跳至主內容
English (US) 日本語 简体中文

同時使用 HENNGE Access Control 和 Microsoft Entra Join。

問題

想要同時使用 HENNGE Access Control 和 Microsoft Entra Join (Microsoft Entra 參加),在運作上有什麼注意事項嗎?

回答

在同時使用 HENNGE Access Control 和 Microsoft Entra Join (Microsoft Entra 參加) 的情況下,關於驗證有幾個注意事項。
詳細請按此 概要 確認。

注意事項

  1. 本文章的內容是基於 2025 年 1 月時的產品內容,之後可能會不經通知而變更。

概要

Microsoft Entra Join (Microsoft Entra 參加) 是什麼

Microsoft Entra Join (Microsoft Entra 參加,舊 Azure AD Join) 是將 Windows 10 / 11 等裝置直接加入 Microsoft Entra ID (舊 Azure Active Directory)。

傳統的 Windows 裝置是加入 Active Directory (AD) 網域,但隨著雲端服務的使用增加,將裝置加入雲端基礎的 ID 管理系統 Microsoft Entra ID 的情況也在增加。

參考: 什麼是 Microsoft Entra 參加的裝置

 

在 Microsoft 365 中進行 HENNGE Access Control 的聯邦時,進行 Microsoft Entra Join (Microsoft Entra 參加) 會發生什麼?

在 Windows 登入時不會顯示 HENNGE Access Control 的驗證畫面,但驗證將由 HENNGE Access Control 進行。
Windows 登入時將使用 HENNGE Access Control 的使用者資訊 (UPN 和密碼)。

※ 實際運作時,HENNGE Access Control 仍需另外設定。詳細請參考這裡

 

如果更改 HENNGE Access Control 的密碼,Windows 登入時的密碼也會更改嗎?

會更改。
但是,Windows 有快取登入的功能,一旦成功登入 Windows,即使在 HENNGE Access Control 中更改密碼,仍然可以使用舊密碼登入。
(我們確認了使用新密碼登入後,無法使用舊密碼登入的驗證結果。)

參考: 有關 Microsoft Entra 的裝置管理 FAQ

 

進行 Microsoft Entra Join (Microsoft Entra 參加) 後,是否可以在 Microsoft Edge 或安裝擴展的 Google Chrome 中直接登入 Microsoft 365 Web 應用程式,以及 Microsoft Teams 和 Microsoft Office 等客戶端應用程式?

可以。
在 Microsoft Edge 或安裝擴展的 Google Chrome 中,Microsoft 365 Web 應用程式以及 Microsoft Teams 和 Microsoft Office 等客戶端應用程式將無需經過 HENNGE Access Control 的驗證而直接登入。
這種行為依賴於 Microsoft Entra Join 的技術規範,詳細請聯繫 Microsoft 公司。

 

在 Windows 裝置上設定 PIN 會怎樣?

如果設定了 PIN,則在 Windows 登入時不會使用 HENNGE Access Control 的使用者資訊和驗證。

 

在 Windows 登入時使用 HENNGE Access Control 的使用者資訊和驗證,HENNGE Access Control 的訪問日誌會保留嗎?

在 Windows 登入時將使用舊版認證 (WS-Trust),但在 HENNGE Access Control 管理介面中不會保留舊版認證 (WS-Trust) 的日誌。
因此,如果想查看登入日誌,請參考 Microsoft Entra 管理中心的登入日誌。

參考: 方法: 計劃實施 Microsoft Entra 參加

 

在 Windows 登入時配置使用 HENNGE Device Certificate (裝置證明書) 的驗證是否可能?

在 Windows 登入時將使用舊版認證 (WS-Trust),但在舊版認證 (WS-Trust) 中無法使用裝置證明書。

 

除了 Microsoft 公司的服務外,是否可以配置使用裝置證明書的驗證?

如果該服務能夠讀取 HENNGE Access Control 的裝置證明書,則可以進行配置。
不過,請注意裝置證明書是針對每個 Windows 配置所需的。

在即將進行 Microsoft Entra 參加的情況下,首先需要使用本地使用者進行 Windows 登入。
然後,在 Microsoft Entra 參加時將要求 HENNGE Access Control 的驗證,並在 Microsoft Entra 參加後創建配置,因此每個使用者需要 2 張裝置證明書。

・需要 1 張設備證書的本地使用者
・需要 1 張設備證書的 Microsoft Entra 使用者在 Windows 登入後

為了解決上述問題,在 Microsoft Entra 參加時,必須在存取政策模板中不記載設備證書必須的條件式,而是在 Microsoft Entra 參加後再進行記載。

 

要同時使用 HENNGE Access Control 和 Microsoft Entra Join (Microsoft Entra 參加),是否需要額外設定?

如果要同時使用 HENNGE Access Control 和 Entra Join (Microsoft Entra 參加),則需要在 HENNGE Access Control 上進行以下額外設定。

1. 新建一個包含 [uastr:"%Windows-AzureAD-Authentication-Provider%"] 和條件式的存取政策模板。

apt_1_tw.png

2. 開啟將使用 Microsoft Entra Join 的使用者所屬的存取原則群組,在 [允許舊版認證的條件] 中選擇 [當以下條件時允許],然後選擇 1. 中的 [uastr:"%Windows-AzureAD-Authentication-Provider%"] 和條件式的存取政策模板,並儲存。

apg_1_tw.png

※ [Windows-AzureAD-Authentication-Provider/1.0] 是指通過 Microsoft Entra 參加進行的授權認證的使用者代理。
未來 Microsoft 公司的更新可能會在未事先通知的情況下更改該使用者代理的字串。