Compartilhar via


Configurar o comportamento de entrada usando a Descoberta de realm inicial

Este artigo fornece uma introdução à configuração do comportamento de autenticação do Microsoft Entra para usuários federados usando a política de HRD (Descoberta de Realm Inicial). Ele aborda o uso de credenciais de aceleração automática para ignorar a tela de entrada de nome de usuário e encaminhar automaticamente os usuários para os pontos de extremidade de logon federados. Para saber mais sobre a política de HRD, confira o artigo Descoberta de Realm Inicial.

Credenciais de aceleração automática

Algumas organizações configuram domínios nos respectivos locatários do Microsoft Entra para federação com outro IDP (provedor de identidade), como os Serviços de Federação do Active Directory (ADFS), para a autenticação do usuário. Quando um usuário entra em um aplicativo, ele é apresentado primeiramente a uma página de entrada do Microsoft Entra. Após digitar o UPN (nome principal do usuário), se o usuário estiver em um domínio federado, será direcionado para a página de entrada do IDP que atende ao domínio. Em determinadas circunstâncias, os administradores talvez queiram direcionar usuários para a página de entrada quando estes estiverem entrando em aplicativos específicos. Como resultado, os usuários podem ignorar a página inicial da ID do Microsoft Entra. Esse processo é conhecido como "aceleração automática de entrada".

Para usuários federados com credenciais habilitadas para nuvem, como chaves FIDO ou entrada por SMS, você deve impedir a aceleração automática de logon. Confira Desabilitar a aceleração automática de entrada para saber como evitar dicas de domínio com HRD.

Importante

A partir de abril de 2023, as organizações que usam aceleração automática ou links inteligentes poderão começar a ver uma nova tela adicionada à interface do usuário de entrada. Essa tela, denominada Caixa de Diálogo de Confirmação de Domínio, faz parte do compromisso geral da Microsoft com o fortalecimento da segurança e exige que o usuário confirme o domínio do locatário no qual está entrando. Se você vir a Caixa de Diálogo de Confirmação do Domínio e não reconhecer o domínio do locatário listado, você deve cancelar o fluxo de autenticação e contatar o administrador de TI.

Para obter mais informações, visite a Caixa de Diálogo Confirmação do Domínio.

Pré-requisitos

Para configurar a política de HRD para um aplicativo no Microsoft Entra ID, você precisa:

  • Uma conta do Azure com uma assinatura ativa. Se ainda não tem uma, crie uma conta gratuita.
  • Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou proprietário da entidade de serviço.
  • A versão prévia do cmdlet do PowerShell do Azure AD mais recente.

Configurar uma política de HRD em um aplicativo

Usamos os cmdlets do PowerShell do Azure AD para percorrer a alguns cenários, inclusive:

Usamos o Microsoft Graph para demonstrar alguns cenários, incluindo:

  • Configurando a política de HRD para fazer a aceleração automática de um aplicativo em um locatário com um único domínio federado.

  • Configurando a política do HRD para fazer a aceleração automática de um aplicativo em um dos vários domínios verificados para o seu locatário.

  • Configurar a política de HRD para permitir que um aplicativo herdado faça autenticação direta de nome de usuário/senha no Microsoft Entra ID para um usuário federado.

  • Listando os aplicativos para os quais uma política é configurada.

Nos exemplos a seguir, você cria, atualiza, vincula e exclui políticas HRD em entidades de serviço do aplicativo no Microsoft Entra ID.

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

  1. Antes de começar, execute o comando Connect para entrar no Microsoft Entra ID usando a conta de administrador:

    Connect-AzureAD -Confirm
    
  2. Execute o comando a seguir para ver todas as políticas na organização:

    Get-AzureADPolicy
    

Se não retornar nada, você não terá políticas criadas no locatário.

Criar uma política de HRD

Neste exemplo, você cria uma política de modo que, ao atribuí-la a um aplicativo, ela seja:

  • Acelera automaticamente os usuários para uma tela de entrada do provedor de identidade federado quando eles estão entrando em um aplicativo e há um só domínio no locatário.
  • Acelera automaticamente os usuários para uma tela de entrada do provedor de identidade federado quando há mais de um domínio federado no locatário.
  • Permite que o nome de usuário/senha não interativo entre diretamente no Microsoft Entra ID dos usuários federados para os aplicativos aos quais a política está atribuída.

A política a seguir acelera automaticamente os usuários para uma tela de entrada do provedor de identidade federado quando eles estão entrando em um aplicativo e há um só domínio no locatário.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true
}

A política a seguir acelera automaticamente os usuários para uma tela de entrada do provedor de identidade federado, quando há mais de um domínio federado no locatário. Se houver mais de um domínio federado que autentica usuários para aplicativos, será necessário especificar o domínio para a aceleração automática.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") 
    -DisplayName MultiDomainAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true,
    "PreferredDomain": [
      "federated.example.edu"
    ]
}

A seguinte política habilita a autenticação de nome de usuário/senha para usuários federados diretamente com o Microsoft Entra ID para aplicativos específicos:

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") 
    -DisplayName EnableDirectAuthPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"EnableDirectAuthPolicy": {
    "AllowCloudPasswordValidation": true
}

Para ver a nova política e obter a ObjectID, execute o seguinte comando:

Get-AzureADPolicy

Para aplicar a política de HRD depois de criá-la, você poderá atribuí-la a várias entidades de serviço de aplicativo.

Localizar a entidade de serviço a atribuir à política

Você precisa da ObjectID das entidades de serviço às quais deseja atribuir a política. Há várias maneiras de encontrar a ObjectID de entidades de serviço.

Use o centro de administração do Microsoft Entra ou consulte o Microsoft Graph. Você também pode ir até a Ferramenta Explorador do Graph e entrar na conta do Microsoft Entra para ver todas as entidades de serviço da organização.

Como você está usando o PowerShell, é possível usar o cmdlet a seguir para listar as entidades de serviço e suas IDs.

Get-AzureADServicePrincipal

Atribuir a política à entidade de serviço

Depois que você tiver a ObjectID da entidade de serviço do aplicativo para o qual deseja configurar a aceleração automática, execute o comando a seguir. Esse comando associa a política HRD que você criou na etapa 1 à entidade de serviço que você localizou na etapa 2.

Add-AzureADServicePrincipalPolicy 
    -Id <ObjectID of the Service Principal> 
    -RefObjectId <ObjectId of the Policy>

Você pode repetir esse comando para cada entidade de serviço principal à qual deseja adicionar a política.

No caso de um aplicativo já ter uma política de HomeRealmDiscovery atribuída, não poderá adicionar um segundo. Nesse caso, altere a definição da política HRD atribuída ao aplicativo para adicionar parâmetros adicionais.

Verificar a quais entidades de serviço a política de HRD está atribuída

Para verificar quais aplicativos têm a política de HRD configurada, use o cmdlet Get-AzureADPolicyAppliedObject . Passe o ObjectID da política que você deseja verificar.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Tente o aplicativo para verificar se a nova política está funcionando.

Listar os aplicativos para os quais a política de HRD está configurada

  1. Listar todas as políticas que foram criadas na organização

    Get-AzureADPolicy
    

Observe o ObjectID da política cujas atribuições você deseja listar.

  1. Listar as entidades de serviço às quais a política está atribuída

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

Remover uma política de HRD de um aplicativo

  1. Obter a ObjectID

    Use o exemplo anterior para obter a ObjectID da política e a entidade de serviço do aplicativo da qual você deseja removê-la.

  2. Remover a atribuição de política da entidade de serviço do aplicativo

    Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>
    
  3. Verificar a remoção listando as entidades de serviço às quais a política está atribuída

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

Como configurar a política por meio do Explorador do Graph

Na janela do Explorador do Microsoft Graph:

  1. Entre com uma das funções listadas na seção de pré-requisitos.

  2. Dê consentimento à permissão Policy.ReadWrite.ApplicationConfiguration.

  3. Use a política de Descoberta de Realm Inicial para criar uma nova política.

  4. PUBLIQUE a nova política ou PATCH para atualizar uma política existente.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
        {
            "definition": [
            "{\"HomeRealmDiscoveryPolicy\":
            {\"AccelerateToFederatedDomain\":true,
            \"PreferredDomain\":\"federated.example.edu\",
            \"AlternateIdLogin\":{\"Enabled\":true}}}"
        ],
            "displayName": "Home Realm Discovery auto acceleration",
            "isOrganizationDefault": true
        }
    
  5. Para exibir sua nova política, execute a consulta a seguir:

    GET /policies/homeRealmDiscoveryPolicies/{id}
    
  6. Para atribuir a nova política a um aplicativo:

    POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
    

    Ou,

    POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
    
  7. Listar as entidades de serviço às quais a política está atribuída

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    
  8. Para excluir a política HRD que você criou, execute a consulta:

    DELETE /policies/homeRealmDiscoveryPolicies/{id}
    
  9. Remover a atribuição de política da entidade de serviço

    DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
    

    ou

    DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
    
  10. Verificar a remoção listando as entidades de serviço às quais a política está atribuída

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    

Próximas etapas