我们的设备已注册 Entra,并且可以看到我们的 Active Directory 域控制器。我们根据以下Microsoft 站点使用 FIDO 安全密钥进行无密码身份验证设置,
无缝 SSO 适用于基于 Windows 身份验证的服务,例如 SSMS 和网络共享,但不适用于为 IIS 中的 Windows 身份验证配置的 Web 应用程序。浏览器提示输入用户名和密码。无法输入密码,并且该对话框不提供输入 FIDO 安全密钥的 PIN 码的选项。
我将 Windows 身份验证配置为将 NTLM 优先于协商,完全删除协商但无济于事。即使访问 IIS 服务器本身上的应用程序,浏览器也会提示输入密码。
该问题出现在 Edge、Chrome 和 Firefox 中。笔记本电脑是Windows 11,服务器版本是Windows Server 2022。
我缺少什么?我可以调试什么来检查问题出在哪里?
更新
将 entra id 添加到组策略中的站点区域分配列表后(如此处所述),SSO 开始在没有密码提示的情况下在 http 上工作,但在 https 上,它会向我提供未经授权的无效凭据,而无需询问密码提示。我尝试将带有 https 的域添加到组策略中,但无济于事。
任何有关我可以解决问题的指示都会非常有帮助。
虽然 Entra ID 确实提供无缝 SSO 来访问本地资源(只要连接的 PC 能够看到域控制器),但有一些配置元素很容易被忽视。
https://autologon.microsoftazuread-sso.com
中。文档给人的感觉是这一步是可选的,但却是必需的。如果您没有 Edge 组策略,则必须按照此链接上的说明单独下载并设置它。AuthNegotiateDelegateAllowlist
AuthServerAllowlist
*X.com,*Y.X.com,https://autologon.microsoftazuread-sso.com
。如果您不添加子域(就像我的情况一样),那么 Windows 身份验证将无法通过 SSL 运行。确保每次更新时都重新启动 Edge,以确保这些生效。通过这些步骤,Windows 身份验证可以完美地适用于 Entra Joined 设备的本地网络服务器。