什么是 Microsoft Linux 的单点登录？

适用于 Linux 的 Microsoft 单一登录（SSO）由 Microsoft Identity Broker 提供支持，它是将 Linux 设备与 Microsoft Entra ID 集成的软件组件。此解决方案使用户能够使用其Microsoft Entra ID凭据进行身份验证一次，并且无需重复身份验证提示即可访问多个应用程序和资源。此功能简化了用户的登录过程，并减少了管理员的密码管理开销。

特点

此功能使 Linux 桌面客户端上的用户能够在访问公司资源时向 Microsoft Entra ID 注册其设备、注册 Intune 管理并满足基于设备的条件访问策略。

提供 Linux 桌面的 Microsoft Entra ID 注册与加入服务。
为本机和 Web 应用程序（例如，Azure CLI、Microsoft Edge、Teams PWA）提供 SSO 功能，以访问Microsoft 365和Azure受保护的资源
为使用 MSAL 的 .NET 或 Python 应用程序提供 Microsoft Entra 帐户的单点登录（SSO），让客户能够使用 Microsoft 身份验证库（MSAL）将 SSO 集成到自定义应用中。
启用通过Microsoft Edge保护 Web 应用程序的条件访问策略
启用标准 Intune 合规性策略
启用对自定义符合性策略的 Bash 脚本的支持

适用于 Linux 的 Teams 网页应用程序和渐进式网页应用程序（PWA）使用通过 Microsoft Intune 应用的条件访问配置，使 Linux 用户能够使用 Microsoft Edge 访问 Teams。

先决条件

受支持的操作系统

以下操作系统（具有 x86/64 CPU 的物理或Hyper-V计算机）支持 linux Microsoft单一登录：

Ubuntu Desktop 24.04 LTS （长期支持）
Ubuntu Desktop 22.04 LTS （长期支持）
Red Hat Enterprise Linux 8 （长期支持）
Red Hat Enterprise Linux 9 （长期支持）

系统要求

包安装和 Microsoft Entra ID 通信所需的 Internet 连接
安装的管理权限
桌面环境（GNOME、 KDE 或类似）

Microsoft Entra ID要求

Microsoft Entra ID租户
在Microsoft Entra ID中同步或创建的用户帐户
条件访问策略的适当许可（如果适用）

SSO 体验

以下动画显示了 Linux 上中转流的登录体验。

密码身份验证
防钓鱼 MFA

在 Linux 上使用密码身份验证，如以下动画所示。

PRMFA 的 Linux 登录体验演示。

注释

microsoft-identity-broker 版本 2.0.1 和更低版本当前不支持 FIPS 符合性。

安装

在命令行中运行以下命令，手动在设备上安装Microsoft单一登录（microsoft-identity-broker）及其依赖项。

安装 Curl。
```
sudo apt install curl gpg
```

安装Microsoft包签名密钥。

curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings
rm microsoft.gpg

将Microsoft Linux 存储库添加到系统存储库列表并更新。

sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update

安装Microsoft单一登录（microsoft-identity-broker）应用。
```
sudo apt install microsoft-identity-broker
```
重新启动设备。

系统配置可能所需的先决条件。

# This fixes gpg key issues
sudo dnf update redhat-release

# Update to the latest release
sudo dnf upgrade -y

# RHEL 10 does not ship `webkitgtk6.0` in its default repos. You must enable EPEL first:
sudo dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-10.noarch.rpm

添加Microsoft存储库。

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo dnf install -y dnf-plugins-core
sudo dnf config-manager --add-repo https://packages.microsoft.com/yumrepos/microsoft-rhel$(rpm -E %rhel).0-prod

安装Microsoft单一登录（microsoft-identity-broker）应用。
```
sudo dnf install microsoft-identity-broker
```
安装Microsoft单一登录（microsoft-identity-broker）应用。
```
sudo dnf update
sudo dnf install microsoft-identity-broker
```
重新启动设备。

您的系统配置可能存在的先决条件。

# This fixes any gpg key issues
sudo dnf update redhat-release

# Update to the latest release
sudo dnf upgrade -y

# RHEL 10 does not ship `webkitgtk6.0` in its default repos. You must enable EPEL first:
sudo dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-10.noarch.rpm

安装Microsoft生产包签名密钥。 RHEL 10 包使用较新的 Microsoft GPG 密钥（RSA-4096）进行签名，不同于用于 RHEL 8/9 的 microsoft.asc 密钥。

# Legacy key (needed for Edge)
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

# New key for RHEL 10 packages
sudo rpm --import https://packages.microsoft.com/rhel/10/prod/repodata/repomd.xml.key

然后通过在 /etc/yum.repos.d/ 下创建一个包含以下内容的新 repo 文件来添加存储库：

sudo tee /etc/yum.repos.d/microsoft-prod.repo > /dev/null <<EOF
[microsoft-prod]
name=Microsoft prod - RHEL 10
baseurl=https://packages.microsoft.com/rhel/10/prod
enabled=1
gpgcheck=1
gpgkey=https://packages.microsoft.com/rhel/10/prod/repodata/repomd.xml.key
EOF

更新 Microsoft 标识代理

运行以下命令以手动更新Microsoft标识代理。

Ubuntu
Red Hat Enterprise Linux

更新包存储库和元数据。
```
sudo apt update
```

升级 Microsoft Identity Broker 包。

sudo apt upgrade microsoft-identity-broker

运行以下命令之一以更新 Microsoft Identity Broker。

更新到最新版本，其中包括最新的 Microsoft 身份代理包。
```
sudo dnf update
```

仅升级 Microsoft Identity Broker 包。

sudo dnf update microsoft-identity-broker

卸载Microsoft身份代理

运行以下命令以卸载 Microsoft Identity Broker 并删除本地配置数据。

Ubuntu
Red Hat Enterprise Linux

从系统中删除Microsoft标识代理。

sudo apt remove microsoft-identity-broker

删除本地配置数据。

sudo apt purge intune-portal
sudo apt purge microsoft-identity-broker

运行以下命令以卸载 Microsoft Identity Broker，并删除 Red Hat Enterprise Linux 上的本地注册数据。

删除 Microsoft Identity Broker 包。

sudo dnf remove microsoft-identity-broker

删除本地注册数据。

sudo rm -rf /var/opt/microsoft/identity-broker
sudo rm -rf /etc/opt/microsoft/identity-broker
sudo rm -rf /opt/microsoft/identity-broker

警告

请注意，卸载 Microsoft Identity Broker 不会自动将您的设备从 Microsoft Entra ID 中注销，也不会将设备从 Intune 管理中撤销注册。若要删除设备注册，可以使用 dsregcmd 工具或从 Microsoft Entra ID 门户中删除设备。

使用 dsregc 注销设备

在microsoft-identity-broker的2.5.x版本中，我们包含了一个名为dsreg的新实用工具，可用于管理设备的注册 Microsoft Entra ID。

若要使用 dsreg 工具从 Microsoft Entra ID 注销设备，请在终端中运行以下命令，将 <tenant-guid> 替换为Microsoft Entra ID租户 GUID：

sudo dsreg --tenant-id <tenant-guid> --unregister

如果系统进入错误状态，并且想要清理所有本地注册数据和密钥材料，则可以将 --cleanup 此选项与该工具一起使用 dsreg 。在想要确保从设备中删除所有 Microsoft 身份代理的本地痕迹时，例如在故障排除或为新用户准备设备时，此实用工具模式非常有用。

若要使用 dsreg 工具注销和删除任何密钥材料，请在终端中运行以下命令：

# Clean broker state including certificates (requires sudo)
sudo dsreg --cleanup

警告

此选项 --cleanup 不可逆，并从设备中删除所有密钥材料。请谨慎使用。

在 Linux 设备上启用 Phish-Resistant MFA （PRMFA）

从 microsoft-identity-broker 版本 2.0.2 开始，Linux 设备上支持 Phish-Resistant MFA （PRMFA），使用：

智能卡
基于证书的身份验证 (CBA)
包含 PIV/智能卡小程序的 USB 令牌

智能卡集成仅在以下分发版上受支持：

Ubuntu Desktop 24.04 LTS （长期支持）
Ubuntu Desktop 22.04 LTS （长期支持）
Red Hat Enterprise Linux 10 （长期支持）

基于证书的客户端身份验证是通过安全套接字层（TLS/SSL）协议实现的。在此过程中，客户端使用其私钥对随机生成的数据块进行签名，然后将证书和签名的数据传输到服务器。服务器在授予访问权限之前检查签名并验证证书。

配置 Certificate-Based 身份验证（CBA）的最简单方法是使用向 Linux 设备颁发用户证书的私钥基础结构（PKI）解决方案。然后，这些证书可用于针对Microsoft Entra ID进行身份验证。若要将 Linux 配置为接受这些证书进行身份验证，通常需要设置相应的证书存储，并确保系统身份验证机制配置为使用这些证书。

智能卡身份验证

智能卡身份验证通过引入存储用户证书的物理令牌来扩展基于证书的方法。将卡片插入读取器后，系统将检索证书并执行验证。

配置智能卡支持涉及设置必要的库和模块，以使用物理令牌启用基于证书的身份验证。可以使用各种智能卡解决方案，例如 YubiKey，它可以与各种 Linux 分发版集成。有关两个受支持平台的说明，请参阅分发文档：

智能卡配置示例

以下步骤用于配置一个使用 YubiKey/Edge 桥接集成的参考示例，其他智能卡提供商也可以采用类似的方法进行配置。这只是一个示例配置，你的配置可能因提供程序而异。有关特定配置说明，请参阅智能卡提供程序文档。

Ubuntu
RHEL 10

安装智能卡驱动程序和 YubiKey 支持：
```
sudo apt install pcscd yubikey-manager
```

安装 YubiKey/Edge Bridge 组件：

sudo apt install opensc libnss3-tools openssl

为当前用户配置网络安全服务（NSS）数据库：

mkdir -p $HOME/.pki/nssdb
chmod 700 $HOME/.pki
chmod 700 $HOME/.pki/nssdb
modutil -force -create -dbdir sql:$HOME/.pki/nssdb
modutil -force -dbdir sql:$HOME/.pki/nssdb -add 'SC Module' -libfile /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so

安装智能卡驱动程序支持。注意：这些包中的大多数可能已安装为 microsoft-identity-broker 的依赖项，但如果不是，可以使用以下命令安装它们：
```
sudo dnf install -y pcsc-lite pcsc-lite-libs opensc nss-tools p11-kit p11-kit-devel
```
启用 pcscd 服务从读取器读取智能卡，并为当前用户初始化网络安全服务（NSS）数据库：
```
sudo systemctl enable --now pcscd

mkdir -p $HOME/.pki/nssdb
certutil -d sql:$HOME/.pki/nssdb -N --empty-password
```

有关详细信息，请参阅以下 Intune 文档：

Microsoft Linux 单点登录的新功能
使用 dsregcmd 排查 Linux 上的设备注册问题
部署指南：在 Microsoft Intune
Enrollment 指南：在 Microsoft Intune 中注册 Linux 桌面设备

Last updated on 2026-04-17

Compartir a través de