您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

Azure Active Directory 无缝单一登录

什么是 Azure Active Directory 无缝单一登录?

Azure Active Directory 无缝单一登录(Azure AD 无缝 SSO)可使连接到企业网络的企业设备上的用户自动登录。 启用此功能后,用户无需键入其密码即可登录到 Azure AD;通常情况下,甚至无需键入其用户名。 此功能可让用户轻松访问基于云的应用程序,而无需使用其他任何本地组件。

无缝 SSO 可与密码哈希同步传递身份验证登录方法结合使用。 无缝 SSO 适用于 Active Directory 联合身份验证服务 (ADFS)。

无缝单一登录

通过主刷新令牌进行的 SSO 与无缝 SSO

对于 Windows 10、Windows Server 2016 及更高版本,建议使用通过主刷新令牌 (PRT) 进行的 SSO。 对于 Windows 7 和 Windows 8.1,建议使用无缝 SSO。 无缝 SSO 需要用户的设备是已加入域的,但不在 Windows 10 已加入 Azure AD 的设备已加入混合 Azure AD 的设备上使用。 在已加入 Azure AD 的、已加入混合 Azure AD 的和已注册 Azure AD 的设备上,SSO 基于主刷新令牌 (PRT) 工作

当设备注册到 Azure AD 中,成为已加入混合 Azure AD 的设备、已加入 Azure AD 的设备或个人注册的设备(通过“添加工作或学校帐户”)之后,通过 PRT 进行的 SSO 即可正常工作。 若要详细了解 SSO 如何通过 PRT 与 Windows 10 配合使用,请参阅:主刷新令牌 (PRT) 和 Azure AD

主要优点

  • 出色的用户体验
    • 用户将自动登录到本地和基于云的应用程序。
    • 用户无需重复输入其密码。
  • 易于部署和管理
    • 不需要本地任何其他组件来完成此操作。
    • 与云身份验证的任何方法 - 密码哈希同步直通身份验证结合使用。
    • 可以分发给某些或所有使用组策略的用户。
    • 使用 Azure AD 注册非 Windows 10 设备,无需任何 AD FS 基础结构。 此功能需要使用 2.1 版或更高版本的 Workplace Join 客户端

功能特点

  • 登录用户名可以是本地默认用户名 (userPrincipalName),也可以是 Azure AD Connect 中配置的另一个属性 (Alternate ID)。 两种用例均可运行,因为无缝 SSO 使用 Kerberos 票证中的 securityIdentifier 声明,在 Azure AD 中查找相应的用户对象。
  • 无缝 SSO 是个机会型功能。 如果由于任何原因失败,用户登录体验将回退到其常规行为 - 即用户将需要在登录页面上输入其密码。
  • 如果应用程序(例如 https://myapps.microsoft.com/contoso.com)在其 Azure AD 登录请求中转发 domain_hint (OpenID Connect) 或 whr (SAML) 参数(用于标识租户)或 login_hint 参数(用于标识用户),则用户将自动登录,而无需输入用户名或密码。
  • 如果应用程序(例如 https://contoso.sharepoint.com)向设置为租户的 Azure AD 终结点(即 https://login.microsoftonline.com/contoso.com/<..>https://login.microsoftonline.com/<tenant_ID>/<..>)而不是 Azure AD 的通用终结点(即 https://login.microsoftonline.com/common/<...>)发送登录请求,则用户也可获得无提示登录体验。
  • 支持注销。 这可以让用户选择另一个 Azure AD 帐户进行登录,而不是自动使用无缝 SSO 自动登录。
  • 使用非交互式流支持版本为 16.0.8730.xxxx 及更高版本的 Microsoft 365 Win32 客户端(Outlook、Word、Excel 等)。 对于 OneDrive,必须激活 OneDrive 无提示配置功能才能获得无提示登录体验。
  • 可通过 Azure AD Connect 启用它。
  • 这是一项免费功能,不需要拥有任何付费版本的 Azure AD 即可使用此功能。
  • 在能够进行 Kerberos 身份验证的平台和浏览器上,支持新式身份验证的基于 Web 浏览器的客户端和 Office 客户端支持此功能:
操作系统\浏览器 Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 是* 是*** 空值
Windows 8.1 是* 是**** 是*** 空值
Windows 8 是* 空值 是*** 空值
Windows Server 2012 R2 或更高版本 是** 空值 是*** 空值
Mac OS X 空值 空值 是*** 是*** 是***

备注

不再支持 Microsoft Edge 旧版本

*需要 Internet Explorer 11 或更高版本。 (自 2021 年 8 月 17 日起,Microsoft 365 应用和服务将不支持 IE 11。)

**需要 Internet Explorer 11 或更高版本。 禁用增强保护模式。

***需要其他配置

****基于 Chromium 的 Microsoft Edge

后续步骤