Konfigurace automatické akcelerace přihlašování

Tento článek obsahuje úvod ke konfiguraci chování ověřování Microsoft Entra pro federované uživatele pomocí zásad zjišťování domovské sféry (HRD). Popisuje použití automatické akcelerace přihlášení k přeskočení obrazovky pro zadávání uživatelského jména a automatické přesměrování uživatelů na federované koncové body přihlašování. Další informace ozásadách

Požadavky

Ke konfiguraci zásad HRD pro aplikaci v Microsoft Entra ID potřebujete:

• Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Role Správce aplikace

Přihlášení k automatické akceleraci

Některé organizace konfigurují domény ve svém tenantovi Microsoft Entra tak, aby se federovaly s jiným zprostředkovatelem identity (IDP), jako je Active Directory Federation Services (AD FS) (ADFS) pro ověřování uživatelů. Když se uživatel přihlásí k aplikaci, zobrazí se mu nejprve přihlašovací stránka Microsoft Entra. Když zadají hlavní název uživatele (UPN), pokud jsou v federované doméně, přejde na přihlašovací stránku ZDP obsluhující danou doménu. Za určitých okolností můžou správci chtít uživatele nasměrovat na přihlašovací stránku, když se přihlašují ke konkrétním aplikacím. V důsledku toho mohou uživatelé přeskočit počáteční stránku ID Microsoft Entra. Tento proces se označuje jako "automatické zrychlení přihlašování".

Pro federované uživatele s přihlašovacími údaji s povoleným cloudem, jako je přihlášení pomocí krátké služby zpráv (SMS) nebo klíče FIDO, byste měli zabránit automatické akceleraci přihlašování. Informace o tom, jak zabránit nápovědě k doméně pomocí HRD, najdete v tématu Zakázání přihlášení pomocí automatické akcelerace.

Důležité

Od dubna 2023 můžou organizace, které používají automatické zrychlení nebo inteligentní odkazy, začít zobrazovat novou obrazovku přidanou do přihlašovacího uživatelského rozhraní. Tato obrazovka s názvem Dialogové okno potvrzení domény je součástí obecného závazku Microsoftu k posílení zabezpečení a vyžaduje, aby uživatel potvrdil doménu tenanta, ke kterému se přihlašuje. Pokud se zobrazí dialogové okno potvrzení domény a nerozpoznáte doménu tenanta, měli byste tok ověřování zrušit a kontaktovat správce IT.

Další informace najdete v dialogovém okně Potvrzení domény.

Nastavení nějakých zásad rozvoje lidských zdrojů s využitím Microsoft Graph PowerShell

K procházení několika scénářů používáme rutiny Microsoft Graph PowerShellu, mezi které patří:

• Nastavení zásad HRD pro automatické zrychlení pro aplikaci v tenantovi s jednou federovanou doménou
• Nastavení zásad HRD pro automatické zrychlení aplikace na jednu z několika domén, které jsou ověřeny pro vašeho tenanta.
• Nastavení zásad HRD tak, aby starší verze aplikace umožňovala přímé ověřování pomocí uživatelského jména a hesla na ID Microsoft Entra pro federovaného uživatele.
• Výpis aplikací, pro které je zásada nakonfigurovaná.

V následujícíchpříkladch

1. Než začnete, spusťte příkaz Connect pro přihlášení k MICROSOFT Entra ID s alespoň rolí správce aplikací:

   connect-MgGraph -scopes "Policy.Read.All"
   

2. Spuštěním následujícího příkazu zobrazte všechny zásady ve vaší organizaci:

   Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
   

Pokud se nic nevrátí, znamená to, že v tenantovi nemáte vytvořené žádné zásady.

Vytvoření zásady HRD pomocí Prostředí Microsoft Graph PowerShell

V tomto příkladu vytvoříte zásadu, která přiřazuje aplikaci:

• Automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.
• Automaticky zrychluje uživatele na přihlašovací obrazovku zprostředkovatele federovaných identit, pokud je ve vašem tenantovi více než jedna federovaná doména.
• Umožňuje neinteraktivní přihlašování pomocí uživatelského jména a hesla přímo k Microsoft Entra ID pro federované uživatele pro aplikace, ke kterým jsou zásady přiřazeny.

Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.

1. Spuštěním příkazu Connect se přihlaste k ID Microsoft Entra s alespoň rolí správce aplikace :

   connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
   
   

2. Spuštěním následujícího příkazu vytvořte novou zásadu HRD:

   # Define the parameters for the policy 
   $params = @{
       definition = @(
       '{"HomeRealmDiscoveryPolicy":{
       "AccelerateToFederatedDomain":true,
       }
   }'
   )
   displayName = "BasicAutoAccelerationPolicy"
   isOrganizationDefault = $true
   } 
   # Create a new Home Realm Discovery Policy
   New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params 
   

Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, pokud je ve vašem tenantovi více než jedna federovaná doména. Pokud máte více než jednu federovanou doménu, která ověřuje uživatele pro aplikace, musíte zadat doménu, která se má automaticky zrychlit.

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	"AccelerateToFederatedDomain":true,
	"PreferredDomain":"federated.example.edu"
	}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true

}

# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params

Následující zásady umožňují ověřování pomocí uživatelského jména a hesla pro federované uživatele přímo s ID Microsoft Entra pro konkrétní aplikace:

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet  
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	 "AllowCloudPasswordValidation":true
     }
   }'
)
displayName = "EnableDirectAuthPolicy"
}

New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params  

Pokud chcete zobrazit novou zásadu a získat její ID objektu, spusťte následující příkaz:

    Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName

Pokud chcete použít zásadu HRD po jejím vytvoření, můžete ji přiřadit více služebním principálům.

Vyhledejte služební identitu pro přiřazení politiky pomocí Microsoft Graph PowerShell.

Potřebujete ID objektu instančních objektů, kterým chcete zásadu přiřadit. Id objektu instančních objektů můžete najít několika způsoby.

Můžete použít administrační centrum Microsoft Entra. Pomocí této možnosti:

1. Přejděte na Identity>Aplikace>Podnikové aplikace>Všechny aplikace.
2. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci. Zkopírujte ID objektu aplikace.

Vzhledem k tomu, že používáte Microsoft Graph PowerShell, spusťte následující cmdlet pro vypsání služebních principálů a jejich ID.

connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal

Přiřaďte zásady hlavnímu objektu služby pomocí PowerShell Microsoft Graph

Jakmile budete mít OBJECTID instančního objektu aplikace, pro kterou chcete nakonfigurovat automatické zrychlení, spusťte následující příkaz. Tento příkaz přidruží zásadu HRD, kterou jste vytvořili, se služebním účtem, který jste našli v předchozích sekcích.

    connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"

# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet  
$assignParams = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}

New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams

Tento příkaz můžete zopakovat pro každý instanční objekt, do kterého chcete zásadu přidat.

V případě, že aplikace už má přiřazenou zásadu zjišťování domovské sféry, nemůžete přidat druhou. V takovém případě změňte definici zásady HRD, která je přiřazená aplikaci, a přidejte další parametry.

Pomocí Microsoft Graph PowerShell zkontrolujte, k jakým principálům služby je přiřazena vaše zásada HRD.

Spuštěním následujícího příkazu zobrazte seznam služebních principálů, ke kterým je zásada přiřazena:

Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
 # Replace with the actual ObjectId of the Policy 

Ujistěte se, že otestujete přihlašovací prostředí pro aplikaci, abyste zkontrolovali, že nové zásady fungují.

Nastavení zásad HRD pomocí Microsoft Graphu

Volání rozhraní Microsoft Graph API používáme k procházení několika scénářů, mezi které patří:

• Nastavení zásad HRD pro automatické zrychlení pro aplikaci v tenantovi s jednou federovanou doménou

• Nastavení zásad HRD pro automatické zrychlení aplikace na jednu z několika domén, které jsou ověřeny pro vašeho tenanta.

• Nastavení zásad HRD tak, aby starší verze aplikace umožňovala přímé ověřování pomocí uživatelského jména a hesla na ID Microsoft Entra pro federovaného uživatele.

• Výpis aplikací, pro které je zásada nakonfigurovaná.

V následujícíchpříkladch

1. Než začnete, přejděte do okna Průzkumníka Microsoft Graphu.

2. Přihlaste se alespoň pomocí role správce aplikace .

3. Udělte souhlas s oprávněním Policy.Read.All .

4. Spuštěním následujícího volání rozhraní API zobrazte všechny zásady ve vaší organizaci:

   GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
   

Pokud se nic nevrátí, znamená to, že v tenantovi nemáte vytvořené žádné zásady.

Vytvoření zásad HRD pomocí Microsoft Graphu

V tomto příkladu vytvoříte zásadu, která přiřazuje aplikaci:

• Automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.
• Automaticky zrychluje uživatele na přihlašovací obrazovku zprostředkovatele federovaných identit, pokud je ve vašem tenantovi více než jedna federovaná doména.
• Umožňuje neinteraktivní přihlašování pomocí uživatelského jména a hesla přímo k Microsoft Entra ID pro federované uživatele pro aplikace, ke kterým jsou zásady přiřazeny.

Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.

V okně Průzkumníka Microsoft Graphu:

1. Přihlaste se alespoň pomocí role správce aplikace .

2. Udělte souhlas s oprávněním Policy.ReadWrite.ApplicationConfiguration .

3. Nové zásady post nebo PATCH aktualizujte existující zásadu.

   POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  
   
   {  
       "definition": [  
           "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}"  
       ],  
       "displayName": "BasicAutoAccelerationPolicy",
       "isOrganizationDefault": true 
   } 
   

Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, pokud je ve vašem tenantovi více než jedna federovaná doména. Pokud máte více než jednu federovanou doménu, která ověřuje uživatele pro aplikace, musíte zadat doménu, která se má automaticky zrychlit.

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"  
    ],  
    "displayName": "MultiDomainAutoAccelerationPolicy",
    "isOrganizationDefault": true 

}

Následující zásady umožňují ověřování pomocí uživatelského jména a hesla pro federované uživatele přímo s ID Microsoft Entra pro konkrétní aplikace:

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"  
    ],  
    "displayName": "EnableDirectAuthPolicy"  
}  

Pokud chcete zobrazit novou zásadu a získat její OBJECTID, spusťte následující volání rozhraní API:

    GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies

Pokud chcete zásadu HRD po vytvoření použít, můžete ji přiřadit více služebním principálům.

Vyhledání služebního principálu pro přiřazení politiky pomocí Microsoft Graphu

Potřebujete ID objektu instančních objektů, kterým chcete zásadu přiřadit. Id objektu instančních objektů můžete najít několika způsoby.

Můžete použít centrum pro správu Microsoft Entra. Pomocí této možnosti:

1. Přejděte na Identity>Aplikace>Podnikové aplikace>Všechny aplikace.

2. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci. Zkopírujte ID objektu aplikace.

   Vzhledem k tomu, že používáte Průzkumníka Microsoft Graphu, spusťte následující požadavek, abyste vypsali instanční objekty a jejich ID.

   GET https://graph.microsoft.com/v1.0/servicePrincipals  
   

Přiřaďte zásadu ke svému instančnímu objektu služby pomocí Microsoft Graphu

Jakmile máte ObjectID hlavní identity služby aplikace, pro kterou chcete nakonfigurovat automatické zrychlení, spusťte následující volání API. Toto volání API přidruží zásadu HRD, kterou jste vytvořili, s hlavní identitou služby, kterou jste našli v předchozích částech.

Ujistěte se, že souhlasíte s oprávněním Application.ReadWrite.All.

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref  

{  
    "@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"  
}  

Toto volání rozhraní API můžete opakovat pro každý instanční objekt, do kterého chcete zásadu přidat.

V případě, že aplikace už má přiřazenou zásadu zjišťování domovské sféry, nemůžete přidat druhou. V takovém případě změňte definici zásady HRD, která je přiřazená aplikaci, a přidejte další parametry.

Pomocí Microsoft Graphu zkontrolujte, ke kterým instančním objektům je přiřazena vaše zásada HRD.

Pro spuštění následujícího volání API zobrazte služební principály, ke kterým je zásada přiřazena.

GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo  

Ujistěte se, že otestujete přihlašovací prostředí pro aplikaci, abyste zkontrolovali, že nové zásady fungují.

Odebrání zásad HRD z aplikace pomocí Microsoft Graph PowerShellu

1. Získejte ID objektu zásady.

   Použijte předchozí příklad pro získání ObjectID zásady a instančního objektu aplikace, ze kterého ho chcete odebrat.

2. Odeberte přiřazení zásad z instančního objektu aplikace.

   Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId
   

3. Zkontrolujte odebrání výpisem služebních principálů, ke kterým jsou zásady přiřazeny.

   Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
   # Replace with the actual ObjectId of the Policy 
   

Odstraňte zásady HRD pomocí Microsoft Graph PowerShell

Pokud chcete odstranit vytvořenou zásadu HRD, spusťte následující příkaz:

    Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy

Odebrání zásad HRD z aplikace pomocí Microsoft Graphu

1. Získejte ID objektu zásady.

   Použijte předchozí příklad pro získání ObjectID zásady a služebního objektu aplikace, ze kterého ho chcete odebrat.

2. Odeberte přiřazení politiky z hlavního objektu služby aplikace.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$ref
   

3. Zkontrolujte odstranění vypsáním služebních objektů, ke kterým jsou zásady přiřazeny.

   GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo  
   

Odstranění zásad HRD pomocí Microsoft Graphu

Pokud chcete odstranit vytvořenou zásadu HRD, spusťte následující volání rozhraní API:

DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}