Deshabilitación del inicio de sesión de aceleración automática

En este artículo, aprenderá a deshabilitar el inicio de sesión de aceleración automática para determinados dominios y aplicaciones mediante la directiva detección de dominios de inicio (HRD). Con esta directiva configurada, los administradores pueden asegurarse de que los usuarios siempre usen sus credenciales administradas, mejorando la seguridad y proporcionando una experiencia de inicio de sesión coherente.

La directiva de detección del dominio de inicio (HRD) ofrece a los administradores varias formas de controlar cómo y dónde se autentican sus usuarios. La sección domainHintPolicy de la directiva de HRD se usa para ayudar a migrar usuarios federados a credenciales administradas en la nube como FIDO, asegurándose de que siempre visitan la página de inicio de sesión de Microsoft Entra y no se aceleran automáticamente a un IDP federado como consecuencia de las sugerencias de dominio. Para más información sobre la directiva de HRD, consulte Detección del dominio de inicio.

Esta directiva es necesaria en situaciones en las que los administradores no pueden controlar ni actualizar sugerencias de dominio durante el inicio de sesión. Por ejemplo, outlook.com/contoso.com envía al usuario a una página de inicio de sesión con el parámetro &domain_hint=contoso.com anexado, para acelerar automáticamente al usuario de manera directa al IDP federado del dominio contoso.com. Los usuarios con credenciales administradas enviadas a un IDP federado no pueden iniciar sesión con sus credenciales administradas, lo que reduce la seguridad y les genera frustración por experiencias de inicio de sesión aleatorias. Los administradores que implementan credenciales administradas también deben configurar esta directiva para asegurarse de que los usuarios siempre puedan usar sus credenciales administradas.

Requisitos previos

Para deshabilitar el inicio de sesión de aceleración automática para una aplicación en Microsoft Entra ID, necesita:

• Una cuenta de Azure con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles: Administrador de aplicaciones en la nube, Administrador de aplicaciones o propietario de la entidad de servicio.

Configure HRD para evitar sugerencias de dominio mediante Microsoft Graph PowerShell

Los administradores de dominios federados deben configurar esta sección de la directiva de HRD en un plan de cuatro fases. El objetivo de este plan es que, finalmente, todos los usuarios de un inquilino utilicen sus credenciales administradas independientemente del dominio o de la aplicación, salvo aquellas aplicaciones que tengan una fuerte dependencia del uso de domain_hint. Este plan ayuda a los administradores a encontrar esas aplicaciones, eximirlas de la nueva directiva y seguir implementando el cambio en el resto del inquilino.

Escoja un dominio para realizar este cambio inicialmente. Este dominio es el dominio de prueba, así que elija uno que pueda ser más receptivo a los cambios en la experiencia de usuario (por ejemplo, ver una página de inicio de sesión diferente). En el ejemplo siguiente se configura para omitir todas las sugerencias de dominio de todas las aplicaciones que usan este nombre de dominio. Configure esta directiva en la directiva de HRD predeterminada del inquilino:

Ejecute el comando Connect para iniciar sesión en Microsoft Entra ID con al menos el rol de Administrador de Aplicaciones .

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

1. Ejecute el comando siguiente para evitar sugerencias de dominio para el dominio de prueba.

   # Define the Home Realm Discovery Policy parameters  
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": []
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params  
   

   Asegúrese de reemplazar por el app-client-Guid por los GUID de aplicación reales y el valor de dominio del marcador de posición por el dominio real.

2. Recopile comentarios de los usuarios del dominio de prueba. Recoja los detalles de las aplicaciones que se han interrumpido como resultado de este cambio: tienen una dependencia de uso de la sugerencia de dominio y deben actualizarse. Por ahora, agréguelas a la sección RespectDomainHintForApps:

   # Define the Home Realm Discovery Policy parameters
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Asegúrese de reemplazar por el app-client-Guid por los GUID de aplicación reales y el valor de dominio del marcador de posición por el dominio real.

3. Continúe expandiendo la implementación de la directiva en nuevos dominios y recopilando más comentarios.

   # Define the Home Realm Discovery Policy parameters  
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Asegúrese de reemplazar por el app-client-Guid por los GUID de aplicación reales y el valor de dominio del marcador de posición por el dominio real.

4. Complete la implementación: diríjase a todos los dominios, excepto a aquellos que deban seguir acelerados:

   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["*"],
                   "RespectDomainHintForDomains": ["guestHandlingDomain.com"],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }  
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Asegúrese de reemplazar por el app-client-Guid por los GUID de aplicación reales y el valor de dominio del marcador de posición por el dominio real.

Configuración de HRD para evitar sugerencias de dominio mediante Microsoft Graph

Los administradores de dominios federados deben configurar esta sección de la directiva de HRD en un plan de cuatro fases. El objetivo de este plan es que, finalmente, todos los usuarios de un inquilino utilicen sus credenciales administradas independientemente del dominio o de la aplicación, salvo aquellas aplicaciones que tengan una fuerte dependencia del uso de domain_hint. Este plan ayuda a los administradores a encontrar esas aplicaciones, eximirlas de la nueva directiva y seguir implementando el cambio en el resto del inquilino.

En la ventana del explorador de Microsoft Graph, inicie sesión con el rol de Administrador de aplicaciones como mínimo.

Conceda el consentimiento al permiso Policy.ReadWrite.ApplicationConfiguration.

1. Escoja un dominio para realizar este cambio inicialmente. Este dominio es el dominio de prueba, así que elija uno que pueda ser más receptivo a los cambios en la experiencia de usuario (por ejemplo, ver una página de inicio de sesión diferente). Se omitirán todas las sugerencias de dominio de todas las aplicaciones que usen este nombre de dominio. Establezca esta directiva en la directiva de HRD predeterminada del inquilino. Utilice POST para una nueva directiva o PATCH para actualizar una directiva existente.

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
       {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}"
   ],
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true 
   }
   

2. Recopile comentarios de los usuarios del dominio de prueba. Recoja los detalles de las aplicaciones que se han interrumpido como resultado de este cambio: tienen una dependencia de uso de la sugerencia de dominio y deben actualizarse. Por ahora, agréguelas a la sección RespectDomainHintForApps:

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"
   ],
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy6",  
   "isOrganizationDefault": false   
   }
   

3. Continúe expandiendo la implementación de la directiva en nuevos dominios y recopilando más comentarios.

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
   ],  
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true  
   }
   

4. Complete el lanzamiento: tenga como destino todos los dominios y excluya los que se deban seguir acelerando:

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
   ],  
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true   
   }
   

Una vez completado el paso 4, todos los usuarios, excepto los usuarios de guestHandlingDomain.com, tienen la posibilidad de iniciar sesión en la página de inicio de sesión de Microsoft Entra, incluso cuando las indicaciones de dominio causarían una redirección automática a un IDP federado. La excepción a esta configuración es si la aplicación que solicita el inicio de sesión es una de las exentas: para esas aplicaciones, se siguen aceptando todas las sugerencias de dominio.

Detalles de DomainHintPolicy

La sección DomainHintPolicy de la directiva de HRD es un objeto JSON que permite que un administrador opte por que ciertos dominios y aplicaciones no reciban sugerencias de dominio. Funcionalmente, esta sección indica a la página de inicio de sesión de Microsoft Entra que se comporte como si no estuviera presente un parámetro domain_hint en la solicitud de inicio de sesión.

Secciones de la directiva de respetar y omitir

Sección	Significado	Valores
IgnoreDomainHintForDomains	Si se envía esta sugerencia de dominio en la solicitud, omítala.	Matriz de direcciones de dominio (por ejemplo, contoso.com). También admite all_domains.
RespectDomainHintForDomains	Si se envía esta sugerencia de dominio en la solicitud, respétela incluso si IgnoreDomainHintForApps indica que la aplicación de la solicitud no debería acelerarse automáticamente. Esta propiedad se usa para ralentizar el proceso de eliminación de las sugerencias de dominio obsoletas dentro de su red: puede indicar que algunos dominios todavía deben acelerarse.	Matriz de direcciones de dominio (por ejemplo, contoso.com). También admite all_domains.
IgnoreDomainHintForApps	Si una solicitud de esta aplicación incluye una sugerencia de dominio, omítala.	Matriz de identificadores de aplicación (GUID). También admite all_apps.
RespectDomainHintForApps	Si una solicitud de esta aplicación incluye una sugerencia de dominio, respétela incluso si IgnoreDomainHintForDomains incluye ese dominio. Se usa para asegurarse de que algunas aplicaciones siguen funcionando si detecta que se interrumpen sin sugerencias de dominio.	Matriz de identificadores de aplicación (GUID). También admite all_apps.

Evaluación de directiva

La lógica de DomainHintPolicy se ejecuta en cada solicitud entrante que contiene una sugerencia de dominio y se acelera en función de dos fragmentos de datos de la solicitud: el dominio de la sugerencia de dominios y el identificador de cliente (la aplicación). En resumen: "Respeto" para un dominio o aplicación tiene prioridad sobre una instrucción para "Omitir" una sugerencia de dominio para un dominio o aplicación determinado.

• En ausencia de cualquier directiva de sugerencia de dominio, o si ninguna de las cuatro secciones hace referencia a la sugerencia de dominio o aplicación mencionada, el resto de la directiva de HRD se evalúa.
• Si alguna de las secciones RespectDomainHintForApps o RespectDomainHintForDomains (o ambas) incluye la sugerencia de aplicación o dominio en la solicitud, el usuario se acelera automáticamente al IDP federado según se solicite.
• Si alguna de las secciones IgnoreDomainHintsForApps o IgnoreDomainHintsForDomains (o ambas) hace referencia a la sugerencia de aplicación o dominio en la solicitud, y no se hace referencia a ellas en las secciones de "respeto", la solicitud no se acelerará automáticamente y el usuario permanece en la página de inicio de sesión de Microsoft Entra para proporcionar un nombre de usuario.

Una vez que un usuario escribe un nombre de usuario en la página de inicio de sesión, puede usar sus credenciales administradas. Si deciden no usar una credencial administrada o no tienen ninguna registrada, se les lleva a su IDP federado para la entrada de credenciales como de costumbre.