- Artikel
Azure Active Directory (Azure AD) Naadloze eenmalige aanmelding (Seamless SSO) meldt gebruikers automatisch aan wanneer ze hun zakelijke desktops gebruiken die zijn verbonden met uw bedrijfsnetwerk. Naadloze SSO biedt uw gebruikers gemakkelijke toegang tot uw cloudgebaseerde applicaties zonder gebruik te maken van andere on-premises componenten.
Voer de stappen uit die in de volgende secties worden beschreven om naadloze SSO voor Azure AD te implementeren met behulp van Azure AD Connect.
Controleer de voorwaarden
Zorg ervoor dat aan de volgende voorwaarden is voldaan:
Stel uw Azure AD Connect-server in: Als je gebruiktpass-through-authenticatieals uw aanmeldingsmethode, is er geen andere vereistecontrole vereist. Als je gebruiktwachtwoord-hash-synchronisatieals uw aanmeldingsmethode en er een firewall is tussen Azure AD Connect en Azure AD, zorgt u ervoor dat:
U gebruikt Azure AD Connect versie 1.1.644.0 of hoger.
Als uw firewall of proxy dit toestaat, voegt u de verbindingen toe aan uw toelatingslijst voor
*.msappproxy.netURL's via poort 443. Als u een specifieke URL nodig heeft in plaats van een jokerteken voor proxyconfiguratie, kunt u dit configurerentenantid.registratie.msappproxy.net, waarhuurderidis de GUID van de Tenant waarvoor u de functie configureert. Als op URL gebaseerde proxy-uitzonderingen niet mogelijk zijn in uw organisatie, kunt u in plaats daarvan toegang verlenen tot deIP-bereiken van Azure-datacenters, die wekelijks worden bijgewerkt. Deze vereiste is alleen van toepassing als u de functie Naadloze SSO inschakelt. Het is niet vereist voor rechtstreekse gebruikersaanmeldingen.Opmerking
- Azure AD Connect-versies 1.1.557.0, 1.1.558.0, 1.1.561.0 en 1.1.614.0 hebben een probleem met wachtwoord-hash-synchronisatie. als jijniet doenvan plan bent wachtwoord-hash-synchronisatie te gebruiken in combinatie met pass-through-authenticatie, bekijk dan deRelease-opmerkingen voor Azure AD Connectmeer leren.
- Als u een uitgaande HTTP-proxy heeft, zorg er dan voor dat de URL
autologon.microsoftazuread-sso.comstaat op je toelatingslijst. U dient deze URL expliciet op te geven, omdat het jokerteken mogelijk niet wordt geaccepteerd.
Gebruik een ondersteunde Azure AD Connect-topologie: Zorg ervoor dat u een van de Azure AD Connect gebruiktondersteunde topologieën.
Opmerking
Naadloze SSO ondersteunt meerdere on-premises Windows Server Active Directory-forests (Windows Server AD), ongeacht of er Windows Server AD-vertrouwensrelaties tussen zijn.
Stel domeinbeheerderreferenties in: U moet domeinbeheerderreferenties hebben voor elk Windows Server AD-forest dat:
- U synchroniseert met Azure AD via Azure AD Connect.
- Bevat gebruikers voor wie u Naadloze SSO wilt inschakelen.
Schakel moderne authenticatie in: Om deze functie te gebruiken, moet u deze inschakelenmoderne authenticatieop uw huurder.
Gebruik de nieuwste versies van Microsoft 365-clients: Voor een stille aanmeldingservaring met Microsoft 365-clients (bijvoorbeeld met Outlook, Word of Excel), moeten uw gebruikers versie 16.0.8730.xxxx of hoger gebruiken.
Schakel de functie in
Schakel Naadloze SSO in viaAzure AD Connect.
Opmerking
Als Azure AD Connect niet aan uw vereisten voldoet, kunt u dat doenschakel Naadloze SSO in met behulp van PowerShell. Gebruik deze optie als u meer dan één domein per Windows Server AD-forest hebt en u het domein wilt targeten waarvoor Naadloze SSO moet worden ingeschakeld.
Als je eennieuwe installatie van Azure AD Connect, kies deaangepast installatiepad. Op deAanmelden gebruikerpagina, selecteer deSchakel eenmalige aanmelding inkeuze.
Opmerking
De optie is alleen beschikbaar om te selecteren als de geselecteerde aanmeldingsmethode isWachtwoord Hash-synchronisatieofPass-through-authenticatie.
als jijal een installatie van Azure AD Connect hebben, inAanvullende taken, selecteerGebruikersaanmelding wijzigenen selecteer vervolgensVolgende. Als u Azure AD Connect versie 1.1.880.0 of hoger gebruikt, is deSchakel eenmalige aanmelding inoptie is standaard geselecteerd. Als u een eerdere versie van Azure AD Connect gebruikt, selecteert u deSchakel eenmalige aanmelding inkeuze.
Ga door de wizard naar deSchakel eenmalige aanmelding inbladzijde. Geef domeinbeheerderreferenties op voor elk Windows Server AD-forest dat:
- U synchroniseert met Azure AD via Azure AD Connect.
- Bevat gebruikers voor wie u Naadloze SSO wilt inschakelen.
Wanneer u de wizard voltooit, wordt naadloze SSO ingeschakeld op uw Tenant.
Opmerking
De referenties van de domeinbeheerder worden niet opgeslagen in Azure AD Connect of in Azure AD. Ze worden alleen gebruikt om de functie in te schakelen.
Om te controleren of u Naadloze SSO correct hebt ingeschakeld:
- Meld u aan bij deAzure-portalmet de referenties van het Hybrid Identity Administrator-account voor uw tenant.
- Selecteer in het linkermenuAzure Active Directory.
- SelecteerAzure AD Connect.
- Verifieer datNaadloze eenmalige aanmeldingingesteld opIngeschakeld.
Belangrijk
Naadloze SSO maakt een computeraccount met de naamAZUREADSSOACCin elk Windows Server AD-forest in uw on-premises Windows Server AD-directory. DeAZUREADSSOACCcomputeraccount moet om veiligheidsredenen sterk worden beschermd. Alleen domeinbeheerdersaccounts mogen het computeraccount beheren. Zorg ervoor dat Kerberos-delegatie op het computeraccount is uitgeschakeld en dat geen enkel ander account in Windows Server AD machtigingen heeft voor het delegeren van het computeraccount.AZUREADSSOACCcomputeraccount. Bewaar de computeraccounts in een organisatie-eenheid, zodat ze niet per ongeluk kunnen worden verwijderd en alleen domeinbeheerders er toegang toe hebben.
Opmerking
Als u Pass-the-Hash- en Credential Theft Mitigation-architecturen gebruikt in uw on-premises omgeving, brengt u de nodige wijzigingen aan om ervoor te zorgen dat deAZUREADSSOACCcomputeraccount komt niet in de quarantainecontainer terecht.
Rol de functie uit
U kunt Naadloze SSO geleidelijk uitrollen naar uw gebruikers door de instructies in de volgende secties te volgen. U begint met het toevoegen van de volgende Azure AD-URL aan alle of geselecteerde gebruikersintranetzone-instellingen via Groepsbeleid in Windows Server AD:
https://autologon.microsoftazuread-sso.com
U moet ook een beleidsinstelling voor intranetzones inschakelen, genaamdSta updates toe aan statusbalk via scriptvia Groepsbeleid.
Opmerking
De volgende instructies werken alleen voor Internet Explorer, Microsoft Edge en Google Chrome op Windows (als Google Chrome een set vertrouwde site-URL's deelt met Internet Explorer). Leer hoe u moet instellenMozilla FirefoxEnGoogle Chrome op macOS.
Waarom u de instellingen van de gebruikersintranetzone moet wijzigen
Standaard berekent een browser automatisch de juiste zone, internet of intranet, op basis van een specifieke URL. Bijvoorbeeld,http://contoso/kaarten naar deintranetstreek, enhttp://intranet.contoso.com/kaarten naar deinternettenzone (omdat de URL een punt bevat). Browsers sturen geen Kerberos-tickets naar een cloudeindpunt, zoals naar de Azure AD-URL, tenzij u de URL expliciet toevoegt aan de intranetzone van de browser.
Er zijn twee manieren waarop u de instellingen van de gebruikersintranetzone kunt wijzigen:
| Keuze | Beheerder overweging | Gebruikerservaring |
|---|---|---|
| Groepsbeleid | Beheerder vergrendelt het bewerken van instellingen voor intranetzones | Gebruikers kunnen hun eigen instellingen niet wijzigen |
| Voorkeur voor groepsbeleid | Admin staat bewerken van intranetzone-instellingen toe | Gebruikers kunnen hun eigen instellingen wijzigen |
Groepsbeleid gedetailleerde stappen
Open de tool Groepsbeleidsbeheer-editor.
Bewerk het groepsbeleid dat is toegepast op sommige of al uw gebruikers. Dit voorbeeld gebruiktStandaard domeinbeleid.
Ga naarGebruikersconfiguratie>Beleid>administratieve sjablonen>Windows-componenten>Internet Explorer>Internet-configuratiescherm>Beveiligingspagina. SelecteerLocatie-naar-zone-toewijzingslijst.
Schakel het beleid in en voer vervolgens de volgende waarden in het dialoogvenster in:
waarde naam: De Azure AD-URL waarnaar de Kerberos-tickets worden doorgestuurd.
Waarde(Gegevens):1geeft de intranetzone aan.
Het resultaat ziet er uit als in dit voorbeeld:
waarde naam:
https://autologon.microsoftazuread-sso.comWaarde (gegevens): 1
Opmerking
Als u wilt voorkomen dat sommige gebruikers Naadloze SSO gebruiken (als deze gebruikers bijvoorbeeld inloggen op gedeelde kiosken), stelt u de voorgaande waarden in op4. Deze actie voegt de Azure AD-URL toe aan de beperkte zone en naadloze SSO mislukt de hele tijd voor de gebruikers.
SelecteerOKen selecteer vervolgensOKopnieuw.
Ga naarGebruikersconfiguratie>Beleid>administratieve sjablonen>Windows-componenten>Internet Explorer>Internet-configuratiescherm>Beveiligingspagina>intranetzone. SelecteerSta updates toe aan statusbalk via script.
Schakel de beleidsinstelling in en selecteer vervolgensOK.
Gedetailleerde stappen voor groepsbeleidsvoorkeuren
Open de tool Groepsbeleidsbeheer-editor.
Bewerk het groepsbeleid dat is toegepast op sommige of al uw gebruikers. Dit voorbeeld gebruiktStandaard domeinbeleid.
Ga naarGebruikersconfiguratie>Voorkeuren>Windows-instellingen>register>Nieuw>Register-item.
Voer de volgende waarden in of selecteer deze, zoals aangetoond, en selecteer vervolgensOK.
Sleutel pad: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
waarde naam: https
Waarde type: REG_DWORD
Waarde data: 00000001
Browseroverwegingen
De volgende secties bevatten informatie over Naadloze SSO die specifiek is voor verschillende soorten browsers.
Mozilla Firefox (alle platformen)
Als je deAuthenticatiebeleidsinstellingen in uw omgeving, zorg ervoor dat u de Azure AD-URL toevoegt (https://autologon.microsoftazuread-sso.com) naar deSPNEGOsectie. U kunt ook dePrive browsenoptie omWAARom Naadloze SSO toe te staan in de modus voor privé browsen.
Safari (mac OS)
Zorg ervoor dat de computer waarop macOS wordt uitgevoerd, is gekoppeld aan Windows Server AD.
Instructies voor het koppelen van uw macOS-apparaat aan Windows Server AD vallen buiten het bestek van dit artikel.
Microsoft Edge gebaseerd op Chromium (alle platformen)
Als je deAuthNegotiateDelegateAlowlistofAuthServerAllowlistbeleidsinstellingen in uw omgeving, zorg ervoor dat u ook de Azure AD-URL toevoegt (https://autologon.microsoftazuread-sso.com) naar deze beleidsinstellingen.
Microsoft Edge gebaseerd op Chromium (macOS en andere niet-Windows-platforms)
Voor Microsoft Edge op basis van Chromium op macOS en andere niet-Windows-platforms, zie deMicrosoft Edge gebaseerd op Chromium-beleidslijstvoor informatie over het toevoegen van de Azure AD-URL voor geïntegreerde authenticatie aan uw toelatingslijst.
Google Chrome (alle platformen)
Als je deAuthNegotiateDelegateAlowlistofAuthServerAllowlistbeleidsinstellingen in uw omgeving, zorg ervoor dat u ook de Azure AD-URL toevoegt (https://autologon.microsoftazuread-sso.com) naar deze beleidsinstellingen.
macOS
Het gebruik van Active Directory Group Policy-extensies van derden om de Azure AD-URL uit te rollen naar Firefox en Google Chrome voor macOS-gebruikers valt buiten het bestek van dit artikel.
Bekende browserbeperkingen
Naadloze SSO werkt niet in Internet Explorer als de browser in de verbeterde beveiligde modus wordt uitgevoerd. Naadloze SSO ondersteunt de volgende versie van Microsoft Edge op basis van Chromium en werkt standaard in InPrivate- en Guest-modus. Microsoft Edge (verouderd) wordt niet langer ondersteund.
Mogelijk moet u configurerenAmbientAuthenticationInPrivateModesEnabledvoor InPrivate- of gastgebruikers op basis van de bijbehorende documentatie:
- Microsoft Edge Chrome
- Google Chrome
Naadloze SSO testen
Om de functie voor een specifieke gebruiker te testen, moet u ervoor zorgen dat aan alle volgende voorwaarden is voldaan:
- De gebruiker logt in op een bedrijfsapparaat.
- Het apparaat is toegevoegd aan uw Windows Server AD-domein. Het apparaatnietmoeten zijnAzure AD toegevoegd.
- Het apparaat heeft een directe verbinding met uw domeincontroller, op het bekabelde of draadloze bedrijfsnetwerk of via een externe toegangsverbinding, zoals een VPN-verbinding.
- Je hebtrolde de functie uitaan deze gebruiker via Groepsbeleid.
Om een scenario te testen waarin de gebruiker een gebruikersnaam invoert, maar geen wachtwoord:
- Inloggenhttps://myapps.microsoft.com. Zorg ervoor dat u de browsercache wist of een nieuwe privébrowsersessie gebruikt met een van de ondersteunde browsers in privémodus.
Voer een van de volgende stappen uit om een scenario te testen waarin de gebruiker geen gebruikersnaam of wachtwoord hoeft in te voeren:
- Inloggen
https://myapps.microsoft.com/contoso.onmicrosoft.com. Zorg ervoor dat u de browsercache wist of een nieuwe privébrowsersessie gebruikt met een van de ondersteunde browsers in privémodus. Vervangencontosomet uw huurdersnaam. - Inloggen
https://myapps.microsoft.com/contoso.comin een nieuwe privébrowsersessie. Vervangencontoso.commet een geverifieerd domein (geen federatief domein) op uw tenant.
Sleutels omdraaien
InSchakel de functie in, maakt Azure AD Connect computeraccounts (die Azure AD vertegenwoordigen) in alle Windows Server AD-forests waarop u naadloze SSO hebt ingeschakeld. Zie voor meer informatieAzure Active Directory Naadloze eenmalige aanmelding: technische diepgang.
Belangrijk
De Kerberos-decoderingssleutel op een computeraccount kan, indien gelekt, worden gebruikt om Kerberos-tickets te genereren voor elke gebruiker in het Windows Server AD-forest. Schadelijke actoren kunnen zich vervolgens voordoen als Azure AD-aanmeldingen voor gecompromitteerde gebruikers. We raden u ten zeerste aan om deze Kerberos-decoderingssleutels regelmatig te gebruiken, of ten minste eens in de 30 dagen.
Zie voor instructies over het omdraaien van toetsenAzure Active Directory Naadloze eenmalige aanmelding: veelgestelde vragen.
Belangrijk
U hoeft deze stap niet uit te voerenonmiddellijknadat u de functie hebt ingeschakeld. Rol de Kerberos-decoderingssleutels minstens één keer per 30 dagen om.
Volgende stappen
- Technische diepe duik: Begrijp hoe de functie Naadloze eenmalige aanmelding werkt.
- Veel Gestelde Vragen: Krijg antwoorden op veelgestelde vragen over naadloze eenmalige aanmelding.
- Problemen oplossen: Leer hoe u veelvoorkomende problemen met de functie Naadloze eenmalige aanmelding kunt oplossen.
- Gebruikersstem: gebruik het Azure Active Directory-forum om nieuwe functieaanvragen in te dienen.