Freigeben über

Was ist microsoft Single Sign-On für Linux?

Microsoft Single Sign-On (SSO) für Linux wird vom Microsoft Identity Broker unterstützt, einer Softwarekomponente, die Linux-Geräte mit Microsoft Entra ID integriert. Mit dieser Lösung können benutzer sich einmal mit ihren Microsoft Entra ID-Anmeldeinformationen authentifizieren und ohne wiederholte Authentifizierungsaufforderungen auf mehrere Anwendungen und Ressourcen zugreifen. Das Feature vereinfacht den Anmeldevorgang für Benutzer und reduziert den Aufwand für die Kennwortverwaltung für Administratoren.

Features

Mit diesem Feature können Benutzer auf Linux-Desktopclients ihre Geräte mit Der Microsoft Entra-ID registrieren, sich bei der Intune-Verwaltung registrieren und gerätebasierte Richtlinien für bedingten Zugriff erfüllen, wenn Sie auf ihre Unternehmensressourcen zugreifen.

  • Stellt Microsoft Entra ID-Registrierung und Anmeldung für Linux-Desktops bereit
  • Stellt SSO-Funktionen für systemeigene und Webanwendungen bereit (z. B. Azure CLI, Microsoft Edge, Teams PWA), um auf microsoft 365- und Azure-geschützte Ressourcen zuzugreifen
  • Stellt SSO für Microsoft Entra-Konten für Anwendungen bereit, die MSAL für .NET oder MSAL für Python verwenden, sodass Kunden microsoft Authentication Library (MSAL) verwenden können, um SSO in benutzerdefinierte Apps zu integrieren.
  • Aktiviert Richtlinien für bedingten Zugriff, die Webanwendungen über Microsoft Edge schützen
  • Aktiviert standardmäßige Intune-Compliancerichtlinien
  • Aktiviert die Unterstützung für Bash-Skripts für benutzerdefinierte Compliancerichtlinien

Die Teams-Webanwendung und eine Progressive Web App (PWA) für Linux verwenden die Konfiguration für bedingten Zugriff, die über Microsoft Intune angewendet wird, um Linux-Benutzern den Zugriff auf Teams mithilfe von Microsoft Edge zu ermöglichen.

Voraussetzungen

Unterstützte Betriebssysteme

Microsoft Single Sign-On für Linux wird auf den folgenden Betriebssystemen unterstützt (physische oder Hyper-V Computer mit x86/64 CPUs):

  • Ubuntu Desktop 24.04 LTS (Langzeitsupport)
  • Ubuntu Desktop 22.04 LTS (Langzeitunterstützung)
  • Red Hat Enterprise Linux 8 (langfristiger Support)
  • Red Hat Enterprise Linux 9 (langfristiger Support)

Systemanforderungen

  • Internetkonnektivität für paketinstallation und Microsoft Entra ID-Kommunikation
  • Administratorrechte für die Installation
  • Desktopumgebung (GNOME, KDE oder ähnlich)

Microsoft Entra-ID-Anforderungen

  • Microsoft Entra ID-Mandant
  • Benutzerkonten, die mit microsoft Entra-ID synchronisiert oder erstellt wurden
  • Geeignete Lizenzierung für Richtlinien für bedingten Zugriff (falls zutreffend)

SSO-Erfahrung

Die folgende Animation zeigt die Anmeldeerfahrung für vermittelte Abläufe unter Linux.

Verwenden der Kennwortauthentifizierung unter Linux, wie in der folgenden Animation gezeigt.

Demo der Linux-Anmeldeerfahrung mit PRMFA.

Hinweis

microsoft-identity-broker Version 2.0.1 und frühere Versionen unterstützen derzeit keine FIPS-Compliance.

Installation

Führen Sie die folgenden Befehle in einer Befehlszeile aus, um das microsoft Single Sign-On (microsoft-identity-broker) und dessen Abhängigkeiten auf Ihrem Gerät manuell zu installieren.

  1. Installieren Sie Curl.

    sudo apt install curl gpg

  2. Installieren Sie den Microsoft-Paketsignaturschlüssel.

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings
rm microsoft.gpg

  3. Fügen Sie das Microsoft Linux Repository der Systemrepositoryliste hinzu, und aktualisieren Sie es.

    sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update

  4. Installieren Sie die Microsoft Single Sign-On-App (Microsoft-Identity-Broker).

    sudo apt install microsoft-identity-broker

  5. Starten Sie das Gerät neu.

Aktualisieren des Microsoft Identity Brokers

Führen Sie die folgenden Befehle aus, um den Microsoft Identity Broker manuell zu aktualisieren.

  1. Aktualisieren Sie das Paket-Repository und die Metadaten.

    sudo apt update

  2. Aktualisieren Sie das Microsoft Identity Broker-Paket.

    sudo apt upgrade microsoft-identity-broker

Deinstallieren des Microsoft Identity Brokers

Führen Sie die folgenden Befehle aus, um den Microsoft Identity Broker zu deinstallieren und lokale Konfigurationsdaten zu entfernen.

  1. Entfernen Sie den Microsoft Identity Broker aus Ihrem System.

    sudo apt remove microsoft-identity-broker

  2. Entfernen Sie die lokalen Konfigurationsdaten.

    sudo apt purge intune-portal
sudo apt purge microsoft-identity-broker

Warnung

Beachten Sie, dass durch die Deinstallation des Microsoft Identity Broker die Registrierung Ihres Geräts von der Microsoft Entra-ID nicht automatisch aufgehoben oder die Registrierung Ihres Geräts von der Intune-Verwaltung aufgehoben wird. Um die Geräteregistrierung zu entfernen, können Sie entweder das Dsregcmd-Tool verwenden oder das Gerät aus dem Microsoft Entra ID-Portal entfernen.

Aufheben der Registrierung des Geräts mithilfe von dsregc

Mit der Veröffentlichung von Version 2.5.x des microsoft-identity-broker haben wir ein neues Dienstprogramm namens dsreg-Tool hinzugefügt, mit dem Sie die Registrierung Ihres Geräts bei Microsoft Entra ID verwalten können.

Um die Registrierung Ihres Geräts aus der Microsoft Entra-ID mithilfe des dsreg Tools aufzuheben, führen Sie den folgenden Befehl in Ihrem Terminal aus, indem Sie <tenant-guid> durch Ihre Microsoft Entra ID-Mandanten-GUID ersetzen:

sudo dsreg --tenant-id <tenant-guid> --unregister

Wenn Ihr System in einen schlechten Zustand gelangt und Sie alle lokalen Registrierungsdaten und schlüsselmaterial bereinigen möchten, können Sie die --cleanup Option mit dem dsreg Tool verwenden. Dieser Hilfsmodus ist in Szenarien hilfreich, in denen Sie sicherstellen möchten, dass alle lokalen Ablaufverfolgungen des Microsoft Identity Brokers vom Gerät entfernt werden, z. B. bei der Problembehandlung oder beim Vorbereiten des Geräts für einen neuen Benutzer.

Um die Registrierung aufzuheben und alle Schlüsselmaterialien mithilfe des Dsreg-Tools zu entfernen, führen Sie den folgenden Befehl in Ihrem Terminal aus:

# Clean broker state including certificates (requires sudo)
sudo dsreg --cleanup

Warnung

Die --cleanup-Option ist unumkehrbar und entfernt alle Schlüsseldaten vom Gerät. Mit Vorsicht verwenden.

Aktivieren von Phish-Resistant MFA (PRMFA) auf Linux-Geräten

Ab Version 2.0.2 des Microsoft-Identity-Brokers wird Phish-Resistant MFA (PRMFA) auf Linux-Geräten unterstützt:

  • SmartCard
  • Die Zertifikatbasierte Authentifizierung (CBA)
  • USB-Token mit einem PIV/Smartcard-Applet

Die SmartCard-Integration wird nur für die folgenden Verteilungen unterstützt:

  • Ubuntu Desktop 24.04 LTS (Langzeitsupport)
  • Ubuntu Desktop 22.04 LTS (Langzeitunterstützung)
  • Red Hat Enterprise Linux 10 (langfristiger Support)

Die zertifikatbasierte Clientauthentifizierung wird über das Tls/SSL-Protokoll (Secure Sockets Layer) implementiert. In diesem Prozess signiert der Client einen zufällig generierten Datenblock mit seinem privaten Schlüssel und überträgt dann sowohl das Zertifikat als auch die signierten Daten an den Server. Der Server überprüft die Signatur und überprüft das Zertifikat, bevor der Zugriff gewährt wird.

Die einfachste Möglichkeit zum Konfigurieren Certificate-Based Authentication (CBA) besteht darin, eine PKI-Lösung (Private Key Infrastructure) zu verwenden, die Benutzerzertifikate auf Linux-Geräten ausgibt. Diese Zertifikate können dann für die Authentifizierung mit der Microsoft Entra-ID verwendet werden. Um Linux so zu konfigurieren, dass diese Zertifikate für die Authentifizierung akzeptiert werden, müssen Sie in der Regel die entsprechenden Zertifikatspeicher einrichten und sicherstellen, dass die Authentifizierungsmechanismen des Systems für die Verwendung dieser Zertifikate konfiguriert sind.

Smartcard-Authentifizierung

Die Smartcardauthentifizierung erweitert zertifikatbasierte Methoden, indem ein physisches Token eingeführt wird, das Benutzerzertifikate speichert. Wenn die Karte in einen Reader eingefügt wird, ruft das System die Zertifikate ab und führt eine Überprüfung durch.

Das Konfigurieren der SmartCard-Unterstützung umfasst das Einrichten der erforderlichen Bibliotheken und Module, um die zertifikatbasierte Authentifizierung mithilfe physischer Token zu ermöglichen. Es gibt verschiedene SmartCard-Lösungen, z. B. YubiKey, die in verschiedene Linux-Distributionen integriert werden können. Anweisungen zu den beiden unterstützten Plattformen finden Sie in der Verteilungsdokumentation:

Beispiel für eine Smartcardkonfiguration

In den folgenden Schritten wird ein Referenzbeispiel für die Verwendung der YubiKey/Edge-Brücke-Integration konfiguriert, andere Smartcardanbieter können jedoch ähnlich konfiguriert werden. Dies ist nur eine Beispielkonfiguration, und Ihre Konfiguration kann je nach Anbieter variieren. Spezifische Konfigurationsanweisungen finden Sie in der Dokumentation Ihres Smartcardanbieters.

  1. Installieren von Smartcardtreibern und YubiKey-Unterstützung:

    sudo apt install pcscd yubikey-manager

  2. Installieren Sie YubiKey/Edge Bridge-Komponenten:

    sudo apt install opensc libnss3-tools openssl

  3. Konfigurieren der Netzwerksicherheitsdienstdatenbank (Network Security Service, NSS) für den aktuellen Benutzer:

    mkdir -p $HOME/.pki/nssdb
chmod 700 $HOME/.pki
chmod 700 $HOME/.pki/nssdb
modutil -force -create -dbdir sql:$HOME/.pki/nssdb
modutil -force -dbdir sql:$HOME/.pki/nssdb -add 'SC Module' -libfile /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so

Verwandte Inhalte

Weitere Informationen finden Sie in der folgenden Intune-Dokumentation:

  • Last updated on