Wyłączanie logowania automatycznego przyspieszania
Zasady odnajdywania obszaru głównego (HRD) oferują administratorom wiele sposobów kontrolowania sposobu i miejsca uwierzytelniania użytkowników. Sekcja domainHintPolicy
zasad HRD służy do migrowania użytkowników federacyjnych do poświadczeń zarządzanych w chmurze, takich jak FIDO, dzięki upewnieniu się, że zawsze odwiedzają stronę logowania firmy Microsoft Entra i nie są automatycznie przyspieszane do federacyjnego dostawcy tożsamości z powodu wskazówek dotyczących domeny. Aby dowiedzieć się więcej na temat zasad HRD, zobacz Odnajdywanie obszaru głównego.
Te zasady są potrzebne w sytuacjach, w których administratorzy nie mogą kontrolować ani aktualizować wskazówek dotyczących domeny podczas logowania. Na przykład outlook.com/contoso.com
wysyła użytkownika do strony logowania z &domain_hint=contoso.com
dołączonym parametrem, aby automatycznie przyspieszyć użytkownika bezpośrednio do federacyjnego dostawcy tożsamości dla contoso.com
domeny. Użytkownicy z poświadczeniami zarządzanymi wysyłanymi do federacyjnego dostawcy tożsamości nie mogą logować się przy użyciu poświadczeń zarządzanych, zmniejszając bezpieczeństwo i frustrując użytkowników z losowymi środowiskami logowania. Administratorzy wdrażają poświadczenia zarządzane, powinni również skonfigurować te zasady , aby zapewnić, że użytkownicy będą zawsze mogli używać swoich poświadczeń zarządzanych.
Szczegóły domainHintPolicy
Sekcja DomainHintPolicy zasad HRD jest obiektem JSON, który umożliwia administratorowi rezygnację z określonych domen i aplikacji z użycia wskazówek dotyczących domeny. Funkcjonalnie informuje to stronę logowania firmy Microsoft, aby zachowywała się tak, jakby domain_hint
parametr żądania logowania nie był obecny.
Sekcje zasad Szacunek i Ignorowanie
Sekcja | Znaczenie | Wartości |
---|---|---|
IgnoreDomainHintForDomains |
Jeśli ta wskazówka dotycząca domeny zostanie wysłana w żądaniu, zignoruj ją. | Tablica adresów domeny (na przykład contoso.com ). Obsługuje również obsługę all_domains |
RespectDomainHintForDomains |
Jeśli ta wskazówka dotycząca domeny jest wysyłana w żądaniu, należy go przestrzegać, nawet jeśli IgnoreDomainHintForApps wskazuje, że aplikacja w żądaniu nie powinna być automatycznie przyspieszana. Służy to do spowolnienia wdrażania przestarzałych wskazówek dotyczących domeny w sieci — można wskazać, że niektóre domeny powinny być nadal przyspieszone. |
Tablica adresów domeny (na przykład contoso.com ). Obsługuje również obsługę all_domains |
IgnoreDomainHintForApps |
Jeśli żądanie z tej aplikacji zawiera wskazówkę dotyczącą domeny, zignoruj je. | Tablica identyfikatorów aplikacji (GUID). Obsługuje również obsługę all_apps |
RespectDomainHintForApps |
Jeśli żądanie z tej aplikacji zawiera wskazówkę dotyczącą domeny, należy ją uwzględnić, nawet jeśli IgnoreDomainHintForDomains zawiera tę domenę. Służy do zapewnienia, że niektóre aplikacje będą działać, jeśli odkryjesz, że nie zostaną przerwane bez wskazówek dotyczących domeny. |
Tablica identyfikatorów aplikacji (GUID). Obsługuje również obsługę all_apps |
Ocena zasad
Logika DomainHintPolicy jest uruchamiana na każdym przychodzącym żądaniu zawierającym wskazówkę domeny i przyspiesza na podstawie dwóch fragmentów danych w żądaniu — domeny w wskazówce domeny i identyfikatora klienta (aplikacji). Krótko mówiąc : "Szacunek" dla domeny lub aplikacji ma pierwszeństwo przed instrukcją "Ignoruj" wskazówkę domeny dla danej domeny lub aplikacji.
- W przypadku braku zasad wskazówek dotyczących domeny lub jeśli żadna z czterech sekcji nie odwołuje się do wymienionej aplikacji lub wskazówki domeny, pozostałe zasady HRD zostaną ocenione.
- Jeśli jedna (lub obie)
RespectDomainHintForApps
RespectDomainHintForDomains
sekcji zawiera wskazówkę dotyczącą aplikacji lub domeny w żądaniu, użytkownik zostanie automatycznie przyspieszony do federacyjnego dostawcy tożsamości zgodnie z żądaniem. - Jeśli jeden (lub oba)
IgnoreDomainHintsForApps
IgnoreDomainHintsForDomains
lub odwołuje się do aplikacji lub wskazówki domeny w żądaniu i nie odwołuje się do nich w sekcjach "Szacunek", żądanie nie zostanie automatycznie przyspieszone, a użytkownik pozostanie na stronie logowania Microsoft Entra w celu podania nazwy użytkownika.
Gdy użytkownik wprowadził nazwę użytkownika na stronie logowania, może użyć swoich poświadczeń zarządzanych. Jeśli zdecydują się nie używać poświadczeń zarządzanych lub nie mają żadnych zarejestrowanych, są one przekazywane do federacyjnego dostawcy tożsamości na potrzeby wpisu poświadczeń w zwykły sposób.
Wymagania wstępne
Aby wyłączyć automatyczne przyspieszanie logowania dla aplikacji w usłudze Microsoft Entra ID, potrzebne są następujące elementy:
- Konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedną z następujących ról: Administrator aplikacji w chmurze, Administrator aplikacji lub właściciel jednostki usługi.
- Moduł programu PowerShell programu Microsoft Graph.
Sugerowane użycie w dzierżawie
Administratorzy domen federacyjnych powinni skonfigurować tę sekcję zasad HRD w planie czterofazowym. Celem tego planu jest ostatecznie uzyskanie wszystkich użytkowników w dzierżawie w celu korzystania z poświadczeń zarządzanych niezależnie od domeny lub aplikacji, zapisz te aplikacje, które mają twarde zależności od domain_hint
użycia. Ten plan pomaga administratorom znaleźć te aplikacje, wykluczyć je z nowych zasad i kontynuować wprowadzanie zmian w pozostałej części dzierżawy.
- Wybierz domenę, aby początkowo wdrożyć tę zmianę. Jest to domena testowa, więc wybierz tę, która może być bardziej otwarta na zmiany w środowisku użytkownika (na przykład wyświetlanie innej strony logowania). Spowoduje to zignorowanie wszystkich wskazówek dotyczących domeny ze wszystkich aplikacji korzystających z tej nazwy domeny. Ustaw te zasady w domyślnych zasadach HRD dzierżawy:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Zbieraj opinie od użytkowników domeny testowej. Zbierz szczegóły aplikacji, które uległy awarii w wyniku tej zmiany — mają zależność od użycia wskazówek dotyczących domeny i powinny zostać zaktualizowane. Na razie dodaj je do
RespectDomainHintForApps
sekcji:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Kontynuuj rozszerzanie wdrażania zasad w nowych domenach, zbierając więcej opinii.
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Ukończ wdrożenie — dotyczy wszystkich domen, wykluczając te, które powinny być nadal przyspieszone:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
Po wykonaniu kroku 4 wszyscy użytkownicy, z wyjątkiem tych w guestHandlingDomain.com
programie , mogą zalogować się na stronie logowania firmy Microsoft Entra nawet wtedy, gdy wskazówki dotyczące domeny w przeciwnym razie spowodują automatyczne przyspieszenie do federacyjnego dostawcy tożsamości. Wyjątkiem jest to, że jeśli aplikacja żądającą logowania jest jedną z wykluczonych aplikacji — w przypadku tych aplikacji wszystkie wskazówki dotyczące domeny są nadal akceptowane.
Konfigurowanie zasad za pomocą Eksploratora programu Graph
Zarządzanie zasadami odnajdywania obszaru głównego przy użyciu programu Microsoft Graph.
Zaloguj się do Eksploratora programu Microsoft Graph przy użyciu jednej z ról wymienionych w sekcji wymagań wstępnych.
Policy.ReadWrite.ApplicationConfiguration
Udziel uprawnienia.Użyj zasad odnajdywania obszaru głównego, aby utworzyć nowe zasady.
OPUBLIKUJ nowe zasady lub PATCH, aby zaktualizować istniejące zasady.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
Pamiętaj, aby użyć ukośników, aby uniknąć Definition
sekcji JSON podczas korzystania z programu Graph.
isOrganizationDefault
musi mieć wartość true, ale nazwa displayName i definicja mogą ulec zmianie.