Microsoft Edge 身分識別支援和設定
本文介紹 Microsoft Edge 如何使用身分識別來支援同步和單一登入 (SSO) 等功能。 Microsoft Edge 支援使用 #D91DEC5A2FC054472B464E3F040E3922F (AD DS) 、Microsoft Entra ID 和 Microsoft 帳戶登入, (MSA) 。 目前,Microsoft Edge 僅支援 Microsoft Entra 屬於全球雲端或 GCC 主權雲端的帳戶。 我們正努力新增對其他主權雲端的支援。
注意
本文適用於 Microsoft Edge 版本 77 或更新版本。
瀏覽器登入和驗證功能
Microsoft Edge 支援使用 Microsoft Entra ID、MSA 或網域帳戶登入瀏覽器設定檔。 登入所用的帳戶類型將決定使用者在 Microsoft Edge 中可使用何種驗證功能。 下表總結了每種帳戶類型的功能支援。
| 功能 | Microsoft Entra ID | Microsoft Entra ID 免費 | 內部部署 AD DS | MSA |
|---|---|---|---|---|
| 同步 | 是 | 否 | 否 | 是 |
| SSO 搭配主要重新整理權杖 | 是 | 是 | 否 | 是 |
| 無縫 SSO | 是 | 是 | 是 | 無 |
| 整合式 Windows 驗證 | 是 | 是 | 是 | 無 |
| 企業新索引標籤頁 | 需要 O365 | 需要 O365 | 否 | 無 |
| Microsoft 搜尋 | 需要 O365 | 需要 O365 | 否 | 無 |
使用者登入 Microsoft Edge 的方式
自動登入
Microsoft Edge 使用 OS 預設帳戶來自動登入瀏覽器。 依據裝置的設定方式而定,使用者可以使用下列其中一種方法來自動登入 Microsoft Edge。
- 裝置是混合式/AAD-J: 可在 Win10、舊版 Windows 與對應的伺服器版本上使用。 使用者會使用其 Microsoft Entra 帳戶自動登入。
- 裝置為已加入網域: 可在 Win10、舊版 Windows 與對應的伺服器版本上使用。 根據預設,使用者不會自動登入。 如果您想要以網域帳戶自動登入使用者,請使用 ConfigureOnPremisesAccountAutoSignIn 原則。 如果您想要使用其 Microsoft Entra 帳戶自動登入使用者,請考慮混合式加入您的裝置。
- OS 預設帳戶為 MSA:Windows 10 Fall Creators Update (1709/組建 10.0.16299) 版及更新版本。 這種情況不太可能出現在企業裝置上。 但是,如果 OS 預設帳戶是 MSA,Microsoft Edge 會使用 MSA 帳戶自動登入。
手動登入
如果使用者未能自動登入 Microsoft Edge,可以在初次執行體驗、瀏覽器設定或透過開啟身分識別飛出視窗手動登入 Microsoft Edge。
管理瀏覽器登入
如果您想要管理瀏覽器登入,可以使用下列原則:
- 確保使用者在 Microsoft Edge 一直有工作設定檔。 請參閱 NonRemovableProfileEnabled (部分機器翻譯)
- 將登入限制為受信任的帳戶組。 請參閱 RestrictSigninToPattern (英文)
- 停用或強制瀏覽器登入。 請參閱 BrowserSignin (英文)
瀏覽器至網頁單一登入 (SSO)
在某些平臺上,您可以設定 Microsoft Edge 為使用者自動登入網站。 此選項免除他們重新輸入認證的麻煩,方便存取他們的工作網站並提高其生產力。
SSO 搭配主要重新整理權杖 (PRT)
Microsoft Edge 具有 PRT 式 SSO 原生支援,且不需要擴充。 在 Windows 10 Fall Creators Update 和更新版本中,如果使用者登入其瀏覽器配置檔,他們就會透過PRT機制取得SSO給支援PRT型SSO的網站。
主要重新整理令牌 (PRT) 是在 Windows 10/11、iOS 和 Android 裝置上用於驗證的 Microsoft Entra ID 密鑰。 它支援在這些裝置上使用的應用程式之間進行單一登入 (SSO)。 如需詳細資訊,請參閱主要重新整理權杖是什麼?。
無縫 SSO
就像 PRT SSO 一樣,Microsoft Edge 有原生無縫 SSO 支援,且不需要擴充。 在 Windows 10 Fall Creators Update 和更新版本中,如果使用者登入其瀏覽器配置檔,他們就會透過PRT機制取得SSO給支援PRT型SSO的網站。
無縫單一登入在使用者位於連接到公司網路的公司裝置上時,會自動登入使用者。 啟用時,使用者不需要輸入密碼即可登入 Microsoft Entra ID。 通常甚至不需要輸入其使用者名稱。 如需詳細資訊,請參閱 Active Directory 無縫單一登入。
Windows 整合式驗證 (WIA)
Microsoft Edge 也支援在組織內部網路中針對使用瀏覽器進行其驗證的任何應用程式,進行驗證要求的 Windows 整合驗證。 所有版本的 Windows 10/11 和舊版 Windows 都支援此功能。 根據預設,Microsoft Edge 會使用內部網路區域作為 WIA 的允許清單。 或者,您也可以使用 AuthServerAllowlist 原則來自訂已啟用整合式驗證的伺服器清單。 若使用 macOS,則需要此原則才能啟用整合式驗證。
若要支援 Microsoft Edge (版本 77 及更新版本) 上的 WIA 式 SSO,您可能也需要執行某些伺服器端設定。 您可能必須設定 Active Directory 同盟服務 (AD FS) 屬性 WiaSupportedUserAgents,以新增對新 Microsoft Edge 使用者代理程式字串的支援。 如需如何執行此動作的指示,請參閱檢視 WIASupportedUserAgent 設定以及變更 WIASupportedUserAgent 設定 (英文)。 下列顯示的是 Windows 10 上 Microsoft Edge 使用者代理程式字串的範例,而您可以在這裡深入了解 Microsoft Edge UA 字串 (英文)。
UA 字串的以下範例適用於本文發佈時的最新 Dev 通道組建:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
針對需要委派協商認證的服務,Microsoft Edge 使用 AuthNegotiateDelegateAllowlist 原則支援 [限制委派]。
其他驗證概念
主動式驗證
主動式驗證是對瀏覽器到網站 SSO 的最佳化,可將驗證事先載入到某些第一方網站。 如果使用者使用 Bing 做為搜尋引擎,這會改善網址列的效能。 還會提供使用者個人化和商務用 Microsoft 搜尋 (MSB) 的搜尋結果。 它也可允許驗證金鑰服務,例如 Office 新增索引標籤面、MSN 和 Microsoft Copilot。
注意
您可以使用 Microsoft Edge 126 版或更新版本的 ProactiveAuthWorkflowEnabled 原則來控制此服務;或針對 Microsoft Edge 90 版或更低版本使用 ProactiveAuthEnabled 原則。 針對在版本之間,如果您想要設定瀏覽器登入,請使用 BrowserSignin 原則。
注意
當 行動應用程式管理 (MAM) 套用至 Edge 時,此驗證整合將會停止運作。 [新增索引標籤] 頁面上的某些功能也可能受到影響。
NTLM 驗證的 Windows Hello CredUI
當網站嘗試使用 NTLM 或交涉機制來登入使用者且無法使用 SSO 時,我們為使用者提供了可以使用網站共用其 OS 認證,進而得以使用 Windows Hello Cred UI 來滿足身份驗證挑戰的體驗。 此登入流程只會針對在NTLM或交涉挑戰期間未取得單一登錄的 Windows 10/11上的用戶顯示。
使用儲存的密碼自動登入
如果使用者在 Microsoft Edge 中儲存密碼,他們可以啟用位於具有儲存其認證的網站時即可自動登入的功能。 使用者可以流覽至 edge://settings/passwords來切換此功能。 如果您想要設定此功能,可以使用 密碼管理員 原則。