Udostępnij za pośrednictwem


Konfigurowanie zachowania logowania przy użyciu odnajdywania obszaru głównego

Ten artykuł zawiera wprowadzenie do konfigurowania zachowania uwierzytelniania entra firmy Microsoft dla użytkowników federacyjnych przy użyciu zasad odnajdywania obszaru głównego (HRD). Obejmuje ona używanie logowania automatycznego przyspieszania w celu pominięcia ekranu wprowadzania nazwy użytkownika i automatycznego przekazywania użytkowników do federacyjnych punktów końcowych logowania. Aby dowiedzieć się więcej na temat zasad HRD, zapoznaj się z artykułem Home Realm Discovery (Odnajdywanie obszaru głównego).

Logowanie automatyczne przyspieszania

Niektóre organizacje konfigurują domeny w dzierżawie firmy Microsoft Entra w celu federacji z innym dostawcą tożsamości (IDP), takim jak usługi Active Directory Federation Services (ADFS) na potrzeby uwierzytelniania użytkowników. Gdy użytkownik loguje się do aplikacji, po raz pierwszy zostanie wyświetlona strona logowania firmy Microsoft Entra. Po wpisaniu głównej nazwy użytkownika (UPN), jeśli znajdują się w domenie federacyjnej, zostaną one przekierowane na stronę logowania dostawcy tożsamości obsługującej tę domenę. W pewnych okolicznościach administratorzy mogą chcieć skierować użytkowników do strony logowania podczas logowania się do określonych aplikacji. W rezultacie użytkownicy mogą pominąć początkową stronę identyfikatora entra firmy Microsoft. Ten proces jest określany jako "automatyczne przyspieszanie logowania".

W przypadku użytkowników federacyjnych z poświadczeniami obsługującymi chmurę, takimi jak logowanie sms lub klucze FIDO, należy zapobiec automatycznemu przyspieszaniu logowania. Zobacz Wyłączanie logowania automatycznego przyspieszania, aby dowiedzieć się, jak zapobiegać wskazówek dotyczących domeny za pomocą hrD.

Ważne

Od kwietnia 2023 r. organizacje korzystające z automatycznego przyspieszania lub inteligentnych linków mogą zacząć widzieć nowy ekran dodany do interfejsu użytkownika logowania. Ten ekran, określany jako okno dialogowe potwierdzenia domeny, jest częścią ogólnego zobowiązania firmy Microsoft do wzmacniania zabezpieczeń i wymaga od użytkownika potwierdzenia domeny dzierżawy, w której się logują. Jeśli zostanie wyświetlone okno dialogowe Potwierdzenie domeny i nie rozpoznasz domeny dzierżawy, należy anulować przepływ uwierzytelniania i skontaktować się z administratorem IT.

Aby uzyskać więcej informacji, odwiedź okno dialogowe potwierdzenia domeny.

Wymagania wstępne

Aby skonfigurować zasady HRD dla aplikacji w usłudze Microsoft Entra ID, potrzebne są następujące elementy:

  • Konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
  • Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub właściciel jednostki usługi.
  • Najnowsza wersja zapoznawcza polecenia cmdlet programu PowerShell usługi Azure AD.

Konfigurowanie zasad HRD w aplikacji

Użyjemy poleceń cmdlet programu PowerShell usługi Azure AD, aby zapoznać się z kilkoma scenariuszami, w tym:

Użyjemy programu Microsoft Graph, aby zapoznać się z kilkoma scenariuszami, w tym:

  • Konfigurowanie zasad HRD w celu automatycznego przyspieszania aplikacji w dzierżawie z jedną domeną federacyjną.

  • Konfigurowanie zasad HRD w celu automatycznego przyspieszania aplikacji do jednej z kilku domen zweryfikowanych dla dzierżawy.

  • Konfigurowanie zasad HRD w celu umożliwienia starszej aplikacji bezpośredniego uwierzytelniania nazwy użytkownika/hasła do identyfikatora Entra firmy Microsoft dla użytkownika federacyjnego.

  • Wyświetlanie listy aplikacji, dla których skonfigurowano zasady.

W poniższych przykładach utworzysz, zaktualizujesz, połączysz i usuniesz zasady HRD dla jednostek usługi aplikacji w identyfikatorze Entra firmy Microsoft.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

  1. Przed rozpoczęciem uruchom polecenie Connect, aby zalogować się do identyfikatora Entra firmy Microsoft przy użyciu konta administratora:

    Connect-AzureAD -Confirm
    
  2. Uruchom następujące polecenie, aby wyświetlić wszystkie zasady w organizacji:

    Get-AzureADPolicy
    

Jeśli nic nie zostanie zwrócone, oznacza to, że nie masz żadnych zasad utworzonych w dzierżawie.

Tworzenie zasad HRD

W tym przykładzie utworzysz zasady tak, aby po przypisaniu ich do aplikacji:

  • Automatycznie przyspiesza użytkowników do ekranu logowania dostawcy tożsamości federacyjnej podczas logowania się do aplikacji, gdy istnieje jedna domena w dzierżawie.
  • Automatycznie przyspiesza użytkowników do ekranu logowania dostawcy tożsamości federacyjnej, jeśli w dzierżawie istnieje więcej niż jedna domena federacyjna.
  • Włącza logowanie nieinterakcyjnej nazwy użytkownika/hasła bezpośrednio do identyfikatora Entra firmy Microsoft dla użytkowników federacyjnych dla aplikacji, do których są przypisane zasady.

Poniższe zasady automatycznie przyspieszają użytkowników do ekranu logowania dostawcy tożsamości federacyjnej podczas logowania się do aplikacji, gdy istnieje jedna domena w dzierżawie.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true
}

Poniższe zasady automatycznie przyspieszają użytkowników do ekranu logowania dostawcy tożsamości federacyjnej, gdy w dzierżawie istnieje więcej niż jedna domena federacyjna. Jeśli masz więcej niż jedną domenę federacyjną, która uwierzytelnia użytkowników dla aplikacji, musisz określić domenę do automatycznego przyspieszania.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") 
    -DisplayName MultiDomainAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true,
    "PreferredDomain": [
      "federated.example.edu"
    ]
}

Następujące zasady umożliwiają uwierzytelnianie nazwy użytkownika/hasła dla użytkowników federacyjnych bezpośrednio z identyfikatorem Entra firmy Microsoft dla określonych aplikacji:

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") 
    -DisplayName EnableDirectAuthPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"EnableDirectAuthPolicy": {
    "AllowCloudPasswordValidation": true
}

Aby wyświetlić nowe zasady i pobrać jego identyfikator ObjectID, uruchom następujące polecenie:

Get-AzureADPolicy

Aby zastosować zasady HRD po jego utworzeniu, można przypisać je do wielu jednostek usługi aplikacji.

Znajdź jednostkę usługi, która ma zostać przypisana do zasad

Potrzebujesz identyfikatora ObjectID jednostek usługi, do których chcesz przypisać zasady. Istnieje kilka sposobów znajdowania identyfikatora ObjectID jednostek usługi.

Możesz użyć centrum administracyjnego firmy Microsoft Entra lub wykonać zapytanie względem programu Microsoft Graph. Możesz również przejść do narzędzia Graph Explorer i zalogować się do swojego konta Microsoft Entra, aby wyświetlić wszystkie jednostki usługi organizacji.

Ponieważ używasz programu PowerShell, możesz użyć następującego polecenia cmdlet, aby wyświetlić listę jednostek usługi i ich identyfikatorów.

Get-AzureADServicePrincipal

Przypisywanie zasad do jednostki usługi

Po wprowadzeniu identyfikatora ObjectID jednostki usługi aplikacji, dla której chcesz skonfigurować automatyczne przyspieszanie, uruchom następujące polecenie. To polecenie kojarzy zasady HRD utworzone w kroku 1 z jednostką usługi, która znajduje się w kroku 2.

Add-AzureADServicePrincipalPolicy 
    -Id <ObjectID of the Service Principal> 
    -RefObjectId <ObjectId of the Policy>

To polecenie można powtórzyć dla każdej jednostki usługi, do której chcesz dodać zasady.

W przypadku, gdy aplikacja ma już przypisane zasady HomeRealmDiscovery, nie można dodać drugiego. W takim przypadku zmień definicję zasad HRD przypisanych do aplikacji, aby dodać dodatkowe parametry.

Sprawdź, które jednostki usługi są przypisane do zasad HRD

Aby sprawdzić, które aplikacje mają skonfigurowane zasady HRD, użyj polecenia cmdlet Get-AzureADPolicyAppliedObject . Przekaż identyfikator ObjectID zasad, które chcesz zaewidencjonować.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Wypróbuj aplikację, aby sprawdzić, czy nowe zasady działają.

Wyświetlanie listy aplikacji, dla których skonfigurowano zasady HRD

  1. Wyświetlanie listy wszystkich zasad utworzonych w organizacji

    Get-AzureADPolicy
    

Zanotuj identyfikator ObjectID zasad, dla których chcesz wyświetlić listę przypisań.

  1. Wyświetlanie listy jednostek usługi, do których przypisano zasady

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

Usuwanie zasad HRD z aplikacji

  1. Pobieranie identyfikatora ObjectID

    Użyj poprzedniego przykładu, aby pobrać identyfikator ObjectID zasad i nazwę główną usługi aplikacji, z której chcesz go usunąć.

  2. Usuwanie przypisania zasad z jednostki usługi aplikacji

    Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>
    
  3. Sprawdź usunięcie, wyświetlając listę jednostek usługi, do których przypisano zasady

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

Konfigurowanie zasad za pomocą Eksploratora programu Graph

W oknie Eksploratora programu Microsoft Graph:

  1. Zaloguj się przy użyciu jednej z ról wymienionych w sekcji wymagań wstępnych.

  2. Udziel zgody na Policy.ReadWrite.ApplicationConfiguration uprawnienie.

  3. Użyj zasad odnajdywania obszaru głównego, aby utworzyć nowe zasady.

  4. OPUBLIKUJ nowe zasady lub PATCH, aby zaktualizować istniejące zasady.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
        {
            "definition": [
            "{\"HomeRealmDiscoveryPolicy\":
            {\"AccelerateToFederatedDomain\":true,
            \"PreferredDomain\":\"federated.example.edu\",
            \"AlternateIdLogin\":{\"Enabled\":true}}}"
        ],
            "displayName": "Home Realm Discovery auto acceleration",
            "isOrganizationDefault": true
        }
    
  5. Aby wyświetlić nowe zasady, uruchom następujące zapytanie:

    GET /policies/homeRealmDiscoveryPolicies/{id}
    
  6. Aby przypisać nowe zasady do aplikacji:

    POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
    

    Lub:

    POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
    
  7. Wyświetlanie listy jednostek usługi, do których przypisano zasady

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    
  8. Aby usunąć utworzone zasady HRD, uruchom zapytanie:

    DELETE /policies/homeRealmDiscoveryPolicies/{id}
    
  9. Usuwanie przypisania zasad z jednostki usługi

    DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
    

    lub

    DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
    
  10. Sprawdź usunięcie, wyświetlając listę jednostek usługi, do których przypisano zasady

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    

Następne kroki