Startbereichsermittlung für eine Anwendung

Home Realm Discovery (HRD) ermöglicht es Microsoft Entra ID, den entsprechenden Identitätsanbieter (IDP) für die Benutzerauthentifizierung während der Anmeldung zu identifizieren. Wenn sich Benutzer bei einem Microsoft Entra-Mandanten anmelden, um auf eine Ressource oder die allgemeine Anmeldeseite zuzugreifen, geben sie einen Benutzernamen (UPN) ein. Die Microsoft Entra-ID verwendet diese Informationen, um den richtigen Anmeldeort zu ermitteln.

Benutzer werden zur Authentifizierung an einen der folgenden Identitätsanbieter weitergeleitet:

• Basismandant des Benutzers (der eventuell mit dem Ressourcenmandanten identisch ist).
• Microsoft-Konto, wenn der Benutzer ein Gast im Ressourcenmandanten mit einem Consumerkonto ist.
• Lokaler Identitätsanbieter, z. B. Active Directory-Verbunddienste (AD FS).
• Anderer Identitätsanbieter, der einen Verbund mit dem Microsoft Entra-Mandanten bildet.

Automatische Beschleunigung

Organisationen können Domänen in ihrem Microsoft Entra-Mandanten so konfigurieren, dass sie mit einem anderen IdP verbunden sind, z. B. ADFS, für die Benutzerauthentifizierung. Wenn sich Benutzer bei einer Anwendung anmelden, wird zunächst eine Microsoft Entra-Anmeldeseite angezeigt. Wenn sie zu einer Verbunddomäne gehören, werden sie zur Anmeldeseite des IdP für diese Domäne umgeleitet. Administratoren möchten möglicherweise die anfängliche Microsoft Entra-ID-Seite für bestimmte Anwendungen umgehen, ein Prozess, der als „automatische Beschleunigung bei der Anmeldung“ bezeichnet wird.

Microsoft rät davon ab, die automatische Beschleunigung zu konfigurieren, da sie stärkere Authentifizierungsmethoden wie FIDO und die Zusammenarbeit behindern kann. Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln. Informationen zum Verhindern der automatischen Beschleunigung der Anmeldung finden Sie unter Deaktivieren der automatischen Beschleunigung der Anmeldung.

Die automatische Beschleunigung kann die Anmeldung für Mandanten optimieren, die mit einem anderen Identitätsanbieter verbunden sind. Sie können sie für einzelne Anwendungen konfigurieren. Informationen zum Erzwingen der automatischen Beschleunigung mithilfe von HRD finden Sie unter Konfigurieren des Anmeldeverhaltens.

Hinweis

Das Konfigurieren einer Anwendung zur automatischen Beschleunigung verhindert die Nutzung verwalteter Anmeldeinformationen (wie FIDO) durch Benutzer und die Anmeldung von Gastnutzern. Durch das Weiterleiten von Benutzern an einen Verbundidentitätsanbieter für die Authentifizierung wird die Microsoft Entra-Anmeldeseite umgangen, wodurch verhindert wird, dass Gastbenutzer auf andere Mandanten oder externe Identitätsanbieter wie Microsoft-Konten zugreifen.

Die automatische Beschleunigung für einen Verbundidentitätsanbieter kann auf drei Arten gesteuert werden:

• Verwenden Sie einen Domänenhinweis für Authentifizierungsanforderungen für eine Anwendung.
• Konfigurieren Sie eine HRD-Richtlinie zum Erzwingen der automatischen Beschleunigung.
• Konfigurieren Sie eine HRD-Richtlinie, um Domänenhinweise für bestimmte Anwendungen oder Domänen zu ignorieren.

Dialogfeld zur Bestätigung der Domäne

Ab April 2023 können Organisationen, die automatische Beschleunigung oder intelligente Links verwenden, auf einen neuen Bildschirm in der Anmeldebenutzeroberfläche stoßen, das als Dialogfeld "Domänenbestätigung" bezeichnet wird. Dieser Bildschirm ist Teil der Sicherheitshärtungsmaßnahmen von Microsoft und erfordert, dass Benutzende die Domäne des Mandanten bestätigen, bei dem sie sich anmelden.

Was Sie tun müssen

Wenn das Dialogfeld "Domänenbestätigung" angezeigt wird:

• Überprüfen Sie die Domäne: Überprüfen Sie, ob der Domänenname auf dem Bildschirm der Organisation entspricht, bei der Sie sich anmelden möchten, z. B. contoso.com.
  • Wenn Sie die Domäne erkennen, wählen Sie Bestätigen aus, um fortzufahren.
  • Wenn Sie die Domäne nicht erkennen, brechen Sie den Anmeldevorgang ab, und wenden Sie sich an Ihren IT-Administrator, um Hilfe zu erhalten.

Komponenten des Dialogfelds „Domänenbestätigung“

Der folgende Screenshot zeigt ein Beispiel dafür, wie das Dialogfeld für die Domänenbestätigung für Sie aussehen könnte:

Der Bezeichner am oberen Rand des Dialogfelds, kelly@contoso.com, stellt den Bezeichner dar, der für die Anmeldung verwendet wird. Die in der Kopfzeile des Dialogfelds und Unterüberschrift aufgelistete Mandantendomäne, zeigt die Domäne des Basismandanten des Kontos an.

Dieses Dialogfeld wird möglicherweise nicht für jede Instanz der automatischen Beschleunigung oder Smart Links angezeigt. Wenn Ihre Organisation Cookies aufgrund von Browserrichtlinien löscht, kann es sein, dass Sie das Dialogfeld zur Bestätigung der Domäne häufiger sehen. Das Dialogfeld "Domänenbestätigung" sollte keine Anwendungsunterbrechungen verursachen, da die Microsoft Entra-ID die automatische Beschleunigung des Anmeldeflusses verwaltet.

Domänenhinweise

Domänenhinweise sind Anweisungen in Authentifizierungsanforderungen von Anwendungen, die Benutzer schneller auf die Anmeldeseite ihres Verbundidentitätsanbieters leiten können. Anwendungen für mehrere Mandanten können sie verwenden, um Benutzer zur organisationsspezifischen Microsoft Entra-Anmeldeseite für ihren Mandanten zu leiten.

Beispielsweise kann "largeapp.com" den Zugriff über eine benutzerdefinierte URL "contoso.largeapp.com" zulassen und einen Domänenhinweis zum contoso.com in die Authentifizierungsanforderung einschließen.

Die Syntax für Domänenhinweise variiert je nach Protokoll:

• WS-Verbund: whr-Abfragezeichenfolge-Parameter, z. B. whr=contoso.com.
• SAML: SAML-Authentifizierungsanforderung mit einem Domänenhinweis oder whr=contoso.com.
• OpenID Connect: domain_hint-Abfragezeichenfolge-Parameter, z. B. domain_hint=contoso.com.

Die Microsoft Entra-ID leitet die Anmeldung an den für eine Domäne konfigurierten Identitätsanbieter um, wenn beide der folgenden Fälle zutreffen:

• Ein Domänenhinweis ist in der Authentifizierungsanforderung enthalten.
• Der Mandant gehört einem Verbund mit dieser Domäne an.

Wenn der Domänenhinweis nicht auf eine überprüfte Verbunddomäne verweist, kann er ignoriert werden.

Hinweis

Ein Domänenhinweis in einer Authentifizierungsanforderung setzt die automatische Beschleunigung außer Kraft, die für die Anwendung in der Richtlinie zur Startbereichsermittlung festgelegt ist.

HRD-Richtlinie für die automatische Beschleunigung

Einige Anwendungen lassen die Konfiguration von Authentifizierungsanforderungen nicht zu. In solchen Fällen ist es nicht möglich, Domänenhinweise zur Steuerung der automatischen Beschleunigung zu verwenden. Verwenden Sie die Richtlinie zur Startbereichsermittlung, um die automatische Beschleunigung zu konfigurieren.

HRD-Richtlinie zum Verhindern der automatischen Beschleunigung

Einige Microsoft- und SaaS-Anwendungen enthalten automatisch Domänenhinweise, die den Rollout von verwalteten Anmeldeinformationen wie FIDO unterbrechen können. Verwenden Sie die Richtlinie zur Startbereichsermittlung zum Ignorieren von Domänenhinweisen von bestimmten Apps oder Domänen während des Rollouts von verwalteten Anmeldeinformationen.

Aktivieren der direkten ROPC-Authentifizierung von Verbundbenutzern für Legacyanwendungen

Es ist bewährte Praxis, Microsoft Entra-Bibliotheken und die interaktive Anmeldung für die Benutzerauthentifizierung zu verwenden. Legacy-Anwendungen, die ROPC-Grants (Resource Owner Password Credentials) verwenden, senden möglicherweise Anmeldeinformationen direkt an die Microsoft Entra-ID, ohne den Verbund zu verstehen. Sie führen keine HRD durch oder interagieren nicht mit dem richtigen Verbundendpunkt. Sie können die Richtlinie zur Startbereichsermittlung verwenden, um für bestimmte Legacy-Anwendungen die direkte Authentifizierung mit Microsoft Entra ID zu ermöglichen. Diese Option funktioniert, wenn die Kennwort-Hash-Synchronisierung aktiviert ist.

Wichtig

Aktivieren Sie die direkte Authentifizierung nur, wenn die Kennwort-Hashsynchronisierung aktiv ist und es akzeptabel ist, die Anwendung ohne lokale Identitätsanbieterrichtlinien zu authentifizieren. Wenn die Kennwort-Hashsynchronisierung oder die Verzeichnissynchronisierung mit AD Connect deaktiviert ist, entfernen Sie diese Richtlinie, um die direkte Authentifizierung mit veralteten Kennworthashes zu verhindern.

Festlegen einer HRD-Richtlinie

So legen Sie in einer Anwendung für die automatische Beschleunigung bei der Verbundanmeldung oder für direkte cloudbasierte Anwendungen eine Richtlinie zur Startbereichsermittlung fest:

• Erstellen einer Richtlinie zur Startbereichsermittlung
• Ermitteln des Dienstprinzipals, an den die Richtlinie angefügt wird
• Anfügen der Richtlinie an den Dienstprinzipal

Richtlinien treten für eine bestimmte Anwendung in Kraft, wenn sie an einen Dienstprinzipal angefügt werden. Es kann immer nur eine Richtlinie zur Startbereichsermittlung auf einem Dienstprinzipal aktiv sein. Erstellen und verwalten Sie eine HRD-Richtlinie mit den Microsoft Graph AD PowerShell-Cmdlets.

Beispiel für HRD-Richtliniendefinition:

{  
  "HomeRealmDiscoveryPolicy": {  
    "AccelerateToFederatedDomain": true,  
    "PreferredDomain": "federated.example.edu",  
    "AllowCloudPasswordValidation": false  
  }  
}  

• AccelerateToFederatedDomain: Optional. Bei „false“ wirkt sich die Richtlinie nicht auf die automatische Beschleunigung aus. Bei „true“, und wenn eine überprüfte Verbunddomäne vorhanden ist, werden die Benutzer an den Verbundidentitätsanbieter weitergeleitet. Wenn mehrere Domänen vorhanden sind, geben Sie PreferredDomainan.
• PreferredDomain: Optional. Gibt eine Domäne für die Beschleunigung an. Auslassen, wenn nur eine Verbunddomäne vorhanden ist. Wenn bei mehreren Domänen darauf verzichtet wird, hat die Richtlinie keine Auswirkung.
• AllowCloudPasswordValidation: Optional. Bei „true“ wird die Authentifizierung von Verbundbenutzern über Benutzername/Kennwort-Anmeldeinformationen direkt am Microsoft Entra-Tokenendpunkt ermöglicht, wobei die Kennwort-Hashsynchronisierung erforderlich ist.

Zusätzliche HRD-Optionen auf Mandantenebene:

• AlternateIdLogin: Optional. Aktiviert AlternateLoginID für die Anmeldung per E-Mail anstelle des UPN auf der Microsoft Entra-Anmeldeseite. Setzt voraus, dass Benutzer nicht mit der automatischen Beschleunigung zu einem Verbundidentitätsanbieter weitergeleitet werden.
• DomainHintPolicy: Optionales komplexes Objekt, das verhindert, dass Benutzer durch Domänenhinweise mit automatischer Beschleunigung zu Verbunddomänen weitergeleitet werden. Stellt sicher, dass Anwendungen, die Domänenhinweise senden, keine Anmeldungen mit cloud-verwalteten Anmeldeinformationen verhindern.

Priorität und Bewertung von HRD-Richtlinien

HRD-Richtlinien können Organisationen und Dienstprinzipalen zugewiesen werden, sodass mehrere Richtlinien auf eine Anwendung angewendet werden können. Die Microsoft Entra-ID bestimmt die Rangfolge mithilfe dieser Regeln:

• Wenn ein Domänenhinweis vorhanden ist, überprüft die HRD-Richtlinie des Mandanten, ob Domänenhinweise ignoriert werden sollen. Wenn dies zulässig ist, wird das Verhalten des Domänenhinweises verwendet.
• Wenn eine Richtlinie explizit dem Dienstprinzipal zugewiesen ist, wird sie erzwungen.
• Wenn weder ein Domänenhinweis noch eine Dienstprinzipal-Richtlinie vorhanden ist, wird eine Richtlinie erzwungen, die der übergeordneten Organisation zugewiesen ist.
• Wenn keine Domänenhinweise oder Richtlinien zugewiesen sind, gilt das HRD-Standardverhalten.

Nächste Schritte

• Konfigurieren des Anmeldeverhaltens für eine Anwendung mithilfe einer Richtlinie zur Startbereichsermittlung
• Deaktivieren der automatischen Anmeldebeschleunigung an einen Verbundidentitätsanbieter während der Benutzeranmeldung per Richtlinie zur Startbereichsermittlung (Home Realm Discovery, HRD)