註冊認證伺服器資訊
使用 Active Directory、LDAP 伺服器或 Microsoft Entra ID 做為外部認證伺服器時,請對於要使用的伺服器註冊伺服器的資訊。
從電腦使用遠端使用者介面註冊伺服器資訊。您無法使用控制台註冊資訊。
需要管理員權限。必須重新啟動本機,才能套用註冊資訊。
需要管理員權限。必須重新啟動本機,才能套用註冊資訊。
所需的準備
您必須設定使用 Active Directory、LDAP 伺服器或 Microsoft Entra ID 所需的設定,例如 DNS 設定以及日期和時間設定。
準備存取要使用的 Active Directory、LDAP 伺服器或 Microsoft Entra ID 所用的憑證。
1
以管理員身分登入遠端使用者介面。啟動遠端使用者介面
2
在遠端使用者介面的入口網站頁面上,按一下 [設定/註冊]。遠端使用者介面入口網站頁面
3
按一下 [使用者管理] 
[認證管理] [伺服器設定] [編輯]。
[認證管理] [伺服器設定] [編輯]。顯示 [編輯伺服器設定] 畫面。
4
在 [認證伺服器] 中設定 Active Directory、LDAP 伺服器或 Microsoft Entra ID 資訊。
自動取得 Active Directory 資訊時
1
選取 [使用Active Directory] 核取方塊。
2
在 [設定網域清單] 中,選擇 [自動檢索]。
3
指定存取 Active Directory 的方法和快取數量。
[使用網站內存取模式]
使用多個 Active Directory 伺服器時,勾選此核取方塊可將存取優先權指派給本機所屬網站內的 Active Directory。
視需要變更 [網站資訊檢索定時] 和 [網站存取範圍] 的設定。
視需要變更 [網站資訊檢索定時] 和 [網站存取範圍] 的設定。
* 即使已指定 [網站存取範圍] 中的 [僅裝置所屬網站],本機在啟動期間進行網域控制器存取時也可能存取其所屬網站以外的網站。在這種情況下,通常會優先存取同一個網站內的網域控制器。
不過,如果同一個網站內的網域控制器無法存取,不過網站外的網域控制器可以存取,則優先存取網站外的網域控制器。
[服務傳票的快取數量]
指定本機可以保留的服務票證數量。
服務票證是 Active Directory 的一項功能,可做為先前登入的記錄,可在相同使用者下次登入時減少所需花費的時間。
服務票證是 Active Directory 的一項功能,可做為先前登入的記錄,可在相同使用者下次登入時減少所需花費的時間。
手動指定 Active Directory 資訊
1
選取 [使用Active Directory] 核取方塊。
2
在 [設定網域清單] 中,選擇 [手動設定]。
3
按一下 [Active Directory管理] [確定]。
[確定]。顯示 [Active Directory管理] 畫面。
4
按一下 [添加網域]。
顯示 [添加網域] 畫面。
5
指定 Active Directory 資訊。
[網域名稱]
輸入做為登入接收者的 Active Directory 所用的網域名稱。
輸入範例:
company.domain.com
company.domain.com
[NetBIOS名稱]
輸入 NetBIOS 網域名稱。
[主要主機名稱或IP位址] / [次要主機名稱或IP位址]
輸入 Active Directory 伺服器的主機名稱或 IP 位址。
* 若要使用備用伺服器,請在 [次要主機名稱或IP位址] 中指定伺服器。
[使用者名稱] 和 [密碼]
輸入用於存取 Active Directory 伺服器和搜尋使用者資訊的使用者名稱和密碼。
[開始搜尋的位置]
指定執行 Active Directory 伺服器認證時搜尋使用者資訊的位置(等級)。如果不指定搜尋起始位置,將搜尋伺服器上註冊的全部使用者資訊。
6
指定屬性。
[為登入帳戶設定的屬性]
對於伺服器上的每個使用者帳戶所用的登入名稱、顯示名稱和電子郵件位址,輸入屬性。
7
按一下 [連線測試] 測試連線。
8
按一下 [添加]。
伺服器資訊隨即新增,而且 [Active Directory管理] 畫面再次顯示。
9
按一下 [上一步]。
[編輯伺服器設定] 畫面再次顯示。
10
在 [服務傳票的快取數量] 中指定快取數量。
指定本機可以保留的服務票證數量。
服務票證是 Active Directory 的一項功能,可做為先前登入的記錄,可在相同使用者下次登入時減少所需花費的時間。
服務票證是 Active Directory 的一項功能,可做為先前登入的記錄,可在相同使用者下次登入時減少所需花費的時間。
指定 LDAP 伺服器資訊
1
選取 [使用LDAP伺服器] 核取方塊。
2
按一下 [LDAP伺服器管理] [確定]。
[確定]。顯示 [LDAP伺服器管理] 畫面。
3
按一下 [添加伺服器]。
顯示 [添加LDAP伺服器] 畫面。
4
指定 LDAP 伺服器資訊。
[伺服器名稱]
輸入用於識別 LDAP 伺服器的名稱。
* 請勿使用名稱「localhost」。請勿在伺服器名稱中加入空格。
[主位址] 和 [次位址]
輸入 LDAP 伺服器的 IP 位址或主機名稱。
輸入範例:主機名稱
ldap.example.com
ldap.example.com
* 請勿使用回送位址 (127.0.0.1)。
* 使用備用伺服器時,請在 [次位址] 中輸入 IP 位址或主機名稱。
[連接埠]
輸入與 LDAP 伺服器進行通訊所用的連接埠號碼。
* 如果保留空白,根據 [使用TLS] 設定使用下列設定:
勾選核取方塊時,「636」
取消勾選核取方塊時,「389」
[註解]
視需要輸入說明和註釋。
[使用TLS]
使用 TLS 加密與 LDAP 伺服器進行通訊時,請勾選此核取方塊。
[使用認證資訊]
使用認證資訊進行 LDAP 伺服器認證時,請勾選核取方塊並輸入用於認證的使用者名稱和密碼。
取消勾選核取方塊可允許匿名存取 LDAP 伺服器而不使用認證資訊。
* 只有在 LDAP 伺服器設定為允許匿名存取時。
[搜尋開始位置]
執行 LDAP 伺服器認證時,指定要搜尋使用者資訊的位置(層級)。
5
指定屬性。
[認證時驗證的屬性]
輸入使用者名稱在 [使用者名稱(鍵盤認證)] 中註冊的屬性。
[為登入帳戶設定的屬性]
對於伺服器上的每個使用者帳戶所用的登入名稱、顯示名稱和電子郵件位址,輸入屬性。
6
在 [網域名稱設定方法] 中指定登入接收者的網域名稱。
若要指定網域名稱註冊的屬性,請選擇 [指定網域名稱獲取的內容名稱] 並輸入屬性。
7
按一下 [連線測試] 測試連線。
8
按一下 [添加]。
伺服器資訊隨即新增,而且 [LDAP伺服器管理] 畫面再次顯示。
9
按一下 [上一步]。
[編輯伺服器設定] 畫面再次顯示。
指定 Microsoft Entra ID 資訊
1
選取 [使用Microsoft Entra ID] 核取方塊。
2
按一下 [網域設定]。
顯示 [Microsoft Entra ID網域設定] 畫面。
3
指定 Microsoft Entra ID 資訊。
[登入目標名稱]
輸入要在登入接收者顯示的名稱。
[網域名稱]
輸入做為登入接收者的 Microsoft Entra ID 所用的網域名稱。
[應用程式識別碼]
輸入應用程式(用戶端)識別碼。
[金鑰]
輸入 Microsoft Entra ID 產生的密碼。使用 [鍵值和憑證] 時,不需要輸入此項目。
[鍵值和憑證]
按一下 [鍵值和憑證],設定使用鍵值和憑證時要註冊到 Microsoft Entra ID 的憑證。選擇鍵值演算法為 RSA 2048 位元以上而且簽章演算法為 SHA256、SHA384、SHA512 的憑證。
您可以按一下 [匯出憑證] 匯出要註冊到 Microsoft Entra ID 的憑證。
您可以按一下 [匯出憑證] 匯出要註冊到 Microsoft Entra ID 的憑證。
[使用Microsoft登入螢幕]
啟用 Microsoft Entra ID 多因素認證時,勾選此核取方塊可顯示用於使用多因素認證登入的 Microsoft 登入畫面。
* [網路存取] 中的 [Browser Engine] 必須設定至 [WebKit2]。[網路存取]
* [自動重設時間] 設定為 [10] 秒時,自動重設功能可能會在顯示登入畫面之前執行。在這種情況下,請變更自動重設時間。[自動重設時間]
[Microsoft Entra ID認證URL] 和 [Microsoft Entra ID API URL]
輸入 URL。端視您的雲端環境而定,您可能需要變更設定。使用 [金鑰] 時不需要輸入。
4
指定屬性。
[為登入帳戶設定的屬性]
[登入名稱]
從下拉式功能表中,選擇每個使用者帳戶在伺服器上所用的登入名稱屬性。
* 若要指定下拉式功能表中未顯示的屬性,可以直接輸入。
[WindowsLogonName]:
displayName 是從 Microsoft Entra ID 取得。displayName 變更如下,藉以建立登入名稱:
displayName 是從 Microsoft Entra ID 取得。displayName 變更如下,藉以建立登入名稱:
顯示名稱中的空格和以下字元將被刪除:* + , . / : ; < > = ? \ [ ] |.
「@」及其後的任何字元將被刪除。
超過 20 個字元的字元串將被縮短為 20 個字字元或更少。
範例:displayName 為 user.001@example.com 時
user001
user001
[displayName]:
從 Microsoft Entra ID 取得的 displayName 成為登入名稱。
從 Microsoft Entra ID 取得的 displayName 成為登入名稱。
[userPrincipalName]:
從 Microsoft Entra ID 取得的 userPrincipalName 成為登入名稱。
從 Microsoft Entra ID 取得的 userPrincipalName 成為登入名稱。
[userPrincipalName-Prefix]:
從 Microsoft Entra ID 取得的 userPrincipalName 中在「@」之前的部分成為登入名稱。
範例:userPrincipalName 為「user.002@mail.test」時
user.002
從 Microsoft Entra ID 取得的 userPrincipalName 中在「@」之前的部分成為登入名稱。
範例:userPrincipalName 為「user.002@mail.test」時
user.002
[顯示名稱] 和 [電子郵件位址]
輸入伺服器上每個使用者帳戶的顯示名稱以及電子郵件位址的屬性。
5
在 [為登入帳戶設定的網域名稱] 下的 [網域名稱] 中指定登入接收者的網域名稱。
6
在 [自動完成的網域名稱] 下的 [使用鍵盤認證時自動完成輸入使用者名稱] 中指定設定。
輸入要執行自動完成的網域名稱。一般而言,設定與 [網域名稱] 中輸入的名稱相同。
7
按一下 [連線測試] 測試連線。
8
按一下 [更新]。
[編輯伺服器設定] 畫面再次顯示。
在 [認證逾時] 中輸入從認證開始到逾時的時間。
6
在 [預設網域] 中指定要連線的優先權網域。
在 [使用者資訊快取] 中指定是否保留使用者的認證資訊。
若要保留透過控制台登入的使用者所用的認證資訊,請勾選 [儲存登入使用者的認證資訊] 核取方塊。如果本機無法在步驟 5 設定的時間內連線到認證伺服器,您可以使用快取中儲存的認證資訊進行登入。
若要保留透過鍵盤認證登入的使用者所用的認證資訊,也勾選 [使用鍵盤認證時儲存使用者資訊] 核取方塊。
勾選此核取方塊時,即使本機無法連線到伺服器,您也可以使用保留的認證資訊登入。
勾選此核取方塊時,即使本機無法連線到伺服器,您也可以使用保留的認證資訊登入。
8
在 [角色關聯] 中指定使用者資訊和權限。
[使用者內容瀏覽]
輸入參考伺服器上用於決定使用者權限(角色)的屬性。一般而言,您可以使用「memberOf」的預設值,此值指明使用者所屬的群組。
[從[使用者內容瀏覽]檢索角色名稱以套用]
勾選此核取方塊將使用註冊到 [使用者內容瀏覽] 中指定的屬性的字元字串做為角色名稱。在勾選此核取方塊之前,請檢查本機上可以選擇的角色名稱並註冊到伺服器。
[條件]
您可以設定決定使用者權限的條件。條件按列出的順序套用。
在 [搜尋條件] 中,選擇 [字元字串] 的搜尋條件。
在 [字元字串] 中,輸入對於 [使用者內容瀏覽] 中指定的屬性註冊的字元字串。若要根據使用者所屬的群組指定權限,請輸入群組名稱。
在 [角色] 中,選擇符合條件的使用者適用的權限。
* 使用 Active Directory 伺服器時,屬於「Canon Peripheral Admins」群組的使用者預先設定為 [Administrator]。
9
按一下 [更新]。
10
重新啟動本機。重新啟動本機
資料隨即註冊。
註釋
禁止快取儲存認證資訊
您可以禁止快取儲存使用者登入外部認證伺服器時輸入的密碼。[禁止快取認證密碼]
如果 Active Directory 上的 Kerberos 連接埠號碼已變更
將下列資訊註冊到 DNS 伺服器做為 SRV 記錄:
服務:「_kerberos」
通訊協定:「_udp」
連接埠號碼:Active Directory 網域(區域)的 Kerberos 服務實際使用的連接埠號碼
提供此服務的主機:Active Directory 網域 (區域) 的 Kerberos 服務所實際提供之網域控制器的主機名稱
在 Microsoft Entra ID 中註冊應用程式
使用以下程序在 Microsoft Entra ID 中註冊應用程式。
註冊流程可能隨著服務更新而變更。如需瞭解更多資訊,請查閱 Microsoft 網址。
註冊流程可能隨著服務更新而變更。如需瞭解更多資訊,請查閱 Microsoft 網址。
1
登入 Microsoft Entra ID。
2
在導航選單中,按一下 [Microsoft Entra ID]。
3
註冊應用程式。
1
在導覽功能表中,按一下 [應用程式註冊] [新增註冊]。
[新增註冊]。2
輸入應用程式的名稱。
您可以輸入任何名稱。
輸入範例:
Canon <印表機名稱> Login
輸入範例:
Canon <印表機名稱> Login
3
選擇帳戶類型,然後按下 [註冊]。
應用程式(用戶端)ID 已生成。
記下生成的 ID。
記下生成的 ID。
4
建立祕密或註冊憑證。
建立密碼時
1
在導航選單中,按一下 [憑證及祕密]。
2
按一下[新增用戶端密碼]。
3
在 [新增用戶端密碼] 對話框中,輸入描述和到期日期,然後按一下 [新增]。
已創建祕密 ID 和值。
記下已創建的祕密值。您不需要祕密 ID。
* 祕密值只顯示一次。如果您無法記下該值,請創建一個新的客戶端祕密。
記下已創建的祕密值。您不需要祕密 ID。
* 祕密值只顯示一次。如果您無法記下該值,請創建一個新的客戶端祕密。
註冊憑證時
機器的憑證需要提前匯出。您可以在配置 Microsoft Entra ID 資訊時匯出憑證。 註冊認證伺服器資訊
1
在導航選單中,按一下 [憑證及祕密]。
2
按一下[上傳憑證]。
3
選擇檔案,然後按一下 [新增]。
憑證上傳後,記下 [指紋] 值。
5
在導航選單中,按一下 [API 權限]。
6
按一下[新增權限]。
7
在 [要求 API 權限]下,選擇 [Microsoft Graph]。
8
在權限類型下,選擇 [委派的權限],並授予權限。
授予以下權限:
使用者。讀取。全部
群組。讀取。全部
群組成員。讀取。全部
9
在權限類型下,選擇 [應用程式權限],並授予權限。
授予以下權限:
使用者。讀取。全部
群組。讀取。全部
群組成員。讀取。全部
* 您因多因素認證錯誤而無法登入電腦時,請使用權限。端視使用的功能和環境而定,這不是必要的做法。
10
按一下 [授與管理員同意確認。],並且按一下 [是]。
管理員已同意授予所選權限。