對象
欲透過 HENNGE Access Control 進行 Microsoft 365 登入認證串接的客戶。
目的
串接 HENNGE Access Control 和 Microsoft 365 ,以便於透過 HENNGE Access Control 登入 Microsoft 365 。
注意事項
1. 完成本文所述之步驟時, Microsoft 365 的登入介面將自動跳轉至 HENNGE Access Control 。
2. 如果需要 M365 租戶中包含多個次要網域,請分別對各個次要網域中執行本操作。
3. 需要使用到 Microsoft 365 主要網域的全域管理員帳號資訊(使用者帳號和密碼)。
4. 本文的步驟建議使用擁有 Microsoft 365 初始網域(包含 .onmicrosoft.com 的網域)的 Microsoft 365 全域管理員帳戶進行操作。
5. 此設定是以「網域」為單位套用,無法僅針對部分使用者進行測試。
6. 請保留 onmicrosoft.com 網域的管理員帳號,若未保留,設定完成後,管理者可能無法登入 Microsoft 365 管理介面。
7. 若有基本驗證(如,應表機、自動發信系統...等)設定後最多可能會有 24 小時無法透過基本驗證存取。
5. 本文內容是基於 2023年 2月的產品內容,此後如果有所變更,恕不另行通知。
詳細步驟・説明
1. 準備 Microsoft Graph PowerShell 連接到 Microsoft 365 的環境
請參考以下文章,將 Microsoft Graph PowerShell 連接到 Microsoft 365。
使用 Microsoft Graph PowerShell 進行 Microsoft365 的串接
2. 檢查 Microsoft 365 中預設網域設置
2.1. 登入 Microsoft 365 的管理員介面,左側選單中點擊[ 全部顯示 ] 。
2.2. 在左側選單中點擊 [ 設定 ] → [ 網域 ] 。
2.3. 確保" (預設) " 顯示在 Microsoft 365 初期網域[ xxxx.onmicrosoft.com ]的右側。
由於 Microsoft 365 的規定限制,預設網域無法進行串接設定。
如果" (預設) " 顯示為 Microsoft 365 預設網域以外的網域,請根據這裡的步驟說明將“預設”網域更改為 Microsoft 365 的原始網域。
3. 檢查串接程式碼
設置 Microsoft 365 和 HENNGE Access Control 串接的程式碼會提供在由 HENNGE One 導入負責人 / 支援窗口提供的資料:HENNGE One setting_info_XXX.xlsx 中。
如果您手中沒有 HENNGE One setting_info_XXX.xlsx ,請與 HENNGE One 導入負責人 / 支援窗口聯絡。
4. 執行串接設置
4.1. 在 Windows 的 [ 開始 ] 選單中,使用管理權限打開 [ Windows PowerShell ] 。
※ 確認 PowerShell 的左上角顯示 [ 管理者 ] 。
4.2. 執行以下程式碼。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
4.3. 進行 Microsoft 365 登入驗證,請輸入 Microsoft 365 主要網域的管理員帳號資訊。
4.4. 執行以下程式碼,檢查將要串接網域的[ Authentication ]欄是否為 "Managed" 。
※ 如果將要連結的網域 [ Authentication ] 欄不是 "Managed" ,請通知 HENNGE One 導入負責人 /支援窗口。
Get-MgDomain
4.5. 依序分行執行串接程式碼。
以下為程式碼範例。
紅色部分根據客戶的環境不同而異。
請參考 HENNGE One setting_info_XXX.xlsx 中的設定資料。
如果在執行命令時出現錯誤,請聯繫您的 HENNGE One 導入負責人 / 支援窗口。
$dom = "sampledomain.com"
$url = "https://ap.ssso.hdems.com/sso/sampledomain.com/login/"
$uri = "https://ap.ssso.hdems.com/sso/sampledomain.com"
$ecp = “https://ap.ssso.hdems.com/active/sampledomain.com”
$logouturl = "https://ap.ssso.hdems.com/sso/sampledomain.com/logout/"
$mex = "https://ap.ssso.hdems.com/mex/sampledomain.com"
$cert ="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
New-MgDomainFederationConfiguration -DomainId $dom -DisplayName $dom -IssuerUri $issuer -PreferredAuthenticationProtocol "wsFed" -ActiveSignInUri $auri -FederatedIdpMfaBehavior ` "acceptIfMfaDoneByFederatedIdp" -MetadataExchangeUri $mex -SigningCertificate $cert -PassiveSignInUri $puri -SignOutUri $logoffuri
4.6. 執行以下指令,並檢查該指令所針對的目標網域 [ Authentication ] 欄是否為 "Federated" 。
※ 如果要連結的網域 [ Authentication ] 欄不是 "Federated" ,請聯絡您的 HENNGE One 導入負責人 /支援窗口。
Get-MgDomain
4.7. 檢查串接是否成功。
根據以下文章內容,確認連結動作是否完成。
※ 從指令執行到完成連結,可能會需要數小時。若 24 小時後仍有使用者無法切換至新驗證畫面,需聯繫 Microsoft 支援。
參考文章:HENNGE Access Control 和 Microsoft 365 串接確認
※ 設定完成後,建議管理員強制登出使用者裝置上已儲存的 Office 應用程式登入資訊,以確保下次登入時強制透過 Access Control 進行認證。
參考文章:使用 Microsoft Graph Powershell 切斷 Microsoft Entra ID 新式驗證
4.8. 通知 HENNGE One 導入負責人 / 支援窗口,連結已經完成。
當您執行了連結配置指令並確認連結成功之後, 請務必聯絡您的 HENNGE One 導入負責人 / 支援窗口。
4.9. 切斷 Microsoft Graph 連線
執行下方程式碼將和 Microsoft Graph 的連線切斷。
Disconnect-MgGraph
※ 使用 [Connect-MgGraph] 命令時,下次啟動時將不需要再要求登入,前次驗證過的資格證將被保留。
為確保完全斷開登入,請務必執行 [Disconnect-MgGraph] 命令。
参考