使用 Microsoft Entra 傳遞驗證的使用者登入

什麼是 Microsoft Entra 穿透身份驗證？

Microsoft Entra 傳遞驗證可讓您的使用者使用相同的密碼登入內部部署和雲端式應用程式。 這項功能為您的使用者提供更好的體驗 - 少記一個密碼，並降低IT技術服務人員成本，因為您的使用者不太可能忘記如何登入。 當使用者使用 Microsoft Entra ID 登入時，這項功能會直接驗證使用者對內部部署 Active Directory 的密碼。

這項功能是 Microsoft Entra 密碼哈希同步處理的替代方案，可為組織提供雲端驗證的相同優點。 不過，某些想要強制執行其內部部署 Active Directory 安全性和密碼原則的組織可以選擇改用傳遞驗證。 請檢閱本指南 ，以了解各種Microsoft Entra 登入方法的比較，以及如何為您的組織選擇正確的登入方法。

您可以結合傳遞驗證與 無縫單一登錄 功能。 如果您有 Windows 10 或更新版本的電腦，請使用 Microsoft Entra 混合式聯結 （AADJ）。 如此一來，當使用者在公司網路內的公司計算機上存取應用程式時，他們不需要輸入密碼即可登入。

使用 Microsoft Entra 穿透式驗證的主要優點

• 絕佳的用戶體驗
  • 使用者使用相同的密碼來登入內部部署和雲端式應用程式。
  • 使用者花較少的時間與IT技術服務人員交談，以解決密碼相關問題。
  • 用戶可以在雲端中完成 自助式密碼管理 工作。
• 容易部署 & 管理
  • 不需要複雜的內部部署或網路設定。
  • 只需安裝輕量型代理程式於內部部署。
  • 沒有管理額外負荷。 代理程式會自動收到改善和錯誤修正。
• 安全
  • 內部部署密碼絕不會以任何形式儲存在雲端中。
  • 使用 Microsoft Entra 條件式存取原則順暢地保護您的用戶帳戶，包括 Multi-Factor Authentication （MFA），封鎖舊版驗證，以及 篩選出暴力密碼破解攻擊。
  • 代理程式只會從您的網路內進行輸出連線。 因此，不需要在周邊網路中安裝代理程式，也稱為 DMZ。
  • 代理程式與Microsoft Entra ID 之間的通訊會使用憑證式驗證來保護。 這些憑證會由 Microsoft Entra ID 每隔幾個月自動更新一次。
• 高可用性
  • 其他代理程式可以安裝在多個內部部署伺服器上，以提供登入要求的高可用性。

功能亮點

• 支援使用者登入所有網頁瀏覽器型應用程式，以及使用 新式驗證的 Microsoft Office 用戶端應用程式。
• 登入使用者名稱可以是內部部署預設使用者名稱（userPrincipalName）或Microsoft Entra Connect 中設定的另一個屬性（稱為 Alternate ID）。
• 此功能可與 條件式存取 功能順暢地運作，例如 Multi-Factor Authentication （MFA），以協助保護您的使用者。
• 與基於雲端的 自助密碼管理整合，包括密碼回寫到內部的 Active Directory，以及透過禁止常用密碼來進行密碼保護。
• 如果您的AD樹系之間有樹系信任，且名稱後綴路由已正確設定，則支援多樹系環境。
• 這是免費功能，您不需要任何付費版本的 Microsoft Entra ID 才能使用它。
• 它可以透過 Microsoft Entra Connect啟用。
• 它會使用輕量型內部部署代理程式，接聽並回應密碼驗證要求。
• 安裝多個代理程式可提供登入要求的高可用性。
• 它 保護內部部署帳戶，以防止雲端中的暴力密碼破解攻擊。

後續步驟

• 快速入門 - 啟動並執行 Microsoft Entra 傳遞驗證。
• 將您的應用程式移轉至Microsoft Entra ID：資源，可協助您將應用程式存取權和驗證移轉至Microsoft Entra ID。
• 智慧鎖定 - 在租用戶上設定智慧鎖定功能以保護用戶帳戶。
• Microsoft Entra 混合式聯結：在租用戶上設定 Microsoft Entra 混合式聯結功能，以在雲端和內部部署資源上進行 SSO。
• 目前的限制 - 了解支援哪些案例，以及哪些案例不受支援。
• 技術深入探討 - 瞭解此功能的運作方式。
• 常見問題 - 常見問題的解答。
• 疑難解答 - 瞭解如何解決功能的常見問題。
• 安全性深入探討 - 此功能的其他深層技術資訊。
• Microsoft Entra 無縫 SSO - 深入瞭解這項互補功能。
• UserVoice - 用於提出新功能要求。