Compartir a través de

适用于 Linux 的 Microsoft 单一登录的新增功能

Microsoft定期在Microsoft 标识平台中添加和修改特性和功能,以提高安全性、可用性和标准合规性。

除非另有说明,否则此处所述更改仅适用于在所述更改生效日期之后注册的应用程序。

请定期查看本文以了解以下内容:

  • 已知问题和修复方案
  • 协议更改
  • 已弃用的功能

本文提供有关适用于 Linux Microsoft单一登录的最新更新的信息。

Microsoft Identity Broker 版本生命周期和支持矩阵

Microsoft 使用以下包存储库分发 Microsoft 身份代理和用于 Linux 的 Microsoft 身份诊断。 包采用任一 .deb.rpm 格式提供;但是,仅支持 Ubuntu 长期支持(LTS)和 Red Hat Enterprise Linux(RHEL)。

频道 主要用途 最新版本 已支持 来源
稳定 生产工作负载 3.0.x 是的 Ubuntu 24.04 - Noble
Ubuntu 22.04 - Jammy
RHEL8
RHEL9
内测快速通道 测试预发行版包 3.0.x Ubuntu 24.04 - Noble
Ubuntu 22.04 - Jammy
RHEL8
RHEL9
RHEL10

注释

当前生产版本 microsoft-identity-broker3.0.1

insiders-fast通道packages.microsoft.com允许你测试预发行版包。 不要将其用于生产工作负荷。 它可能包含重大变更或未完成的功能。

有关版本 2.0.2 及更高版本的重要说明

警告

版本 2.0.2 及更高版本代表从基于 Java 到基于 C++ 的代理实现的主要架构变更。 如果您要从以前的版本(正式版:2.0.1 或更低版本,快速预览版:2.0.4 或更早版本)升级,在执行升级后,用户需要重新注册并重新加入他们的设备。

添加包存储库的说明

若要为 Linux 分发版添加适当的包存储库,请按照以下说明作:

  1. 安装curlgpg

    sudo apt install curl gpg

  2. 安装Microsoft包签名密钥。

    curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings
rm microsoft.gpg

  3. 添加Microsoft包存储库并更新包元数据。

    sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update

  1. 安装Microsoft包签名密钥。

    # Legacy key (needed for RHEL 8 and RHEL 9 packages and Microsoft Edge)
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

  2. 添加Microsoft包存储库。

    sudo dnf install -y dnf-plugins-core
sudo dnf config-manager --add-repo https://packages.microsoft.com/yumrepos/microsoft-rhel$(rpm -E %rhel).0-prod

Changes

3.0.1 - 2026 年 3 月 31 日 - (GA 主要版本)

适用于 Linux 的 Microsoft Identity Broker 的正式发布,现在使用新重写的 C++ 中转站,而不是以前的基于 Java 的中转站。

  • 引入了对 Linux 设备上使用具有个人身份验证(PIV)配置文件的智能卡对防钓鱼 MFA (PRMFA) 的支持。
  • 向令牌请求添加了标头,以帮助区分标识代理版本。
  • 当用户使用新的 Linux 设备配置单点登录时,设备会执行 Microsoft Entra 加入,而不是 Microsoft Entra 注册。 联接会导致建立与整个设备的信任,而注册仅限于在用户配置文件内创建信任。 加入信任是将来启用 platformSSO 的先决条件步骤。
  • 已将设备代理服务重命名为 microsoft-identity-devicebroker
  • 不再有一个名为 microsoft-identity-brokerUser Broker 服务。 用户代理现在是通过 D-Bus 调用的可执行文件。
  • 设备证书从密钥链移动到 /etc/ssl/private。 在该目录中,代理为每个租户创建一个设备证书、每个租户的会话传输密钥和一个无设备密钥。 所有其他用户数据(如访问令牌和刷新令牌)都存储在密钥链中,并通过Microsoft 身份验证库(MSAL)进行访问。
  • 添加了对 microsoft-identity-broker-diagnostics 包的支持。
  • 为了保持一致性,将服务组件 linux_broker 重命名为 microsoft-identity-broker
  • 为了保持一致性,将服务组件 linux_devicebroker 重命名为 microsoft-identity-device-broker
  • 已更新 x-client-os 为使用发行版名称。
  • 更改了包文件名以包含目标 OS。
  • 在 Linux 代理包中包含 LICENSE 文件和特定于该代理的 CHANGELOG.md。
  • 更新了嵌入式身份验证窗口的默认值(包括标题和大小),并改进了窗口居中行为。
  • 添加了对 RHEL 10 的支持。
  • 添加了用于 dsreg 设备注册管理和诊断的命令行工具。
  • 更新了 Linux 设备代理使用的证书和密钥位置。
  • 在代理生成的遥测中包含代理版本。
  • 添加了 DUNA 跨平台支持和 DUNA iOS CBA。
  • 修复了 GTK4 的智能卡对话框布局。
  • 修复了重复使用浏览器时的回调问题。
  • 在 C++ 代理中添加了 TLS 1.3 的 GetDeviceState 支持。
  • 解决了sem_timedwait由于信号引起Msai::SecureStorageLockMsoa::SystemMutex的故障。

资产

2.5.2 - 2026 年 2 月 11 日 - (快速成员频道预览版)

  • (Linux)修复 GTK4 的智能卡对话框布局
  • (Linux)修复了在重复使用浏览器时的错误回调问题。

资产

2.5.1 - 2026 年 1 月 29 日 - (高速 Insiders 通道预览版)

  • (Linux)修复 GTK4 的智能卡对话框布局
  • (Linux)修复了在重复使用浏览器时的错误回调问题。
  • (Linux)在 CPP broker 中添加对 TLS 1.3 的 GetDeviceState 支持
  • (Linux)处理sem_timedwait失败,因为进程在 Msai::SecureStorageLock 和 Msoa::SystemMutex 中接收信号

资产

2.5.0 - 2026 年 1 月 13 日 - (快速体验通道预览版)

  • (Linux)更改包文件名以包含目标 OS
  • (Linux)杂项错误修复
  • (Linux)在 Linux 代理包中包含 LICENSE 文件和特定于代理的 CHANGELOG.md。
  • (Linux)更新嵌入式身份验证窗口的默认设置(标题/大小),并改进居中行为。
  • (Linux)添加对 RHEL 10 的支持
  • (Linux)添加用于设备注册管理和诊断的 dsreg 命令行工具
  • (Linux)更新 Linux 设备代理使用的证书/密钥位置
  • (Linux)在代理生成的遥测数据中包含代理版本
  • (xplat)添加 DUNA xplat 和 DUNA iOS CBA

资产

2.0.3 - 2025 年 10 月 21 日 - (快速预览体验成员频道预览版)

  • 添加了对 microsoft-identity-broker-diagnostics 包的支持。
  • 为了保持一致性,将服务组件 linux_broker 重命名为 microsoft-identity-broker
  • 为了保持一致性,将服务组件 linux_devicebroker 重命名为 microsoft-identity-device-broker
  • 更新 x-client-os 以使用发行版名称

资产

2.0.2 - 2025 年 9 月 19 日 - (Insiders 快速通道预览版)

预览更新以使用最新改写的基于 C++ 的代理,而不是以前的基于 Java 的代理。

  • 引入了对在 Linux 设备上通过个人身份验证(PIV)配置文件使用智能卡实现防钓鱼多因素身份验证(PRMFA) 的支持。
  • 添加了令牌请求的标头,以便区分不同版本的身份代理。
  • 当用户使用新的 Linux 设备配置单点登录时,设备会执行 Microsoft Entra 加入,而不是 Microsoft Entra 注册。 联接会导致建立与整个设备的信任,而注册仅限于在用户配置文件内创建信任。 加入信任是将来启用 platformSSO 的先决条件步骤。
  • 已将设备代理服务重命名为 microsoft-identity-devicebroker
  • 不再有名为 microsoft-identity-broker 的用户代理服务。 用户代理现在是通过 dbus 连接调用的可执行文件
  • 设备证书从密钥链移动到 /etc/ssl/private。 在 private 目录中,代理为每个租户创建设备证书、每个租户的会话传输密钥以及存储在该目录中的无设备密钥。 所有其他用户数据(如 AT/RT)都存储在 KeyChain 中,并通过Microsoft 身份验证库(MSAL)进行访问。

资产

Linux 上的 MSAL Python 和 MSAL .NET代理支持 - 2025 年 6 月 13 日

2.0.1 - 2024 年 11 月 18 日

  • 添加了对 Ubuntu 24.04 的包支持。

资产

2.0.0 - 2024 年 3 月 21 日

  • 故障修复

资产

1.7.0 - 2024 年 1 月 31 日

  • 解决注册失败时的 1001错误代码
  • 更新 Red Hat Enterprise Linux Broker 的安装脚本
  • 将许可证添加到 Linux 代理包

1.6.1 - 2023 年 8 月 17 日

  • [PATCH]在 Linux Broker 中为 X509 证书执行安全反序列化(#2483)

资产

1.6.0 - 2023 年 6 月 29 日

  • 添加了对 Red Hat Enterprise Linux 8 和 9 的支持。

资产

1.5.1 - 2023 年 5 月 9 日

  • 更新序列化库
  • 未考虑内存消耗的变化
  • 机密服务版本升级 - kubuntu

资产

1.4.1 - 2022 年 10 月 22 日

  • 资源所有者密码凭据(ROPC)测试钩子。
  • 添加了密钥控制“1001”错误的日志记录。

资产

1.4.0 - 2022 年 10 月 26 日

  • Java 17 支持
  • Ubuntu 22 支持

资产

1.3.0 - 2022 年 10 月 26 日

资产

1.2.0 - 2022 年 10 月 26 日

资产

Microsoft-Identity-Diagnostics

2.0.3 - 2025 年 10 月 21 日 - (预览版)

  • 添加了对 microsoft-identity-broker-diagnostics 包的支持。
  • 已将 linux_broker 重命名为 microsoft-identity-broker

资产

1.1.0 - 2022 年 11 月 29 日

资产

1.0.1 - 2022 年 8 月 7 日

资产

版本故障排除

版本兼容性

在升级之前:

  • 检查当前版本: dpkg -l microsoft-identity-broker
  • 查看目标版本中的重大更改。
  • 规划潜在的设备重新注册。

常见迁移问题

Java到 C++ Broker 迁移(2.0.1 → 2.0.2+):

  • 症状:升级后身份验证失败
  • 解决方案:需要完整卸载并清理重新安装
  • 步骤:删除所有代理状态,重新安装新版本,重新注册设备

包安装问题:

  • 验证存储库配置是否与 Ubuntu/RHEL 版本匹配
  • 检查与 packages.microsoft.com 的网络连接
  • 确保有足够的磁盘空间进行安装

获取帮助

对于特定于版本的问题:

  • 查看版本说明中的已知问题

  • 验证是否满足系统要求

  • 查看日志使用:journalctl --user -u microsoft-identity-broker.service

  • 考虑使用 microsoft-identity-diagnostics 包进行详细的故障排除

  • Last updated on