適用
- 將 Microsoft 365 與 HENNGE Access Control 進行 Federation(同盟驗證)的客戶
目的
- 解除 HENNGE Access Control 與 Microsoft 365 的 Federation(同盟驗證),讓 HENNGE Access Control 不再介入 Microsoft 365 的登入。
- 如果 HENNGE Access Control 與 Microsoft 365 之間進行了使用者同步,則刪除同步設定以防止同步。
注意事項
- 本文內容基於 2025 年 4 月的產品規格編寫,日後可能會在未經通知的情況下更改。
- 執行命令後,解除 Federation(同盟驗證)需要時間。
※ 解除 Federation(同盟驗證)的預估時間為 30 分鐘至 1 小時左右。 - 解除 Federation(同盟驗證)後,請重設 Microsoft 365 的密碼。
※ 如果以 Microsoft 的同步工具進行 Active Directory → Microsoft 365 之間進行密碼同步,則不需要此步驟。 - 解除 Federation(同盟驗證)後,請從 https://login.microsoftonline.com/ 登入 Microsoft 365。
- 請從每個使用者的設備中卸載 HENNGE Secure Browser 應用程式和 HENNGE Device Certificate。
※ 即使保留在設備上也不會有影響,但無法繼續使用。 - 需要在 PowerShell 中安裝 Microsoft Graph PowerShell SDK 模組。
請事先確認以下內容已完成。
Microsoft Graph PowerShell SDK 的安裝 - 解除定期同步或 Federation(同盟驗證)需要 Microsoft 365 全域管理員和 HENNGE Access Control 的全域管理員權限。
步驟
解除單一登入(Single Sign-on)
1. 進入 Microsoft Graph
於作業之 PC 上啟動 PowerShell,並執行以下命令。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
以下登入視窗應顯示,請使用 Microsoft 365 全域管理員的帳戶登入。
2. 確認網域資訊
執行以下命令以確認網域資訊。
Get-MgDomain
確認顯示的使用網域的「AuthenticationType」為「Federated」。
3. 解除單一登入設定
執行以下命令即可解除設定。
※ 解除後,由於 Microsoft 365 內部的設定需要反映時間,因此可能仍會出現單一登入之情況。
請稍等片刻後再確認。
Update-MgDomain -DomainId [客戶網域] -AuthenticationType “Managed”
4. 確認網域資訊
執行以下命令以確認網域資訊。
Get-MgDomain
請確認在步驟 3 中解除的網域的「AuthenticationType」改為「Managed」。
5. 中斷 Microsoft Graph 連接
執行以下命令以從 Microsoft Graph 中斷連接。
Disconnect-MgGraph
刪除同步服務
如果 HENNGE Access Control 與 Microsoft 365 之間進行定期同步
1. 停止 HENNGE Access Control 與 Microsoft 365 之間的定期同步。
詳情請參考以下文章。
[Access Control] 停止與 Microsoft Entra ID 的定期同步
如果 Active Directory 與 HENNGE Access Control 之間進行同步
請在安裝了 HDE One 同步服務的 Windows 伺服器上執行以下步驟。
1. 卸載 HDE One Directory Sync
從 [控制面板] > [程式和功能] 概要中,卸載以下程式
HDE One Directory Sync x.x.x
2. 刪除 HDE One Directory Sync 相關檔案
手動刪除「C:\Program Files\HDE One Directory Sync」資料夾及其下的所有檔案。
3. 刪除 HDEOne 資料夾下的檔案
如果存在「C:\HDEOne」資料夾,請手動刪除該資料夾及其下的所有檔案。
Microsoft 365 密碼重設
以下是批量重設 Microsoft 365 密碼的方法。
※ 如果在 Active Directory >> Microsoft 365 之間進行密碼同步,則不需要此操作。
※ 每個命令必須在一行中執行。
1. 在 C 磁碟機下創建「temp」資料夾
在工作用 PC 上,在 C 磁碟機下創建「temp」資料夾。
2. 使用 Microsoft Graph Powershell 登入
請在 PowerShell 中執行以下命令。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
※ 將會顯示登入視窗,請使用擁有 Microsoft 365 全域管理員權限的帳戶登入。
3. 取得使用者列表
執行以下命令,輸出使用者列表。
※ 輸出 User Principal Name 不是「*.onmicrosoft.com」的使用者。
Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation
4. 從使用者列表的 CSV 中手動刪除會議室等帳戶資訊
從「c:\temp」資料夾中的 CSV 檔案 (volunteers.csv) 中,手動刪除不需要更改密碼的會議室等帳戶資訊。
5. 批量更改密碼
逐行執行以下命令,批量更改密碼。
$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "XXXXXXXX"
}
}
Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params }
※ 每位使用者在 Microsoft 365 登入後,需要更改密碼。
※ 所有使用者將使用相同的密碼。
請將上述命令中的 "XXXXXXXX" 更改為初始登入密碼字串。
▼ 密碼的設定要求
Microsoft Entra ID 中的密碼原則和帳戶限制
※ 根據 Outlook 等各種客戶端應用程式的不同,可能由於 Microsoft 365 的驗證快取保持規範,驗證對話框不會立即顯示。
6. 中斷 Microsoft Graph 連接
執行以下命令,從 Microsoft Graph 中斷連接。
Disconnect-MgGraph
※ [Connect-MgGraph] 命令在下次啟動時不會要求登入,會保留上次驗證過的憑證。
因此,為了確保登出,需要執行 [Disconnect-MgGraph]。
其他 SSO 服務解除
如果有與 HENNGE Access Control 和單一登入 (SSO) 的服務 (非 Microsoft 365) 連接,請進行 SSO 的解除作業。
請確認 HENNGE Access Control 管理介面的「連線的服務」。
此外,SSO 的解除作業需要在連接的服務提供者 (SP) 進行。 詳細的解除方法,請向各 SP 的支援窗口確認。
以上為所有設定步驟。
作業完成後請聯絡 HENNGE One 技術支援窗口。