Configurare l'accelerazione automatica dell'accesso
Questo articolo fornisce un'introduzione alla configurazione del comportamento di autenticazione di Microsoft Entra per gli utenti federati che usano una politica di Home Realm Discovery (HRD). Viene illustrato l'uso dell'accesso con accelerazione automatica per ignorare la schermata di immissione del nome utente e inoltrare automaticamente gli utenti agli endpoint di accesso federati. Per ulteriori informazioni sulla politica di Home Realm Discovery, vedere l'articolo Home Realm Discovery.
Prerequisiti
Per configurare i criteri di individuazione del reame di origine per un'applicazione in Microsoft Entra ID, è necessario:
- Un account Azure con una sottoscrizione attiva. Se non è già disponibile, è possibile creare un account gratuitamente.
- Ruolo Di amministratore dell'applicazione
Accesso con accelerazione automatica
Alcune organizzazioni configurano i domini nel tenant di Microsoft Entra per la federazione con un altro provider di identità, ad esempio Active Directory Federation Services (ADFS) per l'autenticazione dell'utente. Quando un utente accede a un'applicazione, viene innanzitutto visualizzata una pagina di accesso di Microsoft Entra. Dopo aver digitato il nome principale utente (UPN), se gli utenti si trovano in un dominio federato, verranno indirizzati alla pagina di accesso del provider di identità che gestisce tale dominio. In alcuni casi, è consigliabile per gli amministratori indirizzare gli utenti alla pagina di accesso quando accedono ad applicazioni specifiche. Di conseguenza, gli utenti possono ignorare la pagina iniziale di Microsoft Entra ID. Questo processo è noto come "accelerazione automatica dell'accesso".
Per gli utenti federati con credenziali abilitate per il cloud, ad esempio le chiavi SMS (Short Message Service) o FIDO, è consigliabile impedire l'accelerazione automatica dell'accesso. Consulta Disabilitare l'accesso con accelerazione automatica per informazioni su come evitare suggerimenti del dominio con Scoperta Locale.
Importante
A partire da aprile 2023, le organizzazioni che usano l'accelerazione automatica o i collegamenti intelligenti potrebbero iniziare a visualizzare una nuova schermata aggiunta all'interfaccia utente di accesso. Questa schermata, denominata Finestra di dialogo di conferma del dominio, fa parte dell'impegno generale di Microsoft per la protezione avanzata e richiede all'utente di confermare il dominio del tenant in cui accede. Annullare il flusso di autenticazione e contattare l'amministratore IT se viene visualizzata la Finestra di dialogo di conferma del dominio e non si riconosce il dominio del tenant elencato.
Per altre informazioni, visitare Finestra di dialogo di conferma del dominio.
Configurare un criterio HRD usando Microsoft Graph PowerShell
Vengono usati i cmdlet di PowerShell di Microsoft Graph per esaminare alcuni scenari, tra cui:
- Configurazione della politica HRD per eseguire l'accelerazione automatica di un'applicazione per un tenant con un singolo dominio federato.
- Configurazione della politica HRD per eseguire un'accelerazione automatica di un'applicazione verso uno dei diversi domini verificati per il tuo tenant.
- Impostazione della politica di gestione delle identità per consentire a un'applicazione legacy di effettuare l'autenticazione tramite nome utente e password in Microsoft Entra ID di un utente federato.
- Elenco delle applicazioni per cui sono configurati i criteri.
Negli esempi seguenti, crei, aggiorni, colleghi ed elimini le politiche HRD sui principali dei servizi dell'applicazione in Microsoft Entra ID.
Prima di iniziare, eseguire il comando Connect per accedere a Microsoft Entra ID con almeno il ruolo di amministratore dell'applicazione :
connect-MgGraph -scopes "Policy.Read.All"Eseguire questo comando per visualizzare tutti i criteri dell'organizzazione:
Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
Se non viene restituito alcun risultato, significa che non sono presenti criteri creati nel tenant.
Creare una politica HRD con Microsoft Graph PowerShell
In questo esempio si crea un criterio in modo che, quando lo si assegna a un'applicazione, possa:
- Accelera automaticamente gli utenti a una schermata di login del fornitore di identità federato quando accedono a un'applicazione qualora sia presente un unico dominio nel tenant.
- Accelera automaticamente gli utenti verso una pagina di accesso di un provider di identità federato se ci sono più domini federati nel tenant.
- Abilita l'accesso non interattivo tramite nome utente/password direttamente a Microsoft Entra ID per gli utenti federati alle applicazioni a cui il criterio è assegnato.
Il seguente criterio auto-accelera gli utenti a una schermata di accesso da un provider di identità federato quando effettuano l'accesso a un'applicazione quando c'è un singolo dominio nel tuo tenant.
Eseguire il comando Connect per accedere a Microsoft Entra ID con almeno il ruolo di amministratore dell'applicazione :
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"Eseguire il comando seguente per creare un nuovo criterio HRD:
# Define the parameters for the policy $params = @{ definition = @( '{"HomeRealmDiscoveryPolicy":{ "AccelerateToFederatedDomain":true, } }' ) displayName = "BasicAutoAccelerationPolicy" isOrganizationDefault = $true } # Create a new Home Realm Discovery Policy New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
La seguente policy reindirizza automaticamente gli utenti alla schermata di accesso di un provider di identità federato quando ci sono più di un dominio federato nel tuo tenant. Se si dispone di più di un dominio federato che esegue l'autenticazione degli utenti per le applicazioni, è necessario specificare il dominio per cui eseguire l'accelerazione automatica.
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
definition = @(
'{"HomeRealmDiscoveryPolicy":{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu"
}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true
}
# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Il criterio seguente abilita l'autenticazione nome utente/password per gli utenti federati direttamente con Microsoft Entra ID per applicazioni specifiche:
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
definition = @(
'{"HomeRealmDiscoveryPolicy":{
"AllowCloudPasswordValidation":true
}
}'
)
displayName = "EnableDirectAuthPolicy"
}
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Per visualizzare i nuovi criteri e ottenere il relativo ObjectID, eseguire questo comando:
Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
Per applicare la politica HRD dopo averla creata, è possibile assegnarla a più principali di servizio.
Trova il principal del servizio per assegnare la policy utilizzando Microsoft Graph PowerShell
È necessario disporre dell'ObjectID dei principal del servizio ai quali si intende assegnare la politica. Esistono diversi modi per trovare l'ObjectID delle entità servizio.
È possibile usare il centro di amministrazione di Microsoft Entra . Uso di questa opzione:
- Passare a Identity>Applications>Enterprise applications>All applications.
- Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca. Copiare l'ID oggetto dell'applicazione.
Poiché si usa Microsoft Graph PowerShell, eseguire il cmdlet seguente per elencare le entità servizio e i relativi ID.
connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal
Assegna i criteri al principale del servizio usando Microsoft Graph PowerShell
Dopo aver creato l'ObjectID dell'entità servizio dell'applicazione per la quale si intende configurare l'accelerazione automatica, eseguire questo comando. Questo comando associa la politica HRD che hai creato all'entità servizio che hai individuato nelle sezioni precedenti.
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"
# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet
$assignParams = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}
New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams
È possibile ripetere questo comando per ciascun principale del servizio al quale vuoi aggiungere il criterio.
Nel caso in cui a un'applicazione sia già assegnata una politica di Home Realm Discovery, non è possibile aggiungerne una seconda. In questo caso, modificare la definizione della politica delle risorse umane assegnata all'applicazione per aggiungere ulteriori parametri.
Verifica a quali entità servizio è assegnato il criterio HRD tramite Microsoft Graph PowerShell
Eseguire il comando seguente per elencare le entità servizio a cui sono assegnati i criteri:
Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
# Replace with the actual ObjectId of the Policy
Assicurarsi di testare l'esperienza di accesso per l'applicazione per verificare che il nuovo criterio funzioni.
Configurare un criterio HRD usando Microsoft Graph
Le chiamate api Microsoft Graph vengono usate per esaminare alcuni scenari, tra cui:
Configurazione della politica HRD per eseguire l'accelerazione automatica di un'applicazione in un tenant con un solo dominio federato.
Impostazione della politica HRD per eseguire un'accelerazione automatica per un'applicazione su uno dei diversi domini verificati per il tuo tenant.
Impostazione della politica per abilitare un'applicazione legacy a effettuare l'autenticazione diretta tramite nome utente/password in Microsoft Entra ID per un utente federato.
Elenco delle applicazioni per cui sono configurati i criteri.
Negli esempi seguenti, puoi creare, aggiornare, collegare ed eliminare le policy HRD sui principali di servizio delle applicazioni in Microsoft Entra ID.
Prima di iniziare, accedere alla finestra di Microsoft Graph Explorer.
Accedi con almeno il ruolo di amministratore dell'applicazione.
Concedere il consenso all'autorizzazione
Policy.Read.All.Eseguire la chiamata API seguente per visualizzare tutti i criteri nell'organizzazione:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
Se non viene restituito alcun risultato, significa che non sono presenti criteri creati nel tenant.
Creare un criterio HRD usando Microsoft Graph
In questo esempio si crea un criterio in modo che, quando lo si assegna a un'applicazione, possa:
- Reindirizza automaticamente gli utenti alla schermata di accesso del provider di identità federata quando effettuano l'accesso a un'applicazione, in presenza di un singolo dominio nel tenant.
- Accelera automaticamente gli utenti a una schermata di accesso di un provider di identità federato se sono presenti più di un dominio federato nel tenant.
- Consentire l'accesso non interattivo tramite nome utente/password direttamente al Microsoft Entra ID per gli utenti federati nelle applicazioni a cui è assegnata la politica.
Il seguente criterio accelera automaticamente gli utenti a una schermata di autenticazione del provider di identità federato quando effettuano l'accesso a un'applicazione, qualora ci sia un unico dominio nel tenant.
Nella finestra di Microsoft Graph explorer:
Accedere con almeno il ruolo di amministratore dell'applicazione .
Concedere il consenso all'autorizzazione
Policy.ReadWrite.ApplicationConfiguration.Pubblica la nuova policy o effettua il patching per aggiornare una policy esistente.
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}" ], "displayName": "BasicAutoAccelerationPolicy", "isOrganizationDefault": true }
Il criterio seguente accelera automaticamente gli utenti a una pagina di accesso di un provider di identità federato nel caso in cui nel tenant siano presenti più domini federati. Se si dispone di più di un dominio federato che esegue l'autenticazione degli utenti per le applicazioni, è necessario specificare il dominio per cui eseguire l'accelerazione automatica.
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
{
"definition": [
"{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"
],
"displayName": "MultiDomainAutoAccelerationPolicy",
"isOrganizationDefault": true
}
Il criterio seguente abilita l'autenticazione nome utente/password per gli utenti federati direttamente con Microsoft Entra ID per applicazioni specifiche:
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
{
"definition": [
"{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"
],
"displayName": "EnableDirectAuthPolicy"
}
Per visualizzare i nuovi criteri e ottenere il relativo ObjectID, eseguire la chiamata API seguente:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
Per applicare la politica HRD dopo averla creata, è possibile assegnarla a più principali del servizio.
Individuare l'entità servizio per assegnare i criteri usando Microsoft Graph
È necessario disporre dell'ObjectID dei principali del servizio ai quali si desidera assegnare la politica. Esistono diversi modi per trovare l'ObjectID delle entità servizio.
È possibile usare il centro amministrativo di Microsoft Entra . Uso di questa opzione:
Accedere a Identity>Applications>Enterprise applications>All applications.
Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca. Copiare l'ID oggetto dell'applicazione.
Poiché si utilizza Microsoft Graph explorer, eseguire la richiesta seguente per elencare i principali di servizio e i relativi ID.
GET https://graph.microsoft.com/v1.0/servicePrincipals
Assegna il criterio al principale del servizio usando Microsoft Graph
Dopo aver ottenuto il ObjectID dell'entità servizio dell'applicazione per cui si vuole configurare l'accelerazione automatica, eseguire la seguente chiamata API. Questa chiamata API associa il criterio HRD creato all'entità servizio che hai individuato nelle sezioni precedenti.
Assicurarsi di fornire il consenso all'autorizzazione Application.ReadWrite.All.
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref
{
"@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"
}
È possibile ripetere questa chiamata API per ogni principale del servizio a cui si vuole aggiungere il criterio.
Nel caso in cui a un'applicazione sia già assegnata una policy di scoperta del dominio domestico, non puoi aggiungerne una seconda. In tal caso, modificare la definizione della politica HRD assegnata all'applicazione per aggiungere altri parametri.
Verifica a quali principali del servizio sono assegnati i criteri HRD usando Microsoft Graph
Eseguire la chiamata API seguente per elencare le entità servizio a cui vengono assegnati i criteri:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo
Assicurarsi di testare l'esperienza di accesso per l'applicazione per verificare che il nuovo criterio funzioni.
Rimuovere un criterio HRD da un'applicazione usando Microsoft Graph PowerShell
Ottenere l'ObjectID della politica.
Usare l'esempio precedente per ottenere il ObjectID dei criteri e quello dell'entità servizio dell'applicazione da cui si vuole rimuoverlo.
Rimuovere l'assegnazione di criteri dal servizio principale dell'applicazione.
Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyIdControllare la rimozione elencando i principali del servizio a cui è assegnata la politica.
Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy
Eliminare le politiche HRD utilizzando Microsoft Graph PowerShell
Per eliminare i criteri HRD creati, eseguire il comando seguente:
Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy
Rimuovere un criterio HRD da un'applicazione usando Microsoft Graph
Ottenere l'ObjectID della politica.
Usare l'esempio precedente per ottenere il ObjectID dei criteri e quello dell'entità servizio dell'applicazione da cui si vuole rimuoverlo.
Rimuovere l'assegnazione di criteri dall'entità servizio dell'applicazione.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$refControllare la rimozione elencando i service principal a cui è assegnata la policy.
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo
Eliminare la politica HRD con Microsoft Graph
Per eliminare i criteri HRD creati, eseguire la chiamata API seguente:
DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}