Microsoft Entra 連線使用者登入選項
Microsoft Entra 連線可讓您的使用者使用相同的密碼登入雲端和內部部署資源。 本文說明每個身分識別模型的重要概念,可協助您選擇您想要用來登入 Microsoft Entra ID 的身分識別。
如果您已經熟悉 Microsoft Entra 身分識別模型,並想要深入瞭解特定方法,請參閱適當的連結:
- 使用 無縫單一登入進行密碼雜湊同步 處理 (SSO)
- 使用 無縫單一登入的傳遞驗證 (SSO)
- 同盟 SSO (搭配 Active Directory 同盟服務 (AD FS))
- 與 PingFederate 同盟
注意
請務必記住,藉由設定 Microsoft Entra 識別碼的同盟,您可以在 Microsoft Entra 租使用者與同盟網域之間建立信任。 使用此信任的同盟網域使用者,將有權存取租使用者內的 Microsoft Entra 雲端資源。
為您的組織選擇使用者登入方法
實作 Microsoft Entra 連線的第一個決策是選擇使用者將用來登入的驗證方法。 請務必確定您選擇符合組織安全性和進階需求的正確方法。 驗證很重要,因為它會驗證使用者的身分識別,以存取雲端中的應用程式和資料。 若要選擇正確的驗證方法,您必須考慮實作您選擇的時間、現有基礎結構、複雜度和成本。 這些因素取決於每個組織而有所不同,且可能隨著時間改變。
Microsoft Entra ID 支援下列驗證方法:
- 雲端驗證 - 當您選擇此驗證 方法時,Microsoft Entra ID 會處理使用者的登入驗證程式。 透過雲端驗證,您可以選擇兩個選項:
- 密碼雜湊同步處理 (PHS) - 密碼雜湊同步可讓使用者使用內部部署所使用的相同使用者名稱和密碼,而不需要部署 Microsoft Entra 連線以外的任何其他基礎結構。
- 傳遞驗證 (PTA) - 此選項類似于密碼雜湊同步,但針對具有強安全性與合規性原則的組織,使用內部部署軟體代理程式提供簡單的密碼驗證。
- 同盟驗證 - 當您選擇此驗證 方法時,Microsoft Entra ID 會將驗證程式交給個別的受信任驗證系統,例如 AD FS 或協力廠商同盟系統,以驗證使用者的登入。
對於大部分只想要讓使用者登入 Microsoft 365、SaaS 應用程式和其他 Microsoft Entra ID 型資源的組織,我們建議使用預設的密碼雜湊同步處理選項。
如需選擇驗證方法的詳細資訊,請參閱 為 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證方法
密碼雜湊同步處理
透過密碼雜湊同步處理,使用者密碼的雜湊會從內部部署的 Active Directory同步處理至 Microsoft Entra ID。 當密碼變更或重設內部部署時,新的密碼雜湊會立即同步處理至 Microsoft Entra ID,讓使用者一律可以將相同的密碼用於雲端資源和內部部署資源。 密碼永遠不會傳送至 Microsoft Entra 識別碼,或以純文字儲存在 Microsoft Entra ID 中。 您可以使用密碼雜湊同步處理搭配密碼回寫,在 Microsoft Entra ID 中啟用自助式密碼重設。
此外,您可以在加入網域的電腦上為公司網路上的使用者啟用 無縫 SSO 。 使用單一登入時,啟用的使用者只需要輸入使用者名稱,以協助他們安全地存取雲端資源。
如需詳細資訊,請參閱 密碼雜湊同步處理 一文。
傳遞驗證
透過傳遞驗證,使用者的密碼會針對內部部署的 Active Directory控制器進行驗證。 密碼不需要以任何形式出現在 Microsoft Entra ID 中。 這可讓內部部署原則,例如登入時限制,在對雲端服務的驗證期間進行評估。
傳遞驗證會在內部部署環境中的 Windows Server 2012 R2 已加入網域的電腦上使用簡單的代理程式。 此代理程式會接聽密碼驗證要求。 它不需要對網際網路開啟任何輸入埠。
此外,您也可以為公司網路上已加入網域的機器上的使用者啟用單一登入。 使用單一登入時,啟用的使用者只需要輸入使用者名稱,以協助他們安全地存取雲端資源。
如需詳細資訊,請參閱
在 Windows Server 2012 R2 中搭配 AD FS 使用新的或現有伺服器陣列的同盟
使用同盟登入,您的使用者可以使用其內部部署密碼登入 Microsoft Entra ID 型服務。 若使用公司網路,他們甚至不需要輸入密碼。 透過搭配 AD FS 使用同盟選項,您可以在 Windows Server 2012 R2 中使用 AD FS 部署新的或現有的伺服器陣列。 如果您選擇指定現有的伺服器陣列,Microsoft Entra Connect 會設定伺服器陣列與 Microsoft Entra 識別碼之間的信任,讓使用者可以登入。
在 Windows Server 2012 R2 中部署與 AD FS 的同盟
如果您要部署新的伺服器陣列,您需要:
- 同盟伺服器的 Windows Server 2012 R2 伺服器。
- Web 應用程式 Proxy的 Windows Server 2012 R2 伺服器。
- 具有一個 TLS/SSL 憑證的 .pfx 檔案,適用于您預定的同盟服務名稱。 例如:fs.contoso.com。
如果您要部署新的伺服器陣列或使用現有的伺服器陣列,您需要:
- 同盟伺服器的本機管理員認證。
- 您欲部署 Web 應用程式 Proxy 角色的任何工作群組伺服器本機管理員認證 (非已加入網域的)。
- 您執行精靈的電腦,能夠使用 Windows 遠端系統管理連線到您欲安裝 AD FS 或 Web 應用程式 Proxy 的任何其他電腦。
如需詳細資訊,請參閱 使用 AD FS 設定 SSO。
與 PingFederate 同盟
使用同盟登入,您的使用者可以使用其內部部署密碼登入 Microsoft Entra ID 型服務。 若使用公司網路,他們甚至不需要輸入密碼。
如需設定 PingFederate 以搭配 Microsoft Entra ID 使用的詳細資訊,請參閱 PingFederate 與 Microsoft Entra ID 和 Microsoft 365 整合。
如需使用 PingFederate 設定 Microsoft Entra 連線的詳細資訊,請參閱 Microsoft Entra 連線自訂安裝
使用舊版 AD FS 或協力廠商解決方案登入
如果您已使用舊版 AD FS(例如 AD FS 2.0)或協力廠商同盟提供者來設定雲端登入,您可以選擇略過透過 Microsoft Entra 連線的使用者登入設定。 這可讓您取得 Microsoft Entra 連線的最新同步處理和其他功能,同時仍使用現有的解決方案進行登入。
如需詳細資訊,請參閱 Microsoft Entra 協力廠商同盟相容性清單 。
使用者登入和使用者主體名稱
瞭解使用者主體名稱
在 Active Directory 中,預設使用者主體名稱 (UPN) 尾碼是使用者帳戶建立所在網域的 DNS 名稱。 在大部分情況下,這是在網際網路上註冊為企業網域的功能變數名稱。 不過,您可以使用 Active Directory 網域 和 Trusts 來新增更多 UPN 尾碼。
使用者的 UPN 格式username@domain。 例如,對於名為 「contoso.com」 的 Active Directory 網域,名為 John 的使用者可能會有 UPN 「 john@contoso.com 」。 使用者的 UPN 是以 RFC 822 為基礎。 雖然 UPN 和電子郵件共用相同的格式,但使用者的 UPN 值可能或可能與使用者的電子郵件地址不同。
Microsoft Entra 識別碼中的使用者主體名稱
Microsoft Entra 連線精靈會使用 userPrincipalName 屬性,或可讓您指定從內部部署使用的屬性(在自訂安裝中)做為 Microsoft Entra ID 中的使用者主體名稱。 這是用來登入 Microsoft Entra ID 的值。 如果 userPrincipalName 屬性的值未對應至 Microsoft Entra ID 中的已驗證網域,則 Microsoft Entra ID 會將它取代為預設的 .onmicrosoft.com 值。
Microsoft Entra ID 中的每個目錄都有內建功能變數名稱,其格式為 contoso.onmicrosoft.com,可讓您開始使用 Azure 或其他Microsoft 服務。 您可以使用自訂網域來改善和簡化登入體驗。 如需 Microsoft Entra ID 中的自訂功能變數名稱以及如何驗證網域的資訊,請參閱 將自訂功能變數名稱新增至 Microsoft Entra ID 。
Microsoft Entra 登入設定
Microsoft Entra 登入設定與 Microsoft Entra 連線
Microsoft Entra 登入體驗取決於 Microsoft Entra ID 是否可以比對要同步至 Microsoft Entra 目錄中驗證的其中一個自訂網域的使用者主體名稱尾碼。 Microsoft Entra 連線在設定 Microsoft Entra 登入設定時提供協助,讓使用者在雲端登入體驗類似于內部部署體驗。
Microsoft Entra 連線列出針對網域定義的 UPN 尾碼,並嘗試將它們與 Microsoft Entra ID 中的自訂網域比對。 然後,它可協助您採取所需的適當動作。 Microsoft Entra 登入頁面會列出針對內部部署的 Active Directory定義的 UPN 尾碼,並針對每個尾碼顯示對應的狀態。 狀態值可以是下列其中一項:
| 州/縣 | 描述 | 需要動作 |
|---|---|---|
| 已驗證 | Microsoft Entra 連線在 Microsoft Entra 識別碼中找到相符的已驗證網域。 此網域的所有使用者都可以使用其內部部署認證登入。 | 不需要採取任何動作。 |
| 未驗證 | Microsoft Entra 連線在 Microsoft Entra 識別碼中找到相符的自訂網域,但未驗證。 如果未驗證網域,此網域使用者的 UPN 尾碼將會變更為預設的 .onmicrosoft.com 尾碼。 | 確認 Microsoft Entra 識別碼中的自訂網域。 |
| 未新增 | Microsoft Entra 連線找不到對應至 UPN 尾碼的自訂網域。 如果未在 Azure 中新增並驗證網域,此網域使用者的 UPN 尾碼將會變更為預設的 .onmicrosoft.com 尾碼。 | 新增並驗證對應至 UPN 尾碼的自訂網域。 |
Microsoft Entra 登入頁面會列出針對內部部署的 Active Directory所定義的 UPN 尾碼,以及目前驗證狀態為 Microsoft Entra ID 中對應的自訂網域。 在自訂安裝中,您現在可以在 Microsoft Entra 登入 頁面上選取使用者主體名稱 的屬性。
您可以按一下 [重新整理] 按鈕,從 Microsoft Entra ID 重新擷取自訂網域的最新狀態。
在 Microsoft Entra ID 中選取使用者主體名稱的屬性
userPrincipalName 屬性是使用者在登入 Microsoft Entra ID 和 Microsoft 365 時所使用的屬性。 在同步處理使用者之前,您應該先確認 Microsoft Entra 識別碼中使用的網域(也稱為 UPN 尾碼)。
強烈建議您保留預設屬性 userPrincipalName。 如果此屬性不可路由且無法驗證,則可以選取另一個屬性(例如電子郵件)作為保存登入識別碼的屬性。 這稱為替代識別碼。 替代識別碼屬性值必須遵循 RFC 822 標準。 您可以使用替代識別碼搭配密碼 SSO 和同盟 SSO 作為登入解決方案。
注意
使用替代識別碼與所有 Microsoft 365 工作負載不相容。 如需詳細資訊,請參閱設定替代的登入識別碼。
不同的自訂網域狀態及其對 Azure 登入體驗的影響
請務必瞭解 Microsoft Entra 目錄中自訂網域狀態與內部部署定義的 UPN 尾碼之間的關聯性。 當您使用 Microsoft Entra 連線 設定同步處理時,讓我們流覽不同的可能 Azure 登入體驗。
針對下列資訊,假設我們擔心 UPN 後置詞 contoso.com,這在內部部署目錄中作為 UPN 的一部分使用,例如 user@contoso.com 。
快速設定/密碼雜湊同步處理
| 州/省 | 對使用者 Azure 登入體驗的影響 |
|---|---|
| 未新增 | 在此情況下,Microsoft Entra 目錄中未新增任何 contoso.com 的自訂網域。 具有尾碼 @contoso.com 的內部部署 UPN 使用者將無法使用其內部部署 UPN 登入 Azure。 他們必須改為使用由 Microsoft Entra ID 提供給他們的新 UPN,方法是新增預設 Microsoft Entra 目錄的尾碼。 例如,如果您要將使用者同步處理至 Microsoft Entra 目錄 azurecontoso.onmicrosoft.com,則會將內部部署使用者 user@contoso.com 指定為 的 user@azurecontoso.onmicrosoft.com UPN。 |
| 未驗證 | 在此案例中,我們有自訂網域 contoso.com 新增在 Microsoft Entra 目錄中。 不過,尚未驗證。 如果您繼續同步處理使用者而不驗證網域,則使用者將會由 Microsoft Entra ID 指派新的 UPN,就像在「未新增」案例中一樣。 |
| 已驗證 | 在此情況下,我們有一個自訂網域 contoso.com,已在 MICROSOFT Entra ID 中新增並驗證 UPN 尾碼。 使用者將能夠使用其內部部署使用者主體名稱,例如 user@contoso.com ,在同步至 Microsoft Entra ID 之後登入 Azure。 |
AD FS 同盟
您無法在 Microsoft Entra ID 中建立預設 .onmicrosoft.com 網域的同盟,或 Microsoft Entra ID 中未驗證的自訂網域。 當您執行 Microsoft Entra 連線 精靈時,如果您選取未驗證的網域來建立同盟,則 Microsoft Entra 連線會提示您輸入為網域裝載 DNS 的必要記錄。 如需詳細資訊,請參閱 確認為同盟 選取的 Microsoft Entra 網域。
如果您選取使用者登入選項 [與 AD FS 同盟],則必須有自訂網域才能繼續在 Microsoft Entra ID 中建立同盟。 在我們的討論中,這表示我們應該在 Microsoft Entra 目錄中新增自訂網域 contoso.com。
| 州/省 | 對使用者 Azure 登入體驗的影響 |
|---|---|
| 未新增 | 在此情況下,Microsoft Entra 連線在 Microsoft Entra 目錄中找不到 UPN 尾碼 contoso.com 相符的自訂網域。 如果您需要使用者使用 AD FS 搭配其內部部署 UPN 登入,則必須新增自訂網域 contoso.com (例如 user@contoso.com )。 |
| 未驗證 | 在此情況下,Microsoft Entra 連線會提示您提供有關如何在稍後階段驗證網域的適當詳細資料。 |
| 已驗證 | 在此情況下,您可以繼續進行設定,而不需要採取任何進一步的動作。 |
變更使用者登入方法
您可以使用 Microsoft Entra 連線在 Microsoft Entra 連線 初始設定之後的工作,從同盟、密碼雜湊同步處理或傳遞驗證變更使用者登入方法。 再次執行 Microsoft Entra 連線精靈,您會看到您可以執行的工作清單。 從工作清單中選取 [變更使用者登入 ]。
在下一個頁面上,系統會要求您提供 Microsoft Entra ID 的認證。
在 [ 使用者登入 ] 頁面上,選取所需的使用者登入。
注意
如果您只是暫時切換到密碼雜湊同步處理,請選取 [不要轉換使用者帳戶 ] 核取方塊。 未檢查選項會將每個使用者轉換成同盟,而且可能需要數小時的時間。
下一步
- 深入瞭解 整合內部部署身分識別與 Microsoft Entra ID 。
- 深入瞭解 Microsoft Entra 連線設計概念 。