Konfigurieren der automatischen Beschleunigung bei der Anmeldung

Dieser Artikel enthält eine Einführung in die Konfiguration des Microsoft Entra-Authentifizierungsverhaltens für Verbundbenutzer*innen unter Verwendung einer Richtlinie für die Startbereichsermittlung (Home Realm Discovery, HRD). Er behandelt die Verwendung der automatischen Beschleunigung der Anmeldung, durch die der Bildschirm für die Eingabe des Benutzernamens übersprungen wird und Benutzer automatisch an Endpunkte mit Verbundanmeldung weitergeleitet werden. Weitere Informationen zur HRD-Richtlinie finden Sie im Artikel zur Startbereichsermittlung.

Voraussetzungen

Zum Konfigurieren einer Richtlinie für die Startbereichsermittlung für eine Anwendung in Microsoft Entra ID benötigen Sie Folgendes:

• Ein Azure-Konto mit einem aktiven Abonnement. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
• Die Rolle "Anwendungsadministrator"

Automatische Beschleunigung der Anmeldung

Einige Unternehmen konfigurieren Domänen in ihrem Microsoft Entra-Mandanten für den Verbund mit einem anderen Identitätsanbieter (Identity Provider, IdP) wie z. B. Active Directory Federation Services (ADFS) zur Benutzerauthentifizierung. Wenn sich Benutzer*innen bei einer Anwendung anmelden, wird zunächst eine Microsoft Entra-Anmeldeseite angezeigt. Falls er sich in einer Verbunddomäne befindet, wird er nach Eingabe seines Benutzerprinzipalnamens (User Principal Name; UPN) zur Anmeldeseite des Identitätsanbieters für diese Domäne weitergeleitet. Unter bestimmten Umständen können Administratoren Benutzer auf die Anmeldeseite weiterleiten, wenn sie sich bei bestimmten Anwendungen anmelden. Daher können Benutzer*innen die erste Seite von Microsoft Entra ID überspringen. Dieser Vorgang wird als „automatische Beschleunigung der Anmeldung“ bezeichnet.

Bei Verbundbenutzern mit cloudfähigen Anmeldeinformationen, z. B. SMS-Anmeldeschlüsseln (Short Message Service) oder FIDO-Schlüsseln, sollten Sie die automatische Beschleunigung der Anmeldung verhindern. Informationen zum Verhindern von Domänenhinweisen mit HRD finden Sie unter Deaktivieren der Automatischen Beschleunigung der Anmeldung.

Wichtig

Ab April 2023 sehen Organisationen, die die automatische Beschleunigung oder Smartlinks verwenden, möglicherweise einen neuen Bildschirm, der der Anmeldebenutzeroberfläche hinzugefügt wurde. Dieser Bildschirm, der als Domänenbestätigungsdialog bezeichnet wird, ist Teil des allgemeinen Engagements von Microsoft zur Sicherheitshärtung und erfordert, dass der Benutzer die Domäne des Mandanten bestätigt, bei dem er sich anmeldet. Wenn das Dialogfeld "Domänenbestätigung" angezeigt wird und die aufgeführte Mandantendomäne nicht erkannt wird, sollten Sie den Authentifizierungsablauf abbrechen und sich an Ihre IT-Admin wenden.

Weitere Informationen finden Sie unter Dialogfeld „Domänenbestätigung“.

Einrichten einer HRD-Richtlinie mit Microsoft Graph PowerShell

Wir verwenden Microsoft Graph PowerShell-Cmdlets, um einige Szenarien zu durchlaufen, darunter:

• Einrichten einer Richtlinie zur Startbereichsermittlung zum Durchführen der automatischen Beschleunigung für eine Anwendung in einem Mandanten mit einer einzigen Verbunddomäne.
• Einrichten einer HRD-Richtlinie zur automatischen Beschleunigung für eine Anwendung in einer von mehreren Domänen, die für Ihren Mandanten überprüft wurden.
• Einrichten einer Richtlinie für die Startbereichsermittlung, um einer Legacyanwendung die direkte Authentifizierung von Verbundbenutzer*innen bei Microsoft Entra ID über Benutzername und Kennwort zu ermöglichen
• Auflisten der Anwendungen, für die eine Richtlinie konfiguriert ist.

In den folgenden Beispielen erstellen, aktualisieren, verknüpfen und löschen Sie HRD-Richtlinien für Anwendungsdienstprinzipale in Microsoft Entra ID.

1. Führen Sie vor Beginn den Befehl „Verbinden“ aus, um sich bei der Microsoft Entra-ID mindestens mit der Rolle Anwendungsadministrator*in anzumelden:

   connect-MgGraph -scopes "Policy.Read.All"
   

2. Führen Sie den folgenden Befehl aus, um alle Richtlinien in Ihrer Organisation anzuzeigen:

   Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
   

Wenn nichts zurückgegeben wird, bedeutet dies, dass in Ihrem Mandanten keine Richtlinien erstellt wurden.

Erstellen einer HRD-Richtlinie mit Microsoft Graph PowerShell

In diesem Beispiel erstellen Sie eine Richtlinie, die eine der folgenden Aktionen durchführt, sobald Sie sie einer Anwendung zuweisen:

• Wenn Ihr Mandant eine einzige Domäne aufweist, werden Benutzer beim Anmelden bei einer Anwendung automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet.
• Benutzer werden automatisch beschleunigt zu einem Anmeldebildschirm für Verbundidentitätsanbieter weitergeleitet, wenn Ihr Mandant über mehrere Verbunddomänen verfügt.
• Ermöglichen einer nicht interaktiven, direkten Anmeldung bei Microsoft Entra ID über Benutzername und Kennwort für Verbundbenutzer*innen für die Anwendungen, denen die Richtlinie zugewiesen ist

Wenn Ihr Mandant eine einzige Domäne aufweist, werden Benutzer beim Anmelden bei einer Anwendung durch die folgende Richtlinie automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet.

1. Führen Sie den Befehl „Verbinden“ aus, um sich bei der Microsoft Entra-ID mindestens mit der Rolle Anwendungsadministrator*in anzumelden:

   connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
   
   

2. Führen Sie den folgenden Befehl aus, um eine neue HRD-Richtlinie zu erstellen:

   # Define the parameters for the policy 
   $params = @{
       definition = @(
       '{"HomeRealmDiscoveryPolicy":{
       "AccelerateToFederatedDomain":true,
       }
   }'
   )
   displayName = "BasicAutoAccelerationPolicy"
   isOrganizationDefault = $true
   } 
   # Create a new Home Realm Discovery Policy
   New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params 
   

Wenn Ihr Mandant über mehrere Verbunddomänen verfügt, werden Benutzer durch die folgende Richtlinie automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet. Wenn mehrere Verbunddomänen vorliegen, die Benutzer*innen für Anwendungen authentifizieren, müssen Sie die Domäne für die automatische Beschleunigung angeben.

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	"AccelerateToFederatedDomain":true,
	"PreferredDomain":"federated.example.edu"
	}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true

}

# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params

Die folgende Richtlinie ermöglicht die direkte Benutzernamen-/Kennwortauthentifizierung für Verbundbenutzer*innen mit Microsoft Entra ID für bestimmte Anwendungen:

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet  
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	 "AllowCloudPasswordValidation":true
     }
   }'
)
displayName = "EnableDirectAuthPolicy"
}

New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params  

Um Ihre neue Richtlinie und deren ObjectId abzurufen, führen Sie den folgenden Befehl aus:

    Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName

Um die Richtlinie zur Startbereichsermittlung nach ihrer Erstellung anzuwenden, können Sie sie mehreren Dienstprinzipalen zuweisen.

Suchen des Dienstprinzipals, dem die Richtlinie mithilfe Microsoft Graph PowerShell zugewiesen wird

Sie benötigen die ObjectID der Dienstprinzipale, denen Sie die Richtlinie zuweisen möchten. Es gibt mehrere Möglichkeiten, die ObjectID von Dienstprinzipalen zu ermitteln.

Sie können das Microsoft Entra Admin-Center verwenden. Verwenden dieser Option:

1. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
2. Geben Sie den Namen der vorhandenen Anwendung in das Suchfeld ein, und wählen Sie dann die Anwendung aus den Suchergebnissen aus. Kopieren Sie die Objekt-ID der Anwendung.

Da Sie Microsoft Graph PowerShell verwenden, führen Sie das folgende Cmdlet aus, um die Dienstprinzipale und deren IDs aufzulisten.

connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal

Zuweisen der Richtlinie zu Ihrem Dienstprinzipal mithilfe von Microsoft Graph PowerShell

Nachdem Sie über die ObjectID des Dienstprinzipals der Anwendung verfügen, für die Sie automatische Beschleunigung konfigurieren möchten, führen Sie den folgenden Befehl aus. Mit diesem Befehl wird die von Ihnen erstellte HRD-Richtlinie dem Dienstprinzipal zugeordnet, den Sie in den vorherigen Abschnitten lokalisiert haben.

    connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"

# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet  
$assignParams = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}

New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams

Sie können diesen Befehl für jeden Dienstprinzipal wiederholen, dem Sie die Richtlinie hinzufügen möchten.

Wenn einer Anwendung bereits eine Home Realm Discovery-Richtlinie zugewiesen ist, können Sie keine zweite hinzufügen. Ändern Sie in diesem Fall die Definition der HRD-Richtlinie, die der Anwendung zugewiesen ist, um zusätzliche Parameter hinzuzufügen.

Prüfen Sie, welchen Dienstprinzipalen Ihre HRD-Richtlinie zugewiesen ist, indem Sie Microsoft Graph PowerShell verwenden.

Führen Sie den folgenden Befehl aus, um die Dienstprinzipale aufzulisten, denen die Richtlinie zugewiesen ist:

Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
 # Replace with the actual ObjectId of the Policy 

Stellen Sie sicher, dass Sie die Anmeldeumgebung für die Anwendung testen, um zu überprüfen, ob die neue Richtlinie funktioniert.

Einrichten einer HRD-Richtlinie mit Microsoft Graph

Wir verwenden Microsoft Graph-API-Aufrufe, um einige Szenarien zu durchlaufen, darunter:

• Einrichten einer Richtlinie zur Startbereichsermittlung zum Durchführen der automatischen Beschleunigung für eine Anwendung in einem Mandanten mit einer einzigen Verbunddomäne.

• Einrichten einer HRD-Richtlinie zur automatischen Beschleunigung für eine Anwendung in einer von mehreren Domänen, die für Ihren Mandanten überprüft wurden.

• Einrichten einer Richtlinie für die Startbereichsermittlung, um einer Legacyanwendung die direkte Authentifizierung von Verbundbenutzer*innen bei Microsoft Entra ID über Benutzername und Kennwort zu ermöglichen

• Auflisten der Anwendungen, für die eine Richtlinie konfiguriert ist.

In den folgenden Beispielen erstellen, aktualisieren, verknüpfen und löschen Sie HRD-Richtlinien für Anwendungsdienstprinzipale in Microsoft Entra ID.

1. Bevor Sie beginnen, greifen Sie auf das Microsoft Graph-Explorer-Fenster zu.

2. Melden Sie sich mindestens mit der Rolle Anwendungsadministrator*in an.

3. Stimmen Sie der Policy.Read.All-Berechtigung zu.

4. Führen Sie den folgenden API-Aufruf aus, um alle Richtlinien in Ihrer Organisation anzuzeigen:

   GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
   

Wenn nichts zurückgegeben wird, bedeutet dies, dass in Ihrem Mandanten keine Richtlinien erstellt wurden.

Erstellen einer HRD-Richtlinie mit Microsoft Graph

In diesem Beispiel erstellen Sie eine Richtlinie, die eine der folgenden Aktionen durchführt, sobald Sie sie einer Anwendung zuweisen:

• Wenn Ihr Mandant eine einzige Domäne aufweist, werden Benutzer beim Anmelden bei einer Anwendung automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet.
• Benutzer werden automatisch beschleunigt zu einem Anmeldebildschirm für Verbundidentitätsanbieter weitergeleitet, wenn Ihr Mandant über mehrere Verbunddomänen verfügt.
• Ermöglichen einer nicht interaktiven, direkten Anmeldung bei Microsoft Entra ID über Benutzername und Kennwort für Verbundbenutzer*innen für die Anwendungen, denen die Richtlinie zugewiesen ist

Wenn Ihr Mandant eine einzige Domäne aufweist, werden Benutzer beim Anmelden bei einer Anwendung durch die folgende Richtlinie automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet.

Führen Sie die folgenden Aktionen im Microsoft Graph-Explorer-Fenster aus:

1. Melden Sie sich mindestens mit der Rolle Anwendungsadministrator*in an.

2. Stimmen Sie der Policy.ReadWrite.ApplicationConfiguration-Berechtigung zu.

3. Verwenden Sie POST zum Veröffentlichen der neuen Richtlinie oder PATCH, um eine bestehende Richtlinie zu aktualisieren.

   POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  
   
   {  
       "definition": [  
           "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}"  
       ],  
       "displayName": "BasicAutoAccelerationPolicy",
       "isOrganizationDefault": true 
   } 
   

Wenn Ihr Mandant über mehrere Verbunddomänen verfügt, werden Benutzer durch die folgende Richtlinie automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet. Wenn mehrere Verbunddomänen vorliegen, die Benutzer*innen für Anwendungen authentifizieren, müssen Sie die Domäne für die automatische Beschleunigung angeben.

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"  
    ],  
    "displayName": "MultiDomainAutoAccelerationPolicy",
    "isOrganizationDefault": true 

}

Die folgende Richtlinie ermöglicht die direkte Benutzernamen-/Kennwortauthentifizierung für Verbundbenutzer*innen mit Microsoft Entra ID für bestimmte Anwendungen:

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"  
    ],  
    "displayName": "EnableDirectAuthPolicy"  
}  

Um Ihre neue Richtlinie und deren ObjectId abzurufen, führen Sie den folgenden API-Aufruf aus:

    GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies

Um die Richtlinie zur Startbereichsermittlung nach ihrer Erstellung anzuwenden, können Sie sie mehreren Dienstprinzipalen zuweisen.

Suchen des Dienstprinzipals, dem die Richtlinie mithilfe Microsoft Graph zugewiesen wird

Sie benötigen die ObjectID der Dienstprinzipale, denen Sie die Richtlinie zuweisen möchten. Es gibt mehrere Möglichkeiten, die ObjectID von Dienstprinzipalen zu ermitteln.

Sie können das Microsoft Entra Admin-Center verwenden. Verwenden dieser Option:

1. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

2. Geben Sie den Namen der vorhandenen Anwendung in das Suchfeld ein, und wählen Sie dann die Anwendung aus den Suchergebnissen aus. Kopieren Sie die Objekt-ID der Anwendung.

   Da Sie den Microsoft Graph-Explorer verwenden, führen Sie die folgende Anforderung aus, um die Dienstprinzipale und deren IDs auflisten zu können.

   GET https://graph.microsoft.com/v1.0/servicePrincipals  
   

Zuweisen der Richtlinie zu Ihrem Dienstprinzipal mithilfe von Microsoft Graph

Sobald Sie über die Objekt-ID des Dienstprinzipals der Anwendung verfügen, für die Sie die automatische Beschleunigung konfigurieren möchten, führen Sie den folgenden API-Aufruf aus. Dieser API-Aufruf verknüpft die von Ihnen erstellte Richtlinie zur Startbereichsermittlung mit dem Dienstprinzipal, den Sie zuvor ermittelt haben.

Stellen Sie sicher, dass Sie der Berechtigung Application.ReadWrite.All zustimmen.

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref  

{  
    "@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"  
}  

Sie können diesen API-Aufruf für jeden Dienstprinzipal, dem Sie die Richtlinie hinzufügen möchten, wiederholen.

Wenn einer Anwendung bereits eine Home Realm Discovery-Richtlinie zugewiesen ist, können Sie keine zweite hinzufügen. Ändern Sie in diesem Fall die Definition der HRD-Richtlinie, die der Anwendung zugewiesen ist, um zusätzliche Parameter hinzuzufügen.

Mithilfe Microsoft Graph überprüfen, welchen Dienstprinzipalen Ihre Richtlinie zur Startbereichsermittlung zugewiesen ist

Führen Sie den folgenden API-Aufruf aus, um die Dienstprinzipale auflisten, denen die Richtlinie zugewiesen ist:

GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo  

Stellen Sie sicher, dass Sie die Anmeldeumgebung für die Anwendung testen, um zu überprüfen, ob die neue Richtlinie funktioniert.

Entfernen einer HRD-Richtlinie aus einer Anwendung mit Microsoft Graph PowerShell

1. Rufen Sie die ObjectID der Richtlinie ab.

   Verwenden Sie das vorherige Beispiel, um die ObjectID der Richtlinie und die ObjectID des Anwendungsdienstprinzipals abzurufen, von dem Sie sie entfernen möchten.

2. Entfernen Sie die Richtlinienzuordnung vom Anwendungsdienstprinzipal.

   Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId
   

3. Überprüfen Sie die Entfernung durch Auflisten der Dienstprinzipale, denen die Richtlinie zugewiesen ist.

   Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
   # Replace with the actual ObjectId of the Policy 
   

Löschen der HRD-Richtlinie mithilfe von Microsoft Graph PowerShell

Führen Sie den folgenden Befehl aus, um die von Ihnen erstellte HRD-Richtlinie zu löschen:

    Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy

Entfernen einer HRD-Richtlinie aus einer Anwendung mit Microsoft Graph

1. Rufen Sie die ObjectID der Richtlinie ab.

   Verwenden Sie das vorherige Beispiel, um die ObjectID der Richtlinie und die ObjectID des Anwendungsdienstprinzipals abzurufen, von dem Sie sie entfernen möchten.

2. Entfernen Sie die Richtlinienzuordnung vom Anwendungsdienstprinzipal.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$ref
   

3. Überprüfen Sie die Entfernung durch Auflisten der Dienstprinzipale, denen die Richtlinie zugewiesen ist.

   GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo  
   

Löschen der HRD-Richtlinie mithilfe von Microsoft Graph

Führen Sie den folgenden API-Aufruf aus, um die von Ihnen erstellte HRD-Richtlinie zu löschen:

DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}