我们目前正在使用 M365 商业高级版许可证,因此正在使用 Azure 信息保护高级计划 1。我们在 compliance.microsoft.com 上创建了一个“内部”敏感度标签,并使用“立即分配权限”配置向组织内的所有用户和组授予共同作者访问权限。该标签在用户的 Outlook Web 应用程序中有效。但是,在 Outlook 桌面应用程序中起草新电子邮件时,可以选择标签,但当我单击标签本身时,它会恢复为“无标签”。 标签策略适用的所有用户都可以看到标签。但无法应用它。一些见解: 如果我创建一个带有“让用户分配权限”配置的标签,然后选择“仅加密”或“...
我正在考虑从 AWS Cognito 迁移到 Azure Entra ID。 当 Azure AD 中不存在用户时,使用外部 SAML 提供程序的文档流程不明确,并且仅在首次登录时添加。 有人知道使用 Azure Entra ID 是否可以实现这一点吗?在 AWS Cognito 中,只需单击几下即可设置此流程。 谢谢任何建议。 ...
我在小型网络(大约 30 台客户端 PC)上继承了 Windows Server 2019 域控制器,其中安装了 AD CS。我想为 AD CS 设置专用服务器,因为在 DC 上安装 AD CS 是不好的做法,我计划使用证书对用户/计算机进行 Radius 身份验证。 我已经研究了将 CA 转移到另一台计算机的过程,但是由于所有证书模板都未配置,并且根证书的密钥长度只有 2048 位,所以我宁愿从头开始。 目前唯一仍然有效的证书是域控制器证书。DC 与 Entra 同步,我认为这需要域控制器证书。 问题: 在这种情况下,删除完整的 ca 可以接受吗? DC...
登录 Azure 时(例如访问 portal.azure.com 时),一个简单的电子邮件地址就足以让 Azure 确定应查看哪个 Entra 目录来确定身份验证方法 - 即使电子邮件的域与 Entra 目录的域不同。 毕竟,这个电子邮件地址可以是任何东西,例如用于 Micrsosoft 帐户的任何域上的任何自定义电子邮件地址,或者据我所知,甚至是目录中注册的一些第三方联合身份提供商。 因此,Microsoft 必须维护一些全局索引,将电子邮件地址映射到目录,因为否则登录过程如何知道要查看哪个目录?但是,我在任何地方都找不到有关此内容的任何信息。 还有一个(...
我注意到一个奇怪的问题,它只发生在 Chrome 上,而不会发生在 Edge 上。 我们有一个 Web 应用服务器 (IIS) 和一个图像服务器。用户可以通过 Azure Entra 代理服务从外部访问这两个服务器。 -如果用户通过代理通过 Chrome 访问页面,则图像不会加载,除非用户首先导航到图像服务器以触发该服务器上的登录 -如果用户通过代理通过 Edge 访问页面,则图像会加载 -如果用户通过 Chrome 上的内部网络(而不是通过代理服务)访问页面,则图像会加载 -如果用户通过 Edge 上的内部网络(而不是通过代理服务)访问页面,则图像会加载 ...
我需要将 Intune 公司门户从条件访问中排除,以便用户可以登录。否则,他们会收到登录成功但无法访问的消息。我已经从条件访问策略中排除了 Intune 注册,但我找不到 Intune 应用的条目。 我这样做了: #in Entra ID add a service principal for an app #enter tenant id for your tenant Connect-MgGraph -TenantId [enter tenant id] import-module microsoft.graph.ap...
我们有一个用于 SSO 的本地 AD FS 2019 服务器,连接到 Azure AD(唉,现在是 Entra ID)进行 MFA。我们密切关注本文档在进行设置时,它已经运行了一段时间了。 但这是针对员工的,他们都是居住在美国的英语母语人士。我们是一所小型大学,最近开始招收学生攻读 MFA。这其中包括一些非英语母语的学生。据我所知,这些人的默认文档不完整或有问题。 具体来说,在标题为“捕获错误并更新页面文本”,文档提供的 javascript 仅查找原始错误的英语版本。*即使您手动更改 URL 以显示其他语言,情况也是如此。 更糟糕的是,我看不到任何简单的方...
我设法为我们的 Microsoft 租户启用了联合登录,这样如果你登录到 office.com 并输入你的用户名(例如“[电子邮件保护]“),然后您将被重定向到我们的 Keycloak 实例,在那里进行身份验证,然后您将被重定向回 office.com 并成功登录。 我现在想为我们的 Windows Education 机器启用相同的功能。通过使用 Windows 配置设计器,我启用了 SharedPC 设置,还启用了 FederatedAuthentication/EnableWegSignInForPrimaryUser 和 Policies/Authe...
我现在有一个 Entra/Azure AD App 注册,正在被一个小型 Angular SPA 用于向 .net 核心 API 进行身份验证。 当我解码 JWT 时,iss 是 "iss": "https://sts.windows.net/64..............a21/", 在我的 Program.cs 中 builder.Services.AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.Authe...
我们正在进行 Outlook 集成,其中我们有一个会议室应用程序,我们想连接到在 Outlook 中配置的其他公司会议室。如果有人通过 Outlook 预订会议室,我们会收到更新。如果有人通过我们的应用程序预订会议室,我们会在客户的 Outlook 中检查可用性,并(如果可用)预订资源。 此时,我们有点难以理解哪种方法最好。也就是说,将我们的应用程序连接到客户日历的最佳方法是什么。我们与 Azure 管理员进行了交谈,他说他可以通过企业应用程序部分做到这一点,但他建议我们使用他们为我们创建的帐户来建立此连接。 从我们的角度来看,这不太易于维护,因为我们需要为...
%20-%20%E5%8A%A0%E5%85%A5%20Entra%20ID%EF%BC%88%E6%B7%BB%E5%8A%A0%E5%B7%A5%E4%BD%9C%E5%B8%90%E6%88%B7%EF%BC%89%E5%90%8E%E5%B8%90%E6%88%B7%E7%99%BB%E5%BD%95%E5%A4%B1%E8%B4%A5%EF%BC%88%E5%AF%86%E7%A0%81%E9%94%99%E8%AF%AF%EF%BC%89.png)
我有一个带有本地管理员帐户的 Windows 11 桌面,并使用加入提示中的 Entra ID 链接添加了一个工作帐户(按照 MS 文档文章的说明)。 加入成功,重启后,我使用与刚刚加入的工作帐户关联的用户电子邮件地址登录,结果出现密码错误。密码千分之一正确,否则我根本无法加入,我已经检查了四遍,两次。 我重新登录本地管理员帐户并查看“设置”->“帐户”->“其他用户”中列出的帐户(见图) 或者,我读到过,如果没有本地 DC 来进行同步,Azure AD 用户就无法登录到本地计算机,这与我在文档中读到的相反,但其中大部分内容已过时、已重命名,并且...
我们在 Entra ID(云)中创建了一个新的企业应用程序,用于连接到第三方 SaaS 解决方案。他们的部分要求是我们需要提供一个声明“teams”,其值由用户所属团队的逗号分隔列表组成。 在我们这边,在 Entra ID 中,这些团队是使用专用安全组实现的。因此,用户可以是其中一个或多个安全组的成员。我们现在需要一种方法来将此组成员身份转换为适当的 SAML 声明。 为此,我们在企业应用程序的单点登录 SAML 配置中添加了新的组声明,并使用“自定义组声明的名称”功能将该声明重命名为“团队”。因此,现在我们的 SAML 令牌包含以下声明(缩写): <...
我一直在研究条件策略来试验部署无密码身份验证的场景,但无法找出适合新用户的最佳方法。 如果您为适用于所有云应用程序的一组目标用户创建一项策略,并要求无密码 mfa 的身份验证强度,那么您理所当然地会阻止这些用户首次登录、重置密码并注册他们的移动设备。 官方文档中的解决方案之一描述了使用网络位置来仅对不受信任的位置实施控制。 目标资源有用户操作适用于注册安全信息和注册或加入设备,但不对这些行动作出否定。 如果您没有受信任的位置(即,仅限远程用户),您如何强制控制但允许初始登录和设备/ mfa 注册? ...
每当我在 Outlook M365 桌面应用程序中通过右键单击电子邮件并选择“阻止发件人”将其移至垃圾邮件来阻止发件人时,AD/Entra Connect 中都会出现错误,提示“访问权限不足,无法执行操作“。 我通过访问 AD 用户和计算机、右键单击我的帐户并导航到: Properties>Security选项卡 > Advanced> Restore Defaults> Apply>来解决这个问题OK,然后 AD/Entra Connect 同步就可以正常工作。 该问题与msExchBlackedSenderHash。该...
在 MS Entra 的“外部身份”部分的“跨租户访问设置”中,我添加了一个组织,并在“入站访问”、“B2B 协作”中添加了该组织的一个组的 GUID。 现在,在“企业应用程序中”,我想添加该组并为其分配角色。 这可能吗? ...