註冊伺服器資訊
 | 若要將 Active Directory / LDAP 伺服器 / Microsoft Entra ID 指定作為其他認證裝置,您必須要註冊用於認證的伺服器資訊。如有必要請執行測試。 |
1
啟動遠端使用者介面。啟動遠端使用者介面
2
按一下入口網站頁面的 [設定/註冊]。遠端使用者介面畫面
3
按一下 [使用者管理] 
[認證管理]。
[認證管理]。4
按一下 [伺服器設定] [編輯...]。
[編輯...]。5
設定認證伺服器與網域資訊。
[使用Active Directory]使用 Active Directory 時選擇此核取方塊。
[設定網域清單:]選擇是否自動擷取登入接收者的 Active Directory 資訊。若要手動輸入,請選擇 [手動設定] 然後在 [Active Directory管理...] 加入登入接收者的網域。
[使用網站內存取模式]如果有多個 Active Directory 伺服器且您要指定優先權給與本機位於相同地點之 Active Directory,請選擇此核取方塊。在必要時,變更 [網站資訊檢索定時:] 和 [網站存取範圍:] 的設定。
即使在 [網站存取範圍:] 中設定 [僅裝置所屬網站],當在啟動程序期間執行網域控制器存取時,本機仍有可能存取所屬網站以外的網站。不過,與本機位於相同網站的網域控制器會優先存取。但是有一個例外,如果相同網站的網域控制器無法存取,但網站以外的網域控制器可以存取,這時會優先存取網站以外的網域控制器。
[服務傳票的快取數量:]指定機器可以保留的服務票證數量。服務票證是 Active Directory 的一項功能,可作為先前登入的記錄,可在相同使用者下次登入時減少所需花費的時間。
[使用LDAP伺服器]使用 LDAP 伺服器時請選擇此核取方塊。
[逾時前的期間]指定嘗試連線至認證伺服器與等候回應的時間限制。啟用 [儲存登入使用者的認證資訊] 時,若您無法在此處指定的時間限制內登入,就會改嘗試使用儲存在快取中的認證資訊登入。
[登入目標的預設網域:]指定有連線優先權的網域。
手動指定 Active Directory 網域
1 | 勾選 [使用Active Directory] 核取方塊,然後針對 [設定網域清單:] 選擇 [手動設定]。 |
2 | 按一下 [Active Directory管理...] [確定]。 |
3 | 按一下[添加網域...]。 |
4 | 輸入必要的資訊。  [網域名稱:]輸入登入接收者的 Active Directory 網域(範例:company.domain.com)。 [NetBIOS名稱]輸入 NetBIOS 網域名稱(範例:company)。 [主要主機名稱或IP位址:] / [次要主機名稱或IP位址:]輸入 Active Directory 伺服器的主機名稱或 IPv4 位址。使用備用伺服器時,請在 [次要主機名稱或IP位址:] 中指定名稱。 範例: 使用主機名稱:ad-server1 使用 IPv4 位址:192.168.18.138 [使用者名稱:] / [密碼:]輸入存取與搜尋 Active Directory 伺服器要使用的使用者名稱和密碼。 [搜尋開始位置:]在 Active Directory 伺服器認證時指定存取和搜尋使用者資訊的位置(層級)。 [登入名稱:] / [顯示名稱] / [電子郵件位址]指定登入名稱的資料欄位(屬性名稱)、顯示名稱與每個使用者帳戶在 Active Directory 伺服器上的電子郵件位址。(範例:sAMAccountName、cn、mail)。 |
5 | 按一下 [連線測試] 確認連線可用,然後按一下 [添加]。  編輯伺服器資訊 按一下您要編輯之伺服器資訊的 [編輯],進行所要的變更,然後按一下 [更新]。 |
註冊 LDAP 伺服器資訊
1 | 勾選 [使用LDAP伺服器] 核取方塊,然後按一下 [LDAP伺服器管理...] [確定]。 |
2 | 按一下[添加伺服器...]。 |
3 | 輸入 LDAP 伺服器資訊。  [伺服器名稱]輸入 LDAP 伺服器名稱。不能使用「localhost」名稱。伺服器名稱可以包含空格。 [主位址]輸入 LDAP 伺服器的 IP 位址和主機名稱(範例:ldap.example.com)。不能使用回送位址 (127.0.0.1)。 [連接埠:]輸入與 LDAP 伺服器通訊使用的連接埠號。請使用在伺服器上的相同設定。如果您沒有輸入數字,當勾選了 [使用TLS] 時會自動設定為「636」,如果未勾選,則會設定為「389」。 [次位址:] / [連接埠:]在您的環境中有使用備用伺服器時,請輸入 IP 位址和連接埠號。 [註解]如有必要,輸入說明或註記。 [使用TLS]與 LDAP 伺服器的通訊使用 TLS 加密時,請勾選此核取方塊。 [使用認證資訊]僅在 LDAP 伺服器設定為允許匿名存取時,才取消勾選會以允許對 LDAP 伺服器的匿名存取。使用使用者名稱和密碼進行認證時,請勾選此核取方塊並輸入 [使用者名稱:] 和 [密碼:] 的值。  [搜尋開始位置:]執行 LDAP 伺服器認證時,指定要搜尋使用者資訊的位置(層級)。 |
4 | 指定如何設定屬性和網域名稱。  [使用者名稱(鍵盤認證):]指定 LDAP 伺服器上使用者名稱的 LDAP 資料欄位(屬性名稱)(範例:uid)。 [登入名稱:] / [顯示名稱] / [電子郵件位址]指定登入名稱的 LDAP 資料欄位(屬性名稱)、顯示名稱與每個使用者帳戶在 LDAP 伺服器上的電子郵件位址。(範例:uid、cn、mail)。 [指定網域名稱] / [指定網域名稱獲取的內容名稱]選擇如何設定登入接收者的網域名稱。若要直接指定網域名稱,請選擇 [指定網域名稱] 然後輸入網域名稱。若要指定 LDAP 伺服器上的 LDAP 資料欄位(屬性名稱)以從該欄位取得網域名稱,請選擇 [指定網域名稱獲取的內容名稱],然後輸入屬性名稱(範例:dc)。 |
5 | 按一下 [連線測試] 確認連線可用,然後按一下 [添加]。 |
編輯伺服器資訊
按一下您要編輯之伺服器資訊的 [編輯],進行所要的變更,然後按一下 [更新]。
指定 Microsoft Entra ID 資訊
如果使用 Microsoft Entra ID 作為認證伺服器,請使用 Microsoft Entra ID 註冊應用程式。
1 | 選擇 [使用Microsoft Entra ID] 複選框。 |
2 | 按一下[網域設定]。 顯示 [Microsoft Entra ID網域設定] 畫面。 |
3 | 指定 Microsoft Entra ID 資訊。  [登入目標名稱]輸入要在登入目標上顯示的名稱。 * 您不能使用控制字元或空格。 [網域名稱]輸入作為登入目標的 Microsoft Entra ID 的網域名稱。 [應用程式識別碼]輸入應用程式(用戶端)ID。 [金鑰] 輸入由 Microsoft Entra ID 生成的祕密。當使用 [鍵值和憑證] 時,您不需要輸入此祕密。 [鍵值和憑證]當您使用鍵值和憑證時,按下 [鍵值和憑證]。 您可以按下 [匯出憑證] 將憑證匯出,藉此到 Microsoft Entra ID 中進行註冊。 [Microsoft Entra ID認證URL] 以及 [Microsoft Entra ID API URL]輸入網址。根據您的雲端環境,您可能需要變更設定。 |
4 | 設定屬性。  [為登入帳戶設定的屬性] 輸入伺服器上每個使用者帳戶的登入名稱、顯示名稱以及電子郵件位址的屬性。 [登入名稱] 從下拉選單中,選擇伺服器上每個使用者帳戶的登入名稱屬性。 * 若要指定下拉選單中未顯示的屬性,您可以直接輸入。 [WindowsLogonName]: 顯示名稱是從 Microsoft Entra ID 獲取的。顯示名稱會按以下方式進行變更,以創建登入名稱: 顯示名稱中的空格和以下字元將被刪除:* + , . / : ; < > = ? \ [ ] |. 「@」及其後的任何字元將被刪除。 超過 20 個字元的字元串將被縮短為 20 個字字元或更少。 例如: 當顯示名稱是 「user.001@example.com」時,登入名稱將變為「user001」。 [displayName]: 從 Microsoft Entra ID 獲取的顯示名稱成為登入名稱。 [userPrincipalName]: 從 Microsoft Entra ID 獲取的使用者主要名稱成為登入名稱。 [userPrincipalName-Prefix]: 從 Microsoft Entra ID 獲取的使用者主要名稱中「@」之前的部分,成為登入名稱。 例如: 當使用者主要名稱是 「user.002@mail.test」時,登入名稱將變為「user.002」。 [顯示名稱] 以及 [電子郵件位址] 輸入伺服器上每個使用者帳戶的顯示名稱以及電子郵件位址的屬性。 |
5 | 在 [為登入帳戶設定的網域名稱]下的 [網域名稱] 中,指定登入目的地的網域名稱。 |
6 | 在 [自動完成的網域名稱] 下的 [使用鍵盤認證時自動完成輸入使用者名稱] 中,指定設定。 輸入要執行自動完成的網域。通常,與已輸入 [網域名稱] 的名稱相同。 |
7 | 按一下 [連線測試] 測試連線。 |
8 | 按一下[更新]。 畫面回到 [編輯伺服器設定] 畫面。 |
6
輸入使用者資訊並設定權限。
[儲存登入使用者的認證資訊]勾選核取方塊以儲存透過控制面板登入的使用者認證資訊。勾選 [使用鍵盤認證時儲存使用者資訊] 核取方塊以將使用鍵盤認證登入的使用者資訊儲存至快取。指定設定後,即便本機無法連線至伺服器,仍可使用儲存的認證資訊登入。如有必要,請變更 [保留期間:] 設定。
[使用者內容瀏覽:]輸入用於決定使用者權限(角色)之參考伺服器上的資料欄位(屬性名稱)。一般來說,您可以使用「memberOf」預設值,此值指明使用者所屬的群組。
[從[使用者內容瀏覽]檢索角色名稱以套用]勾選核取方塊以使用在 [使用者內容瀏覽:] 指定的伺服器資料欄位中註冊的字元字串作為角色名稱。指定前,請確定可在本機選擇該角色名稱,然後在伺服器上進行註冊。
[條件]您可以設定決定使用者權限的條件。以下的條件會依照其顯示的次序套用。
[搜尋條件] | 選擇 [字元字串] 的搜尋條件。 |
[字元字串] | 輸入在 [使用者內容瀏覽:] 指定註冊為屬性的字元字串。若要根據使用者所屬的群組設定權限,請輸入群組名稱。 |
[角色] | 選擇要套用到符合條件之使用者的權限。 |
使用 Active Directory 伺服器時的 [條件] 設定
「Canon Peripheral Admins」事先設定為管理員使用者群組。請指定不同的權限給其他在伺服器上建立的群組。
7
按一下[更新]。
8
重新啟動本機。重新啟動本機
 |
DNS 設定如果在 Active Directory 端變更了用於 Kerberos 的連接埠號碼,將需要進行以下設定。 Active Directory 的 Kerberos 服務資訊必須如下所示註冊為 SRV 記錄: 服務:「_kerberos」 通訊協定:「_udp」 連接埠號碼:Active Directory 網域 (區域) 的 Kerberos 服務所用的連接埠號碼 提供此服務的主機:Active Directory 網域 (區域) 的 Kerberos 服務所實際提供之網域控制器的主機名稱 |
在 Microsoft Entra ID 中註冊應用程式
使用以下程序在 Microsoft Entra ID 中註冊應用程式。
註冊流程可能隨著服務更新而變更。如需瞭解更多資訊,請查閱 Microsoft 網址。
註冊流程可能隨著服務更新而變更。如需瞭解更多資訊,請查閱 Microsoft 網址。
1
登入 Microsoft Entra ID。
2
在導航選單中,按一下 [Microsoft Entra ID]。
3
註冊應用程式。
1 | 在導航選單中,按一下 [應用程式註冊] [註冊新流程]。 |
2 | 輸入應用程式的名稱。 您可以輸入任意名稱。 輸入範例: Canon <printer name> Login |
3 | 選擇帳戶類型,然後按下 [註冊]。 應用程式(用戶端)ID 已生成。 記下生成的 ID。 |
4
建立祕密或註冊憑證。
建立祕密時
1 | 在導航選單中,按一下 [憑證及祕密]。 |
2 | 按一下[新增用戶端密碼]。 |
3 | 在 [新增用戶端密碼] 對話框中,輸入描述和到期日期,然後按一下 [添加]。 已創建祕密 ID 和值。 記下已創建的祕密值。您不需要祕密 ID。 * 祕密值只顯示一次。如果您無法記下該值,請創建一個新的客戶端祕密。 |
註冊憑證時
機器的憑證需要提前匯出。您可以在配置 Microsoft Entra ID 資訊時匯出憑證。 指定 Microsoft Entra ID 資訊
1 | 在導航選單中,按一下 [憑證及祕密]。 |
2 | 按一下[上傳憑證]。 |
3 | 選擇檔案,然後按一下 [添加]。 憑證上傳後,記下 [拇指指紋] 值。 |
5
在導航選單中,按一下 [API 權限]。
6
按一下[新增權限]。
7
在 [要求 API 權限]下,選擇 [Microsoft Graph]。
8
在權限類型下,選擇 [委派的權限],並授予權限。
授予以下權限:
使用者。讀取。全部
群組。讀取。全部
群組成員。讀取。全部
9
在權限類型下,選擇 [應用程式權限],並授予權限。
授予以下權限:
使用者。讀取。全部
使用者。讀寫。全部(當註冊 IC 卡至機器或從機器中刪除卡時)
群組。讀取。全部
群組成員。讀取。全部
* 當使用 IC 卡驗證或因多重要素驗證錯誤而無法登入機器時,請使用權限。根據所使用的功能和環境,這可能不是必需的。
10
按一下[授與管理員同意確認。],然後按一下[是]。
管理員已同意授予所選權限。