Udostępnij za pośrednictwem

Konfigurowanie automatycznego przyspieszania logowania

  • Artykuł

Ten artykuł zawiera wprowadzenie do konfigurowania zachowania uwierzytelniania entra firmy Microsoft dla użytkowników federacyjnych przy użyciu zasad odnajdywania obszaru głównego (HRD). Obejmuje ona używanie logowania automatycznego przyspieszania w celu pominięcia ekranu wprowadzania nazwy użytkownika i automatycznego przekazywania użytkowników do federacyjnych punktów końcowych logowania. Aby dowiedzieć się więcej na temat zasad HRD, zapoznaj się z artykułem Home Realm Discovery (Odnajdywanie obszaru głównego).

Wymagania wstępne

Aby skonfigurować zasady HRD dla aplikacji w usłudze Microsoft Entra ID, potrzebne są następujące elementy:

  • Konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
  • Rola Administrator aplikacji

Logowanie automatyczne przyspieszania

Niektóre organizacje konfigurują domeny w dzierżawie firmy Microsoft Entra w celu federacji z innym dostawcą tożsamości (IDP), takim jak usługi Active Directory Federation Services (ADFS) na potrzeby uwierzytelniania użytkowników. Gdy użytkownik loguje się do aplikacji, po raz pierwszy zostanie wyświetlona strona logowania firmy Microsoft Entra. Po wpisaniu głównej nazwy użytkownika (UPN), jeśli znajdują się w domenie federacyjnej, zostaną one przekierowane na stronę logowania dostawcy tożsamości obsługującej tę domenę. W pewnych okolicznościach administratorzy mogą chcieć skierować użytkowników do strony logowania podczas logowania się do określonych aplikacji. W rezultacie użytkownicy mogą pominąć początkową stronę identyfikatora entra firmy Microsoft. Ten proces jest określany jako "automatyczne przyspieszanie logowania".

W przypadku użytkowników federacyjnych z poświadczeniami obsługującymi chmurę, takimi jak logowanie do usługi Short Message Service (SMS) lub klucze FIDO, należy zapobiec automatycznemu przyspieszaniu logowania. Zobacz Wyłączanie logowania automatycznego przyspieszania, aby dowiedzieć się, jak zapobiegać wskazówek dotyczących domeny za pomocą hrD.

Ważne

Od kwietnia 2023 r. organizacje korzystające z automatycznego przyspieszania lub inteligentnych linków mogą zacząć widzieć nowy ekran dodany do interfejsu użytkownika logowania. Ten ekran, określany jako okno dialogowe potwierdzenia domeny, jest częścią ogólnego zobowiązania firmy Microsoft do wzmacniania zabezpieczeń i wymaga od użytkownika potwierdzenia domeny dzierżawy, w której się logują. Jeśli zostanie wyświetlone okno dialogowe Potwierdzenie domeny i nie rozpoznasz domeny dzierżawy, należy anulować przepływ uwierzytelniania i skontaktować się z administratorem IT.

Aby uzyskać więcej informacji, odwiedź okno dialogowe potwierdzenia domeny.

Konfigurowanie zasad HRD przy użyciu programu Microsoft Graph PowerShell

Użyjemy poleceń cmdlet programu PowerShell programu Microsoft Graph, aby zapoznać się z kilkoma scenariuszami, w tym:

  • Konfigurowanie zasad HRD w celu automatycznego przyspieszania aplikacji w dzierżawie z jedną domeną federacyjną.
  • Konfigurowanie zasad HRD w celu automatycznego przyspieszania aplikacji do jednej z kilku domen zweryfikowanych dla dzierżawy.
  • Konfigurowanie zasad HRD w celu umożliwienia starszej aplikacji bezpośredniego uwierzytelniania nazwy użytkownika/hasła do identyfikatora Entra firmy Microsoft dla użytkownika federacyjnego.
  • Wyświetlanie listy aplikacji, dla których skonfigurowano zasady.

W poniższych przykładach utworzysz, zaktualizujesz, połączysz i usuniesz zasady HRD dla jednostek usługi aplikacji w identyfikatorze Entra firmy Microsoft.

  1. Przed rozpoczęciem uruchom polecenie Connect, aby zalogować się do konta Microsoft Entra ID z co najmniej rolą administratora aplikacji :

    connect-MgGraph -scopes "Policy.Read.All"

  2. Uruchom następujące polecenie, aby wyświetlić wszystkie zasady w organizacji:

    Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName

Jeśli nic nie zostanie zwrócone, oznacza to, że nie masz żadnych zasad utworzonych w dzierżawie.

Tworzenie zasad HRD przy użyciu programu Microsoft Graph PowerShell

W tym przykładzie utworzysz zasady tak, aby po przypisaniu ich do aplikacji:

  • Automatycznie przyspiesza użytkowników do ekranu logowania dostawcy tożsamości federacyjnej podczas logowania się do aplikacji, gdy istnieje jedna domena w dzierżawie.
  • Automatycznie przyspiesza użytkowników do ekranu logowania dostawcy tożsamości federacyjnej, jeśli w dzierżawie istnieje więcej niż jedna domena federacyjna.
  • Włącza logowanie nieinterakcyjnej nazwy użytkownika/hasła bezpośrednio do identyfikatora Entra firmy Microsoft dla użytkowników federacyjnych dla aplikacji, do których są przypisane zasady.

Poniższe zasady automatycznie przyspieszają użytkowników do ekranu logowania dostawcy tożsamości federacyjnej podczas logowania się do aplikacji, gdy istnieje jedna domena w dzierżawie.

  1. Uruchom polecenie Connect, aby zalogować się do konta Microsoft Entra ID z co najmniej rolą administratora aplikacji :

    connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

  2. Uruchom następujące polecenie, aby utworzyć nowe zasady HRD:

    # Define the parameters for the policy 
$params = @{
    definition = @(
    '{"HomeRealmDiscoveryPolicy":{
    "AccelerateToFederatedDomain":true,
    }
}'
)
displayName = "BasicAutoAccelerationPolicy"
isOrganizationDefault = $true
} 
# Create a new Home Realm Discovery Policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params

Poniższe zasady automatycznie przyspieszają użytkowników do ekranu logowania dostawcy tożsamości federacyjnej, gdy w dzierżawie istnieje więcej niż jedna domena federacyjna. Jeśli masz więcej niż jedną domenę federacyjną, która uwierzytelnia użytkowników dla aplikacji, musisz określić domenę do automatycznego przyspieszania.

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	"AccelerateToFederatedDomain":true,
	"PreferredDomain":"federated.example.edu"
	}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true

}

# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params

Następujące zasady umożliwiają uwierzytelnianie nazwy użytkownika/hasła dla użytkowników federacyjnych bezpośrednio z identyfikatorem Entra firmy Microsoft dla określonych aplikacji:


connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet  
$params = @{
	definition = @(
	'{"HomeRealmDiscoveryPolicy":{
	 "AllowCloudPasswordValidation":true
     }
   }'
)
displayName = "EnableDirectAuthPolicy"
}

New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params

Aby wyświetlić nowe zasady i pobrać jego identyfikator ObjectID, uruchom następujące polecenie:

    Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName

Aby zastosować zasady HRD po jego utworzeniu, można przypisać je do wielu jednostek usługi.

Zlokalizuj jednostkę usługi w celu przypisania zasad za pomocą Microsoft Graph PowerShell

Potrzebujesz identyfikatora ObjectID jednostek usługi, do których chcesz przypisać zasady. Istnieje kilka sposobów znajdowania identyfikatora ObjectID jednostek usługi.

Możesz użyć centrum administracyjnego Microsoft Entra. Użyj tej opcji:

  1. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Wszystkie aplikacje.
  2. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania. Skopiuj identyfikator obiektu aplikacji.

Ponieważ używasz programu Microsoft Graph PowerShell, uruchom następujące polecenie cmdlet, aby wyświetlić listę jednostek usługi i ich identyfikatorów.

connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal

Przypisz zasady do jednostki usługi za pomocą programu Microsoft Graph PowerShell

Po wprowadzeniu identyfikatora ObjectID jednostki usługi aplikacji, dla której chcesz skonfigurować automatyczne przyspieszanie, uruchom następujące polecenie. To polecenie powiązuje zasadę HRD, którą utworzyłeś, z jednostką usługi, którą zlokalizowałeś w poprzednich sekcjach.

    connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"

# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet  
$assignParams = @{
	"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}

New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams

To polecenie można powtórzyć dla każdej jednostki usługi, do której chcesz dodać zasady.

W przypadku, gdy aplikacja ma już przypisaną politykę Home Realm Discovery, nie można dodać drugiej. W takim przypadku zmień definicję zasad HRD przypisanych do aplikacji, aby dodać dodatkowe parametry.

Sprawdź, które zasady usługi są przypisane do polityki HRD przy użyciu Microsoft Graph PowerShell

Uruchom następujące polecenie, aby wyświetlić listę jednostek usługi, do których przypisano zasady:

Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
 # Replace with the actual ObjectId of the Policy

Upewnij się, że przetestujesz środowisko logowania dla aplikacji, aby sprawdzić, czy nowe zasady działają.

Konfigurowanie zasad HRD przy użyciu programu Microsoft Graph

Używamy wywołań interfejsu API programu Microsoft Graph, aby zapoznać się z kilkoma scenariuszami, w tym:

  • Konfigurowanie zasad HRD w celu automatycznego przyspieszania aplikacji w dzierżawie z jedną domeną federacyjną.

  • Konfigurowanie zasad HRD w celu automatycznego przyspieszania aplikacji do jednej z kilku domen zweryfikowanych dla dzierżawy.

  • Konfigurowanie zasad HRD w celu umożliwienia starszej aplikacji bezpośredniego uwierzytelniania nazwy użytkownika/hasła do identyfikatora Entra firmy Microsoft dla użytkownika federacyjnego.

  • Wyświetlanie listy aplikacji, dla których skonfigurowano zasady.

W poniższych przykładach utworzysz, zaktualizujesz, połączysz i usuniesz zasady HRD dla jednostek usługi aplikacji w identyfikatorze Entra firmy Microsoft.

  1. Przed rozpoczęciem uzyskaj dostęp do okna Eksploratora programu Microsoft Graph.

  2. Zaloguj się przy użyciu co najmniej roli administratora aplikacji .

  3. Udziel zgody na Policy.Read.All uprawnienie.

  4. Uruchom następujące wywołanie interfejsu API, aby wyświetlić wszystkie zasady w organizacji:

    GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies

Jeśli nic nie zostanie zwrócone, oznacza to, że nie masz żadnych zasad utworzonych w dzierżawie.

Tworzenie zasad HRD przy użyciu programu Microsoft Graph

W tym przykładzie utworzysz zasady tak, aby po przypisaniu ich do aplikacji:

  • Automatycznie przyspiesza użytkowników do ekranu logowania dostawcy tożsamości federacyjnej podczas logowania się do aplikacji, gdy istnieje jedna domena w dzierżawie.
  • Automatycznie przyspiesza użytkowników do ekranu logowania dostawcy tożsamości federacyjnej, jeśli w dzierżawie istnieje więcej niż jedna domena federacyjna.
  • Włącza logowanie nieinterakcyjnej nazwy użytkownika/hasła bezpośrednio do identyfikatora Entra firmy Microsoft dla użytkowników federacyjnych dla aplikacji, do których są przypisane zasady.

Poniższe zasady automatycznie przyspieszają użytkowników do ekranu logowania dostawcy tożsamości federacyjnej podczas logowania się do aplikacji, gdy istnieje jedna domena w dzierżawie.

W oknie Eksploratora programu Microsoft Graph:

  1. Zaloguj się przy użyciu co najmniej roli administratora aplikacji .

  2. Udziel zgody na Policy.ReadWrite.ApplicationConfiguration uprawnienie.

  3. OPUBLIKUJ nowe zasady lub PATCH, aby zaktualizować istniejące zasady.

    POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}"  
    ],  
    "displayName": "BasicAutoAccelerationPolicy",
    "isOrganizationDefault": true 
}

Poniższe zasady automatycznie przyspieszają użytkowników do ekranu logowania dostawcy tożsamości federacyjnej, gdy w dzierżawie istnieje więcej niż jedna domena federacyjna. Jeśli masz więcej niż jedną domenę federacyjną, która uwierzytelnia użytkowników dla aplikacji, musisz określić domenę do automatycznego przyspieszania.

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"  
    ],  
    "displayName": "MultiDomainAutoAccelerationPolicy",
    "isOrganizationDefault": true 

}

Następujące zasady umożliwiają uwierzytelnianie nazwy użytkownika/hasła dla użytkowników federacyjnych bezpośrednio z identyfikatorem Entra firmy Microsoft dla określonych aplikacji:

POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies  

{  
    "definition": [  
        "{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"  
    ],  
    "displayName": "EnableDirectAuthPolicy"  
}

Aby wyświetlić nową polisę i pobrać ObjectID, uruchom następujące wywołanie interfejsu API:

    GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies

Aby zastosować zasady HRD po jego utworzeniu, można przypisać je do wielu jednostek usługi.

Lokalizowanie jednostki usługi w celu przypisania zasad przy użyciu programu Microsoft Graph

Potrzebujesz identyfikatora ObjectID jednostek usługi, do których chcesz przypisać zasady. Istnieje kilka sposobów znajdowania identyfikatora ObjectID jednostek usługi.

Możesz użyć centrum administracyjnego Microsoft Entra. Użyj tej opcji:

  1. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Wszystkie aplikacje.

  2. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania. Skopiuj identyfikator obiektu aplikacji.

    Ponieważ używasz eksploratora programu Microsoft Graph, uruchom następujące żądanie, aby wyświetlić listę jednostek usługi i ich identyfikatorów.

    GET https://graph.microsoft.com/v1.0/servicePrincipals

Przypisywanie zasad do jednostki usługi przy użyciu programu Microsoft Graph

Po uzyskaniu ObjectID głównego obiektu usługi aplikacji, dla której chcesz skonfigurować automatyczne przyspieszanie, uruchom następujące wywołanie interfejsu API. To wywołanie interfejsu API kojarzy utworzoną przez ciebie zasadę HRD z głównym obiektem usługi, który znalazłeś w poprzednich sekcjach.

Upewnij się, że wyrażasz zgodę na uprawnienie Application.ReadWrite.All.

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref  

{  
    "@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"  
}

To wywołanie interfejsu API można powtórzyć dla każdej jednostki usługi, do której chcesz dodać zasady.

W przypadku, gdy aplikacja ma już przypisaną politykę odkrywania głównej domeny, nie można dodać drugiej. W takim przypadku zmień definicję zasad HRD przypisanych do aplikacji, aby dodać dodatkowe parametry.

Sprawdź, do których obiektów zasad usługi przypisano zasady HRD przy użyciu Microsoft Graph.

Uruchom następujące wywołanie interfejsu API, aby wyświetlić listę jednostek usługi, do których przypisano zasady:

GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo

Upewnij się, że przetestujesz środowisko logowania dla aplikacji, aby sprawdzić, czy nowe zasady działają.

Usuwanie zasad HRD z aplikacji przy użyciu programu Microsoft Graph PowerShell

  1. Pobierz identyfikator ObjectID polityki.

    Użyj poprzedniego przykładu, aby uzyskać ObjectID zasad oraz nazwę jednostki usługi aplikacji, z której chcesz go usunąć.

  2. Usuń przypisanie polityki z głównego konta usługi aplikacji.

    Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId

  3. Sprawdź usunięcie, wyświetlając listę jednostek usługi, do których przypisano zasady.

    Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
# Replace with the actual ObjectId of the Policy

Usuwanie zasad HRD przy użyciu programu Microsoft Graph PowerShell

Aby usunąć utworzone zasady HRD, uruchom następujące polecenie:

    Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy

Usuwanie zasad HRD z aplikacji przy użyciu programu Microsoft Graph

  1. Pobierz identyfikator ObjectID zasad.

    Użyj poprzedniego przykładu, aby uzyskać ObjectID polityki oraz aplikacyjnej jednostki głównej, z której chcesz usunąć tę wartość.

  2. Usuń przypisanie polityki z głównego identyfikatora zabezpieczeń aplikacji.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$ref

  3. Sprawdź usunięcie polityki, wyświetlając listę głównych jednostek usługi, do których przypisano zasady.

    GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo

Usuwanie zasad HRD przy użyciu programu Microsoft Graph

Aby usunąć utworzone zasady HRD, uruchom następujące wywołanie interfejsu API:

DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}