快速入门：Azure Active Directory 无缝单一登录

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Active Directory (Azure AD) 无缝单一登录（无缝 SSO）可使用户在使用连接到企业网络的企业台式机时自动登录。 无缝 SSO 可让用户轻松访问基于云的应用程序，而无需使用其他任何本地组件。

若要使用 Azure AD Connect 为 Azure AD 部署无缝 SSO，请完成以下部分中所述的步骤。

请确保符合以下先决条件：

设置 Azure AD Connect 服务器：如果使用直通身份验证作为登录方法，则无需进行其他先决条件检查。 如果使用密码哈希同步作为登录方法，并且 Azure AD Connect 与 Azure AD 之间有防火墙，则请确保：

你使用 Azure AD Connect 版本 1.1.644.0 或更高版本。

如果防火墙或代理允许，则将连接添加到通过端口 443 的 *.msappproxy.net URL 的允许列表。 如果需要特定的 URL 而不是通配符来配置代理，则可以配置 tenantid.registration.msappproxy.net，其中 tenantid 是要在其中配置该功能的租户的 GUID。 如果在组织中无法使用基于 URL 的代理例外，则可以改为允许访问每周更新的 Azure 数据中心 IP 范围。 此先决条件仅适用于启用了无缝 SSO 功能的情况。 用户直接登录不需要它。

注意

使用受支持的 Azure AD Connect 拓扑：请确保使用 Azure AD Connect 支持的拓扑之一。

注意

无缝 SSO 支持多个本地 Windows Server Active Directory (Windows Server AD) 林，无论它们之间是否存在 Windows Server AD 信任。

设置域管理员凭据：你必须为每个 Windows Server AD 林提供域管理员凭据，以便：

启用新式身份验证：若要使用此功能，必须在租户上启用新式身份验证。

使用最新版本的 Microsoft 365 客户端：若要获取 Microsoft 365 客户端（例如 Outlook、Word 或 Excel）的无提示登录体验，用户必须使用 16.0.8730.xxxx 或更高版本。

通过 Azure AD Connect 启用无缝 SSO。

注意

如果 Azure AD Connect 不能满足你的要求，可以使用 PowerShell 启用无缝 SSO。 如果每个 Windows Server AD 林具有多个域，并且你想要针对性地指向要启用无缝 SSO 的域，请使用此选项。

如果你要全新安装 Azure AD Connect，请选择自定义安装路径。 在“用户登录”页上，请选择“启用单一登录”选项。

注意

仅当所选的登录方法为“密码哈希同步”或“直通身份验证”时，该选项才适用。

如果你已安装了 Azure AD Connect，请在“其他任务”中选择“更改用户登录”，然后选择“下一步”。 如果你使用的是 Azure AD Connect 版本 1.1.880.0 或更高版本，则默认情况下将选择“启用单一登录”选项。 如果你使用的是较旧版本的 Azure AD Connect，请选择“启用单一登录”选项。

在向导中继续操作，直到出现“启用单一登录”页。 为每个 Windows Server AD 林提供域管理员凭据，以便：

完成向导后，即在租户上启用了无缝 SSO。

注意

域管理员凭据不存储在 Azure AD Connect 或 Azure AD 中。 它们仅用于启用该功能。

若要验证是否已正确启用无缝 SSO，请执行以下操作：

重要

无缝 SSO 将在每个 Windows Server AD 林的本地 Windows Server AD 目录中创建一个名为 AZUREADSSOACC 的计算机帐户。 出于安全原因，必须对 AZUREADSSOACC 计算机帐户进行严格保护。 应仅允许域管理员帐户管理该计算机帐户。 请确保计算机帐户上的 Kerberos 委派处于禁用状态，并且 Windows Server AD 中的其他帐户对 AZUREADSSOACC 计算机帐户没有委派权限。 将计算机帐户存储在组织单位中，以防止这些帐户被意外删除，并且只有域管理员才能访问它们。

注意

如果在本地环境中使用哈希传递和凭据盗用缓解体系结构，请进行适当更改，确保 AZUREADSSOACC 计算机帐户最终不会出现在“隔离”容器中。

可按照以下部分提供的说明向用户逐步推出无缝 SSO。 首先，通过 Windows Server AD 中的组策略将以下 Azure AD URL 添加到所有或所选用户的 Intranet 区域设置：

https://autologon.microsoftazuread-sso.com

还必须通过组策略启用称为“允许通过脚本更新状态栏”的 Intranet 区域策略设置。

注意

以下说明仅适用于 Windows 上的 Internet Explorer、Microsoft Edge 和 Google Chrome（如果 Google Chrome 与 Internet Explorer 共享一组受信任站点 URL）。 了解如何设置 Mozilla Firefox 和 macOS 上的 Google Chrome。

默认情况下，浏览器将自动从特定 URL 计算正确的区域（Internet 或 Intranet）。 例如，http://contoso/ 映射到 Intranet 区域，而 http://intranet.contoso.com/ 映射到 Internet 区域（因为此 URL 包含句点）。 浏览器不会将 Kerberos 票证发送到云终结点（例如 Azure AD URL），除非将此 URL 显式添加到浏览器的 Intranet 区域。

可通过两种方法来修改用户的 Intranet 区域设置：

打开“组策略管理编辑器”工具。

编辑适用于部分或全部用户的组策略。 此示例使用默认域策略。

转到“用户配置”>“策略”>“管理模板”>“Windows 组件”>“Internet Explorer”>“Internet 控制面板”>“安全页”。 选择“站点到区域分配列表”。

启用策略，然后在对话框中输入以下值：

值名称：要将 Kerberos 票证转发到的 Azure AD URL。

值（数据）：1 指示 Intranet 区域。

结果类似于以下示例：

值名称：https://autologon.microsoftazuread-sso.com

值（数据）：1

注意

如果你想阻止某些用户使用无缝 SSO（例如，如果这些用户在共享展台上登录），请将前面的值设置为 4。 此操作会将 Azure AD URL 添加到受限区域，并且用户始终无法使用无缝 SSO。

选择“确定”，然后再选择“确定”。

转到“用户配置”>“策略”>“管理模板”>“Windows 组件”>“Internet Explorer”>“Internet 控制面板”>“安全页”>“Intranet 区域”。 选择“允许通过脚本更新状态栏”。

启用策略设置，然后选择“确定”。

打开“组策略管理编辑器”工具。

编辑适用于部分或全部用户的组策略。 此示例使用默认域策略。

转到“用户配置”>“首选项”>“Windows 设置”>“注册表”>“新建”>“注册表项”。

如图所示输入或选择以下值，然后选择“确定”。

密钥路径：Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

值名称：https

值类型：REG_DWORD

值数据：00000001

后续部分将提供特定于不同类型浏览器的无缝 SSO 的相关信息。

如果要在环境中使用身份验证策略设置，请确保将 Azure AD URL (https://autologon.microsoftazuread-sso.com) 添加到 SPNEGO 部分。 还可以将 PrivateBrowsing 选项设置为 true，以允许在隐私浏览模式下使用无缝 SSO。

确保运行 macOS 的计算机已加入 Windows Server AD。

有关将 macOS 设备加入 Windows Server AD 的说明不在本文讨论范围之内。

如果已替代环境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 策略设置，请确保也向这些策略设置添加 Azure AD URL (https://autologon.microsoftazuread-sso.com)。

有关 macOS 和其他非 Windows 平台上基于 Chromium 的 Microsoft Edge，请参阅基于 Chromium 的 Microsoft Edge 策略列表，了解如何将用于集成身份验证的 Azure AD URL 添加到允许列表。

如果已替代环境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 策略设置，请确保也向这些策略设置添加 Azure AD URL (https://autologon.microsoftazuread-sso.com)。

使用第三方 Active Directory 组策略扩展将 Azure AD URL 扩展到 macOS 用户的 Firefox 和 Google Chrome 不在本文讨论范围之内。

无缝 SSO 在以增强保护模式下运行的 Internet Explorer 中不起作用。 无缝 SSO 支持基于 Chromium 的下一版本的 Microsoft Edge，它根据设计在 InPrivate 和来宾模式下工作。 不再支持 Microsoft Edge（旧版）。

可能需要根据相应的文档，为 InPrivate 或来宾用户配置 AmbientAuthenticationInPrivateModesEnabled：

要测试特定用户的功能，请确保符合以下所有条件：

若要测试用户输入用户名而不是密码的场景，请执行以下操作：

若要测试用户不必输入用户名或密码的场景，请使用以下步骤之一：

在启用功能中，Azure AD Connect 在已启用无缝 SSO 的所有 Windows Server AD 林中创建了计算机帐户（表示 Azure AD）。 若要了解详细信息，请参阅 Azure Active Directory 无缝单一登录：深入技术探究。

重要

如果泄露，可以使用计算机帐户上的 Kerberos 解密密钥为 Windows Server AD 林中的任意用户生成 Kerberos 票证。 然后，恶意执行组件可以为遭到入侵的用户模拟 Azure AD 登录。 强烈建议定期滚动更新这些 Kerberos 解密密钥，或者至少每 30 天一次。

有关如何滚动更新密钥的说明，请参阅 Azure Active Directory 无缝单一登录：常见问题。

重要

启用该功能后无需立即执行此步骤。 至少每隔 30 天滚动更新一次 Kerberos 解密密钥。