Guia de início rápido: logon único contínuo do Microsoft Entra
O Microsoft Entra no logon único contínuo (SSO contínuo) conecta automaticamente os usuários quando eles estão usando suas áreas de trabalho corporativas conectadas à sua rede corporativa. O SSO contínuo fornece aos seus usuários acesso fácil aos seus aplicativos baseados em nuvem sem usar nenhum outro componente local.
Para implantar o SSO contínuo para ID do Microsoft Entra usando o Microsoft Entra Connect, conclua as etapas descritas nas seções a seguir.
Verifique os pré-requisitos
Certifique-se de que os seguintes pré-requisitos estão em vigor:
Configurar o servidor Microsoft Entra Connect: Se você usar a autenticação de passagem como método de entrada, nenhuma outra verificação de pré-requisitos será necessária. Se você usar a sincronização de hash de senha como método de entrada e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, certifique-se de que:
Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.
Se o firewall ou proxy permitir, adicione as conexões à sua lista de permissões para
*.msappproxy.net
URLs pela porta 443. Se você precisar de uma URL específica em vez de um curinga para configuração de proxy, poderá configurartenantid.registration.msappproxy.net
, ondetenantid
é o GUID do locatário para o qual você está configurando o recurso. Se as exceções de proxy baseadas em URL não forem possíveis em sua organização, você poderá permitir o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente. Esse pré-requisito é aplicável somente quando você habilita o recurso SSO contínuo. Não é necessário para entradas diretas de usuários.Nota
- As versões 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 do Microsoft Entra Connect têm um problema relacionado à sincronização de hash de senha. Se você não pretende usar a sincronização de hash de senha em conjunto com a autenticação de passagem, consulte as notas de versão do Microsoft Entra Connect para saber mais.
Usar uma topologia compatível do Microsoft Entra Connect: verifique se você está usando uma das topologias suportadas pelo Microsoft Entra Connect.
Nota
O SSO contínuo oferece suporte a várias florestas locais do Windows Server Ative Directory (Windows Server AD), independentemente de haver ou não relações de confiança do Windows Server AD entre elas.
Configurar credenciais de administrador de domínio: você deve ter credenciais de administrador de domínio para cada floresta do Windows Server AD que:
- Você sincroniza com o Microsoft Entra ID através do Microsoft Entra Connect.
- Contém usuários para os quais você deseja habilitar o SSO contínuo.
Habilitar autenticação moderna: para usar esse recurso, você deve habilitar a autenticação moderna em seu locatário.
Use as versões mais recentes dos clientes Microsoft 365: para obter uma experiência de logon silenciosa com clientes Microsoft 365 (por exemplo, com Outlook, Word ou Excel), seus usuários devem usar as versões 16.0.8730.xxxx ou posteriores.
Nota
Se tiver um proxy HTTP de saída, certifique-se de que o URL autologon.microsoftazuread-sso.com
está na sua lista de permissões. Você deve especificar essa URL explicitamente porque o curinga pode não ser aceito.
Ativar a funcionalidade
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Habilite o SSO contínuo por meio do Microsoft Entra Connect.
Nota
Se o Microsoft Entra Connect não atender aos seus requisitos, você poderá habilitar o SSO contínuo usando o PowerShell. Use essa opção se você tiver mais de um domínio por floresta do Windows Server AD e quiser direcionar o domínio para habilitar o SSO contínuo.
Se você estiver fazendo uma nova instalação do Microsoft Entra Connect, escolha o caminho de instalação personalizado. Na página Login do usuário, selecione a opção Habilitar logon único.
Nota
A opção estará disponível para selecionar somente se o método de logon selecionado for Sincronização de Hash de Senha ou Autenticação de Passagem.
Se já tiver uma instalação do Microsoft Entra Connect, em Tarefas adicionais, selecione Alterar início de sessão do utilizador e, em seguida, selecione Seguinte. Se você estiver usando as versões 1.1.880.0 ou posteriores do Microsoft Entra Connect, a opção Habilitar logon único será selecionada por padrão. Se você estiver usando uma versão anterior do Microsoft Entra Connect, selecione a opção Habilitar logon único.
Continue pelo assistente até a página Habilitar logon único. Forneça credenciais de Administrador de Domínio para cada floresta do AD do Windows Server que:
- Você sincroniza com o Microsoft Entra ID através do Microsoft Entra Connect.
- Contém usuários para os quais você deseja habilitar o SSO contínuo.
Quando você conclui o assistente, o SSO contínuo é habilitado em seu locatário.
Nota
As credenciais de Administrador de Domínio não são armazenadas no Microsoft Entra Connect ou no Microsoft Entra ID. Só são utilizadas para ativar a funcionalidade.
Para verificar se ativou o SSO Totalmente Integrado corretamente:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
- Navegue até Gerenciamento híbrido de>identidade>, sincronização do Microsoft Entra Connect>Connect.
- Verifique se Logon único contínuo está definido como Habilitado.
Importante
O SSO contínuo cria uma conta de computador nomeada AZUREADSSOACC
em cada floresta do AD do Windows Server no diretório local do AD do Windows Server. A AZUREADSSOACC
conta do computador deve ser fortemente protegida por razões de segurança. Somente as contas de Administrador de Domínio devem ter permissão para gerenciar a conta de computador. Verifique se a delegação Kerberos na conta de computador está desabilitada e se nenhuma outra conta no Windows Server AD tem permissões de delegação na conta de AZUREADSSOACC
computador. Armazene as contas de computador em uma unidade organizacional para que elas estejam protegidas contra exclusões acidentais e apenas os administradores de domínio possam acessá-las.
Nota
Se você estiver usando as arquiteturas Pass-the-Hash e Credential Theft Mitigation em seu ambiente local, faça as alterações apropriadas para garantir que a conta do AZUREADSSOACC
computador não acabe no contêiner de quarentena.
Implementar a funcionalidade
Você pode implantar gradualmente o SSO contínuo para seus usuários usando as instruções fornecidas nas próximas seções. Comece adicionando a seguinte URL do Microsoft Entra a todas as configurações de zona da intranet do usuário ou selecionadas por meio da Diretiva de Grupo no Windows Server AD:
https://autologon.microsoftazuread-sso.com
Você também deve habilitar uma configuração de diretiva de zona da intranet chamada Permitir atualizações na barra de status por meio de script por meio da Diretiva de Grupo.
Nota
As instruções a seguir funcionam apenas para o Internet Explorer, Microsoft Edge e Google Chrome no Windows (se o Google Chrome compartilhar um conjunto de URLs de sites confiáveis com o Internet Explorer). Saiba como configurar o Mozilla Firefox e o Google Chrome no macOS.
Por que você precisa modificar as configurações de zona da intranet do usuário
Por padrão, um navegador calcula automaticamente a zona correta, seja internet ou intranet, a partir de um URL específico. Por exemplo, http://contoso/
mapeia para a zona da intranet e http://intranet.contoso.com/
mapeia para a zona da Internet (porque o URL contém um ponto). Os navegadores não enviam tíquetes Kerberos para um ponto de extremidade na nuvem, como a URL do Microsoft Entra, a menos que você adicione explicitamente a URL à zona da intranet do navegador.
Há duas maneiras de modificar as configurações de zona da intranet do usuário:
Opção | Consideração do administrador | Experiência de utilizador |
---|---|---|
Política de grupo | O administrador bloqueia a edição das configurações de zona da intranet | Os usuários não podem modificar suas próprias configurações |
Preferência de política de grupo | Admin permite a edição de configurações de zona da intranet | Os usuários podem modificar suas próprias configurações |
Etapas detalhadas da política de grupo
Abra a ferramenta Editor de Gerenciamento de Diretiva de Grupo.
Edite a política de grupo aplicada a alguns ou a todos os seus usuários. Este exemplo usa a Diretiva de Domínio Padrão.
Vá para Políticas>de Configuração>do Usuário, Modelos Administrativos>, Componentes do Windows,>Internet Explorer>, Página de Segurança do Painel de Controle da>Internet. Selecione Lista de Atribuição de Site a Zona.
Habilite a política e insira os seguintes valores na caixa de diálogo:
Nome do valor: A URL do Microsoft Entra para onde os tíquetes Kerberos são encaminhados.
Valor (Dados): 1 indica a zona da intranet.
O resultado é semelhante a este exemplo:
Nome do valor:
https://autologon.microsoftazuread-sso.com
Valor (Dados): 1
Nota
Se você quiser impedir que alguns usuários usem o SSO contínuo (por exemplo, se esses usuários entrarem em quiosques compartilhados), defina os valores anteriores como 4. Esta ação adiciona a URL do Microsoft Entra à zona restrita e o SSO contínuo falha para os usuários o tempo todo.
Selecione OK e, em seguida, selecione OK novamente.
Vá para Políticas>de Configuração>do Usuário, Modelos Administrativos>, Componentes do Windows,>Internet Explorer>, Painel de Controle da>Internet, Página>de Segurança, Zona da Intranet. Selecione Permitir atualizações na barra de status via script.
Habilite a configuração de política e selecione OK.
Etapas detalhadas da preferência de política de grupo
Abra a ferramenta Editor de Gerenciamento de Diretiva de Grupo.
Edite a política de grupo aplicada a alguns ou a todos os seus usuários. Este exemplo usa a Diretiva de Domínio Padrão.
Vá para Preferências de Configuração>do>Usuário, Registro de Configurações>do>Windows, Novo>item do Registro.
Insira ou selecione os seguintes valores, conforme demonstrado e, em seguida, selecione OK.
Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
Nome do valor: https
Tipo de valor: REG_DWORD
Dados do valor: 00000001
Considerações sobre o browser
As próximas seções têm informações sobre SSO contínuo que são específicas para diferentes tipos de navegadores.
Mozilla Firefox (todas as plataformas)
Se você estiver usando as configurações de política de autenticação em seu ambiente, certifique-se de adicionar a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com
) à seção SPNEGO . Você também pode definir a opção PrivateBrowsing como true para permitir o SSO contínuo no modo de navegação privada.
Safari (macOS)
Certifique-se de que a máquina que executa o macOS está associada ao Windows Server AD.
As instruções para associar o seu dispositivo macOS ao Windows Server AD estão fora do âmbito deste artigo.
Microsoft Edge baseado no Chromium (todas as plataformas)
Se você substituiu as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar também a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com
) a essas configurações de política.
Microsoft Edge baseado no Chromium (macOS e outras plataformas não Windows)
Para Microsoft Edge baseado no Chromium no macOS e outras plataformas que não sejam Windows, consulte a Lista de Políticas do Microsoft Edge baseada no Chromium para obter informações sobre como adicionar o URL do Microsoft Entra para autenticação integrada à sua lista de permissões.
Google Chrome (todas as plataformas)
Se você substituiu as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar também a URL do Microsoft Entra (https://autologon.microsoftazuread-sso.com
) a essas configurações de política.
macOS
O uso de extensões de Política de Grupo do Ative Directory de terceiros para distribuir o URL do Microsoft Entra para usuários do Firefox e do Google Chrome para macOS está fora do escopo deste artigo.
Limitações conhecidas do navegador
O SSO contínuo não funciona no Internet Explorer se o navegador estiver sendo executado no modo Protegido Avançado. O SSO contínuo suporta a próxima versão do Microsoft Edge baseada no Chromium e funciona nos modos InPrivate e Convidado por design. O Microsoft Edge (legado) já não é suportado.
Talvez seja necessário configurar AmbientAuthenticationInPrivateModesEnabled
para usuários InPrivate ou convidados com base na documentação correspondente:
Teste SSO contínuo
Para testar o recurso para um usuário específico, verifique se todas as seguintes condições estão em vigor:
- O usuário entra em um dispositivo corporativo.
- O dispositivo ingressou no domínio do Windows Server AD. O dispositivo não precisa estar associado ao Microsoft Entra.
- O dispositivo tem uma conexão direta com o controlador de domínio, seja na rede corporativa com ou sem fio ou através de uma conexão de acesso remoto, como uma conexão VPN.
- Você distribuiu o recurso para esse usuário por meio da Diretiva de Grupo.
Para testar um cenário em que o usuário insere um nome de usuário, mas não uma senha:
- Iniciar sessão para https://myapps.microsoft.com. Certifique-se de limpar o cache do navegador ou usar uma nova sessão privada do navegador com qualquer um dos navegadores suportados no modo privado.
Para testar um cenário em que o usuário não precisa inserir um nome de usuário ou senha, use uma destas etapas:
- Iniciar sessão para
https://myapps.microsoft.com/contoso.onmicrosoft.com
. Certifique-se de limpar o cache do navegador ou usar uma nova sessão privada do navegador com qualquer um dos navegadores suportados no modo privado. Substituacontoso
pelo nome do locatário. - Inicie sessão numa nova sessão privada do
https://myapps.microsoft.com/contoso.com
browser. Substituacontoso.com
por um domínio verificado (não um domínio federado) em seu locatário.
Teclas de rolagem
Em Habilitar o recurso, o Microsoft Entra Connect cria contas de computador (representando o ID do Microsoft Entra) em todas as florestas do AD do Windows Server nas quais você habilitou o SSO contínuo. Para saber mais, consulte Microsoft Entra seamless single sign-on: Technical deep dive.
Importante
A chave de descriptografia Kerberos em uma conta de computador, se vazada, pode ser usada para gerar tíquetes Kerberos para qualquer usuário sincronizado. Os agentes mal-intencionados podem então se passar por entradas do Microsoft Entra para usuários comprometidos. É altamente recomendável rolar periodicamente essas chaves de descriptografia Kerberos, ou pelo menos uma vez a cada 30 dias.
Para obter instruções sobre como rolar chaves, consulte Microsoft Entra seamless single sign-on: perguntas frequentes.
Importante
Você não precisa fazer essa etapa imediatamente após ter ativado o recurso. Passe as chaves de desencriptação Kerberos pelo menos uma vez a cada 30 dias.
Próximos passos
- Aprofundamento técnico: entenda como funciona o recurso de logon único contínuo.
- Perguntas frequentes: obtenha respostas para as perguntas frequentes sobre o logon único contínuo.
- Solução de problemas: saiba como resolver problemas comuns com o recurso de logon único contínuo.
- UserVoice: Use o Fórum do Microsoft Entra para arquivar novas solicitações de recursos.