Konfigurace automatické akcelerace přihlašování
Tento článek obsahuje úvod ke konfiguraci chování ověřování Microsoft Entra pro federované uživatele pomocí zásad zjišťování domovské sféry (HRD). Popisuje použití automatické akcelerace přihlášení k přeskočení obrazovky pro zadávání uživatelského jména a automatické přesměrování uživatelů na federované koncové body přihlašování. Další informace o zásadách HRD naleznete v článku Home Realm Discovery.
Požadavky
Ke konfiguraci zásad HRD pro aplikaci v Microsoft Entra ID potřebujete:
- Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Role Správce aplikace
Přihlášení k funkci automatické akcelerace
Některé organizace konfigurují domény ve své instanci Microsoft Entra tak, aby federovaly s jiným zprostředkovatelem identity (IDP), jako je Active Directory Federation Services (ADFS) pro ověřování uživatelů. Když se uživatel přihlásí k aplikaci, zobrazí se mu nejprve přihlašovací stránka Microsoft Entra. Když zadají hlavní název uživatele (UPN), pokud jsou v federované doméně, přejde na přihlašovací stránku ZDP obsluhující danou doménu. Za určitých okolností můžou správci chtít uživatele nasměrovat na přihlašovací stránku, když se přihlašují ke konkrétním aplikacím. V důsledku toho mohou uživatelé přeskočit počáteční stránku ID Microsoft Entra. Tento proces se označuje jako "automatické zrychlení přihlašování".
Pro federované uživatele s přihlašovacími údaji s povoleným cloudem, jako je přihlášení pomocí krátké služby zpráv (SMS) nebo klíče FIDO, byste měli zabránit automatické akceleraci přihlašování. Vizte Zakázat automatické přihlášení, abyste se dozvěděli, jak zabránit použití doménových nápovědí s HRD.
Důležité
Od dubna 2023 můžou organizace, které používají automatické zrychlení nebo inteligentní odkazy, začít zobrazovat novou obrazovku přidanou do přihlašovacího uživatelského rozhraní. Tato obrazovka s názvem Dialogové okno potvrzení domény je součástí obecného závazku Microsoftu k posílení zabezpečení a vyžaduje, aby uživatel potvrdil doménu tenanta, ke kterému se přihlašuje. Pokud se zobrazí dialogové okno potvrzení domény a nerozpoznáte doménu tenanta, měli byste tok ověřování zrušit a kontaktovat správce IT.
Další informace najdete v dialogovém okně Potvrzení domény.
Nastavení nějakých zásad rozvoje lidských zdrojů s využitím Microsoft Graph PowerShell
K procházení několika scénářů používáme rutiny Microsoft Graph PowerShellu, mezi které patří:
- Nastavení zásad HRD pro automatické zrychlení pro aplikaci v tenantovi s jednou federovanou doménou
- Nastavení zásad HRD pro automatické zrychlení aplikace na jednu z několika domén, které jsou ověřeny pro vašeho tenanta.
- Nastavení zásad HRD tak, aby starší verze aplikace umožňovala přímé ověřování pomocí uživatelského jména a hesla na ID Microsoft Entra pro federovaného uživatele.
- Výpis aplikací, pro které je zásada nakonfigurovaná.
V následujících příkladech vytváříte, aktualizujete, propojujete a mažete HRD politiky u aplikačních služebních principalů v Microsoft Entra ID.
Než začnete, spusťte příkaz Connect pro přihlášení k MICROSOFT Entra ID s alespoň rolí správce aplikací:
connect-MgGraph -scopes "Policy.Read.All"Spuštěním následujícího příkazu zobrazte všechny zásady ve vaší organizaci:
Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
Pokud se nic nevrátí, znamená to, že v tenantovi nemáte vytvořené žádné zásady.
Vytvoření zásady HRD pomocí Prostředí Microsoft Graph PowerShell
V tomto příkladu vytvoříte zásadu tak, že když ji přiřadíte k aplikaci, stane se buď:
- Automaticky přesměruje uživatele na přihlašovací obrazovku federovaného poskytovatele identity, pokud se přihlašují k aplikaci a ve vašem tenantovi je pouze jedna doména.
- Automaticky zrychluje uživatele na přihlašovací obrazovku zprostředkovatele federovaných identit, pokud je ve vašem tenantovi více než jedna federovaná doména.
- Umožňuje neinteraktivní přihlašování pomocí uživatelského jména a hesla přímo k Microsoft Entra ID pro federované uživatele pro aplikace, ke kterým jsou zásady přiřazeny.
Následující zásada automaticky přesměrovává uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, a ve vašem prostředí je pouze jedna doména.
Spuštěním příkazu Connect se přihlaste k ID Microsoft Entra s alespoň rolí správce aplikace :
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"Spuštěním následujícího příkazu vytvořte novou zásadu HRD:
# Define the parameters for the policy $params = @{ definition = @( '{"HomeRealmDiscoveryPolicy":{ "AccelerateToFederatedDomain":true, } }' ) displayName = "BasicAutoAccelerationPolicy" isOrganizationDefault = $true } # Create a new Home Realm Discovery Policy New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, pokud je ve vašem tenantovi více než jedna federovaná doména. Pokud máte více než jednu federovanou doménu, která ověřuje uživatele pro aplikace, musíte zadat doménu, která se má automaticky zrychlit.
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
definition = @(
'{"HomeRealmDiscoveryPolicy":{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu"
}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true
}
# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Následující zásady umožňují ověřování pomocí uživatelského jména a hesla pro federované uživatele přímo s ID Microsoft Entra pro konkrétní aplikace:
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
definition = @(
'{"HomeRealmDiscoveryPolicy":{
"AllowCloudPasswordValidation":true
}
}'
)
displayName = "EnableDirectAuthPolicy"
}
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Pokud chcete zobrazit novou zásadu a získat její ID objektu, spusťte následující příkaz:
Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
Pokud chcete použít zásadu HRD po jejím vytvoření, můžete ji přiřadit více služebním principálům.
Pomocí Microsoft Graph PowerShell vyhledejte objekt služby pro přiřazení zásad.
Potřebujete ID objektu instančních objektů, kterým chcete zásadu přiřadit. Existuje několik způsobů, jak najít ObjectID služebních principalů.
Můžete použít administrační centrum Microsoft Entra. Pomocí této možnosti:
- Přejděte na Identity>Aplikace>Podnikové aplikace>Všechny aplikace.
- Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci. Zkopírujte ID objektu aplikace.
Vzhledem k tomu, že používáte Microsoft Graph PowerShell, spusťte následující cmdlet pro vypsání služebních principálů a jejich ID.
connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal
Přiřaďte zásady hlavnímu objektu služby pomocí Microsoft Graph PowerShell
Jakmile budete mít OBJECTID instančního objektu aplikace, pro kterou chcete nakonfigurovat automatické zrychlení, spusťte následující příkaz. Tento příkaz přidruží zásadu HRD, kterou jste vytvořili, s služebním principálem, který jste našli v předchozích sekcích.
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"
# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet
$assignParams = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}
New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams
Tento příkaz můžete zopakovat pro každý instanční objekt, do kterého chcete zásadu přidat.
V případě, že aplikace už má přiřazenou politiku Home Realm Discovery, nemůžete přidat druhou. V takovém případě změňte definici zásady HRD, která je přiřazená aplikaci, a přidejte další parametry.
Pomocí Microsoft Graph PowerShell zkontrolujte, k jakým principálům služby je přiřazena vaše zásada HRD.
Spuštěním následujícího příkazu zobrazte seznam služebních principálů, ke kterým je zásada přiřazena:
Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
# Replace with the actual ObjectId of the Policy
Ujistěte se, že otestujete přihlašovací prostředí pro aplikaci, abyste zkontrolovali, že nové zásady fungují.
Nastavení zásad HRD pomocí Microsoft Graphu
Volání rozhraní Microsoft Graph API používáme k procházení několika scénářů, mezi které patří:
Nastavení zásad HRD pro automatické urychlení aplikace pro tenant s jednou federovanou doménou.
Nastavení zásad HRD pro automatické zrychlení aplikace na jednu z několika domén, které jsou ověřeny pro vašeho tenanta.
Nastavení zásad HRD tak, aby starší verze aplikace umožňovala přímé ověřování pomocí uživatelského jména a hesla na ID Microsoft Entra pro federovaného uživatele.
Výpis aplikací, pro které je zásada nakonfigurovaná.
V následujících příkladech vytváříte, aktualizujete, propojujete a odstraňujete HRD zásady na aplikačních servisních principech v Microsoft Entra ID.
Než začnete, přejděte do okna Průzkumníka Microsoft Graphu.
Udělte souhlas s oprávněním
Policy.Read.All.Spuštěním následujícího volání rozhraní API zobrazte všechny zásady ve vaší organizaci:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
Pokud se nic nevrátí, znamená to, že v tenantu nemáte vytvořené žádné zásady.
Vytvoření zásad HRD pomocí Microsoft Graphu
V tomto příkladu vytvoříte zásadu takovou, že když ji přiřadíte k aplikaci, pak buď:
- Automaticky přesměruje uživatele na přihlašovací obrazovku federovaného poskytovatele identity, pokud se přihlašují do aplikace a je ve vašem tenantovi jedna doména.
- Automaticky zrychluje uživatele na přihlašovací obrazovku zprostředkovatele federovaných identit, pokud je ve vašem tenantovi více než jedna federovaná doména.
- Umožňuje neinteraktivní přihlašování pomocí uživatelského jména a hesla přímo k Microsoft Entra ID pro federované uživatele pro aplikace, ke kterým jsou zásady přiřazeny.
Následující zásada automaticky přesměřuje uživatele na přihlašovací obrazovku poskytovatele federované identity, když se přihlašují k aplikaci, pokud má váš tenant pouze jednu doménu.
V okně Průzkumníka Microsoft Graphu:
Udělte souhlas s oprávněním
Policy.ReadWrite.ApplicationConfiguration.ODEŠLETE tyto nové zásady, nebo PATCHEM aktualizujte existující zásadu.
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}" ], "displayName": "BasicAutoAccelerationPolicy", "isOrganizationDefault": true }
Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, pokud je ve vašem tenantovi více než jedna federovaná doména. Pokud máte více než jednu federovanou doménu, která ověřuje uživatele pro aplikace, musíte zadat doménu, která se má automaticky zrychlit.
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
{
"definition": [
"{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"
],
"displayName": "MultiDomainAutoAccelerationPolicy",
"isOrganizationDefault": true
}
Následující zásady umožňují ověřování pomocí uživatelského jména a hesla pro federované uživatele přímo s ID Microsoft Entra pro konkrétní aplikace:
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
{
"definition": [
"{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"
],
"displayName": "EnableDirectAuthPolicy"
}
Pokud chcete zobrazit novou zásadu a získat její OBJECTID, spusťte následující volání rozhraní API:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
Pokud chcete použít zásadu HRD po jejím vytvoření, můžete ji přiřadit více služebním principálům.
Vyhledání služebního principálu pro přiřazení politiky pomocí Microsoft Graphu
Potřebujete ID objektu instančních objektů, kterým chcete zásadu přiřadit. Existuje několik způsobů, jak najít ObjectID služebních principalů.
Můžete použít administrační centrum Microsoft Entra. Pomocí této možnosti:
Přejděte na Identity>Aplikace>Podnikové aplikace>Všechny aplikace.
Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci. Zkopírujte ID objektu aplikace.
Vzhledem k tomu, že používáte Microsoft Graph Explorer, spusťte následující požadavek, abyste vypsali poskytovatele služeb a jejich ID.
GET https://graph.microsoft.com/v1.0/servicePrincipals
Přiřaďte zásadu ke svému služebnímu hlavnímu objektu pomocí Microsoft Graphu
Jakmile máte ObjectID hlavní identity služby aplikace, pro kterou chcete nakonfigurovat automatické zrychlení, spusťte následující volání API. Toto volání API přidruží zásadu HRD, kterou jste vytvořili, s hlavní identitou služby, kterou jste našli v předchozích částech.
Ujistěte se, že souhlasíte s oprávněním Application.ReadWrite.All.
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref
{
"@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"
}
Toto volání rozhraní API můžete opakovat pro každý instanční objekt, do kterého chcete zásadu přidat.
V případě, že má aplikace již přiřazenou politiku Home Realm Discovery, nemůžete přidat druhou. V takovém případě změňte definici zásady HRD, která je přiřazená aplikaci, a přidejte další parametry.
Pomocí Microsoft Graphu zkontrolujte, ke kterým instančním objektům je přiřazena vaše zásada HRD.
Spusťte následující volání API pro vypsání služebních principálů, ke kterým je zásada přiřazena.
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo
Ujistěte se, že otestujete přihlašovací prostředí pro aplikaci, abyste zkontrolovali, že nové zásady fungují.
Odebrání zásad HRD z aplikace pomocí Microsoft Graph PowerShellu
Získejte ID objektu zásady.
Použijte předchozí příklad pro získání ObjectID zásady a objektu služby aplikace, ze kterého ji chcete odebrat.
Odeberte přiřazení zásad z instančního objektu aplikace.
Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyIdOvěřte odebrání vypsáním služebních principálů, ke kterým jsou zásady přiřazeny.
Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy
Odstraňte zásady HRD pomocí Microsoft Graph PowerShell
Pokud chcete odstranit vytvořenou zásadu HRD, spusťte následující příkaz:
Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy
Odebrání zásad HRD z aplikace pomocí Microsoft Graphu
Získejte ID objektu zásady.
Použijte předchozí příklad pro získání ObjectID zásady a instančního objektu aplikace, ze kterého ho chcete odebrat.
Odeberte přiřazení zásad ze služebního principálu aplikace.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$refZkontrolujte odebrání vytvořením seznamu servisních principálů, ke kterým je politika přiřazena.
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo
Odstranění zásad HRD pomocí Microsoft Graphu
Pokud chcete odstranit vytvořenou zásadu HRD, spusťte následující volání rozhraní API:
DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}