V tomto článku řešíme nejčastější dotazy týkající se bezproblémového jednotného přihlašování Microsoft Entra (Bezproblémové jednotné přihlašování). Občas zkontrolujte, jestli nepřibyl nový obsah.
S jakými metodami přihlašování funguje bezproblémové jednotné přihlašování
Bezproblémové jednotné přihlašování je možné kombinovat s přihlašovacími metodami Synchronizace hodnoty hash hesla a Předávací ověřování. Tuto funkci ale nejde použít s Active Directory Federation Services (AD FS) (ADFS).
Je bezproblémové jednotné přihlašování bezplatnou funkcí?
Bezproblémové jednotné přihlašování je bezplatná funkce a k jejímu použití nepotřebujete žádné placené edice Microsoft Entra ID.
Je bezproblémové jednotné přihlašování dostupné v cloudu Microsoft Azure Germany a v cloudu Microsoft Azure Government?
Bezproblémové jednotné přihlašování je k dispozici pro cloud Azure Government. Podrobnosti najdete v tématu Aspekty hybridní identity pro Azure Government.
Jaké aplikace využívají možnosti parametru domain_hint nebo login_hint bezproblémového jednotného přihlašování?
Tabulka obsahuje seznam aplikací, které mohou tyto parametry odeslat do Microsoft Entra ID. Tato akce poskytuje uživatelům tiché přihlašování pomocí bezproblémového jednotného přihlašování:
Název aplikace | Adresa URL aplikace |
---|---|
Přístupový panel | https://myapps.microsoft.com/contoso.com |
Outlook na webu | https://outlook.office365.com/contoso.com |
Portály Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Uživatelé navíc získají bezobslužné přihlašování, pokud aplikace odesílá žádosti o přihlášení do koncových bodů Microsoft Entra nastavených jako tenanti – tj https://login.microsoftonline.com/contoso.com/<. ..> nebo https://login.microsoftonline.com/<tenant_ID>/<..> – místo společného koncového bodu Microsoft Entra , tj https://login.microsoftonline.com/common/<. ...>. Tabulka obsahuje seznam aplikací, které tyto typy žádostí o přihlášení dělají.
Název aplikace | Adresa URL aplikace |
---|---|
SharePoint Online | https://contoso.sharepoint.com |
Centrum pro správu Microsoft Entra | https://portal.azure.com/contoso.com |
Ve výše uvedených tabulkách nahraďte "contoso.com" názvem vaší domény, abyste získali správné adresy URL aplikací pro vašeho tenanta.
Pokud chcete, aby jiné aplikace používaly naše tiché přihlašování, dejte nám vědět v části pro zpětnou vazbu.
Podporuje bezproblémové jednotné přihlašování jako uživatelské jméno alternativní ID místo userPrincipalName?
Ano. Bezproblémové jednotné přihlašování podporuje Alternate ID
jako uživatelské jméno při konfiguraci v microsoft Entra Connect, jak je znázorněno zde. Ne všechny aplikace Microsoft 365 podporují Alternate ID
. Prohlášení o podpoře najdete v dokumentaci ke konkrétní aplikaci.
Jaký je rozdíl mezi prostředím jednotného přihlašování poskytovaného službou Microsoft Entra Join a bezproblémovým jednotným přihlašováním?
Připojení k Microsoft Entra poskytuje uživatelům jednotné přihlašování, pokud jsou jejich zařízení zaregistrovaná s ID Microsoft Entra. Tato zařízení nemusí být nutně připojená k doméně. Jednotné přihlašování se poskytuje pomocí primárních obnovovacích tokenů nebo PRT, nikoli kerberos. Uživatelské prostředí je optimální na zařízeních s Windows 10. V prohlížeči Microsoft Edge dochází k jednotnému přihlašování automaticky. S využitím rozšíření prohlížeče to funguje i v prohlížeči Chrome.
Ve svém tenantovi můžete použít připojení k Microsoft Entra a bezproblémové jednotné přihlašování. Tyto dvě funkce se vzájemně doplňují. Pokud jsou obě funkce zapnuté, má jednotné přihlašování z microsoft Entra join přednost před bezproblémovým jednotným přihlašováním.
Chci zaregistrovat zařízení s jiným systémem než Windows 10 pomocí Microsoft Entra ID bez použití služby AD FS. Můžu místo toho použít bezproblémové jednotné přihlašování?
Jak můžu převést dešifrovací klíč Kerberos účtu počítače AZUREADSSO?
Je důležité často převést dešifrovací klíč AZUREADSSO
Kerberos účtu počítače (který představuje Id Microsoft Entra) vytvořeného v místní doménové struktuře AD.
Důležité
Důrazně doporučujeme vrátit dešifrovací klíč Kerberos alespoň každých 30 dnů pomocí rutiny Update-AzureADSSOForest
. Při použití rutiny Update-AzureADSSOForest
se ujistěte, že příkaz nespustíte Update-AzureADSSOForest
více než jednou pro každou doménovou strukturu. Jinak funkce přestane fungovat až do vypršení platnosti lístků Kerberos uživatelů a jejich opětovného vystavení místní službou Active Directory.
Postupujte podle těchto kroků na místním serveru, na kterém používáte Microsoft Entra Connect:
Poznámka:
Pro tento postup potřebujete správce domény a přihlašovací údaje správce hybridní identity.
Pokud nejste správcem domény a správce domény vám přiřadil oprávnění, měli byste zavolat. Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Krok 1. Získání seznamu doménových struktur AD, kde je povolené bezproblémové jednotné přihlašování
- Nejprve si stáhněte a nainstalujte Azure AD PowerShell.
- Přejděte do složky
$env:programfiles"\Microsoft Azure Active Directory Connect"
. - Pomocí tohoto příkazu importujte modul PowerShellu pro bezproblémové jednotné přihlašování:
Import-Module .\AzureADSSO.psd1
. - Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext
. Tento příkaz by vám měl poskytnout automaticky otevírané okno pro zadání přihlašovacích údajů správce hybridní identity vašeho tenanta. - Zavolejte
Get-AzureADSSOStatus | ConvertFrom-Json
. Tento příkaz poskytuje seznam doménových struktur AD (podívejte se na seznam Domény), na kterém je tato funkce povolená.
Krok 2. Aktualizace dešifrovacího klíče Kerberos ve všech doménových strukturách AD, ve kterých je nastavený
- Zavolejte
$creds = Get-Credential
. Po zobrazení výzvy zadejte přihlašovací údaje správce domény pro danou doménovou strukturu AD.
Poznámka:
Uživatelské jméno přihlašovacích údajů správce domény musí být zadané ve formátu názvu účtu SAM (contoso\johndoe nebo contoso.com\johndoe). Informace o doméně z uživatelského jména používáme k vyhledání řadiče domény správce domény pomocí DNS.
Poznámka:
Použitý účet správce domény nesmí být členem skupiny Chránění uživatelé. Pokud ano, operace selže.
Zavolejte
Update-AzureADSSOForest -OnPremCredentials $creds
. Tento příkaz aktualizuje dešifrovací klíč Kerberos pro účet počítačeAZUREADSSO
v této konkrétní doménové struktuře AD a také v Microsoft Entra ID.Zopakujte výše uvedené kroky pro každou doménovou strukturu AD, ve které jste tuto funkci nastavili.
Poznámka:
Pokud aktualizujete doménovou strukturu, jinou než microsoft Entra Connect, ujistěte se, že je k dispozici připojení k serveru globálního katalogu (TCP 3268 a TCP 3269).
Důležité
To není nutné provádět na serverech, na kterých běží Microsoft Entra Connect v pracovním režimu.
Jak můžu bezproblémové jednotné přihlašování zakázat?
Krok 1. Zakázání funkce ve vašem tenantovi
Možnost A: Zakázání používání Microsoft Entra Connect
- Spusťte Microsoft Entra Connect, zvolte Změnit přihlašovací stránku uživatele a klikněte na Další.
- Zrušte zaškrtnutí políčka Povolit jednotné přihlašování. Pokračujte v průvodci.
Po dokončení průvodce je bezproblémové jednotné přihlašování ve vašem tenantovi zakázané. Na obrazovce se ale zobrazí zpráva, která čte takto:
Jednotné přihlašování je teď zakázané, ale k dokončení čištění je potřeba provést další ruční kroky. Další informace
Pokud chcete dokončit proces čištění, postupujte podle kroků 2 a 3 na místním serveru, na kterém používáte Microsoft Entra Connect.
Možnost B: Zakázání pomocí PowerShellu
Na místním serveru, na kterém používáte Microsoft Entra Connect, spusťte následující kroky:
- Nejprve si stáhněte a nainstalujte Azure AD PowerShell.
- Přejděte do složky
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"
. - Pomocí tohoto příkazu importujte modul PowerShellu pro bezproblémové jednotné přihlašování:
Import-Module .\AzureADSSO.psd1
. - Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext
. Tento příkaz by vám měl poskytnout automaticky otevírané okno pro zadání přihlašovacích údajů správce hybridní identity vašeho tenanta. - Zavolejte
Enable-AzureADSSO -Enable $false
.
V tomto okamžiku je bezproblémové jednotné přihlašování zakázané, ale domény zůstanou nakonfigurované pro případ, že byste chtěli povolit bezproblémové jednotné přihlašování zpět. Pokud chcete domény úplně odebrat z konfigurace bezproblémového jednotného přihlašování, zavolejte následující rutinu po dokončení kroku 5 výše: Disable-AzureADSSOForest -DomainFqdn <fqdn>
.
Důležité
Zakázání bezproblémového jednotného přihlašování pomocí PowerShellu nezmění stav ve službě Microsoft Entra Connect. Bezproblémové jednotné přihlašování se zobrazuje jako povolené na přihlašovací stránce Změnit uživatele.
Poznámka:
Pokud nemáte server Microsoft Entra Connect Sync, můžete si ho stáhnout a spustit počáteční instalaci. Server se nenastaví, ale rozbalí se potřebné soubory potřebné k zakázání jednotného přihlašování. Po dokončení instalace MSI zavřete průvodce Microsoft Entra Connect a spuštěním kroků zakažte bezproblémové jednotné přihlašování pomocí PowerShellu.
Krok 2. Získání seznamu doménových struktur AD, ve kterých je povolené bezproblémové jednotné přihlašování
Pokud jste bezproblémové jednotné přihlašování zakázali pomocí nástroje Microsoft Entra Connect, postupujte podle úkolů 1 až 4. Pokud jste místo toho zakázali bezproblémové jednotné přihlašování pomocí PowerShellu, přejděte k úkolu 5.
- Nejprve si stáhněte a nainstalujte Azure AD PowerShell.
- Přejděte do složky
$env:ProgramFiles"\Microsoft Azure Active Directory Connect"
. - Pomocí tohoto příkazu importujte modul PowerShellu pro bezproblémové jednotné přihlašování:
Import-Module .\AzureADSSO.psd1
. - Spusťte PowerShell jako správce. V PowerShellu zavolejte
New-AzureADSSOAuthenticationContext
. Tento příkaz by vám měl poskytnout automaticky otevírané okno pro zadání přihlašovacích údajů správce hybridní identity vašeho tenanta. - Zavolejte
Get-AzureADSSOStatus | ConvertFrom-Json
. Tento příkaz zobrazí seznam doménových struktur AD (prohlédněte si seznam domén), ve kterých je tato funkce povolená.
Krok 3. Ručně odstraňte účet počítače AZUREADSSO
ze všech doménových struktur služby Active Directory, které vidíte v seznamu.
Další kroky
- Rychlý start – Zprovoznění bezproblémového jednotného přihlašování Microsoft Entra
- Technické podrobné informace – Porozumíte tomu, jak tato funkce funguje.
- Řešení potíží – Zjistěte, jak vyřešit běžné problémy s funkcí.
- UserVoice – pro vytváření nových žádostí o funkce