Automatische versnelling voor aanmelden configureren

Dit artikel bevat een inleiding tot het configureren van microsoft Entra-verificatiegedrag voor federatieve gebruikers met behulp van HRD-beleid (Home Realm Discovery). Dit omvat het gebruik van aanmelding met automatische versnelling om het scherm voor gebruikersnaaminvoer over te slaan en gebruikers automatisch door te sturen naar federatieve aanmeldingseindpunten. Raadpleeg het artikel Home Realm Discovery voor meer informatie over HRD-beleid.

Vereisten

Als u HRD-beleid wilt configureren voor een toepassing in Microsoft Entra ID, hebt u het volgende nodig:

• Een Azure-account met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
• De rol Toepassingsbeheerder

Aanmelden met automatische versnelling

Sommige organisaties configureren domeinen in hun Microsoft Entra-tenant om te federeren met een andere id-provider (IDP), zoals Active Directory Federation Services (ADFS) voor gebruikersverificatie. Wanneer een gebruiker zich aanmeldt bij een toepassing, krijgt deze de eerste aanmeldingspagina van Microsoft Entra te zien. Nadat ze hun User Principal Name (UPN) hebben getypt, als ze zich in een federatief domein bevinden, worden ze naar de aanmeldingspagina van de IDP geleid die dat domein bedient. Onder bepaalde omstandigheden willen beheerders gebruikers mogelijk doorsturen naar de aanmeldingspagina wanneer ze zich aanmelden bij specifieke toepassingen. Hierdoor kunnen gebruikers de eerste Microsoft Entra ID-pagina overslaan. Dit proces wordt 'automatisch aanmelden' genoemd.

Voor federatieve gebruikers met cloud-geactiveerde referenties, zoals sms-aanmelding of FIDO-sleutels, moet u automatisch aanmelden voorkomen. Zie Aanmelden voor automatische versnelling uitschakelen voor meer informatie over het voorkomen van domeinhints met HRD.

Belangrijk

Vanaf april 2023 kunnen organisaties die gebruikmaken van automatische versnelling of smartlinks een nieuw scherm zien dat is toegevoegd aan de aanmeldingsgebruikersinterface. Dit scherm, aangeduid als het dialoogvenster Domeinbevestiging, maakt deel uit van de algemene toezegging van Microsoft om beveiliging te beveiligen en vereist dat de gebruiker het domein van de tenant waarin hij zich aanmeldt, bevestigt. Als u het dialoogvenster Domeinbevestiging ziet en het tenantdomein niet herkent, moet u de verificatiestroom annuleren en contact opnemen met uw IT-beheerder.

Ga naar het dialoogvenster Domeinbevestiging voor meer informatie.

Een HRD-beleid instellen met Microsoft Graph PowerShell

We gebruiken Microsoft Graph PowerShell-cmdlets om een aantal scenario's te doorlopen, waaronder:

• Het HRD-beleid instellen voor automatische versnelling voor een toepassing in een tenant met één federatief domein.
• Stel HRD-beleid in om automatische versnelling voor een toepassing uit te voeren op een van de verschillende domeinen die zijn geverifieerd voor uw tenant.
• Het instellen van HRD-beleid om een verouderde toepassing in staat te stellen om directe verificatie van gebruikersnaam/wachtwoord naar Microsoft Entra-id voor een federatieve gebruiker uit te voeren.
• De toepassingen weergeven waarvoor een beleid is geconfigureerd.

In de volgende voorbeelden maakt, bijwerkt, koppelt en verwijdert u HRD-beleid voor toepassingsservice-principals in Microsoft Entra-id.

1. Voordat u begint, voert u de opdracht Verbinding maken uit om u aan te melden bij Microsoft Entra ID met ten minste de toepassingsbeheerder rol:

   connect-MgGraph -scopes "Policy.Read.All"
   

2. Voer de volgende opdracht uit om alle beleidsregels in uw organisatie weer te geven:

   Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
   

Als er niets wordt geretourneerd, betekent dit dat u geen beleid hebt gemaakt in uw tenant.

Een HRD-beleid maken met Microsoft Graph PowerShell

In dit voorbeeld maakt u een beleid dat u als volgt toewijst aan een toepassing:

• Hiermee worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw tenant is.
• Gebruikers automatisch versnellen naar een aanmeldingsscherm van een federatieve id-provider als er meer dan één federatief domein in uw tenant is.
• Hiermee schakelt u niet-interactieve aanmelding via gebruikersnaam/wachtwoord rechtstreeks in bij Microsoft Entra ID voor federatieve gebruikers voor de toepassingen waaraan het beleid is toegewezen.

Met het volgende beleid worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw tenant is.

1. Voer de opdracht Verbinding maken uit om u aan te melden bij Microsoft Entra ID met ten minste de toepassingsbeheerder rol:

   connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
   
   

2. Voer de volgende opdracht uit om een nieuw HRD-beleid te maken:

   # Define the parameters for the policy 
   $params = @{
       definition = @(
       '{"HomeRealmDiscoveryPolicy":{
       "AccelerateToFederatedDomain":true,
       }
   }'
   )
   displayName = "BasicAutoAccelerationPolicy"
   isOrganizationDefault = $true
   } 
   # Create a new Home Realm Discovery Policy
   New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params 
   

Met het volgende beleid worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer er meer dan één federatief domein in uw tenant is. Als u meer dan één federatief domein hebt dat gebruikers verifieert voor toepassingen, moet u het domein opgeven om automatisch te versnellen.

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	"AccelerateToFederatedDomain":true,
	"PreferredDomain":"federated.example.edu"
	}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true

}

# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params

Met het volgende beleid wordt verificatie van gebruikersnaam en wachtwoord voor federatieve gebruikers rechtstreeks met Microsoft Entra-id ingeschakeld voor specifieke toepassingen:

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet  
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	 "AllowCloudPasswordValidation":true
     }
   }'
)
displayName = "EnableDirectAuthPolicy"
}

New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params  

Voer de volgende opdracht uit om uw nieuwe beleid te zien en de object-id op te halen:

    Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName

Als u het HRD-beleid wilt toepassen nadat u het hebt gemaakt, kunt u het toewijzen aan meerdere service-principals.

Zoek de service-principal om het beleid toe te wijzen met behulp van Microsoft Graph PowerShell.

U hebt de ObjectID nodig van de service-principals waaraan u het beleid wilt toewijzen. Er zijn verschillende manieren om de ObjectID van service-principals te vinden.

U kunt het Microsoft Entra-beheercentrum gebruiken. Gebruik deze optie:

1. Blader naar Identity>Applications>Enterprise-toepassingen>Alle toepassingen.
2. Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten. Kopieer de object-id van de toepassing.

Omdat u Microsoft Graph PowerShell gebruikt, voert u de volgende cmdlet uit om de service-principals en de bijbehorende id's weer te geven.

connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal

Het beleid toewijzen aan uw service-principal met behulp van Microsoft Graph PowerShell

Nadat u de ObjectID van de service-principal van de toepassing hebt waarvoor u automatische versnelling wilt configureren, voert u de volgende opdracht uit. Met deze opdracht koppelt u het HRD-beleid dat u hebt gemaakt aan de service-principal die u in de vorige secties hebt gevonden.

    connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"

# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet  
$assignParams = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}

New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams

U kunt deze opdracht herhalen voor elke service-principal waaraan u het beleid wilt toevoegen.

In het geval dat een toepassing al een Home Realm Discovery-beleid heeft toegewezen, kunt u geen tweede toevoegen. In dat geval wijzigt u de definitie van het HRD-beleid dat aan de toepassing is toegewezen om extra parameters toe te voegen.

Controleren aan welke service-principals uw HRD-beleid is toegewezen met behulp van Microsoft Graph PowerShell

Voer de volgende opdracht uit om de service-principals weer te geven waaraan het beleid is toegewezen:

Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
 # Replace with the actual ObjectId of the Policy 

Zorg ervoor dat u de aanmeldingservaring voor de toepassing test om te controleren of het nieuwe beleid werkt.

Een HRD-beleid instellen met Microsoft Graph

We gebruiken Microsoft Graph API-aanroepen om een aantal scenario's te doorlopen, waaronder:

• Het HRD-beleid instellen voor automatische versnelling voor een toepassing in een tenant met één federatief domein.

• Stel HRD-beleid in om automatische versnelling voor een toepassing uit te voeren op een van de verschillende domeinen die zijn geverifieerd voor uw tenant.

• Het instellen van HRD-beleid om een verouderde toepassing in staat te stellen om directe verificatie van gebruikersnaam/wachtwoord naar Microsoft Entra-id voor een federatieve gebruiker uit te voeren.

• De toepassingen weergeven waarvoor een beleid is geconfigureerd.

In de volgende voorbeelden maakt, bijwerkt, koppelt en verwijdert u HRD-beleid voor toepassingsservice-principals in Microsoft Entra-id.

1. Voordat u begint, opent u het microsoft Graph Explorer-venster.

2. Meld u aan met ten minste de rol van Toepassingsbeheerder.

3. Geef toestemming aan de Policy.Read.All machtiging.

4. Voer de volgende API-aanroep uit om alle beleidsregels in uw organisatie weer te geven:

   GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
   

Als er niets wordt geretourneerd, betekent dit dat u geen beleid hebt gemaakt in uw tenant.

Een HRD-beleid maken met Microsoft Graph

In dit voorbeeld maakt u een beleid dat u als volgt toewijst aan een toepassing:

• Hiermee worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw tenant is.
• Gebruikers automatisch versnellen naar een aanmeldingsscherm van een federatieve id-provider als er meer dan één federatief domein in uw tenant is.
• Hiermee schakelt u niet-interactieve aanmelding via gebruikersnaam/wachtwoord rechtstreeks in bij Microsoft Entra ID voor federatieve gebruikers voor de toepassingen waaraan het beleid is toegewezen.

Met het volgende beleid worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw tenant is.

Vanuit het Microsoft Graph Explorer-venster:

1. Meld u aan met ten minste de rol toepassingsbeheerder.

2. Geef toestemming aan de Policy.ReadWrite.ApplicationConfiguration machtiging.

3. POST het nieuwe beleid of PATCH om een bestaand beleid bij te werken.

   POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  
   
   {  
       "definition": [  
           "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}"  
       ],  
       "displayName": "BasicAutoAccelerationPolicy",
       "isOrganizationDefault": true 
   } 
   

Met het volgende beleid worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer er meer dan één federatief domein in uw tenant is. Als u meer dan één federatief domein hebt dat gebruikers verifieert voor toepassingen, moet u het domein opgeven om automatisch te versnellen.

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"  
    ],  
    "displayName": "MultiDomainAutoAccelerationPolicy",
    "isOrganizationDefault": true 

}

Met het volgende beleid wordt verificatie van gebruikersnaam en wachtwoord voor federatieve gebruikers rechtstreeks met Microsoft Entra-id ingeschakeld voor specifieke toepassingen:

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"  
    ],  
    "displayName": "EnableDirectAuthPolicy"  
}  

Voer de volgende API-aanroep uit om uw nieuwe beleid te zien en de bijbehorende ObjectID-op te halen:

    GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies

Als u het HRD-beleid wilt toepassen nadat u het hebt gemaakt, kunt u het toewijzen aan meerdere service-principals.

Zoek de service-principal om het beleid toe te wijzen met behulp van Microsoft Graph

U hebt de ObjectID nodig van de service-principals waaraan u het beleid wilt toewijzen. Er zijn verschillende manieren om de ObjectID van service-principals te vinden.

U kunt het Microsoft Entra-beheercentrum gebruiken. Gebruik deze optie:

1. Blader naar Identity>Applications>Enterprise-toepassingen>Alle toepassingen.

2. Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten. Kopieer de object-id van de toepassing.

   Omdat u Microsoft Graph Explorer gebruikt, voert u de volgende aanvraag uit om de service-principals en hun id's weer te geven.

   GET https://graph.microsoft.com/v1.0/servicePrincipals  
   

Het beleid toewijzen aan uw service-principal met behulp van Microsoft Graph

Nadat u de ObjectID hebt van de service-principal van de toepassing waarvoor u automatische versnelling wilt configureren, voert u de volgende API cal uit. Deze API-aanroep koppelt het HRD-beleid dat u hebt gemaakt met de service-principal die u in de vorige secties hebt gevonden.

Zorg ervoor dat u akkoord gaat met de machtiging Application.ReadWrite.All.

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref  

{  
    "@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"  
}  

U kunt deze API-aanroep herhalen voor elke service-principal waaraan u het beleid wilt toevoegen.

In het geval dat een toepassing al een Home Realm Discovery-beleid heeft toegewezen, kunt u geen tweede toevoegen. In dat geval wijzigt u de definitie van het HRD-beleid dat aan de toepassing is toegewezen om extra parameters toe te voegen.

Controleren aan welke service-principals uw HRD-beleid is toegewezen met behulp van Microsoft Graph

Voer de volgende API-aanroep uit om de service-principals weer te geven waaraan het beleid is toegewezen:

GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo  

Zorg ervoor dat u de aanmeldingservaring voor de toepassing test om te controleren of het nieuwe beleid werkt.

Een HRD-beleid verwijderen uit een toepassing met behulp van Microsoft Graph PowerShell

1. Haal de ObjectID van het beleid op.

   Gebruik het vorige voorbeeld voor het ophalen van de ObjectID van het beleid en die van de service-principal van de toepassing waaruit u deze wilt verwijderen.

2. Verwijder de beleidstoewijzing uit de service-principal van de toepassing.

   Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId
   

3. Controleer het verwijderen door de serviceprincipals weer te geven waaraan het beleid is toegewezen.

   Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
   # Replace with the actual ObjectId of the Policy 
   

Het HRD-beleid verwijderen met Microsoft Graph PowerShell

Voer de volgende opdracht uit om het HRD-beleid dat u hebt gemaakt te verwijderen:

    Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy

Een HRD-beleid verwijderen uit een toepassing met Behulp van Microsoft Graph

1. Haal de ObjectID van het beleid op.

   Gebruik het vorige voorbeeld om zowel de ObjectID van het beleid als die van de service-principal van de toepassing waaruit u deze wilt verwijderen, op te halen.

2. Verwijder de beleidstoewijzing van de service-principal van de toepassing.

   DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$ref
   

3. Controleer het verwijderen door de service-principals weer te geven waaraan het beleid is toegewezen.

   GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo  
   

Het HRD-beleid verwijderen met Microsoft Graph

Als u het HRD-beleid wilt verwijderen dat u hebt gemaakt, voert u de volgende API-aanroep uit:

DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}