Microsoft Entra 傳遞驗證：技術深入探討

本文是 Microsoft Entra 傳遞驗證運作方式的概觀。 如需深層技術和安全性資訊，請參閱安全性深入探討一文。

Microsoft Entra 傳遞驗證如何運作？

注意

若要讓傳遞驗證能運作，必須先使用 Microsoft Entra Connect 將使用者從內部部署 Active Directory 佈建到 Microsoft Entra ID。 傳遞驗證不適用於僅使用雲端的使用者。

當使用者嘗試登入 Microsoft Entra ID 所保護的應用程式，並且在租用戶上啟用傳遞驗證時，便會執行下列步驟：

1. 使用者嘗試存取應用程式，例如 Outlook Web App。
2. 如果使用者尚未登入，即會將使用者重新導向 Microsoft Entra ID [使用者登入] 頁面。
3. 使用者在 Microsoft Entra 登入頁面中輸入其使用者名稱，然後選取 [下一步] 按鈕。
4. 使用者將其密碼輸入 Microsoft Entra 登入頁面中，然後選取 [登入] 按鈕。
5. 接收登入要求時，Microsoft Entra ID 會將使用者名稱和密碼 (使用驗證代理程式的公開金鑰加密) 置於佇列。
6. 內部部署驗證代理程式會從佇列中擷取使用者名稱和加密的密碼。 請注意，代理程式不會經常輪詢佇列中的要求，而是會透過預先建立的持續連線來擷取要求。
7. 代理程式會使用其私密金鑰將密碼解密。
8. 代理程式會使用標準 Windows API 向 Active Directory 驗證使用者名稱和密碼，類似於 Active Directory 同盟服務 (AD FS) 所使用的機制。 使用者名稱可以是內部部署的預設使用者名稱 (通常是 userPrincipalName)，或可在 Microsoft Entra Connect 中設定的另一個屬性 (又稱為 Alternate ID)。
9. 內部部署 Active Directory 網域控制站 (DC) 會評估要求，並將適當的回應 (成功、失敗、密碼過期或鎖定使用者) 傳回給代理程式。
10. 因此，驗證代理程式會將此回應傳回給 Microsoft Entra ID。
11. Microsoft Entra ID 會評估回應，並視情況回應使用者。 例如，Microsoft Entra ID 會立即將使用者登入，或要求 Microsoft Entra 多重要素驗證。
12. 如果使用者登入成功，使用者即可存取應用程式。

下圖說明所有元件和相關步驟：

下一步

• 目前的限制：了解支援的情節和不支援的情節。
• 快速入門：啟動並在 Microsoft Entra 傳遞驗證執行。
• 將您的應用程式移轉至 Microsoft Entra ID：可協助您將應用程式存取權和驗證移轉至 Microsoft Entra ID 的資源。
• 智慧鎖定：在租用戶中設定智慧鎖定功能以保護使用者帳戶。
• 常見問題集：常見問題集的答案。
• 疑難排解：了解如何解決傳遞驗證功能的常見問題。
• 安全性深入探討：取得傳遞驗證功能上的深入技術資訊。
• Microsoft Entra 混合式聯結：在您的租用戶上設定 Microsoft Entra 混合式聯結功能，以便跨雲端和內部部署資源使用 SSO。    
• Microsoft Entra 無縫 SSO：深入了解此互補功能。
• UserVoice：使用 Microsoft Entra 論壇歸檔新功能要求。