Configuración del inicio de sesión único (SSO) con Azure AD Connect

Con la nueva versión de Azure AD Connect, puede habilitar la opción de inicio de sesión único en combinación con la sincronización de contraseñas o la autenticación de paso a través.

Cuando está habilitado con la autenticación moderna para Office 2016, los usuarios solo tienen que escribir su nombre de usuario y no necesitan escribir su contraseña para iniciar sesión en las aplicaciones de Office de otros servicios en la nube cuando su máquina está conectada al dominio.

Configuración de SSO con sincronización de contraseña

  1. Descarga la última versión de Conexión de Azure Active Directory. Si ya tiene instalado Azure AD Connect, puede hacerlo una actualización en el lugar y luego vuelva a configurar los ajustes.
  2. Iniciar sesión como administrador de dominio
  3. Seleccione Instalación personalizada para que pueda habilitar el inicio de sesión único en la página de inicio de sesión del usuario
  4. Seleccione Sincronización de contraseña y Habilitar inicio de sesión único
  5. Haga clic en configurar para finalizar la instalación

Agregar puntos finales a la zona de intranet

Las siguientes URL deben agregarse explícitamente a la zona de intranet de la máquina. Esta configuración garantiza que el navegador envíe las credenciales del usuario que ha iniciado sesión actualmente en forma de ticket de Kerberos a Azure AD.

La mejor manera de hacer esto es crear un GPO:

  1. Cree un GPO que se aplique a todos los usuarios o agréguelo a un GPO de configuración de Internet Explorer existente
  2. Ir Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet\Página de seguridad y seleccione Lista de asignación de sitio a zona
  3. Habilite la política y agregue los siguientes valores:
    • https://autologon.microsoftazuread-sso.com > 1
    • https://aadg.windows.net.nsatc.net > 1

Autenticación moderna

Se necesita la autenticación moderna en Office 365 para que los usuarios experimenten la función de inicio de sesión único en Outlook (Office 2013/2016) y Skype Empresarial. También habilita funciones como MFA (autenticación de múltiples factores), tarjeta inteligente y autenticación basada en certificados.

De forma predeterminada, la autenticación moderna solo está habilitada para Sharepoint-Online, para Exchange Online y Skype for Business está desactivada.

Habilitar la autenticación moderna para Exchange Online

Conéctese a Exchange Online Powershell, puede usar esta secuencia de comandos del conector o ejecuta el siguiente código:

#Create credential object
$credObject = Get-Credential

#Import the Exchange Online ps session
$ExchOnlineSession = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $credObject -Authentication Basic -AllowRedirection
Import-PSSession $ExchOnlineSession

Ejecute el siguiente comando para habilitar la autenticación moderna

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Verifique la configuración con

Get-OrganizationConfig | Format-Table -Auto Name,OAuth*

Habilitar la autenticación moderna para Skype Empresarial

Conéctese a Skype Empresarial Online Powershell o vuelva a utilizar uno el guión del conector.

#Create credential 
$credObject = Get-Credential

#Import the Skype for Business Online PS session
$sfbSession = New-CsOnlineSession -Credential $credObject
Import-PSSession $sfbSession

Ejecute el siguiente comando para habilitar la autenticación moderna

Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed

Y verifique la configuración con

Get-CsOAuthConfiguration

Referencias y más información

Si quieres saber más sobre SSO y Modern Authentication puedes consultar las siguientes páginas.

Otros artículos relacionados

Instalar un puerto de impresora y una impresora con PowerShell

Instalar un puerto de impresora y una impresora con PowerShell

El año pasado escribí sobre cómo puede instalar una impresora y un puerto de impresora desde la línea de comandos ...
Leer Más
Conéctese a la API de Google con Powershell

Conéctese a la API de Google con Powershell

Vamos a conectarnos a la API de Google con OAuth2.0 y el cmdlet Powershell Invoke-RestMethod. Antes de que podamos comenzar ...
Leer Más
Mejor administrador de conexión de escritorio remoto

Mejor administrador de conexión de escritorio remoto

Si necesita administrar una gran cantidad de servidores y/o dispositivos de red, un buen administrador de conexión de escritorio remoto ...
Leer Más
Cómo usar IdFix para encontrar y reparar objetos AD no válidos

Cómo usar IdFix para encontrar y reparar objetos AD no válidos

Cuando planea sincronizar su Active Directory local con Azure AD, es importante ejecutar primero la herramienta IdFix de Microsoft. Esta ...
Leer Más
Solucionar el error 0x80040115 en Outlook rápidamente

Solucionar el error 0x80040115 en Outlook rápidamente

¿Está intentando enviar o recibir elementos en su Outlook y obtiene el error 0x80040115? Entonces Outlook no puede conectarse al ...
Leer Más
Habilitar advertencia y etiqueta de correo electrónico externo en Office 365 y Outlook

Habilitar advertencia y etiqueta de correo electrónico externo en Office 365 y Outlook

Los correos electrónicos de phishing son uno de los mayores hilos de seguridad en este momento. Los correos electrónicos de ...
Leer Más

Deja un comentario