Поддержка удостоверений и настройка Microsoft Edge
В этой статье описывается, как Microsoft Edge использует удостоверения для поддержки таких функций, как синхронизация и единый вход (SSO). Microsoft Edge поддерживает вход с помощью доменных служб Active Directory (AD DS), Идентификатора Microsoft Entra и учетных записей Майкрософт (MSA). В настоящее время Microsoft Edge поддерживает только учетные записи Microsoft Entra, принадлежащие глобальному облаку или национальному облаку GCC. Мы работаем над добавлением поддержки для других национальных облаков.
Примечание.
Эта статья относится к Microsoft Edge версии 77 или более поздней.
Вход в браузер и аутентифицированные функции
Microsoft Edge поддерживает вход в профиль браузера с помощью идентификатора Microsoft Entra, MSA или учетной записи домена. Тип учетной записи, используемой для входа, определяет, какие аутентифицированные функции доступны для пользователя в Microsoft Edge. В следующей таблице представлены общие сведения о поддержке функций для всех типов учетных записей.
| Функция | Идентификатор Microsoft Entra | Microsoft Entra ID Free | Локальные службы AD DS | Учетная запись Майкрософт |
|---|---|---|---|---|
| Синхронизация | Да | Нет | Нет | Да |
| Единый вход с основным маркером обновления | Да | Да | Нет | Да |
| Простой единый вход | Да | Да | Да | Н/Д |
| Встроенная проверка подлинности Windows | Да | Да | Да | Н/Д |
| Страница с новой в кладкой в Enterprise | Необходим O365 | Необходим O365 | Нет | Н/Д |
| Поиск (Майкрософт) | Необходим O365 | Необходим O365 | Нет | Н/Д |
Как пользователи могут войти в Microsoft Edge
Автоматический вход
Microsoft Edge использует учетную запись ОС по умолчанию для автоматического входа в браузер. В зависимости от того, как настроено устройство, пользователи могут автоматически войти в Microsoft Edge, используя один из следующих подходов.
- Устройство является гибридным/AAD-J: доступно в Win10, Windows более низкого уровня и соответствующих версиях сервера. Пользователь автоматически войдет в систему со своей учетной записью Microsoft Entra.
- Устройство подключено к домену: Доступно в Win10, Windows более низкого уровня и соответствующих версиях сервера. По умолчанию пользователь не входит в систему автоматически. Если вы хотите автоматически выполнять вход пользователей с учетными записями домена, используйте политику ConfigureOnPremisesAccountAutoSignIn. Если вы хотите автоматически входить в систему пользователей с помощью учетных записей Microsoft Entra, рассмотрите возможность гибридного присоединения устройств.
- Учетная запись ОС по умолчанию — MSA: Windows 10 Fall Creators Update (версия 1709/сборка 10.0.16299) и более поздних версий. Этот сценарий маловероятен на корпоративных устройствах. Но если учетная запись ОС по умолчанию — MSA, Microsoft Edge автоматически выполняет вход с учетной записью MSA.
Ручной вход
Если пользователь не вошел в Microsoft Edge автоматически, он может вручную войти в Microsoft Edge при первом запуске, настройках браузера или открыв всплывающую личность.
Управление входом в браузер
Если вы хотите управлять входом в браузер, вы можете использовать следующие политики:
- Убедитесь, что у пользователей всегда есть рабочий профиль в Microsoft Edge. Смотрите NonRemovableProfileEnabled
- Ограничить вход в надежный набор учетных записей. Смотрите RestrictSigninToPattern
- Отключить или принудительно войти в браузер. Смотрите BrowserSignin
Браузер для единого входа в Интернет (SSO)
На некоторых платформах вы можете настроить Microsoft Edge для автоматического входа на веб-сайты для ваших пользователей. Эта опция избавляет их от необходимости повторно вводить свои учетные данные для доступа к рабочим веб-сайтам и повышает их производительность.
Единый вход с основным маркером обновления (PRT)
Microsoft Edge имеет встроенную поддержку единого входа на основе PRT, и вам не нужно расширение. В Windows 10 Fall Creators Update и более поздних версиях, если пользователь вошел в свой профиль браузера, он получает единый вход с механизмом PRT на веб-сайты, поддерживающие единый вход на основе PRT.
Основной маркер обновления (PRT) — это ключ идентификатора Microsoft Entra, который используется для проверки подлинности на устройствах Windows 10/11, iOS и Android. Он активирует функцию единого входа (SSO) в приложениях, используемых на этих устройствах. Дополнительные сведения см. в разделе Что такое основной маркер обновления?.
Простой единый вход
Как и PRT SSO, Microsoft Edge имеет встроенную поддержку бесшовного SSO без необходимости расширения. В Windows 10 Fall Creators Update и более поздних версиях, если пользователь вошел в свой профиль браузера, он получает единый вход с механизмом PRT на веб-сайты, поддерживающие единый вход на основе PRT.
Беспрепятственный единый вход автоматически регистрирует пользователей, когда они находятся на корпоративных устройствах, подключенных к корпоративной сети. Если этот параметр включен, пользователям не нужно вводить пароли для входа в Microsoft Entra ID. Обычно им даже не нужно вводить свои имена пользователей. Для получения дополнительных сведений см. раздел Простой единый вход в Active Directory.
Встроенная проверка подлинности Windows (WIA)
Microsoft Edge также поддерживает встроенную проверку подлинности Windows для запросов проверки подлинности во внутренней сети организации для любого приложения, которое использует браузер для своей проверки подлинности. Это поддерживается во всех версиях Windows 10/11 и Windows нижнего уровня. По умолчанию Microsoft Edge использует зону интрасети в качестве списка разрешений для WIA. Кроме того, вы можете настроить список серверов, поддерживающих интегрированную проверку подлинности, с помощью политики AuthServerAllowlist. В macOS эта политика требуется для включения интегрированной проверки подлинности.
Для поддержки единого входа на основе WIA в Microsoft Edge (версия 77 и выше) вам также может потребоваться выполнить настройку на стороне сервера. Вероятно, вам потребуется настроить свойство Служб федерации Active Directory (AD FS) WiaSupportedUserAgents , чтобы добавить поддержку новой строки агента пользователя Microsoft Edge. Инструкции о том, как это сделать, см. в параметрыПросмотр WIASupportedUserAgents и Изменение Change WIASupportedUserAgent. Пример строки пользовательского агента Microsoft Edge в Windows 10 показан ниже, и вы можете узнать больше о строке Microsoft Edge UA здесь.
Следующий пример строки агента пользователя относится к последней сборке канала Dev на момент публикации этой статьи:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
Для служб, требующих делегирования учетных данных для согласования, Microsoft Edge поддерживает ограниченные делегирования с помощью политики AuthNegotiateDelegateAllowlist.
Дополнительные концепции проверки подлинности
Упреждающий способ проверки подлинности
Упреждающий способ проверки подлинности - это оптимизация единого входа через браузер на веб-сайт, которая загружает аутентификацию на некоторые сторонние веб-сайты. Это повышает производительность адресной строки, если пользователь использует Bing в качестве поисковой системы. Это дает пользователям персонализированные и поисковые результаты в Microsoft Search для бизнеса. Он также позволяет выполнять проверку подлинности для ключевых служб, таких как страница новой вкладки Office, MSN и Microsoft Copilot.
Примечание.
Вы можете управлять этой службой с помощью политики ProactiveAuthWorkflowEnabled для Microsoft Edge версии 126 или более поздней. или с помощью политики ProactiveAuthEnabled для Microsoft Edge версии 90 или более поздней. Если вы хотите настроить вход в браузер, используйте политику BrowserSignin .
Windows Hello CredUI для аутентификации NTLM
Когда веб-сайт пытается подписать пользователей, используя механизмы NTLM или Negotiate, и SSO недоступен, мы предлагаем пользователям возможность поделиться своими учетными данными ОС с веб-сайтом, чтобы выполнить задачу аутентификации с помощью Windows Hello Cred UI. Этот поток входа будет отображаться только для пользователей Windows 10/11, которые не получают единый вход во время запроса NTLM или Negotiate.
Войдите в систему автоматически, используя сохраненные пароли
Если пользователь сохраняет пароли в Microsoft Edge, они могут включить функцию, которая автоматически регистрирует их на веб-сайтах, где они сохранили свои учетные данные. Пользователи могут переключать эту функцию, перейдя к edge://settings/passwords. Если вы хотите настроить эту возможность, вы можете использовать политики менеджера паролей.