本文介绍了 Microsoft Edge 如何使用标识支持同步和单一登录(SSO)等功能。 Microsoft Edge 支持使用 ACTIVE DIRECTORY 域服务 (AD DS) 、Microsoft Entra ID 和 Microsoft 帐户 (MSA) 登录。 目前,Microsoft Edge 仅支持属于全局云或 GCC 主权云的Microsoft Entra帐户。 我们正在努力添加对其他主权云的支持。
注意
本文适用于 Microsoft Edge 版本 77 或更高版本。
浏览器登录和身份验证功能
Microsoft Edge 支持使用Microsoft Entra ID、MSA 或域帐户登录浏览器配置文件。 用于登录的帐户类型确定 Microsoft Edge 中的用户可以使用哪些经过身份验证的功能。 下表总结了每种帐户类型的功能支持。
| 功能 | Microsoft Entra ID | Microsoft Entra ID 免费 | 本地 AD DS | MSA |
|---|---|---|---|---|
| 同步 | 是 | 否 | 否 | 是 |
| 采用主刷新令牌的 SSO | 是 | 是 | 否 | 是 |
| 无缝 SSO | 是 | 是 | 是 | 不适用 |
| 集成的 Windows 身份验证 | 是 | 是 | 是 | 不适用 |
| 企业新选项卡页 | 需要 O365 | 需要 O365 | 否 | 不适用 |
| Microsoft 搜索 | 需要 O365 | 需要 O365 | 否 | 不适用 |
用户如何登录 Microsoft Edge
自动登录
Microsoft Edge 使用操作系统默认帐户自动登录浏览器。 根据设备的配置方式,用户可以使用以下方法之一自动登录 Microsoft Edge。
- 设备是混合/AAD 加入: 可用于 Win10、早期版本 Windows 和相应的服务器版本。 用户使用其Microsoft Entra帐户自动登录。
- 设备加入域: 可用于 Win10、早期版本 Windows 和相应的服务器版本。 默认情况下,用户不会自动登录。 如果用户以域账户登录,使用ConfigureOnPremisesAccountAutoSignIn策略。 如果要使用其Microsoft Entra帐户自动登录用户,请考虑混合加入设备。
- OS 默认帐户为 MSA:Windows 10 Fall Creators Update (版本 1709/内部版本 10.0.16299) 及更高版本。 在企业设备上不太可能出现这种情况。 但是,如果 OS 默认帐户为 MSA,Microsoft Edge 会自动使用 MSA 帐户登录。
手动登录
如果用户未自动登录到 Microsoft Edge,则可在首次运行体验、浏览器设置或打开“身份”浮出控件过程中手动登录 Microsoft Edge。
管理浏览器登录
如果要管理浏览器登录,可以使用以下策略:
- 确保用户在 Microsoft Edge 中始终有工作配置文件。 参见 NonRemovableProfileEnabled
- 将登录限制为受信任的帐户组。 参见 RestrictSigninToPattern
- 禁用或强制浏览器登录。 参见 BrowserSignin
浏览器至 Web 单一登录(SSO)
在部分平台上,可配置 Microsoft Edge 以让用户登录网站。 通过此选项,免除了他们重新输入凭据以访问工作网站的麻烦,并提高了工作效率。
采用主刷新令牌 (PRT) 的 SSO
Microsoft Edge 对基于 PRT 的 SSO 提供本机支持,不需要扩展。 在Windows 10 Fall Creators Update及更高版本中,如果用户登录到其浏览器配置文件,则他们可以使用 PRT 机制将 SSO 连接到支持基于 PRT 的 SSO 的网站。
主刷新令牌 (PRT) 是用于在 Windows 10/11、iOS 和 Android 设备上进行身份验证的Microsoft Entra ID 密钥。 它支持在这些设备上使用的应用程序中进行单一登录 (SSO)。 有关详细信息,请参阅主刷新令牌是什么?。
无缝 SSO
正如 PRT SSO 一样,Microsoft Edge 提供本机无缝 SSO 支持,无需扩展。 在Windows 10 Fall Creators Update及更高版本中,如果用户登录到其浏览器配置文件,则他们可以使用 PRT 机制将 SSO 连接到支持基于 PRT 的 SSO 的网站。
当用户在连接到公司网络的公司设备上时,无缝单一登录会自动为用户签名。 启用后,用户无需键入其密码即可登录到Microsoft Entra ID。 通常,他们甚至不必键入用户名。 有关详细信息,请参阅 Azure Active Directory 无缝单一登录。
Windows 集成身份验证 (WIA)
Microsoft Edge 还支持 Windows 集成身份验证,以便在组织内部网络中对使用浏览器进行身份验证的任何应用程序提出身份验证请求。 所有版本的 Windows 10/11 和下层 Windows 都支持此作。 默认情况下,Microsoft Edge 使用 Intranet 区域作为 WIA 的允许列表。 或者,你可以使用 AuthServerAllowlist 策略自定义已启用集成身份验证的服务器列表。 在 macOS 上,启用集成身份验证需要此策略。
为了在 Microsoft Edge(版本 77 和更高版本)上支持基于 WIA 的 SSO,可能还必须进行一些服务器端配置。 可能需要配置 Active Directory 联合身份验证服务 (AD FS) 属性 WiaSupportedUserAgents 以添加对新 Microsoft Edge 用户代理字符串的支持。 有关如何执行此操作的说明,请参阅查看 WIASupportedUserAgent 设置和更改 WIASupportedUserAgent 设置。 Windows 10 上 Microsoft Edge 用户代理字符串的示例如下显示,可在这里更多了解 Microsoft Edge UA 字符串。
下面的 UA 字符串示例适用于发布此文章时的最新 Dev 渠道版本:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
对于需要委派协商凭据的服务,Microsoft Edge 支持使用 AuthNegotiateDelegateAllowlist 策略的约束委派。
附加身份验证方案
主动身份验证
主动身份验证是对浏览器到网站SSO的优化,可将身份验证预先加载到部分第一方网站。 如果用户使用必应作为搜索引擎,则可以提高地址栏的性能。 这为用户提供了个性化的 Microsoft Search for Business(MSB)搜索结果。 它还允许对关键服务(如 Office 新建选项卡页、MSN 和 Microsoft Copilot)进行身份验证。
注意
可以使用适用于 Microsoft Edge 版本 126 或更高版本的 ProactiveAuthWorkflowEnabled 策略控制此服务;或使用适用于 Microsoft Edge 版本 90 或更低版本的 ProactiveAuthEnabled 策略。 对于版本之间的 in,如果要配置浏览器登录,请使用 BrowserSignin 策略。
注意
将 移动应用程序管理 (MAM) 应用于 Edge 时,此身份验证集成将停止工作。 “新建选项卡”页上的某些功能也可能受到影响。
NTLM 身份验证 Windows Hello CredUI
网站尝试使用 NTLM 或协商机制来登录用户但 SSO 不可用时,我们为用户提供了一种体验,他们可以与此网站共享操作系统凭据,以使用 Windows Hello Cred UI 来满足身份验证质询。 此登录流仅针对在 NTLM 或 Negotiate 质询期间未获得单一登录的 Windows 10/11 用户显示。
使用保存的密码自动登录
如果用户将密码保存在 Microsoft Edge 中,则可以启用一项功能,此功能会自动将其登录到保存凭据的网站中。 用户可以通过导航到edge://settings/passwords来切换此功能。 如果要配置此功能,可以使用密码管理器策略。