強制執行網域來限制身份驗證

在開始之前

應確定您的組織符合以下強制執行網域的先決條件：

• 您的組織必須有一個或多個企業目錄或是聯合目錄，並且已在 Adobe Admin Console 中建立所申請的網域。
  
• 您必須擁有系統管理員權限，才能在您的 Admin Console 中檢視和管理強制執行的網域。

限制網域的好處

利用組織擁有的網域限制建立新的 Adobe ID 帳戶

為組織擁有之網域上所有使用者提供統一的聯合登入工作流程

控制組織擁有之網域上的使用者帳戶和設定檔數量

讓一般使用者在 Enterprise Storage 上更有效地進行共同作業

禁止在組織擁有的網域下購買軟體供私人使用

強制執行網域設定

所有新建立的企業目錄及聯合目錄均預設強制執行網域。啟用強制執行網域原則的目錄中所有網域都會採取限制性身分驗證。使用者無法使用連結至啟用原則之目錄的限制網域建立新帳戶。

您可以透過強制執行網域，經由下列方式管理使用者和目錄：

• 利用組織擁有的網域限制建立 Adobe ID 帳戶
  
• 將組織中擁有 Adobe ID 帳戶的現有使用者轉變為 Enterprise ID 帳戶或 Federated ID 帳戶，如此一來，便必須經由安全登入才能取得授權和儲存空間
  
• 產生報告，指出哪些使用者擁有強制執行網域的 Adobe ID 帳戶
  
• 要求使用組織擁有之網域的現有 Adobe ID 帳戶，將與該帳戶關聯的電子郵件變更為個人電子郵件
  

前往 Adobe Admin Console 的「設定」，在 Adobe Admin Console 中檢視您的目錄及其「強制執行網域」狀態。然後，選取一個強制執行網域狀態設定為「開啟」的目錄，並檢視強制執行網域設定的區段。

關閉強制執行網域

您可以依照下列步驟關閉任何目錄的強制執行網域：

造訪「Admin Console Insights」區段，選取「記錄」，隨時檢視與強制執行網域原則的相關變更。

強制執行網域最佳實務

透過設定網域和目錄，您能夠善用強制執行網域的功能來滿足組織需求：

• 將網域連結至目錄：若要讓與特定網域相關聯的使用者無法建立新帳戶，或避免其將組織電子郵件用於個人用途，您必須將網域與啟用強制執行網域的目錄連結起來。
• 將網域轉移至另一個目錄：如果要允許與一個或多個網域相關聯的使用者將其組織電子郵件用於私人用途，您必須將這些網域轉移至一個目標目錄上。 然後，此目標目錄關閉強制執行網域。
• 允許自動建立帳戶：若要使用者僅可以使用其組織擁有的電子郵件建立 Federated ID，您必須同時啟用強制執行網域和自動建立帳戶。
  

啟用現有使用者的登入要求

強制執行安全授權

Adobe 建議您在啟用「要求變更電子郵件」原則之前，先編輯使用者的身分類型，將現有的 Adobe ID 使用者轉移至 Enterprise ID 或 Federated ID。此方法能確保同一目錄中所有使用者皆擁有一致的登入體驗，並避免組織使用者提出非預期的變更要求。

選取「Admin Console 使用者」，然後瀏覽至三點選單中的「以 CSV 編輯身分類型」。

要求變更電子郵件

此功能讓您能夠強制位在強制執行目錄中的現有 Adobe ID 帳戶變更其相關聯的電子郵件。在啟用電子郵件變更功能的情況下，Adobe ID 使用者在首次嘗試登入後須在 30 天內變更其電子郵件。30 天之後，他們必須變更電子郵件地址才能存取其帳戶和資料。

啟用後，受該原則影響的使用者會於下次登入時看到一則訊息：「更新您的電子郵件」。為避免使用者疑惑，請於啟用「要求變更電子郵件」設定之前，先將這項變更告知使用者。

下載個人 Adobe ID 使用者報告

利用這份使用者報告，您可以檢視使用所申請的網域與其帳戶的電子郵件相關聯的 Adobe ID 清單。您可以每小時下載各組織中任一目錄的報告。

報告會提供一份電子郵件清單，皆是透過個人帳戶接受最新版本 Adobe 使用條款之使用者。若要下載 Adobe ID 使用者清單，請前往 Adobe Admin Console，然後選取「Insights > 報告」。

例外清單

例外清單允許定義的使用者繞過強制執行網域原則，並透過其受管理的電子郵件來使用個人 Adobe ID 帳戶。

系統管理員可以利用例外清單來新增服務帳戶、進行 SSO 問題疑難排解，以及策略性地將使用者排除在「要求變更電子郵件」設定之外。

相關資源

• 強制執行網域 | 常見問題
• 強制執行網域例外清單
• 在不同目錄間移動網域
  
• 將網域新增至目錄
• 無法存取 Adobe 應用程式和服務 | 強制執行網域