Bei der Konfiguration von Entra ID Connect Sync haben Sie in den „Synchronisationsoptionen“ unter „Einmaliges Anmelden“ die Option das so genannte „Seamless Single Sign-On“ zu aktivieren. Ich stelle in meinen Kursen fest, dass es hier häufig Missverständnisse gibt.
Sie benötigen dieses Funktion wider Erwarten nämlich NICHT, wenn Sie erreichen möchten, dass sich ihren Nutzer nachdem Sie sich auf einen Unternehmensgerät mit ihrem Organisationkonto am Device selbst oder im Browser bei einem der MS-Clouddienste angemeldet haben nicht noch einmal authentifizieren müssen, wenn Sie auf einen anderen MS-Clouddienst oder von einem anderen HTML-fähigen Browser, bzw. Unternehmensgerät auf den gleichen Clouddienst zugreifen möchte. Diese Funktion ist quasi automatisch gegeben, wenn das betreffende Geräte hybrid-joined ist und der Nutzer ein hybrides Konto (Organisationskonto) dazu nutzt.
Es gibt nämlich grundsätzlich zwei unterschiedliche SSO-Methoden im Kontext von Microsoft Entra ID Hybrid Join. Die hier beschriebene Funktion nennt sich übrigens „Single Sign-On via Primary Refresh Token (PRT)“ im Gegensatz zum in der Einleitung erwähnten „Seamless Single Sign-On (Seamless SSO)“, welches nur in Ausnahmefällen explizit im Entra-IT-Connect aktiviert werden muss. Hier eine Klarstellung:
Single Sign-On via Primary Refresh Token (PRT)
- Funktionsweise: Hierbei wird ein JSON Web Token (PRT) beim Login auf einem Entra ID joined oder Hybrid joined Gerät ausgestellt. Dieses Token ermöglicht SSO für Cloud-Apps.
- Zielgruppe: Moderne Windows-Versionen (ab Windows 10), iOS, Android.
- Default bei Hybrid Join: PRT ist die Standard-SSO-Methode, sobald ein Gerät erfolgreich hybrid joined ist.
- Vorteile:
- Kein zusätzlicher Konfigurationsaufwand in Entra Connect.
- Funktioniert auch außerhalb des Firmennetzwerks.
- Kein Kerberos notwendig.
- Unterstützt moderne Authentifizierungsprotokolle wie „OpenID Connect“ und „OAuth“
Seamless Single Sign-On (Seamless SSO)
- Funktionsweise: Nutzt Kerberos-Tickets, um Benutzer automatisch anzumelden, wenn sie sich im Firmennetzwerk befinden und ein „domain-joined“ Gerät verwenden.
- Zielgruppe: Vor allem für ältere Windows-Versionen wie Windows 7 und 8.1 gedacht.
- Konfiguration: Wird explizit in Microsoft Entra Connect aktiviert. Sie finden die Option im Setup-Wizard unter „Benutzeranmeldung“.
- Technische Voraussetzungen:
- Geräte müssen „domain-joined“ sein.
- Der Dienstkonto „AZUREADSSOACC“ wird erstellt.
- Browser müssen für die URL
autologon.microsoftazuread-sso.comkonfiguriert sein (z. B. per GPO).
- Einschränkungen:
- Funktioniert „nicht“ auf Windows 10/11 Geräten, die Entra ID joined oder Hybrid joined sind.
- Zusätzlicher Verwaltungsaufwand durch Passwortrotation des Dienstkontos.
- Sicherheitsrisiken bei falscher Konfiguration.
Fazit
PRT ist die empfohlene und moderne Methode für SSO bei Hybrid Join. Sie wird automatisch verwendet, wenn Geräte hybrid joined sind und moderne OS-Versionen nutzen. Hierzu ist keine separate Konfiguration in Entra Connect nötig.
Seamless SSO ist eine ältere Lösung, die nur in bestimmten Legacy-Szenarien sinnvoll ist. Sie muss aktiv im Entra Connect Setup-Wizard ausgewählt, kann aber auch nachträglich über die GUI oder PowerShell aktiviert/deaktiviert werden.