Microsoft Entra 傳遞驗證：技術深入探討

本文概述 Microsoft Entra 傳遞驗證的運作方式。 如需深入的技術和安全性資訊，請參閱 安全性深入探討 文章。

Microsoft Entra 傳遞驗證如何運作？

注意

若要讓傳遞驗證能夠運作，使用者必須使用 Microsoft Entra 連線，從內部部署的 Active Directory布建到 Microsoft Entra 識別碼。 傳遞驗證不適用於僅限雲端的使用者。

當使用者嘗試登入受 Microsoft Entra ID 保護的應用程式，並在租使用者上啟用傳遞驗證時，會發生下列步驟：

1. 使用者嘗試存取應用程式，例如 Outlook Web 應用程式 。
2. 如果使用者尚未登入，則會將使用者重新導向至 Microsoft Entra ID 使用者登入 頁面。
3. 使用者將其使用者名稱輸入 Microsoft Entra 登入頁面，然後選取 [ 下一步] 按鈕。
4. 使用者將其密碼輸入 Microsoft Entra 登入頁面，然後選取 [ 登入 ] 按鈕。
5. 在收到登入要求時，Microsoft Entra ID 會將使用者名稱和密碼（使用驗證代理程式的公開金鑰加密）放在佇列中。
6. 內部部署驗證代理程式會從佇列擷取使用者名稱和加密的密碼。 請注意，Agent 不會經常輪詢來自佇列的要求，而是透過預先建立的持續性連線擷取要求。
7. 代理程式會使用其私密金鑰來解密密碼。
8. 代理程式會使用標準 Windows API 來驗證 Active Directory 的使用者名稱和密碼，這與Active Directory 同盟服務 （AD FS） 所使用的機制類似。 使用者名稱可以是內部部署預設使用者名稱，通常是 userPrincipalName ，或在 Microsoft Entra 連線 中設定的另一個屬性（稱為 Alternate ID ）。
9. 內部部署的 Active Directory網域控制站 （DC） 會評估要求，並將適當的回應（成功、失敗、密碼過期或使用者鎖定）傳回給代理程式。
10. 驗證代理程式接著會將此回應傳回給 Microsoft Entra ID。
11. Microsoft Entra ID 會評估回應，並視情況回應使用者。 例如，Microsoft Entra 識別碼會立即將使用者登入，或要求 Microsoft Entra 多重要素驗證。
12. 如果使用者登入成功，使用者即可存取應用程式。

下圖說明所有相關元件和相關步驟：

下一步

• 目前的限制 ：瞭解支援哪些案例，以及哪些案例不受支援。
• 快速入門 ：在 Microsoft Entra 傳遞驗證上啟動並執行。
• 將您的應用程式移轉至 Microsoft Entra 識別碼 ：資源可協助您將應用程式存取權和驗證移轉至 Microsoft Entra ID。
• 智慧鎖定：在您的租使用者上設定智慧鎖定 功能以保護使用者帳戶。
• 常見問題：尋找常見問題的解答。
• 疑難排解 ：瞭解如何解決傳遞驗證功能的常見問題。
• 安全性深入探討 ：取得傳遞驗證功能的深入技術資訊。
• Microsoft Entra 混合式聯結：在您的租使用者上設定 Microsoft Entra 混合式聯結 功能，以跨雲端和內部部署資源進行 SSO。    
• Microsoft Entra 無縫 SSO ：深入瞭解這項互補功能。
• UserVoice ：使用 Microsoft Entra 論壇來提出新功能要求。