim merkezinde kiracınızın genel yönetici kimlik bilgileriyle oturum açın.Sign in to the Azure Active Directory administrative center with the global administrator credentials for your tenant.
  2. Sol bölmedeki Azure Active Directory seçin.Select Azure Active Directory in the left pane.
  3. Azure AD Connectseçin.Select Azure AD Connect.
  4. Sorunsuz çoklu oturum açma özelliğinin etkinolarak göründüğünü doğrulayın.Verify that the Seamless single sign-on feature appears as Enabled.

Azure portal: Azure AD Connect bölmesi

Önemli

Sorunsuz SSO, her ad ormanında Şirket AZUREADSSOACC içi Active Directory (ad) adında bir bilgisayar hesabı oluşturur.Seamless SSO creates a computer account named AZUREADSSOACC in your on-premises Active Directory (AD) in each AD forest. Güvenlik AZUREADSSOACC nedenleriyle bilgisayar hesabının güçlü korunması gerekir.The AZUREADSSOACC computer account needs to be strongly protected for security reasons. Bilgisayar hesabını yalnızca etki alanı yöneticileri yönetebilmelidir.Only Domain Admins should be able to manage the computer account. Bilgisayar hesabında Kerberos temsilcisinin devre dışı bırakıldığından ve Active Directory ' deki başka hiçbir hesabın AZUREADSSOACC bilgisayar hesabında temsilciliizin izinlerine sahip olmadığından emin olun.Ensure that Kerberos delegation on the computer account is disabled, and that no other account in Active Directory has delegation permissions on the AZUREADSSOACC computer account. Bilgisayar hesabını, yanlışlıkla silinmelerden güvenli oldukları ve yalnızca etki alanı yöneticilerinin erişimi olan bir kuruluş biriminde (OU) depolayın.Store the computer account in an Organization Unit (OU) where they are safe from accidental deletions and where only Domain Admins have access.

Not

Şirket içi ortamınızda, karma ve kimlik bilgisi hırsızlığı azaltma mimarilerini kullanıyorsanız, AZUREADSSOACC bilgisayar hesabının karantina kapsayıcısında bitmediğinden emin olmak için uygun değişiklikleri yapın.If you are using Pass-the-Hash and Credential Theft Mitigation architectures in your on-premises environment, make appropriate changes to ensure that the AZUREADSSOACC computer account doesn't end up in the Quarantine container.

3. adım: Özelliği kullanıma alStep 3: Roll out the feature

Aşağıda belirtilen yönergeleri kullanarak kullanıcılarınıza sorunsuz SSO 'yu yavaş bir şekilde dağıtabilirsiniz.You can gradually roll out Seamless SSO to your users using the instructions provided below. Aşağıdaki Azure AD URL 'sini, Active Directory grup ilkesi kullanarak, tüm kullanıcıların Intranet bölgesi ayarlarına ekleyerek başlayabilirsiniz:You start by adding the following Azure AD URL to all or selected users' Intranet zone settings by using Group Policy in Active Directory:

  • https://autologon.microsoftazuread-sso.com

Ayrıca, grup ilkesi aracılığıyla betik aracılığıyla durum çubuğuna güncelleştirmelere Izin ver adlı bir Intranet bölgesi ilkesi ayarını etkinleştirmeniz gerekir.In addition, you need to enable an Intranet zone policy setting called Allow updates to status bar via script through Group Policy.

Not

Aşağıdaki yönergeler yalnızca Windows 'da Internet Explorer ve Google Chrome için geçerlidir (Internet Explorer ile bir güvenilen site URL 'si kümesini paylaşıyorsa).The following instructions work only for Internet Explorer and Google Chrome on Windows (if it shares a set of trusted site URLs with Internet Explorer). MacOS 'ta Mozilla Firefox ve Google Chrome ayarlama yönergeleri için sonraki bölümü okuyun.Read the next section for instructions on how to set up Mozilla Firefox and Google Chrome on macOS.

Kullanıcıların Intranet bölgesi ayarlarını neden değiştirmeniz gerekiyor?Why do you need to modify users' Intranet zone settings?

Varsayılan olarak tarayıcı, doğru bölgeyi Internet veya Intranet ' i belirli bir URL 'den otomatik olarak hesaplar.By default, the browser automatically calculates the correct zone, either Internet or Intranet, from a specific URL. Örneğin, http://contoso/ Intranet bölgesine eşlenir, öte yandan http://intranet.contoso.com/ Internet bölgesiyle eşlenir (URL bir nokta içereceğinden).For example, http://contoso/ maps to the Intranet zone, whereas http://intranet.contoso.com/ maps to the Internet zone (because the URL contains a period). URL 'YI tarayıcının Intranet bölgesine açıkça eklemediğiniz takdirde, tarayıcılar Azure AD URL 'SI gibi bir bulut uç noktasına Kerberos bileti göndermez.Browsers will not send Kerberos tickets to a cloud endpoint, like the Azure AD URL, unless you explicitly add the URL to the browser's Intranet zone.

Kullanıcıların Intranet bölgesi ayarlarını değiştirmek için iki yol vardır:There are two ways to modify users' Intranet zone settings:

SeçenekOption Yönetici değerlendirmesiAdmin consideration Kullanıcı deneyimiUser experience
Grup ilkesiGroup policy Yönetici, Intranet bölgesi ayarlarının düzenlemesini kilitlerAdmin locks down editing of Intranet zone settings Kullanıcılar kendi ayarlarını değiştiremezlerUsers cannot modify their own settings
Grup İlkesi tercihiGroup policy preference Yönetici, Intranet bölgesi ayarlarında düzenlenmesine izin veriyorAdmin allows editing on Intranet zone settings Kullanıcılar kendi ayarlarını değiştirebilirUsers can modify their own settings

"Grup İlkesi" seçeneği-ayrıntılı adımlar"Group policy" option - Detailed steps

  1. Grup İlkesi Yönetimi Düzenleyicisi aracını açın.Open the Group Policy Management Editor tool.

  2. Kullanıcılarınıza veya tümüne uygulanan Grup ilkesini düzenleyin.Edit the group policy that's applied to some or all your users. Bu örnek varsayılan etki alanı ilkesikullanır.This example uses Default Domain Policy.

  3. > Windows bileşenleri > Internet Explorer Internet Yönetim Şablonları Kullanıcı yapılandırma ilkesine > gidin > > Denetim Masası > Güvenlik sayfası.Browse to User Configuration > Policy > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Ardından siteden bölgeye atama listesi' ni seçin.Then select Site to Zone Assignment List. Çoklu oturum açmaSingle sign-on

  4. İlkeyi etkinleştirin ve iletişim kutusuna aşağıdaki değerleri girin:Enable the policy, and then enter the following values in the dialog box:

    • Değer adı: Kerberos biletleri iletileceği Azure AD URL 'SI.Value name: The Azure AD URL where the Kerberos tickets are forwarded.

    • Değer (Veri): 1 , Intranet bölgesini gösterir.Value (Data): 1 indicates the Intranet zone.

      Sonuç şöyle görünür:The result looks like this:

      Değer adı:https://autologon.microsoftazuread-sso.comValue name: https://autologon.microsoftazuread-sso.com

      Değer (veri): 1.Value (Data): 1

    Not

    Bazı kullanıcıların sorunsuz SSO 'yu kullanmasını engellemek istiyorsanız (örneğin, bu kullanıcılar paylaşılan kiler 'de oturum açtığında), önceki değerleri 4olarak ayarlayın.If you want to disallow some users from using Seamless SSO (for instance, if these users sign in on shared kiosks), set the preceding values to 4. Bu eylem, Azure AD URL 'sini kısıtlanmış bölgeye ekler ve her seferinde sorunsuz SSO başarısız olur.This action adds the Azure AD URL to the Restricted zone, and fails Seamless SSO all the time.

  5. Tamam' ı ve ardından yeniden Tamam ' ı seçin.Select OK, and then select OK again.

    Çoklu oturum açma

  6. > Windows bileşenleri > Internet Explorer Internet Yönetim Şablonları Kullanıcı yapılandırma ilkesine > gidin > > Denetim Masası > Güvenlik sayfası > Intranet bölgesi.Browse to User Configuration > Policy > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone. Ardından betik aracılığıyla durum çubuğunda güncelleştirmelere Izin ver' i seçin.Then select Allow updates to status bar via script.

    Çoklu oturum açma

  7. İlke ayarını etkinleştirin ve ardından Tamam' ı seçin.Enable the policy setting, and then select OK.

    Çoklu oturum açma

"Grup İlkesi tercihi" seçeneği-ayrıntılı adımlar"Group policy preference" option - Detailed steps

  1. Grup İlkesi Yönetimi Düzenleyicisi aracını açın.Open the Group Policy Management Editor tool.

  2. Kullanıcılarınıza veya tümüne uygulanan Grup ilkesini düzenleyin.Edit the group policy that's applied to some or all your users. Bu örnek varsayılan etki alanı ilkesikullanır.This example uses Default Domain Policy.

  3. Kullanıcı yapılandırma > tercihleri Windows ayarları kayıt defteriyeni kayıt defteri öğesine gidin. > > > > Browse to User Configuration > Preferences > Windows Settings > Registry > New > Registry item.

    Çoklu oturum açma

  4. Uygun alanlara aşağıdaki değerleri girin ve Tamam' a tıklayın.Enter the following values in appropriate fields and click OK.

    • Anahtar yolu: Software\microsoft\windows\currentversion\ınternet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologonKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Değer adı: https.Value name: https.

    • Değer türü: REG_DWORD.Value type: REG_DWORD.

    • Değer verisi: 00000001.Value data: 00000001.

      Çoklu oturum açma

      Çoklu oturum açma

Tarayıcı konularıBrowser considerations

Mozilla Firefox (tüm platformlar)Mozilla Firefox (all platforms)

Mozilla Firefox, Kerberos kimlik doğrulamasını otomatik olarak kullanmaz.Mozilla Firefox doesn't automatically use Kerberos authentication. Her kullanıcının aşağıdaki adımları kullanarak, Azure AD URL 'sini Firefox ayarlarına el ile eklemesi gerekir:Each user must manually add the Azure AD URL to their Firefox settings by using the following steps:

  1. Firefox 'u çalıştırın ve about:config adres çubuğuna girin.Run Firefox and enter about:config in the address bar. Gördüğünüz tüm bildirimleri kapatın.Dismiss any notifications that you see.
  2. Network. Negotiate-Auth. Trusted-uris tercihini arayın.Search for the network.negotiate-auth.trusted-uris preference. Bu tercih edilecek Kerberos kimlik doğrulaması için Firefox 'un güvenilen siteleri listelenir.This preference lists Firefox's trusted sites for Kerberos authentication.
  3. Sağ tıklayın ve Değiştir' i seçin.Right-click and select Modify.
  4. Alana https://autologon.microsoftazuread-sso.com girin.Enter https://autologon.microsoftazuread-sso.com in the field.
  5. Tamam ' ı seçin ve ardından tarayıcıyı yeniden açın.Select OK and then reopen the browser.

Safari (macOS)Safari (macOS)

MacOS çalıştıran makinenin AD 'ye katılmış olduğundan emin olun.Ensure that the machine running the macOS is joined to AD. MacOS cihazınızı AD ile birleştirme yönergeleri Bu makalenin kapsamı dışındadır.Instructions for AD-joining your macOS device is outside the scope of this article.

Google Chrome (tüm platformlar)Google Chrome (all platforms)

Ortamınızdaki authnegotiatedelegatewhitelist veya authserverwhitelist ilke ayarlarını geçersiz kıldıysanız, Azure AD 'nin URL 'sini (https://autologon.microsoftazuread-sso.com) da eklemediğinizden emin olun.If you have overridden the AuthNegotiateDelegateWhitelist or the AuthServerWhitelist policy settings in your environment, ensure that you add Azure AD's URL (https://autologon.microsoftazuread-sso.com) to them as well.

Google Chrome (macOS ve diğer Windows dışı platformlar)Google Chrome (macOS and other non-Windows platforms)

Mac OS ve diğer Windows dışı platformlar için Google Chrome için, tümleşik kimlik doğrulaması için Azure AD URL 'sini beyaz listeye alma hakkında bilgi için, Kmıum proje Ilkesi listesine bakın.For Google Chrome on Mac OS and other non-Windows platforms, refer to The Chromium Project Policy List for information on how to whitelist the Azure AD URL for integrated authentication.

Mac kullanıcıları için Azure AD URL 'sini Firefox ve Google Chrome 'a aktarmak için üçüncü taraf Active Directory grup ilkesi uzantılarının kullanımı Bu makalenin kapsamı dışındadır.The use of third-party Active Directory Group Policy extensions to roll out the Azure AD URL to Firefox and Google Chrome on Mac users is outside the scope of this article.

Bilinen tarayıcı sınırlamalarıKnown browser limitations

Sorunsuz SSO, Firefox ve Microsoft Edge tarayıcılarında özel göz atma modunda çalışmaz.Seamless SSO doesn't work in private browsing mode on Firefox and Microsoft Edge browsers. Tarayıcı Gelişmiş korumalı modda çalışıyorsa Internet Explorer 'da da çalışmaz.It also doesn't work on Internet Explorer if the browser is running in Enhanced Protected mode.

4. Adım: Özelliği test etmeStep 4: Test the feature

Belirli bir kullanıcı için özelliği test etmek için aşağıdaki koşulların tümünün yerinde olduğundan emin olun:To test the feature for a specific user, ensure that all the following conditions are in place:

  • Kullanıcı bir kurumsal cihazda oturum açar.The user signs in on a corporate device.
  • Cihaz Active Directory etki alanına katıldı.The device is joined to your Active Directory domain. Cihazın Azure AD 'ye katılmışolması gerekmez.The device doesn't need to be Azure AD Joined.
  • Cihazın, şirket kablolu veya kablosuz ağ ya da VPN bağlantısı gibi bir uzaktan erişim bağlantısı aracılığıyla etki alanı denetleyicinize (DC) doğrudan bağlantısı vardır.The device has a direct connection to your domain controller (DC), either on the corporate wired or wireless network or via a remote access connection, such as a VPN connection.
  • Bu kullanıcıya grup ilkesi aracılığıyla özelliği kullanıma sunulaştınız.You have rolled out the feature to this user through Group Policy.

Kullanıcının yalnızca Kullanıcı adını girdiği ancak parolayı değil, senaryoyu test etmek için:To test the scenario where the user enters only the username, but not the password:

  • https://myapps.microsoft.com/ Yeni bir özel tarayıcı oturumunda oturum açın.Sign in to https://myapps.microsoft.com/ in a new private browser session.

Kullanıcının Kullanıcı adı veya parola girmesi gereken senaryoyu test etmek için şu adımlardan birini kullanın:To test the scenario where the user doesn't have to enter the username or the password, use one of these steps:

  • https://myapps.microsoft.com/contoso.onmicrosoft.com Yeni bir özel tarayıcı oturumunda oturum açın.Sign in to https://myapps.microsoft.com/contoso.onmicrosoft.com in a new private browser session. Contoso değerini kiracınızın adıyla değiştirin.Replace contoso with your tenant's name.
  • https://myapps.microsoft.com/contoso.com Yeni bir özel tarayıcı oturumunda oturum açın.Sign in to https://myapps.microsoft.com/contoso.com in a new private browser session. Contoso.com değerini, kiracınızda doğrulanmış bir etki alanıyla (Federasyon etki alanı değil) değiştirin.Replace contoso.com with a verified domain (not a federated domain) on your tenant.

5. Adım: Anahtarları atlaStep 5: Roll over keys

2. adımda, Azure AD Connect sorunsuz SSO 'yu etkinleştirdiğiniz tüm Active Directory ormanlarda bilgisayar hesapları (Azure AD 'yi temsil eder) oluşturur.In Step 2, Azure AD Connect creates computer accounts (representing Azure AD) in all the Active Directory forests on which you have enabled Seamless SSO. Daha fazla bilgi edinmek için bkz. Azure Active Directory kesintisiz çoklu oturum açma: Teknik kapsamlıbakış.To learn more, see Azure Active Directory Seamless Single Sign-On: Technical deep dive.

Önemli

Bir bilgisayar hesabındaki Kerberos şifre çözme anahtarı, sızmış ise, AD ormanındaki herhangi bir kullanıcı için Kerberos biletleri oluşturmak üzere kullanılabilir.The Kerberos decryption key on a computer account, if leaked, can be used to generate Kerberos tickets for any user in its AD forest. Kötü amaçlı aktörler daha sonra güvenliği aşılmış kullanıcılar için Azure AD oturum açma işlemlerini taklit edebilir.Malicious actors can then impersonate Azure AD sign-ins for compromised users. Bu Kerberos şifre çözme anahtarlarını her 30 günde bir en az bir kez düzenli olarak almanızı önemle tavsiye ederiz.We highly recommend that you periodically roll over these Kerberos decryption keys - at least once every 30 days.

Anahtarların nasıl alınacağı hakkında yönergeler için bkz . Azure Active Directory kesintisiz çoklu oturum açma: Sık sorulan sorular.For instructions on how to roll over keys, see Azure Active Directory Seamless Single Sign-On: Frequently asked questions. Anahtarları otomatik olarak almak için bir özellik üzerinde çalışıyoruz.We are working on a capability to introduce automated roll over of keys.

Önemli

Özelliği etkinleştirdikten hemen sonra bu adımı uygulamanız gerekmez.You don't need to do this step immediately after you have enabled the feature. Kerberos şifre çözme anahtarlarını en az 30 günde bir alın.Roll over the Kerberos decryption keys at least once every 30 days.

Sonraki adımlarNext steps

  • Teknik kapsamlıbakış: Sorunsuz çoklu oturum açma özelliğinin nasıl çalıştığını anlayın.Technical deep dive: Understand how the Seamless Single Sign-On feature works.
  • Sık sorulan sorular: Sorunsuz çoklu oturum açma hakkında sık sorulan soruların yanıtlarını alın.Frequently asked questions: Get answers to frequently asked questions about Seamless Single Sign-On.
  • Sorun giderme: Sorunsuz çoklu oturum açma özelliğiyle yaygın sorunları çözmeyi öğrenin.Troubleshoot: Learn how to resolve common problems with the Seamless Single Sign-On feature.
  • UserVoice: Yeni özellik isteklerini dosya olarak yüklemek için Azure Active Directory forumunu kullanın.UserVoice: Use the Azure Active Directory Forum to file new feature requests.