使用 Microsoft Entra 傳遞驗證來進行使用者登入

什麼是 Microsoft Entra 傳遞驗證？

Microsoft Entra 傳遞驗證允許使用者以相同密碼同時登入內部部署和雲端式應用程式。 這項功能為您的使用者提供更好的體驗 - 可少記一個密碼，並降低 IT 技術服務人員成本，因為您的使用者不太可能忘記如何登入。 當使用者使用 Microsoft Entra ID 登入時，此功能會直接驗證使用者內部部署 Active Directory 的密碼。

這項功能是 Microsoft Entra 密碼雜湊同步 的替代方案，可為組織提供雲端驗證的相同優點。 不過，某些想要強制執行其內部部署的 Active Directory 安全性和密碼原則的組織可以選擇改用 [傳遞驗證]。 請檢閱 本指南，以了解各種 Microsoft Entra 登入方法的比較，以及如何為您的組織選擇正確的登入方法。

您可以結合傳遞驗證與 無縫單一登入 功能。 如果您有 Windows 10 或更新版本的電腦，請使用 Microsoft Entra 混合式聯結 (AADJ)。 如此一來，當使用者在公司網路內的公司電腦上存取應用程式時，他們無需輸入密碼，即可登入。

使用 Microsoft Entra 傳遞驗證的主要優點

• 絕佳的使用者體驗
  • 使用者可使用相同的密碼登入內部部署和雲端式應用程式。
  • 使用者可花較少的時間與 IT 技術服務人員交談，以解決密碼相關問題。
  • 使用者可以在雲端中完成自助式密碼管理工作。
• 易於部署及管理
  • 無需複雜的內部部署或網路設定。
  • 只需要在內部部署環境安裝輕量型代理程式即可。
  • 毫無管理負擔。 該代理程式會自動收到改善和錯誤 (bug) 修正。
• 安全
  • 內部部署密碼一律不會以任何形式儲存在雲端中。
  • 使用 Microsoft Entra 條件式存取原則，包括多重要素驗證 (MFA)，封鎖舊版驗證 ，以及 篩除暴力密碼破解攻擊，來保護您的使用者帳戶。
  • 該代理程式只會從您的網路中進行輸出連線。 因此，無需在周邊網路 (也稱為 DMZ) 中安裝代理程式。
  • 代理程式與 Microsoft Entra ID 之間的通訊會使用憑證式驗證來保護。 這些憑證由 Microsoft Entra ID 每隔幾個月自動更新一次。
• 高可用性
  • 可以在多個內部部署伺服器上安裝其他代理程式，以提供登入要求的高可用性。

功能要點

• 可讓使用者登入到使用新式驗證的所有 Web 瀏覽器型應用程式和 Microsoft Office 用戶端應用程式。
• 登入使用者名稱可以是內部部署預設使用者名稱 (userPrincipalName) 或 Microsoft Entra Connect 中設定的另一個屬性 (稱為 Alternate ID)。
• 該功能可與條件式存取功能 (例如，Multi-Factor Authentication，MFA) 緊密配合，以協助保護您的使用者。
• 與雲端式自助式密碼管理整合，包括可將密碼回寫至內部部署 Active Directory，以及藉由禁用常見密碼來提供密碼保護。
• 如果 AD 樹系之間存在樹系信任，並且正確設定了名稱尾碼路由，則支持多樹系環境。
• 其為免費功能，您無需任何 Microsoft Entra ID 付費版本即可使用。
• 它可以透過 Microsoft Entra Connect 啟用。
• 它使用輕量型內部部署代理程式，來接聽並回應密碼驗證要求。
• 安裝多重代理程式可提供登入要求的高可用性。
• 它能保護您的內部部署帳戶，不讓其遭到雲端暴力密碼破解攻擊的威脅。

下一步

• 快速入門 - 啟動並執行 Microsoft Entra 傳遞驗證。
• 將您的應用程式移轉至 Microsoft Entra ID：可協助您將應用程式存取權和驗證移轉至Microsoft Entra ID 的資源。
• 智慧鎖定：在租用戶中設定智慧鎖定功能來保護使用者帳戶。
• Microsoft Entra 混合式聯結：在您的租用戶上設定 Microsoft Entra 混合式聯結功能，以便跨雲端和內部部署資源使用 SSO。
• 目前的限制：了解支援與不支援的案例。
• 技術性深入探討 - 了解這項功能的運作方式。
• 常見問題集 - 常見問題集的答案。
• 疑難排解 - 了解如何解決此功能的常見問題。
• 安全性深入探討：關於此功能的其他深入技術資訊。
• Microsoft Entra 無縫 SSO - 深入瞭解這項互補功能。
• UserVoice - 用於提出新的功能要求。