使用 Microsoft Entra 傳遞驗證來進行使用者登入

什麼是 Microsoft Entra 傳遞驗證？

Microsoft Entra 傳遞驗證允許使用者以相同密碼同時登入內部部署和雲端式應用程式。 這項功能為您的使用者提供更好的體驗 - 可少記一個密碼，並降低 IT 技術服務人員成本，因為您的使用者不太可能忘記如何登入。 當使用者使用 Microsoft Entra ID 登入時，此功能會直接驗證使用者內部部署 Active Directory 的密碼。

這項功能是 Microsoft Entra 密碼哈希同步處理的替代方案，可為組織提供雲端驗證的相同優點。 不過，某些想要強制執行其內部部署的 Active Directory 安全性和密碼原則的組織可以選擇改用 [傳遞驗證]。 請檢閱 本指南 ，以比較各種 Microsoft Entra 登入方法，以及如何為您的組織選擇正確的登入方法。

您可以結合傳遞驗證與 無縫單一登錄 功能。 如果您有 Windows 10 或更新版本的電腦，請使用 Microsoft Entra 混合式聯結 （AADJ） 。 如此一來，當使用者在公司網路內的公司電腦上存取應用程式時，他們無需輸入密碼，即可登入。

使用 Microsoft Entra 傳遞驗證的主要優點

• 絕佳的使用者體驗
  • 使用者可使用相同的密碼登入內部部署和雲端式應用程式。
  • 使用者可花較少的時間與 IT 技術服務人員交談，以解決密碼相關問題。
  • 用戶可以在雲端中完成 自助式密碼管理 工作。
• 易於部署及管理
  • 無需複雜的內部部署或網路設定。
  • 只需要在內部部署環境安裝輕量型代理程式即可。
  • 毫無管理負擔。 該代理程式會自動收到改善和錯誤 (bug) 修正。
• 安全
  • 內部部署密碼一律不會以任何形式儲存在雲端中。
  • 使用 Microsoft Entra 條件式存取原則順暢地運作，包括 Multi-Factor Authentication （MFA）、封鎖舊版驗證，以及篩選出暴力密碼破解攻擊，來保護您的用戶帳戶。
  • 該代理程式只會從您的網路中進行輸出連線。 因此，無需在周邊網路 (也稱為 DMZ) 中安裝代理程式。
  • 代理程式與 Microsoft Entra ID 之間的通訊會使用憑證式驗證來保護。 這些憑證由 Microsoft Entra ID 每隔幾個月自動更新一次。
• 高可用性
  • 可以在多個內部部署伺服器上安裝其他代理程式，以提供登入要求的高可用性。

功能要點

• 支援使用者登入所有網頁瀏覽器型應用程式，以及使用 新式驗證的 Microsoft Office 用戶端應用程式。
• 登入使用者名稱可以是內部部署預設使用者名稱 （userPrincipalName） 或 Microsoft Entra 連線 中設定的另一個屬性（稱為 Alternate ID）。
• 此功能可與 Multi-Factor Authentication （MFA） 等條件式存取 功能順暢地運作，以協助保護您的使用者。
• 與雲端式自助式密碼管理整合，包括透過禁止常用的密碼，將密碼回寫至 內部部署的 Active Directory和密碼保護。
• 如果 AD 樹系之間存在樹系信任，並且正確設定了名稱尾碼路由，則支持多樹系環境。
• 其為免費功能，您無需任何 Microsoft Entra ID 付費版本即可使用。
• 您可以透過 Microsoft Entra 連線 加以啟用。
• 它使用輕量型內部部署代理程式，來接聽並回應密碼驗證要求。
• 安裝多重代理程式可提供登入要求的高可用性。
• 它會 保護您的 內部部署帳戶，以防止雲端中的暴力密碼破解攻擊。

下一步

• 快速入門 - 啟動並執行 Microsoft Entra 傳遞驗證。
• 將您的應用程式移轉至 Microsoft Entra 識別符：資源可協助您將應用程式存取權和驗證移轉至 Microsoft Entra ID。
• 智慧鎖定 - 在您的租用戶上設定智慧鎖定 功能以保護使用者帳戶。
• Microsoft Entra 混合式聯結：在您的租用戶上設定 Microsoft Entra 混合式聯結功能，以跨雲端和內部部署資源進行 SSO。
• 目前的限制 - 了解支援哪些案例，以及哪些案例不受支援。
• 技術深入探討 - 瞭解此功能的運作方式。
• 常見問題 - 常見問題的解答。
• 疑難排解 - 了解如何解決此功能的常見問題。
• 安全性深入探討 - 功能的其他深層技術資訊。
• Microsoft Entra 無縫 SSO - 深入瞭解這項互補功能。
• UserVoice - 用於提出新的功能要求。