Microsoft Entra sömlös inloggning: Vanliga frågor

  • Vanliga frågor

I den här artikeln tar vi upp vanliga frågor om sömlös enkel inloggning med Microsoft Entra (sömlös enkel inloggning). Kom snart tillbaka och ta del av nytt innehåll.

Vilka inloggningsmetoder fungerar sömlös enkel inloggning med

Seamless SSO kan kombineras med inloggningsmetoderna synkronisering av lösenordshash och autentisering via direktströmning. Den här funktionen kan dock inte användas med Active Directory usluge za ujedinjavanje (ADFS).

Är sömlös enkel inloggning en kostnadsfri funktion?

Sömlös enkel inloggning är en kostnadsfri funktion och du behöver inga betalda utgåvor av Microsoft Entra ID för att använda den.

Är sömlös enkel inloggning tillgänglig i Microsoft Azure Germany-molnet och Microsoft Azure Government-molnet?

Sömlös enkel inloggning är tillgängligt för Azure Government-molnet. Mer information finns i hybrididentitetsöverväganden för Azure Government.

Vilka program drar nytta av parameterfunktionen "domain_hint" eller "login_hint" för sömlös enkel inloggning?

Tabellen har en lista över program som kan skicka dessa parametrar till Microsoft Entra-ID. Den här åtgärden ger användarna en tyst inloggningsupplevelse med sömlös enkel inloggning.:

Appnamn Program-URL
Åtkomstpanel https://myapps.microsoft.com/contoso.com
Outlook på webben https://outlook.office365.com/contoso.com
Office 365-portaler https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

Dessutom får användarna en tyst inloggningsupplevelse om ett program skickar inloggningsbegäranden till Microsoft Entra-slutpunkter som konfigurerats som klientorganisationer, https://login.microsoftonline.com/contoso.com/<dvs. ..> eller https://login.microsoftonline.com/<tenant_ID>/<..> – i stället för den vanliga Microsoft Entra-slutpunkten – dvs https://login.microsoftonline.com/common/<. ...>. Tabellen har en lista över program som gör dessa typer av inloggningsbegäranden.

Appnamn Program-URL
SharePoint Online https://contoso.sharepoint.com
Administrationscenter för Microsoft Entra https://portal.azure.com/contoso.com

I tabellerna ovan ersätter du "contoso.com" med ditt domännamn för att komma till rätt program-URL:er för din klientorganisation.

Om du vill att andra program ska använda vår upplevelse för tyst inloggning kan du meddela oss i feedbackavsnittet.

Stöder sömlös enkel inloggning "alternativt ID" som användarnamn i stället för "userPrincipalName"?

Ja. Sömlös enkel inloggning stöder Alternate ID som användarnamn när det konfigureras i Microsoft Entra Connect enligt nedan. Alla Microsoft 365-program stöder Alternate IDinte . Information om vilka program som stöder funktionen finns i den tillhörande dokumentationen.

Vad är skillnaden mellan den enkel inloggningsupplevelse som tillhandahålls av Microsoft Entra-anslutning och sömlös enkel inloggning?

Microsoft Entra Join tillhandahåller enkel inloggning till användare om deras enheter är registrerade med Microsoft Entra-ID. Sådana enheter behöver inte nödvändigtvis vara domänanslutna. Enkel inloggning tillhandahålls med hjälp av primära uppdateringstoken eller PRT och inte Kerberos. Användarupplevelsen är anpassad för enheter med Windows 10. Enkel inloggning sker automatiskt i webbläsaren Microsoft Edge. Det fungerar även i Chrome med hjälp av ett webbläsartillägg.

Du kan använda Microsoft Entra-anslutning och sömlös enkel inloggning i din klientorganisation. De två funktionerna kompletterar varandra. Om båda funktionerna är aktiverade har enkel inloggning från Microsoft Entra-anslutning företräde framför sömlös enkel inloggning.

Jag vill registrera icke-Windows 10-enheter med Microsoft Entra-ID, utan att använda AD FS. Kan jag använda sömlös enkel inloggning i stället?

Ja, det här scenariot behöver version 2.1 eller senare av klienten för arbetsplatsanslutning.

Hur kan jag rulla över Kerberos-dekrypteringsnyckeln för datorkontot "AZUREADSSO"?

Det är viktigt att du ofta rullar över Kerberos-dekrypteringsnyckeln AZUREADSSO för datorkontot (som representerar Microsoft Entra-ID) som skapats i din lokala AD-skog.

Viktigt!

Vi rekommenderar starkt att du rullar över Kerberos-dekrypteringsnyckeln minst var 30:e dag med hjälp av cmdleten Update-AzureADSSOForest . När du använder cmdleten Update-AzureADSSOForest kontrollerar du att du inte kör Update-AzureADSSOForest kommandot mer än en gång per skog. Då slutar funktionen att fungera tills användarnas Kerberos-biljetter upphör att gälla och sedan utfärdas i ditt lokala Active Directory på nytt.

Följ de här stegen på den lokala servern där du kör Microsoft Entra Connect:

Kommentar

Du behöver autentiseringsuppgifter för domänadministratör och hybrididentitetsadministratör för stegen. Om du inte är domänadministratör och har tilldelats behörigheter av domänadministratören bör du anropa Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount

Steg 1. Hämta en lista över AD-skogar där sömlös enkel inloggning är aktiverat

  1. Ladda först ner och installera Azure AD PowerShell.
  2. Gå till mappen $env:programfiles"\Microsoft Azure Active Directory Connect".
  3. Importera PowerShell-modulen för smidig SSO med det här kommandot: Import-Module .\AzureADSSO.psd1.
  4. Kör PowerShell som administratör. Anropa New-AzureADSSOAuthenticationContext i PowerShell. Det här kommandot bör ge dig ett popup-fönster för att ange autentiseringsuppgifterna för din klientorganisations hybrididentitetsadministratör.
  5. Anropa Get-AzureADSSOStatus | ConvertFrom-Json. Det här kommandot innehåller en lista över AD-skogar (titta på listan "Domäner") där den här funktionen har aktiverats.

Steg 2. Uppdatera Kerberos-dekrypteringsnyckeln för varje AD-skog där den är konfigurerad

  1. Anropa $creds = Get-Credential. När du uppmanas till det anger du autentiseringsuppgifterna för domänadministratören för den aktuella AD-skogen.

Kommentar

Användarnamnet för domänadministratörens autentiseringsuppgifter måste anges i formatet SAM-kontonamn (contoso\johndoe eller contoso.com\johndoe). Vi använder domändelen av användarnamnet till att hitta domänadministratörens domänkontrollant via DNS.

Kommentar

Det domänadministratörskonto som används får inte vara medlem i gruppen Skyddade användare. I så fall misslyckas åtgärden.

  1. Anropa Update-AzureADSSOForest -OnPremCredentials $creds. Det här kommandot uppdaterar Kerberos-dekrypteringsnyckeln för datorkontot AZUREADSSO i den här specifika AD-skogen och uppdaterar den i Microsoft Entra ID.

  2. Upprepa föregående steg för varje AD-skog där funktionen är aktiverad.

Kommentar

Om du uppdaterar en annan skog än Microsoft Entra Connect en kontrollerar du att anslutningen till den globala katalogservern (TCP 3268 och TCP 3269) är tillgänglig.

Viktigt!

Detta behöver inte göras på servrar som kör Microsoft Entra Connect i mellanlagringsläge.

Hur inaktiverar jag sömlös enkel inloggning?

Steg 1. Inaktivera funktionen i din klientorganisation

Alternativ A: Inaktivera användning av Microsoft Entra Connect

  1. Kör Microsoft Entra Connect, välj Ändra inloggningssida för användare och klicka på Nästa.
  2. Avmarkera alternativet Aktivera enkel inloggning. Fortsätt med guiden.

När du har slutfört guiden inaktiveras sömlös enkel inloggning i klientorganisationen. Du ser dock ett meddelande på skärmen som ser ut så här:

"Enkel inloggning är nu inaktiverat, men det finns andra manuella steg att utföra för att slutföra rensningen. Läs mer"

Följ steg 2 och 3 på den lokala servern där du kör Microsoft Entra Connect för att slutföra rensningsprocessen.

Alternativ B: Inaktivera med PowerShell

Kör följande steg på den lokala servern där du kör Microsoft Entra Connect:

  1. Ladda först ner och installera Azure AD PowerShell.
  2. Gå till mappen $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importera PowerShell-modulen för smidig SSO med det här kommandot: Import-Module .\AzureADSSO.psd1.
  4. Kör PowerShell som administratör. Anropa New-AzureADSSOAuthenticationContext i PowerShell. Det här kommandot bör ge dig ett popup-fönster för att ange autentiseringsuppgifterna för din klientorganisations hybrididentitetsadministratör.
  5. Anropa Enable-AzureADSSO -Enable $false.

Vid den här tidpunkten är sömlös enkel inloggning inaktiverad, men domänerna förblir konfigurerade om du vill aktivera sömlös enkel inloggning igen. Om du vill ta bort domänerna från sömlös SSO-konfiguration helt anropar du följande cmdlet när du har slutfört steg 5 ovan: Disable-AzureADSSOForest -DomainFqdn <fqdn>.

Viktigt!

Om du inaktiverar sömlös enkel inloggning med PowerShell ändras inte tillståndet i Microsoft Entra Connect. Sömlös enkel inloggning visas som aktiverad på inloggningssidan Ändra användare.

Kommentar

Om du inte har någon Microsoft Entra Connect Sync-server kan du ladda ned en och köra den första installationen. Detta konfigurerar inte servern, men den packar upp de filer som krävs för att inaktivera enkel inloggning. När MSI-installationen är klar stänger du guiden Microsoft Entra Connect och kör stegen för att inaktivera sömlös enkel inloggning med PowerShell.

Steg 2. Hämta listan med AD-skogar där smidig enkel inloggning är aktiverad

Följ uppgifterna 1 till 4 om du har inaktiverat sömlös enkel inloggning med hjälp av Microsoft Entra Connect. Om du har inaktiverat sömlös enkel inloggning med PowerShell i stället kan du gå vidare till uppgift 5.

  1. Ladda först ner och installera Azure AD PowerShell.
  2. Gå till mappen $env:ProgramFiles"\Microsoft Azure Active Directory Connect".
  3. Importera PowerShell-modulen för smidig SSO med det här kommandot: Import-Module .\AzureADSSO.psd1.
  4. Kör PowerShell som administratör. Anropa New-AzureADSSOAuthenticationContext i PowerShell. Det här kommandot bör ge dig ett popup-fönster för att ange autentiseringsuppgifterna för din klientorganisations hybrididentitetsadministratör.
  5. Anropa Get-AzureADSSOStatus | ConvertFrom-Json. Kommandot visar en lista med AD-skogar (se listan ”Domäner”) där funktionen är aktiverad.

Steg 3. Ta bort datorkontot AZUREADSSO manuellt från varje AD-skog som visas i listan.

Nästa steg

  • Snabbstart – Kom igång med Sömlös enkel inloggning med Microsoft Entra.
  • Teknisk djupdykning – Förstå hur den här funktionen fungerar.
  • Felsökning – Lär dig hur du löser vanliga problem med funktionen.
  • UserVoice – för att skicka in nya funktionsbegäranden.