跳至主內容
English (United States) 日本語 简体中文

同時使用 Access Control 和 Microsoft Entra Join。

問題

想要同時使用 Access Control 和 Microsoft Entra Join (Microsoft Entra 參加),在操作上有什麼注意事項嗎?

回答

當同時使用 Access Control 和 Microsoft Entra Join (Microsoft Entra 參加) 時,驗證方面有一些注意事項。
詳細資訊請參閱 概要

注意事項

  1. 本文章中所述的 Access Control 規格是基於 2025 年 12 月時的產品內容,之後可能會在未經通知的情況下進行修改。
  2. 本文是基於 2025 年 1 月的 Microsoft Entra Join 規格,由我們公司進行驗證後記載的內容,並不保證確實的運作。
    在與 Microsoft Entra Join 併用時,強烈建議事先進行操作確認。
    即使未能確認預期的操作,我們公司也不承擔責任。

概要

什麼是 Microsoft Entra Join (Microsoft Entra 參加)

Microsoft Entra Join (Microsoft Entra 參加,舊稱 Azure AD Join) 是指將 Windows 10 / 11 等裝置直接加入 Microsoft Entra ID (舊稱 Azure Active Directory)。

傳統的 Windows 裝置是加入 Active Directory (AD) 網域,但隨著雲端服務的使用增加,加入雲端為基礎的 ID 管理系統 Microsoft Entra ID 的情況也在增加。

參考: 什麼是 Microsoft Entra 參加的裝置

 

在 Microsoft 365 中進行 Access Control 的聯邦身份驗證時,進行 Microsoft Entra Join (Microsoft Entra 參加) 會怎樣?

在 Windows 登入時不會顯示 Access Control 的驗證畫面,但驗證仍為 Access Control。
Windows 登入時使用 Access Control 的使用者資訊 (UPN 和密碼)。

※ 實際操作時,Access Control 也需要另外設定。詳細資訊請參閱此篇文章

 

如果更改了 Access Control 的密碼,Windows 登入時的密碼也會更改嗎?

會更改。
然而,Windows 有快取登入的功能,一旦成功登入 Windows,即使在 Access Control 更改密碼,仍然可以使用舊密碼登入。
(當使用新密碼登入後,舊密碼將無法登入,這是經過驗證的結果。)

參考: Microsoft Entra 的裝置管理常見問題

 

在 Microsoft Entra Join (Microsoft Entra 參加) 的情況下,是否可以在 Microsoft Edge 或安裝擴充功能的 Google Chrome 上直接登入 Microsoft 365 Web 應用程式、Microsoft Teams 和 Microsoft Office 等客戶端應用程式?

可以。
在 Microsoft Edge 或安裝擴充功能的 Google Chrome 上,Microsoft 365 Web 應用程式、Microsoft Teams 和 Microsoft Office 等客戶端應用程式將會直接登入,而不經過 Access Control 的驗證。
此行為依賴於 Microsoft Entra Join 的技術規格,詳細資訊請洽詢 Microsoft 公司。

 

在 Windows 裝置上設定 PIN 時會怎樣?

設定 PIN 時,Windows 登入時不會使用 Access Control 的使用者資訊及驗證。

 

在 Windows 登入時使用 Access Control 的使用者資訊及驗證時,Access Control 的存取日誌中會留下記錄嗎?

在 Windows 登入時會使用舊版驗證 (WS-Trust)。
舊版驗證 (WS-Trust) 的日誌僅限於 2025 年 12 月 1 日以後的記錄可以從 Access Control 管理介面中查看。
若要查看上述日期之前的登入日誌或查看詳細資訊,請查看 Microsoft Entra 管理中心的登入日誌。
參考: 方法: 計劃 Microsoft Entra 參加的實施(外部連結)

 

在 Windows 登入時是否可以配置使用 HENNGE Device Certificate (裝置憑證) 的驗證?

在 Windows 登入時會使用舊版驗證 (WS-Trust),但舊版驗證 (WS-Trust) 無法使用裝置憑證。

 

是否可以對 Microsoft 公司的服務以外的服務配置使用裝置憑證的驗證?

如果該服務能夠讀取 Access Control 的裝置憑證,則可以配置。
但請注意,裝置憑證需要為每個 Windows 用戶資料提供。

在即將進行 Microsoft Entra 參加的情況下,首先以本地使用者登入 Windows。
之後,在 Microsoft Entra 參加時會要求 Access Control 的驗證,並在 Microsoft Entra 參加後建立用戶資料,因此每位使用者需要 2 張裝置憑證,如下所示。

・本地使用者需要 1 張裝置憑證
・在 Microsoft Entra 使用者登入 Windows 時需要 1 張裝置憑證

為了解決上述問題,在 Microsoft Entra 參加時不在存取政策範本中記載裝置憑證必須的條件式,並在 Microsoft Entra 參加後記載。

 

為了同時使用 Access Control 和 Microsoft Entra Join (Microsoft Entra 參加),是否需要額外設定?

當同時使用 Access Control 和 Microsoft Entra Join (Microsoft Entra 參加) 時,需要在 Access Control 上進行以下設定。

1. 新建一個包含 [uastr:"%Windows-AzureAD-Authentication-Provider%"] 和條件式的存取政策範本。

APT1_fix.png

2. 開啟使用 Microsoft Entra Join 的使用者所屬的存取政策群組,選擇 [允許舊版認證的條件] 中的 [當以下條件時允許],選擇第 1 步中包含 [uastr:"%Windows-AzureAD-Authentication-Provider%"] 和條件式的存取政策範本,並儲存。

APG1.png

※ [Windows-AzureAD-Authentication-Provider/1.0] 是指通過 Microsoft Entra Join 進行授權驗證時的使用者代理。
隨著 Microsoft 公司的更新,該使用者代理的字串可能會在未經通知的情況下更改。