Microsoft Entra 登入頁面的主領域探索
我們正在變更 Microsoft Entra 的一部分 - Microsoft Entra ID 中的登入行為,以支持新的驗證方法並提升使用體驗。 登入期間,Microsoft Entra ID 會決定使用者需要驗證的位置。 Microsoft Entra ID 透過讀取組織和使用者設定,針對登入頁面中輸入的使用者名稱來做出智慧決策。 這是無密碼未來的步驟,可啟用 FIDO 2.0 等其他認證。
主領域探索行為
傳統上,主領域探索取決於在登入時提供的網域,或舊版應用程式的主領域探索原則。 例如,如果Microsoft Entra 使用者輸入的使用者名稱不正確,但包含其組織的域名,例如“contoso.com”,他們仍會被導向至組織的認證收集畫面。 此方法不允許在個別用戶層級上自定義體驗。
若要增強可用性並支援更廣泛的認證範圍,Microsoft Entra ID 使用不同的流程。 在登入過程中,Microsoft Entra ID 的使用者名稱查詢行為會根據輸入的使用者名稱,智能地評估組織層級和使用者層級的設定。 如果在指定的網域中找到用戶名稱,則會據此導向使用者;否則,會重新導向使用者以提供其認證。
這項工作的另一個優點是改善錯誤訊息。 當您登入專門支援 Microsoft Entra 使用者的應用程式時,以下是一些改進的錯誤訊息範例。
使用者名稱輸入錯誤,或使用者名稱尚未同步至 Microsoft Entra ID。
網域名稱輸入錯誤。
使用者嘗試使用已知的取用者網域登入:
密碼輸入錯誤,但使用者名稱正確。
重要
此功能可能會影響依賴舊網域層級首頁領域探索強制同盟的同盟網域。 目前尚未提供聯邦網域對此新行為的支援。 同時,某些組織已訓練其員工使用不存在於 Microsoft Entra ID 中的使用者名稱登入,但包含適當的網域名稱,因為網域名稱目前會將使用者路由至其組織的網域端點。 新的登入行為不允許這樣做。 系統會通知使用者更正用戶名稱,且不允許他們以 Microsoft 不存在於 entra ID 中的使用者名稱登入。 如果您或貴組織有相依於舊行為的做法,組織系統管理員必須更新員工登入和驗證檔,並訓練員工使用其Microsoft Entra 用戶名稱登入。 如果您對新行為有疑慮,請在本文的 意見反應 一節中留下您的備註。