受限身份验证的域强制执行

开始之前

您应确保您的组织满足使用域强制实施的以下先决条件：

• 您的组织必须在 Adobe Admin Console 中建立一个或多个具有声明域的企业目录或联合目录。
  
• 您必须具有系统管理员权限才能在 Admin Console 中查看和管理域强制。

限制域名的好处

阻止使用组织拥有的域创建新的 Adobe ID 帐户

为组织拥有的域上的所有用户提供统一的联合登录工作流程

控制组织拥有的域上的用户帐户和配置文件的数量

促进企业存储上最终用户之间的更好协作

阻止在组织拥有的域下购买供个人使用的软件

强制域设置

所有新创建的企业和联合目录默认启用域强制。启用域强制策略的目录内的所有域都将具有受限身份验证。用户无法使用链接到启用策略的目录的受限域来创建新帐户。

您可以使用域强制通过以下方式管理您的用户和目录：

• 限制使用组织拥有的域创建 Adobe ID 帐户
  
• 将组织中现有使用 Adobe ID 帐户的用户转换为 Enterprise ID 或 Federated ID 帐户，并要求安全登录才能访问许可证和存储
  
• 生成报告，指明哪些用户拥有带有强制域的 Adobe ID 帐户
  
• 要求使用组织拥有的域的现有 Adobe ID 帐户将与该帐户关联的电子邮件更改为个人地址
  

转到 Adobe Admin Console 设置 以在 Adobe Admin Console 中查看您的目录及其 域强制 状态。然后，选择将 域强制 状态设置为 开启 的目录，以查看 域强制 设置部分。

关闭强制域

您可以按照以下步骤关闭任何目录的域强制执行：

访问 Admin Console 洞察 部分并选择 日志 以随时查看与域执行策略相关的更改。

域强制最佳实践

您可以通过设置域和目录来最好地使用域强制功能，以满足组织的需求：

• 将域链接到目录：要阻止与特定域关联的用户创建新帐户或将组织电子邮件用于个人用途，您必须 将域与启用域强制的目录链接起来。
• 将域转移到其他目录： 如果您希望允许与一个或多个域关联的用户个人使用其组织电子邮件，则必须 将这些域转移到一个目标目录。 然后，关闭此目标目录的域强制执行。
• 允许自动创建帐户：如果您希望用户仅使用其组织所拥有的电子邮件地址创建 Federated ID，则必须同时启用域强制执行和 自动创建帐户。
  

为现有用户启用登录要求

强制安全授权

Adobe 建议您在启用“要求更改电子邮件”策略之前 编辑用户的身份类型 以将现有 Adobe ID 用户转移到 Enterprise ID 或 Federated ID。这可确保目录中的所有用户都具有一致的登录体验，并防止组织用户提出意外的更改请求。

选择 Admin Console 用户，然后从三点菜单导航到 通过 CSV 编辑身份类型 。

需要更改电子邮件

此功能允许您强制目录中的现有 Adobe ID 帐户更改其关联的电子邮件地址。启用电子邮件更改功能后，Adobe ID 用户在首次登录尝试后有 30 天的时间更改其电子邮件地址。30 天后，他们必须通过更改电子邮件地址才能访问他们的帐户和数据。

启用后，受此策略影响的用户将在下次登录时看到一条消息：“更新您的电子邮件”。为了避免混淆，请在启用 要求更改电子邮件 设置之前将此更改告知用户。

下载个人 Adobe ID 用户报告

此用户报告允许您查看使用与其帐户关联的电子邮件地址所声明的域的 Adobe ID 列表。您可以每小时下载每个组织中任何目录的报告。

该报告提供了已使用个人帐户接受最新 Adobe 使用条款 的用户的电子邮件地址列表。要下载 Adobe ID 用户列表，请转到 Adobe Admin Console，然后选择 洞察 > 报告。

例外列表

例外列表允许定义的用户绕过域强制执行策略并使用其管理的电子邮件使用个人 Adobe ID 帐户。

系统管理员可以使用例外列表添加服务帐户、排除 SSO 问题以及从需要更改电子邮件设置的角度策略性地排除用户。

相关资源

• 域强制 | 常见问题
• 域强制例外列表
• 跨目录移动域名
  
• 将域添加到目录
• 无法访问 Adobe 应用程序和服务 | 域强制执行