Azure Active Directory sorunsuz çoklu oturum açma: Hızlı başlangıçAzure Active Directory Seamless Single Sign-On: Quick start

Sorunsuz çoklu oturum açma dağıtmaDeploy Seamless Single Sign-On

Azure Active Directory (Azure AD) sorunsuz çoklu oturum açma (sorunsuz çoklu oturum açma) şirket ağınıza bağlı olan kurumsal masaüstü üzerinde olduğunda kullanıcıların otomatik olarak imzalar.Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO) automatically signs in users when they are on their corporate desktops that are connected to your corporate network. Sorunsuz çoklu oturum açma, ek şirket içi bileşenleri gerek kalmadan kullanıcılarınız ile bulut tabanlı uygulamalarınızı kolayca erişmenizi sağlar.Seamless SSO provides your users with easy access to your cloud-based applications without needing any additional on-premises components.

Sorunsuz çoklu oturum açma dağıtmak için aşağıdaki adımları izleyin.To deploy Seamless SSO, follow these steps.

1. adım: Önkoşulları denetlemeStep 1: Check the prerequisites

Aşağıdaki önkoşulların karşılandığından emin olun:Ensure that the following prerequisites are in place:

  • Azure AD Connect sunucunuzu kurarken: Kullanırsanız geçişli kimlik doğrulaması hiçbir ek bir önkoşul denetimi, oturum açma yöntemi gereklidir.Set up your Azure AD Connect server: If you use Pass-through Authentication as your sign-in method, no additional prerequisite check is required. Kullanırsanız parola karması eşitleme , oturum açma yöntemi olarak Azure AD Connect ve Azure AD arasında bir güvenlik duvarı varsa, emin olun:If you use password hash synchronization as your sign-in method, and if there is a firewall between Azure AD Connect and Azure AD, ensure that:

    • Sürüm 1.1.644.0 kullanın veya Azure AD Connect sonraki bir sürümü.You use version 1.1.644.0 or later of Azure AD Connect.

    • Güvenlik Duvarı veya proxy bağlantıları için DNS beyaz listeye ekleme, beyaz liste izin veriyorsa *. msappproxy.net URL'leri bağlantı noktası 443 üzerinden.If your firewall or proxy allows DNS whitelisting, whitelist the connections to the *.msappproxy.net URLs over port 443. Aksi takdirde, erişim izni Azure veri merkezi IP aralıkları, hangi haftalık güncelleştirildi.If not, allow access to the Azure datacenter IP ranges, which are updated weekly. Yalnızca özelliğini etkinleştirdiğinizde bu önkoşul geçerlidir.This prerequisite is applicable only when you enable the feature. Gerçek kullanıcı oturum açma işlemleri için gerekli değildir.It is not required for actual user sign-ins.

      Not

      Azure AD Connect sürüm 1.1.557.0, 1.1.558.0 1.1.561.0 ve 1.1.614.0 parola karması eşitleme için ilgili bir sorun var.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Varsa, yoksa okuma geçişli kimlik doğrulaması ile birlikte parola karması eşitleme kullanmayı düşündüğünüz Azure AD Connect sürüm notları daha fazla bilgi için.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes to learn more.

  • Desteklenen bir kullanan Azure AD Connect topolojisi: Azure AD Connect'in desteklenen topolojiler açıklanan birini kullandığınızdan emin olun burada.Use a supported Azure AD Connect topology: Ensure that you are using one of Azure AD Connect's supported topologies described here.

    Not

    Olup olmadığını AD güvenleri arasında veya birden fazla AD ormanına sorunsuz çoklu oturum açmayı destekler.Seamless SSO supports multiple AD forests, whether there are AD trusts between them or not.

  • Etki alanı yönetici kimlik bilgilerini ayarla: Her Active Directory orman için etki alanı yönetici kimlik bilgilerine sahip olmanız gerekir:Set up domain administrator credentials: You need to have domain administrator credentials for each Active Directory forest that:

    • Azure AD Connect aracılığıyla Azure AD'ye eşitleyin.You synchronize to Azure AD through Azure AD Connect.
    • Sorunsuz çoklu oturum açma için etkinleştirmek istediğiniz kullanıcıları içerir.Contains users you want to enable for Seamless SSO.
  • Modern kimlik doğrulamasını etkinleştirme: Etkinleştirmek gereken modern kimlik doğrulaması kiracınıza bu özelliğin çalışması için.Enable modern authentication: You need to enable modern authentication on your tenant for this feature to work.

  • Office 365 istemcileri en son sürümlerini kullanan: Bir sessiz oturum açma deneyimi ile Office 365 istemcileri (Outlook, Word, Excel ve diğerleri) almak için kullanıcılarınızın sürümleri 16.0.8730.xxxx kullanmanız gerekir veya üzeri.Use the latest versions of Office 365 clients: To get a silent sign-on experience with Office 365 clients (Outlook, Word, Excel, and others), your users need to use versions 16.0.8730.xxxx or above.

2. adım: Özellik etkinleştirmeStep 2: Enable the feature

Sorunsuz çoklu oturum açma aracılığıyla etkinleştirme Azure AD Connect.Enable Seamless SSO through Azure AD Connect.

Not

Ayrıca PowerShell kullanarak sorunsuz SSO etkinleştirme Azure AD Connect, gereksinimlerinizi karşılamaması durumunda.You can also enable Seamless SSO using PowerShell if Azure AD Connect doesn't meet your requirements. Active Directory ormanı birden fazla etki alanında olması ve sorunsuz çoklu oturum açma için etkinleştirmek istediğiniz etki alanı hakkında daha fazla hedeflenen istiyorsanız bu seçeneği kullanın.Use this option if you have more than one domain per Active Directory forest, and you want to be more targeted about the domain you want to enable Seamless SSO for.

Yeni Azure AD Connect yüklemesini yapıyorsanız seçin özel bir yükleme yolu.If you're doing a fresh installation of Azure AD Connect, choose the custom installation path. Konumunda kullanıcı oturum açma sayfasında etkinleştirme çoklu oturum açma seçeneği.At the User sign-in page, select the Enable single sign on option.

Not

Oturum açma yöntemi ise yalnızca seçeneğin seçime uygun olması parola karması eşitleme veya geçişli kimlik doğrulaması.The option will be available for selection only if the Sign On method is Password Hash Synchronization or Pass-through Authentication.

Azure AD Connect: Kullanıcı oturumu açma

Azure AD Connect yüklemesi zaten varsa, seçin değiştirme kullanıcı oturum açma sayfa Azure AD Connect ve ardından sonraki.If you already have an installation of Azure AD Connect, select the Change user sign-in page in Azure AD Connect, and then select Next. Azure AD Connect sürüm 1.1.880.0 kullanıyorsanız veya yukarıdaki etkinleştirme çoklu oturum açma seçeneği varsayılan olarak seçilir.If you are using Azure AD Connect versions 1.1.880.0 or above, the Enable single sign on option will be selected by default. Azure AD Connect'in eski sürümleri kullanıyorsanız etkinleştirme çoklu oturum açma seçeneği.If you are using older versions of Azure AD Connect, select the Enable single sign on option.

Azure AD Connect: Kullanıcı oturum açma

Sihirbazda gelene kadar devam etkinleştirme çoklu oturum açma sayfası.Continue through the wizard until you get to the Enable single sign on page. Her Active Directory etki alanı yönetici kimlik bilgileri, orman sağlar:Provide domain administrator credentials for each Active Directory forest that:

  • Azure AD Connect aracılığıyla Azure AD'ye eşitleyin.You synchronize to Azure AD through Azure AD Connect.
  • Sorunsuz çoklu oturum açma için etkinleştirmek istediğiniz kullanıcıları içerir.Contains users you want to enable for Seamless SSO.

Sihirbaz tamamlandıktan sonra kiracınızda sorunsuz çoklu oturum açma etkin.After completion of the wizard, Seamless SSO is enabled on your tenant.

Not

Etki alanı yönetici kimlik bilgileri, Azure AD CONNECT'te veya Azure AD'de depolanmaz.The domain administrator credentials are not stored in Azure AD Connect or in Azure AD. Bunlar yalnızca özelliği etkinleştirmek için kullanılır.They're used only to enable the feature.

Sorunsuz çoklu oturum açma doğru etkinleştirdiğinizden emin doğrulamak için aşağıdaki yönergeleri izleyin:Follow these instructions to verify that you have enabled Seamless SSO correctly:

  1. Oturum Azure Active Directory Yönetim Merkezi'ni kiracınız için genel yönetici kimlik bilgileriyle.Sign in to the Azure Active Directory administrative center with the global administrator credentials for your tenant.
  2. Seçin Azure Active Directory sol bölmesinde.Select Azure Active Directory in the left pane.
  3. Seçin Azure AD Connect.Select Azure AD Connect.
  4. Doğrulayın sorunsuz çoklu oturum açma özellik olarak görünür etkin.Verify that the Seamless single sign-on feature appears as Enabled.

Azure portalı: Azure AD Connect bölmesi

Önemli

Sorunsuz çoklu oturum açma adlı bir bilgisayar hesabı oluşturur AZUREADSSOACC şirket içi AD ormanındaki Active Directory (AD) içinde.Seamless SSO creates a computer account named AZUREADSSOACC in your on-premises Active Directory (AD) in each AD forest. AZUREADSSOACC Bilgisayar hesabını güvenlik nedenleriyle kesin korunması gerekir.The AZUREADSSOACC computer account needs to be strongly protected for security reasons. Yalnızca Domain Admins bilgisayar hesabını yönetmek görebilmeniz gerekir.Only Domain Admins should be able to manage the computer account. Bilgisayar hesabının Kerberos temsilcisi seçmeyi devre dışı bırakılır ve Active Directory içindeki başka bir hesap temsilci izinlerine sahip olduğunu sağlamak AZUREADSSOACC bilgisayar hesabı.Ensure that Kerberos delegation on the computer account is disabled, and that no other account in Active Directory has delegation permissions on the AZUREADSSOACC computer account. Bilgisayar hesabının bir kuruluş birimi (OU) içinde yanlışlıkla silinmekten güvenli olduğu ve yalnızca etki alanı yöneticileri erişimi Store.Store the computer account in an Organization Unit (OU) where they are safe from accidental deletions and where only Domain Admins have access.

Not

Pass--Hash ve kimlik bilgisi Hırsızlıklarını azaltma mimarileri, şirket içi ortamınızda kullanıyorsanız, emin olmak için gerekli değişiklikleri yapmanızı AZUREADSSOACC bilgisayar hesabı bitmiyor karantina kapsayıcısında.If you are using Pass-the-Hash and Credential Theft Mitigation architectures in your on-premises environment, make appropriate changes to ensure that the AZUREADSSOACC computer account doesn't end up in the Quarantine container.

3. adım: Özelliği kullanıma almaStep 3: Roll out the feature

Aşağıda sağlanan yönergeleri kullanarak kullanıcılarınıza kademeli olarak sorunsuz çoklu oturum açma geri alabilirsiniz.You can gradually roll out Seamless SSO to your users using the instructions provided below. Tüm Azure AD aşağıdaki URL'yi ekleyerek başlattığınızda veya Active Directory'de Grup İlkesi'ni kullanarak seçili kullanıcıların Intranet bölgesi ayarları:You start by adding the following Azure AD URL to all or selected users' Intranet zone settings by using Group Policy in Active Directory:

  • https://autologon.microsoftazuread-sso.com

Ayrıca, bir Intranet bölgesi İlkesi adlı ayarını etkinleştirmeniz gerekir izin vermek için durum çubuğu komut dosyası aracılığıyla güncelleştirmeleri Grup İlkesi aracılığıyla.In addition, you need to enable an Intranet zone policy setting called Allow updates to status bar via script through Group Policy.

Not

(Bir dizi güvenilen site URL'leri Internet Explorer ile paylaştığı) aşağıdaki yönergeler yalnızca Internet Explorer ve Google Chrome'un Windows üzerinde çalışır.The following instructions work only for Internet Explorer and Google Chrome on Windows (if it shares a set of trusted site URLs with Internet Explorer). Mozilla Firefox ve Google Chrome Macos'ta ayarlama hakkında yönergeler için sonraki bölüme okuyun.Read the next section for instructions on how to set up Mozilla Firefox and Google Chrome on macOS.

Kullanıcıların Intranet bölge ayarlarını değiştirmek neden ihtiyacınız var?Why do you need to modify users' Intranet zone settings?

Varsayılan olarak, tarayıcı, doğru bölgeyi, Internet veya Intranet, belirli bir URL'den otomatik olarak hesaplar.By default, the browser automatically calculates the correct zone, either Internet or Intranet, from a specific URL. Örneğin, http://contoso/ ise Intranet bölgesine eşler http://intranet.contoso.com/ (URL bir dönemi içerdiğinden) Internet bölgesine eşler.For example, http://contoso/ maps to the Intranet zone, whereas http://intranet.contoso.com/ maps to the Internet zone (because the URL contains a period). Tarayıcının Intranet bölgesine açıkça URL eklemediğiniz sürece tarayıcılar Kerberos biletleri Azure AD URL'yi gibi bir bulut uç noktasına gönderir.Browsers will not send Kerberos tickets to a cloud endpoint, like the Azure AD URL, unless you explicitly add the URL to the browser's Intranet zone.

Kullanıcıların Intranet bölge ayarlarını değiştirmek için iki yolu vardır:There are two ways to modify users' Intranet zone settings:

SeçenekOption Yönetici önemli noktalarAdmin consideration Kullanıcı deneyimiUser experience
Grup İlkesiGroup policy Intranet bölgesi ayarlarını düzenleme aşağı yönetim kilitleriAdmin locks down editing of Intranet zone settings Kullanıcılar kendi ayarlarını değiştiremez.Users cannot modify their own settings
Grup İlkesi tercihiGroup policy preference Intranet bölgesi ayarlarını düzenleme yönetim sağlar.Admin allows editing on Intranet zone settings Kullanıcılar kendi ayarlarını değiştirebilirsiniz.Users can modify their own settings

"Grup İlkesi" seçeneği - ayrıntılı adımlar"Group policy" option - Detailed steps

  1. Grup İlkesi Yönetimi Düzenleyicisi Aracı'nı açın.Open the Group Policy Management Editor tool.

  2. Bazı uygulanan Grup ilkesini düzenleyin veya tüm kullanıcılar.Edit the group policy that's applied to some or all your users. Bu örnekte varsayılan etki alanı ilkesi.This example uses Default Domain Policy.

  3. Gözat Kullanıcı Yapılandırması > ilke > Yönetim Şablonları > Windows Bileşenleri > Internet Explorer > Internet Denetim Masası > güvenlik sayfası.Browse to User Configuration > Policy > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Ardından siteyi bölgeye ataması Listesi'ni.Then select Site to Zone Assignment List. Çoklu oturum açmaSingle sign-on

  4. İlkeyi etkinleştirin ve sonra da iletişim kutusunda aşağıdaki değerleri girin:Enable the policy, and then enter the following values in the dialog box:

    • Değer adı: Azure AD, Kerberos biletleri iletildiği URL'si.Value name: The Azure AD URL where the Kerberos tickets are forwarded.

    • Değer (veriler): 1 Intranet gösterir.Value (Data): 1 indicates the Intranet zone.

      Sonucu şöyle görünür:The result looks like this:

      Değer adı: https://autologon.microsoftazuread-sso.comValue name: https://autologon.microsoftazuread-sso.com

      Değer (veriler): 1Value (Data): 1

    Not

    Bazı kullanıcıların (örneğin, bu kullanıcılar üzerinde paylaşılan bilgi noktaları oturum açarsanız) kullanarak sorunsuz çoklu oturum açmayı engellemek istiyorsanız, önceki değerlerini ayarlamak 4.If you want to disallow some users from using Seamless SSO (for instance, if these users sign in on shared kiosks), set the preceding values to 4. Bu eylem, Azure AD URL'si için kısıtlı bölge ekler ve her zaman sorunsuz çoklu oturum açma başarısız.This action adds the Azure AD URL to the Restricted zone, and fails Seamless SSO all the time.

  5. Seçin Tamamve ardından Tamam yeniden.Select OK, and then select OK again.

    Çoklu oturum açma

  6. Gözat Kullanıcı Yapılandırması > Yönetim Şablonları ilke > ** > Windows bileşenleri > Internet Explorer > Internet Denetim Masası > güvenlik sayfası > Intranet bölgesi.Browse to User Configuration > Administrative Templates Policy > **> Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone. Ardından izin vermek için durum çubuğu komut dosyası aracılığıyla güncelleştirmeleri.Then select Allow updates to status bar via script.

    Çoklu oturum açma

  7. İlke ayarını etkinleştirin ve ardından Tamam.Enable the policy setting, and then select OK.

    Çoklu oturum açma

"Grup İlkesi tercih" seçeneği - ayrıntılı adımlar"Group policy preference" option - Detailed steps

  1. Grup İlkesi Yönetimi Düzenleyicisi Aracı'nı açın.Open the Group Policy Management Editor tool.

  2. Bazı uygulanan Grup ilkesini düzenleyin veya tüm kullanıcılar.Edit the group policy that's applied to some or all your users. Bu örnekte varsayılan etki alanı ilkesi.This example uses Default Domain Policy.

  3. Gözat Kullanıcı Yapılandırması > tercihleri > Windows ayarları > kayıt defteri > Yeni > kayıt defteri öğesi.Browse to User Configuration > Preferences > Windows Settings > Registry > New > Registry item.

    Çoklu oturum açma

  4. Uygun alanlara aşağıdaki değerleri girin ve tıklayın Tamam.Enter the following values in appropriate fields and click OK.

    • Anahtar yolu: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologonKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Değer adı: https.Value name: https.

    • Değer türü: REG_DWORD.Value type: REG_DWORD.

    • Değer verisi: 00000001.Value data: 00000001.

      Çoklu oturum açma

      Çoklu oturum açma

Tarayıcı konularıBrowser considerations

Mozilla Firefox (tüm platformlar)Mozilla Firefox (all platforms)

Mozilla Firefox, otomatik olarak Kerberos kimlik doğrulaması kullanmaz.Mozilla Firefox doesn't automatically use Kerberos authentication. Her kullanıcı el ile Firefox ayarlarına Azure AD URL'si aşağıdaki adımları kullanarak eklemeniz gerekir:Each user must manually add the Azure AD URL to their Firefox settings by using the following steps:

  1. Firefox çalıştırın ve girin about:config adres çubuğundaki.Run Firefox and enter about:config in the address bar. Gördüğünüz herhangi bir bildirim kapatın.Dismiss any notifications that you see.
  2. Arama network.negotiate auth.trusted URI'ler tercihi.Search for the network.negotiate-auth.trusted-uris preference. Bu tercih, Kerberos kimlik doğrulaması için Firefox'ın Güvenilen siteler listelenir.This preference lists Firefox's trusted sites for Kerberos authentication.
  3. Sağ tıklayıp Değiştir.Right-click and select Modify.
  4. Girin https://autologon.microsoftazuread-sso.com alanında.Enter https://autologon.microsoftazuread-sso.com in the field.
  5. Seçin Tamam tarayıcıyı kapatıp açın.Select OK and then reopen the browser.

Safari (macOS)Safari (macOS)

MacOS çalıştıran makinenin AD'ye katıldığından emin olun.Ensure that the machine running the macOS is joined to AD. Yönergeler AD katılma için macOS Cihazınızı bu makalenin kapsamı dışında ' dir.Instructions for AD-joining your macOS device is outside the scope of this article.

Google Chrome (tüm platformlar)Google Chrome (all platforms)

Siz kıldıysanız AuthNegotiateDelegateWhitelist veya AuthServerWhitelist ilke ayarları, ortamınızda olun Azure AD'nin URL'si ekleyin (https://autologon.microsoftazuread-sso.com) onlara de.If you have overridden the AuthNegotiateDelegateWhitelist or the AuthServerWhitelist policy settings in your environment, ensure that you add Azure AD's URL (https://autologon.microsoftazuread-sso.com) to them as well.

Google Chrome (macOS ve Windows olmayan diğer platformları)Google Chrome (macOS and other non-Windows platforms)

Mac OS ve diğer Windows olmayan platformlar için Google Chrome, başvurmak Chromium proje Policy List nasıl beyaz liste ile kimlik doğrulaması için Azure AD URL'sini tümleştirilmiş hakkında bilgi.For Google Chrome on Mac OS and other non-Windows platforms, refer to The Chromium Project Policy List for information on how to whitelist the Azure AD URL for integrated authentication.

Bu makalenin kapsamı dışında Azure AD URL Google Chrome ve Firefox ile Mac kullanıcılarının içine almak için üçüncü taraf Active Directory Grup İlkesi uzantıları kullanılır.The use of third-party Active Directory Group Policy extensions to roll out the Azure AD URL to Firefox and Google Chrome on Mac users is outside the scope of this article.

Bilinen tarayıcı sınırlamalarıKnown browser limitations

Sorunsuz çoklu oturum açma, Firefox ve Microsoft Edge tarayıcılarda özel tarama modunda çalışmıyor.Seamless SSO doesn't work in private browsing mode on Firefox and Microsoft Edge browsers. Tarayıcı Gelişmiş korumalı modda çalışıyorsa aynı zamanda Internet Explorer'da çalışmaz.It also doesn't work on Internet Explorer if the browser is running in Enhanced Protected mode.

4. Adım: Bu özelliği sınamaStep 4: Test the feature

Özellik belirli bir kullanıcı için test etmek için aşağıdaki tüm koşulların karşılandığından emin olun:To test the feature for a specific user, ensure that all the following conditions are in place:

  • Kurumsal bir cihazda oturum açtığında kullanıcı.The user signs in on a corporate device.
  • Cihaz, Active Directory etki alanına katıldı.The device is joined to your Active Directory domain. Cihaz değil olmasına gerek Azure AD katıldı.The device doesn't need to be Azure AD Joined.
  • Cihaz, Kurumsal kablolu veya kablosuz ağda veya bir VPN bağlantısı gibi bir uzaktan erişim bağlantısı aracılığıyla etki alanı denetleyicisine (DC) doğrudan bir bağlantı vardır.The device has a direct connection to your domain controller (DC), either on the corporate wired or wireless network or via a remote access connection, such as a VPN connection.
  • Sahip olduğunuz özelliği kullanıma alındı Grup İlkesi aracılığıyla bu kullanıcı için.You have rolled out the feature to this user through Group Policy.

Burada yalnızca kullanıcı adı ve parola kullanıcının girdiği senaryoyu test etmek için:To test the scenario where the user enters only the username, but not the password:

  • Oturum https://myapps.microsoft.com/ yeni bir özel tarayıcı oturumunda.Sign in to https://myapps.microsoft.com/ in a new private browser session.

Kullanıcının kullanıcı adı veya parola girmek için burada yoksa senaryoyu test etmek için aşağıdaki adımlardan birini kullanın:To test the scenario where the user doesn't have to enter the username or the password, use one of these steps:

  • Oturum https://myapps.microsoft.com/contoso.onmicrosoft.com yeni bir özel tarayıcı oturumunda.Sign in to https://myapps.microsoft.com/contoso.onmicrosoft.com in a new private browser session. Değiştirin contoso kiracınızın ada sahip.Replace contoso with your tenant's name.
  • Oturum https://myapps.microsoft.com/contoso.com yeni bir özel tarayıcı oturumunda.Sign in to https://myapps.microsoft.com/contoso.com in a new private browser session. Değiştirin contoso.com kiracınıza doğrulanmış bir etki alanı (bir Federasyon etki alanı değil).Replace contoso.com with a verified domain (not a federated domain) on your tenant.

5. Adım: AnahtarlarıStep 5: Roll over keys

Adım 2'de, Azure AD Connect sorunsuz çoklu oturum açma etkin tüm Active Directory ormanlarında bilgisayar hesaplarının (Azure AD temsil eden) oluşturur.In Step 2, Azure AD Connect creates computer accounts (representing Azure AD) in all the Active Directory forests on which you have enabled Seamless SSO. Daha fazla bilgi için bkz: Azure Active Directory sorunsuz çoklu oturum açma: Teknik yakından bakışın.To learn more, see Azure Active Directory Seamless Single Sign-On: Technical deep dive.

Önemli

Bir bilgisayar hesabı Kerberos şifre çözme anahtarının sızmasına, kendi AD ormanında herhangi bir kullanıcı için Kerberos anahtarları oluşturmak için kullanılabilir.The Kerberos decryption key on a computer account, if leaked, can be used to generate Kerberos tickets for any user in its AD forest. Kötü amaçlı aktörler sonra Azure AD oturum açma işlemleri riskli kullanıcıların kimliğine bürünebilir.Malicious actors can then impersonate Azure AD sign-ins for compromised users. Düzenli aralıklarla yenilediğinizden emin bu Kerberos şifre çözme anahtarları üzerinden - 30 günde bir en az bir kez önemle öneririz.We highly recommend that you periodically roll over these Kerberos decryption keys - at least once every 30 days.

Anahtarları konusunda yönergeler için bkz: Azure Active Directory sorunsuz çoklu oturum açma: Sık sorulan sorular.For instructions on how to roll over keys, see Azure Active Directory Seamless Single Sign-On: Frequently asked questions. Anahtarları otomatik toplama üzerinden tanıtmak için bir özellik çalışıyoruz.We are working on a capability to introduce automated roll over of keys.

Önemli

Bu adımda yapmanız gerekmez hemen özelliği etkinleştirdikten sonra.You don't need to do this step immediately after you have enabled the feature. Kerberos şifre çözme 30 günde bir en az bir kez anahtarları.Roll over the Kerberos decryption keys at least once every 30 days.

Sonraki adımlarNext steps

  • Teknik yakından bakışın: Sorunsuz çoklu oturum açma özelliği nasıl çalıştığını anlayın.Technical deep dive: Understand how the Seamless Single Sign-On feature works.
  • Sık sorulan sorular: Hakkında sorunsuz çoklu oturum açma sık sorulan soruların yanıtlarını alın.Frequently asked questions: Get answers to frequently asked questions about Seamless Single Sign-On.
  • Sorun giderme: Sorunsuz çoklu oturum açma özelliği ile sık karşılaşılan sorunların nasıl çözümleneceğini öğrenin.Troubleshoot: Learn how to resolve common problems with the Seamless Single Sign-On feature.
  • UserVoice: Yeni özellik istekleriniz dosya için Azure Active Directory Forumu kullanın.UserVoice: Use the Azure Active Directory Forum to file new feature requests.