Aanmelden bij automatische versnelling uitschakelen

In dit artikel leert u hoe u de automatische inlogversnelling voor bepaalde domeinen en toepassingen uitschakelt met behulp van het Home Realm Discovery (HRD)-beleid. Als dit beleid is geconfigureerd, kunnen beheerders ervoor zorgen dat gebruikers altijd hun beheerde referenties gebruiken, de beveiliging verbeteren en een consistente aanmeldingservaring bieden.

Het HRD-beleid (Home Realm Discovery) biedt beheerders meerdere manieren om te bepalen hoe en waar hun gebruikers zich verifiëren. De domainHintPolicy sectie van het HRD-beleid wordt gebruikt om federatieve gebruikers te helpen migreren naar door de cloud beheerde referenties, zoals FIDO, door ervoor te zorgen dat ze altijd de aanmeldingspagina van Microsoft Entra bezoeken en niet automatisch worden versneld naar een federatieve IDP vanwege domeinhints. Zie Home Realm Discovery voor meer informatie over HRD-beleid.

Dit beleid is nodig in situaties waarin beheerders geen domeinhints kunnen beheren of bijwerken tijdens het aanmelden. Verzendt de gebruiker bijvoorbeeld outlook.com/contoso.com naar een aanmeldingspagina waaraan de &domain_hint=contoso.com parameter is toegevoegd, om de gebruiker automatisch te versnellen naar de federatieve IDP voor het contoso.com domein. Gebruikers met beheerde referenties die zijn verzonden naar een federatieve IDP kunnen zich niet aanmelden met hun beheerde referenties, waardoor de beveiliging wordt verminderd en gebruikers met gerandomiseerde aanmeldingservaringen worden gerandomiseerd. Beheerders die beheerde referenties implementeren, moeten dit beleid ook instellen om ervoor te zorgen dat gebruikers altijd hun beheerde referenties kunnen gebruiken.

Vereisten

Als u aanmelding voor automatische versnelling wilt uitschakelen voor een toepassing in Microsoft Entra ID, hebt u het volgende nodig:

• Een Azure-account met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen: cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal.

HRD configureren om domeinhints te voorkomen met Behulp van Microsoft Graph PowerShell

Beheerders van federatieve domeinen moeten deze sectie van het HRD-beleid instellen in een plan met vier fasen. Het doel van dit plan is om uiteindelijk alle gebruikers in een tenant te laten gebruiken om hun beheerde referenties te gebruiken, ongeacht het domein of de toepassing, om die apps op te slaan die harde afhankelijkheden hebben van domain_hint het gebruik. Met dit plan kunnen beheerders deze apps vinden, deze uitsluiten van het nieuwe beleid en de wijziging in de rest van de tenant blijven implementeren.

Kies een domein om deze wijziging in eerste instantie uit te rollen. Dit domein is uw testdomein, dus kies een domein dat meer vatbaar is voor wijzigingen in UX (bijvoorbeeld een andere aanmeldingspagina). Het volgende voorbeeld is geconfigureerd om alle domeinhints te negeren van alle toepassingen die gebruikmaken van deze domeinnaam. Stel dit beleid in uw tenantstandaard HRD-beleid in:

Voer de opdracht Verbinding maken uit om u aan te melden bij Microsoft Entra ID met ten minste de toepassingsbeheerder rol:

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

1. Voer de volgende opdracht uit om domeinhints voor het testdomein te voorkomen.

   # Define the Home Realm Discovery Policy parameters  
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": []
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params  
   

   Zorg ervoor dat u app-client-Guid vervangt door de werkelijke app-GUID's en de tijdelijke domeinwaarde door het werkelijke domein.

2. Verzamel feedback van de testdomeingebruikers. Verzamel details voor toepassingen die zijn verbroken als gevolg van deze wijziging. Ze hebben een afhankelijkheid van het gebruik van domeinhints en moeten worden bijgewerkt. Voeg deze voorlopig toe aan de RespectDomainHintForApps sectie:

   # Define the Home Realm Discovery Policy parameters
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Zorg ervoor dat u app-client-Guid vervangt door de werkelijke app-GUID's en de tijdelijke aanduiding voor het domein door het werkelijke domein.

3. Blijf de implementatie van het beleid uitbreiden naar nieuwe domeinen en verzamel meer feedback.

   # Define the Home Realm Discovery Policy parameters  
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Zorg ervoor dat u app-client-Guid vervangt door de werkelijke app-GUID's en de tijdelijke aanduiding van het domein door het werkelijke domein.

4. Voltooi uw implementatie: richt u op alle domeinen, waarbij de domeinen worden uitgesloten die nog steeds moeten worden versneld:

   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["*"],
                   "RespectDomainHintForDomains": ["guestHandlingDomain.com"],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }  
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Zorg ervoor dat de app-client-Guid wordt vervangen door de eigenlijke app-GUID's en de tijdelijke domeinaanduiding door het eigenlijke domein.

HRD configureren om domeinhints te voorkomen met Behulp van Microsoft Graph

Beheerders van federatieve domeinen moeten deze sectie van het HRD-beleid instellen in een plan met vier fasen. Het doel van dit plan is om uiteindelijk alle gebruikers in een tenant te laten gebruiken om hun beheerde referenties te gebruiken, ongeacht het domein of de toepassing, om die apps op te slaan die harde afhankelijkheden hebben van domain_hint het gebruik. Met dit plan kunnen beheerders deze apps vinden, deze uitsluiten van het nieuwe beleid en de wijziging in de rest van de tenant blijven implementeren.

Meld u vanuit het venster van Microsoft Graph Explorer aan met ten minste de toepassingsbeheerder rol.

Verleen toestemming voor de Policy.ReadWrite.ApplicationConfiguration-machtiging.

1. Kies een domein om deze wijziging in eerste instantie uit te rollen. Dit domein is uw testdomein, dus kies een domein dat meer vatbaar is voor wijzigingen in UX (bijvoorbeeld een andere aanmeldingspagina). Hiermee worden alle domeinhints genegeerd van alle toepassingen die gebruikmaken van deze domeinnaam. Stel dit beleid in als het standaard HR-beleid van uw tenant. POST een nieuw beleid of PATCH om een bestaand beleid bij te werken.

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
       {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}"
   ],
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true 
   }
   

2. Verzamel feedback van de testdomeingebruikers. Verzamel details voor toepassingen die zijn verbroken als gevolg van deze wijziging. Ze hebben een afhankelijkheid van het gebruik van domeinhints en moeten worden bijgewerkt. Voeg deze voorlopig toe aan de RespectDomainHintForApps sectie:

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"
   ],
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy6",  
   "isOrganizationDefault": false   
   }
   

3. Blijf de implementatie van het beleid uitbreiden naar nieuwe domeinen en verzamel meer feedback.

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
   ],  
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true  
   }
   

4. Voltooi uw implementatie: richt u op alle domeinen, waarbij u deze domeinen wilt uitsluiten die nog steeds moeten worden versneld:

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
   ],  
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true   
   }
   

Nadat stap 4 is voltooid, kunnen alle gebruikers, behalve gebruikers in guestHandlingDomain.com, zich aanmelden op de aanmeldingspagina van Microsoft Entra, zelfs wanneer domeinhints anders een automatische versnelling naar een federatieve IDP veroorzaken. De uitzondering op deze instelling is als de app die aanmelding aanvraagt een van de uitgesloten apps is. Voor deze apps worden alle domeinhints nog steeds geaccepteerd.

Details van DomainHintPolicy

De sectie DomainHintPolicy van het HRD-beleid is een JSON-object waarmee een beheerder bepaalde domeinen en toepassingen kan afmelden voor het gebruik van domeinhints. In deze sectie wordt aan de aanmeldingspagina van Microsoft Entra aangegeven dat deze zich gedraagt alsof er geen domain_hint parameter aanwezig is op de aanmeldingsaanvraag.

De secties Beleid respecteren en negeren

Sectie	Betekenis	Waarden
IgnoreDomainHintForDomains	Als deze domeinhint wordt verzonden in de aanvraag, negeert u deze.	Matrix van domeinadressen (bijvoorbeeld contoso.com). Ondersteunt ook all_domains
RespectDomainHintForDomains	Als deze domeinhint wordt verzonden in de aanvraag, respecteert u deze zelfs als IgnoreDomainHintForApps dit aangeeft dat de app in de aanvraag niet automatisch moet versnellen. Deze eigenschap is bedoeld om de implementatie van afgeschafte domeinhints in uw netwerk te vertragen. U kunt aangeven dat sommige domeinen nog steeds moeten worden versneld.	Matrix van domeinadressen (bijvoorbeeld contoso.com). Ondersteunt ook all_domains
IgnoreDomainHintForApps	Als een aanvraag van deze toepassing wordt geleverd met een domeinhint, negeert u deze.	Matrix van toepassings-id's (GUID's). Ondersteunt ook all_apps
RespectDomainHintForApps	Als een aanvraag van deze toepassing wordt geleverd met een domeinhint, moet u deze respecteren, zelfs als IgnoreDomainHintForDomains dat domein is opgenomen. Wordt gebruikt om ervoor te zorgen dat sommige apps blijven werken als u ontdekt dat ze breken zonder domeinhints.	Matrix van toepassings-id's (GUID's). Ondersteunt ook all_apps

Beleidsevaluatie

De DomainHintPolicy-logica wordt uitgevoerd op elke binnenkomende aanvraag die een domeinhint bevat en versnelt op basis van twee stukjes gegevens in de aanvraag: het domein in de domeinhint en de client-id (de app). Kortom: 'Respect' voor een domein of app heeft voorrang op een instructie om een domeinhint voor een bepaald domein of een bepaalde toepassing te negeren.

• Als er geen beleid voor domeinhints is, of als geen van de vier secties verwijst naar de vermelde app of domeinhint, wordt de rest van het HRD-beleidgeëvalueerd.
• Als een (of beide) van RespectDomainHintForApps of RespectDomainHintForDomains sectie de app- of domeinhint in de aanvraag bevat, wordt de gebruiker automatisch versneld naar de federatieve IDP zoals aangevraagd.
• Als een (of beide) van IgnoreDomainHintsForApps of IgnoreDomainHintsForDomains verwijst naar de app of de domeinhint in de aanvraag en ze niet worden verwezen door de secties Respect, wordt de aanvraag niet automatisch versneld en blijft de gebruiker op de aanmeldingspagina van Microsoft Entra om een gebruikersnaam op te geven.

Zodra een gebruiker een gebruikersnaam invoert op de aanmeldingspagina, kunnen ze hun beheerde referenties gebruiken. Als ze ervoor kiezen om geen beheerde referentie te gebruiken of als ze geen referenties hebben geregistreerd, worden ze naar hun federatieve IDP geleid voor referentievermelding zoals gebruikelijk.