Zakázání přihlášení automatické akcelerace
V tomto článku se dozvíte, jak zakázat automatické zrychlení přihlašování pro určité domény a aplikace pomocí zásad zjišťování domovské sféry (HRD). Díky nakonfigurování této zásady můžou správci zajistit, aby uživatelé vždy používali své spravované přihlašovací údaje, zlepšili zabezpečení a zajistili konzistentní přihlašování.
Zásady zjišťování domovské sféry (HRD) nabízejí správcům různé způsoby, jak řídit, jak a kde se uživatelé ověřují. Část domainHintPolicy zásad HRD slouží k migraci federovaných uživatelů do cloudových spravovaných přihlašovacích údajů, jako je FIDO, tím, že zajišťují, že vždy navštíví přihlašovací stránku Microsoft Entra a nebudou automaticky akcelerovány na federovaný protokol IDP z důvodu nápovědy k doméně. Další informace ozásadách
Tyto zásady jsou potřeba v situacích, kdy správci nemůžou řídit nebo aktualizovat nápovědy k doméně během přihlášení. Například outlook.com/contoso.com odešle uživatele na přihlašovací stránku s připojeným parametrem &domain_hint=contoso.com , aby se uživatel automaticky zrychlil přímo na federovaný protokol IDP domény contoso.com . Uživatelé se spravovanými přihlašovacími údaji odesílanými do federovaného ZDP se nemůžou přihlásit pomocí svých spravovaných přihlašovacích údajů, snížit zabezpečení a frustrovat uživatele s náhodným přihlašováním. Správci, kteří zavádějí spravované přihlašovací údaje, by také měli nastavit tuto zásadu, aby uživatelé mohli vždy používat své spravované přihlašovací údaje.
Požadavky
Pokud chcete zakázat přihlášení k automatické akceleraci pro aplikaci v Microsoft Entra ID, potřebujete:
- Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Jedna z následujících rolí: Správce cloudových aplikací, Správce aplikací nebo vlastník instančního objektu.
Konfigurace HRD pro zabránění tipům k doméně pomocí Microsoft Graph PowerShellu
Správci federovaných domén by měli tuto část zásad HRD nastavit ve čtyřfázovém plánu. Cílem tohoto plánu je nakonec získat všechny uživatele v tenantovi, aby používali své spravované přihlašovací údaje bez ohledu na doménu nebo aplikaci, uložte aplikace, které mají pevné závislosti na domain_hint využití. Tento plán pomáhá správcům tyto aplikace najít, vyloučit je z nových zásad a pokračovat v zavádění změny do zbytku tenanta.
Vyberte doménu, do které chcete tuto změnu nejprve zavést. Tato doména je vaše testovací doména, takže vyberte doménu, která by mohla být pro změny uživatelského prostředí přístupnější (například se zobrazuje jiná přihlašovací stránka). Následující příklad je nakonfigurován tak, aby ignoroval všechny rady domény ze všech aplikací, které používají tento název domény. Nastavte tuto zásadu ve výchozích zásadách hrdého tenanta:
Spuštěním příkazu Connect se přihlaste k ID Microsoft Entra s alespoň rolí správce aplikace :
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
Spuštěním následujícího příkazu zakažte nápovědu k doméně pro testovací doménu.
# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": [] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsUjistěte se, že nahradíte
app-client-Guidskutečnými GUID aplikací a hodnotu zástupného doménového jména skutečným doménovým jménem.Shromážděte zpětnou vazbu od uživatelů testovací domény. Shromážděte podrobnosti o aplikacích, které se v důsledku této změny přerušily – jsou závislé na využití nápovědy k doméně a měly by se aktualizovat. Prozatím je přidejte do oddílu
RespectDomainHintForApps:# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsUjistěte se, že nahrazujete
app-client-Guidskutečnými GUID aplikace a místo zástupné hodnoty domény použijete skutečnou doménu.Pokračujte v rozšiřování zavádění zásad do nových domén a shromažďujte další zpětnou vazbu.
# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsNezapomeňte nahradit hodnotu
app-client-Guidskutečnými GUID aplikace, a také hodnotu zástupné domény skutečnou doménou.Dokončete zavádění – zaměřte se na všechny domény a vyněžte ty, které by měly být i nadále akcelerované:
$params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["*"], "RespectDomainHintForDomains": ["guestHandlingDomain.com"], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsNezapomeňte nahradit
app-client-Guidskutečnými identifikátory GUID aplikace a dočasnou hodnotu domény skutečnou doménou.
Konfigurace HRD k zamezení doménovým nápovědám pomocí Microsoft Graph
Správci federovaných domén by měli tuto část zásad HRD nastavit ve čtyřfázovém plánu. Cílem tohoto plánu je nakonec získat všechny uživatele v tenantovi, aby používali své spravované přihlašovací údaje bez ohledu na doménu nebo aplikaci, uložte aplikace, které mají pevné závislosti na domain_hint využití. Tento plán pomáhá správcům tyto aplikace najít, vyloučit je z nových zásad a pokračovat v zavádění změny do zbytku tenanta.
V okně Průzkumníka Microsoft Graphu se přihlaste alespoň pomocí role správce aplikace .
Udělte souhlas s oprávněním Policy.ReadWrite.ApplicationConfiguration.
Vyberte doménu, do které chcete tuto změnu nejprve zavést. Tato doména je vaše testovací doména, takže vyberte doménu, která by mohla být pro změny uživatelského prostředí přístupnější (například se zobrazuje jiná přihlašovací stránka). Tím se ignorují všechny rady domény ze všech aplikací, které používají tento název domény. Tuto zásadu nastavte ve výchozích zásadách HRD tenanta. Proveďte "POST" pro vytvoření nové zásady, nebo "PATCH" pro aktualizaci existující zásady.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }Shromážděte zpětnou vazbu od uživatelů testovací domény. Shromážděte podrobnosti o aplikacích, které se v důsledku této změny přerušily – jsou závislé na využití nápovědy k doméně a měly by se aktualizovat. Prozatím je přidejte do oddílu
RespectDomainHintForApps:PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy6", "isOrganizationDefault": false }Pokračujte v rozšiřování zavádění zásad do nových domén a shromažďujte další zpětnou vazbu.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }Dokončete zavádění – zaměřte se na všechny domény s výjimkou těch, které by měly nadále zůstat akcelerované.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }
Po dokončení kroku 4 se můžou všichni uživatelé s výjimkou uživatelů v guestHandlingDomain.compřihlásit na přihlašovací stránce Microsoft Entra i v případě, že rady domény jinak způsobí automatickou akceleraci federovaného ZDP. Výjimkou tohoto nastavení je, pokud aplikace, která žádá o přihlášení, patří mezi výjimky – pro tyto aplikace se stále přijímají všechny návrhy na doménu.
Podrobnosti domainHintPolicy
Oddíl DomainHintPolicy zásad HRD je objekt JSON, který správci umožňuje vyjádřit výslovný nesouhlas s určitými doménami a aplikacemi z používání nápovědy k doméně. Tato část funkčně informuje přihlašovací stránku Microsoft Entra, aby se chovala, jako by nebyl k dispozici parametr domain_hint v žádosti o přihlášení.
Oddíly Respekt a Ignorovat zásady
| Sekce | Význam | Hodnoty |
|---|---|---|
IgnoreDomainHintForDomains |
Pokud se v požadavku odešle tento tip k doméně, ignorujte ho. | Pole doménových adres (například contoso.com). Podporuje také all_domains |
RespectDomainHintForDomains |
Pokud se tato nápověda k doméně odešle v požadavku, respektujte ji i v případě IgnoreDomainHintForApps , že značí, že aplikace v požadavku by se neměla automaticky zrychlit. Tato vlastnost slouží ke zpomalení zavádění zastarávání indikací domény ve vaší síti – můžete označit, že některé domény by měly být nadále upřednostňovány. |
Pole doménových adres (například contoso.com). Podporuje také all_domains |
IgnoreDomainHintForApps |
Pokud žádost z této aplikace obsahuje nápovědu k doméně, ignorujte ji. | Pole ID aplikací (GUID). Podporuje také all_apps |
RespectDomainHintForApps |
Pokud žádost z této aplikace obsahuje nápovědu k doméně, respektujte ji i v případě, že IgnoreDomainHintForDomains tuto doménu obsahuje. Používá se k zajištění toho, aby některé aplikace fungovaly, pokud zjistíte, že se přeruší bez nápovědy k doméně. |
Pole ID aplikací (GUID). Podporuje také all_apps |
Vyhodnocení zásad
Logika DomainHintPolicy běží na každém příchozím požadavku, který obsahuje nápovědu k doméně a zrychluje se na základě dvou částí dat v požadavku – domény v nápovědě k doméně a ID klienta (aplikace). Stručně řečeno – Respekt pro doménu nebo aplikaci má přednost před pokynem "Ignorovat" nápovědu k doméně nebo aplikaci pro danou doménu nebo aplikaci.
- Pokud není žádná politika nápovědy k doméně, nebo pokud žádná ze čtyř částí neodkazuje na aplikaci nebo nápovědný údaj k doméně, zbytek politiky HRD se vyhodnotí.
- Pokud jeden (nebo obojí)
RespectDomainHintForAppsneboRespectDomainHintForDomainsoddíl obsahuje v požadavku nápovědu aplikace nebo domény, uživatel se automaticky akceleruje na federovaný protokol IDP podle požadavku. - Pokud jedna (nebo obě)
IgnoreDomainHintsForAppsaplikace neboIgnoreDomainHintsForDomainsodkazy na aplikaci nebo nápovědu k doméně v požadavku, na které odkazuje oddíly "Respekt", požadavek se automaticky nezrychlí a uživatel zůstane na přihlašovací stránce Microsoft Entra, aby zadal uživatelské jméno.
Jakmile uživatel zadá uživatelské jméno na přihlašovací stránce, může použít své spravované přihlašovací údaje. Pokud se rozhodnou nepoužívat spravované přihlašovací údaje nebo nemají zaregistrované žádné přihlašovací údaje, přejdou na federovaný protokol IDP pro zadávání přihlašovacích údajů jako obvykle.