Inicio de sesión único de conexión directa de Microsoft Entra

¿Qué es el inicio de sesión único de conexión directa de Microsoft Entra?

El inicio de sesión único (SSO) de conexión directa de Microsoft Entra permite a los usuarios iniciar sesión automáticamente en dispositivos corporativos conectados a la red de la empresa. Si se habilita, los usuarios no tienen que escribir la contraseña para iniciar sesión en Microsoft Entra ID y, generalmente, ni siquiera el nombre de usuario. Esta característica proporciona a los usuarios un acceso sencillo a las aplicaciones en la nube sin necesidad de componentes locales adicionales.

SSO de conexión directa se puede combinar con los métodos de inicio de sesión mediante sincronización de hash de contraseñas o autenticación de paso a través. El inicio de sesión único de conexión directa no se puede aplicar a Servicios de federación de Active Directory (AD FS).

Inicio de sesión único de conexión directa

Inicio de sesión único mediante el token de actualización principal frente a inicio de sesión único de conexión directa

En Windows 10, Windows Server 2016 y versiones posteriores, se recomienda usar el inicio de sesión único mediante el token de actualización principal (PRT). En Windows 7 y Windows 8.1, se recomienda usar el inicio de sesión único de conexión directa. Para el inicio de sesión único de conexión directa, es necesario que el dispositivo del usuario esté unido a un dominio, pero no se usa en dispositivos unidos a Microsoft Entra ni en dispositivos de unión híbrida a Microsoft Entra en Windows 10. El inicio de sesión único en dispositivos unidos a Microsoft Entra, de unión híbrida a Microsoft Entra y registrados en Microsoft Entra se basa en el token de actualización principal (PRT)

El inicio de sesión único a través del PRT funciona después de haber registrado los dispositivos en Microsoft Entra ID en el caso de los dispositivos personales registrados, de unión híbrida a Microsoft Entra o unidos a Microsoft Entra, a través de la opción Agregar una cuenta profesional o educativa. Para obtener más información sobre cómo funciona el inicio de sesión único con Windows 10 mediante el PRT, consulte: Token de actualización principal (PRT) y Microsoft Entra ID.

Beneficios clave

  • Mejor experiencia del usuario
    • Los usuarios inician sesión automáticamente en las aplicaciones locales y las basadas en la nube.
    • Los usuarios no tienen que especificar sus contraseñas repetidamente.
  • Es fácil de implementar y administrar

Características destacadas

  • El nombre de usuario de inicio de sesión puede ser el predeterminado del entorno local (userPrincipalName) u otro atributo configurado en Microsoft Entra Connect (Alternate ID). Ambos casos de uso funcionan porque el inicio de sesión único de conexión directa usa la notificación securityIdentifier en el vale Kerberos para buscar el objeto de usuario correspondiente en Microsoft Entra ID.
  • El SSO de conexión directa es una característica oportunista. Si, por algún motivo, genera un error, la experiencia de inicio de sesión del usuario se revierte a su comportamiento habitual; es decir, el usuario deberá escribir su contraseña en la página de inicio de sesión.
  • Si una aplicación, (por ejemplo, https://myapps.microsoft.com/contoso.com) reenvía un parámetro domain_hint (OpenID Connect) o whr (SAML), que identifica al inquilino, o el parámetro login_hint, que identifica al usuario, en la solicitud de inicio de sesión de Microsoft Entra, los usuarios inician sesión automáticamente sin necesidad de proporcionar nombres de usuario o contraseñas.
  • Los usuarios también obtienen una experiencia de inicio de sesión silenciosa si una aplicación (por ejemplo, https://contoso.sharepoint.com) envía solicitudes de inicio de sesión a los puntos de conexión configurados como inquilinos de Microsoft Entra ID (es decir, https://login.microsoftonline.com/contoso.com/<..> o https://login.microsoftonline.com/<tenant_ID>/<..>) en lugar del punto de conexión común de Microsoft Entra ID (es decir, https://login.microsoftonline.com/common/<...>).
  • El cierre de sesión es compatible. Esto permite que los usuarios elijan otra cuenta de Microsoft Entra con la que iniciar sesión, en lugar de iniciar sesión automáticamente con el inicio de sesión único de conexión directa.
  • Los clientes de Microsoft 365 Win32 (Outlook, Word, Excel y otros) con versiones 16.0.8730.xxxx y posteriores son compatibles con un flujo no interactivo. En OneDrive, tendrá que activar la función de configuración silenciosa de OneDrive para disfrutar de una experiencia de inicio de sesión silenciosa.
  • Se puede habilitar a través de Conectar de Microsoft Entra.
  • Es una característica gratuita y no necesita ediciones de pago de Microsoft Entra ID para usarla.
  • Se admite en clientes basados en el explorador web y en clientes de Office que admiten la autenticación moderna en plataformas con la funcionalidad de autenticación de Kerberos:
SO\Explorador Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Sí* Sí*** N/D
Windows 8.1 Sí* Sí**** Sí*** N/D
Windows 8 Sí* N/D Sí*** N/D
Windows Server 2012 R2 o versiones posteriores Sí** N/D Sí*** N/D
Mac OS X N/D N/D Sí*** Sí*** Sí***

Nota:

Microsoft Edge (heredado) ya no se admite.

* Requiere Internet Explorer, versión 11 o posterior. (A partir del 17 de agosto de 2021, las aplicaciones y servicios de Microsoft 365 no admitirán Internet Explorer 11).

** Requiere Internet Explorer, versión 11 o posterior. Deshabilite el modo de protección mejorada.

*** Requiere configuración adicional.

**** Microsoft Edge basado en Chromium

Pasos siguientes