Desativar o início de sessão de aceleração automática

Neste artigo, aprenderá a desativar o início de sessão com aceleração automática para determinados domínios e aplicações utilizando a política de Descoberta do Domínio de Origem (HRD). Com essa política configurada, os administradores podem garantir que os usuários sempre usem suas credenciais gerenciadas, melhorando a segurança e fornecendo uma experiência de entrada consistente.

A política de Home Realm Discovery (HRD) oferece aos administradores várias maneiras de controlar como e onde seus usuários se autenticam. A domainHintPolicy seção da política de DRH é usada para ajudar a migrar usuários federados para credenciais gerenciadas na nuvem, como FIDO, garantindo que eles sempre visitem a página de entrada do Microsoft Entra e não sejam acelerados automaticamente para um IDP federado devido a dicas de domínio. Para saber mais sobre a política de DRH, consulte Home Realm Discovery.

Esta política é necessária em situações em que os administradores não conseguem controlar ou atualizar as dicas de domínio durante o login. Por exemplo, outlook.com/contoso.com envia o usuário para uma página de entrada com o &domain_hint=contoso.com parâmetro acrescentado, para acelerar automaticamente o usuário diretamente para o IDP federado do contoso.com domínio. Os usuários com credenciais gerenciadas enviadas a um IDP federado não podem entrar usando suas credenciais gerenciadas, reduzindo a segurança e frustrando os usuários com experiências de login aleatórias. Os administradores que implementam credenciais gerenciadas também devem configurar essa política para garantir que os usuários sempre possam usar suas credenciais gerenciadas.

Pré-requisitos

Para desativar o início de sessão de aceleração automática para uma aplicação no Microsoft Entra ID, necessita:

• Uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções: Administrador de aplicativos na nuvem, Administrador de aplicativos ou proprietário da entidade de serviço.

Configurar o HRD para evitar dicas de domínio usando o Microsoft Graph PowerShell

Os administradores de domínios federados devem configurar esta seção da política de DRH em um plano de quatro fases. O objetivo desse plano é, eventualmente, fazer com que todos os usuários em um locatário usem suas credenciais gerenciadas, independentemente do domínio ou aplicativo, salve os aplicativos que têm dependências rígidas de domain_hint uso. Este plano ajuda os administradores a encontrar essas aplicações, a isentá-las da nova política e a continuar a implementar a alteração para o resto do inquilino.

Escolha um domínio para implementar inicialmente essa alteração. Este domínio é o seu domínio de teste, por isso escolha um que possa ser mais recetivo a alterações na experiência do utilizador (por exemplo, ver uma página de início de sessão diferente). O exemplo a seguir está configurado para ignorar todas as dicas de domínio de todos os aplicativos que usam esse nome de domínio. Defina esta política na sua política de DRH padrão do locatário:

Execute o comando Connect para entrar no Microsoft Entra ID com pelo menos a função Application Administrator:

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

1. Execute o seguinte comando para impedir dicas de domínio para o domínio de teste.

   # Define the Home Realm Discovery Policy parameters  
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": []
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params  
   

   Certifique-se de substituir app-client-Guid pelos GUIDs reais da aplicação e o valor de domínio de espaço reservado pelo domínio real.

2. Reúna comentários dos usuários do domínio de teste. Colete detalhes para aplicativos que quebraram como resultado dessa alteração - eles têm uma dependência do uso de dicas de domínio e devem ser atualizados. Por enquanto, adicione-os à RespectDomainHintForApps seção:

   # Define the Home Realm Discovery Policy parameters
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Certifique-se de substituir app-client-Guid pelos GUIDs reais do aplicativo e o valor do domínio de marcador pelo domínio real.

3. Continue expandindo a implementação da política para novos domínios e coletando mais feedback.

   # Define the Home Realm Discovery Policy parameters  
   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"],
                   "RespectDomainHintForDomains": [],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Certifique-se de substituir o app-client-Guid pelos GUIDs reais do aplicativo e o marcador de posição do domínio pelo domínio real.

4. Conclua sua distribuição - segmente todos os domínios, isentando aqueles que devem continuar a ser acelerados:

   $params = @{
   definition = @(
       '{
           "HomeRealmDiscoveryPolicy": {
               "DomainHintPolicy": {
                   "IgnoreDomainHintForDomains": ["*"],
                   "RespectDomainHintForDomains": ["guestHandlingDomain.com"],
                   "IgnoreDomainHintForApps": [],
                   "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
               }
           }
       }'
   )
   displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
   isOrganizationDefault = $true
   }  
   
   # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
   $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  
   
   # Update the policy to ignore domain hints for the specified domains  
   Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params
   

   Certifique-se de substituir o app-client-Guid pelos GUIDs reais do aplicativo e o valor do domínio de espaço reservado pelo domínio real.

Configurar o HRD para evitar dicas de domínio usando o Microsoft Graph

Os administradores de domínios federados devem configurar esta seção da política de DRH em um plano de quatro fases. O objetivo desse plano é, eventualmente, fazer com que todos os usuários em um locatário usem suas credenciais gerenciadas, independentemente do domínio ou aplicativo, salve os aplicativos que têm dependências rígidas de domain_hint uso. Este plano ajuda os administradores a encontrar essas aplicações, a isentá-las da nova política e a continuar a implementar a alteração para o resto do inquilino.

Na janela do Microsoft Graph Explorer, entre com pelo menos a função Administrador de Aplicativos.

Conceda consentimento para a permissão Policy.ReadWrite.ApplicationConfiguration.

1. Escolha um domínio para implementar inicialmente essa alteração. Este domínio é o seu domínio de teste, por isso escolha um que possa ser mais recetivo a alterações na experiência do utilizador (por exemplo, ver uma página de início de sessão diferente). Isso ignora todas as dicas de domínio de todos os aplicativos que usam esse nome de domínio. Defina esta política na política de Desenvolvimento de Recursos Humanos padrão do inquilino. POST uma nova política ou PATCH para atualizar uma política existente.

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
       {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}"
   ],
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true 
   }
   

2. Reúna comentários dos usuários do domínio de teste. Colete detalhes para aplicativos que quebraram como resultado dessa alteração - eles têm uma dependência do uso de dicas de domínio e devem ser atualizados. Por enquanto, adicione-os à RespectDomainHintForApps seção:

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"
   ],
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy6",  
   "isOrganizationDefault": false   
   }
   

3. Continue expandindo a implementação da política para novos domínios e coletando mais feedback.

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
   ],  
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true  
   }
   

4. Conclua a sua implementação - direcione todos os domínios, excetuando os domínios que devem continuar a ser acelerados:

   PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
   {  
   "definition": [  
       "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
   ],  
   "displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
   "isOrganizationDefault": true   
   }
   

Após a conclusão da etapa 4, todos os utilizadores, exceto os utilizadores em guestHandlingDomain.com, podem iniciar sessão na página de início de sessão do Microsoft Entra, mesmo quando as sugestões de domínio normalmente causariam um redirecionamento automático para um fornecedor de identidade federado. A exceção a essa configuração é se o aplicativo que solicita o login for um dos isentos - para esses aplicativos, todas as dicas de domínio ainda são aceitas.

DomainHintPolicy detalhes

A seção DomainHintPolicy da política HRD é um objeto JSON que permite que um administrador exclua determinados domínios e aplicativos do uso de dicas de domínio. Funcionalmente, esta secção instrui a página de início de sessão do Microsoft Entra a comportar-se como se um parâmetro domain_hint no pedido de início de sessão não estivesse presente.

As seções de política Respeitar e Ignorar

Section	Significado	Valores
IgnoreDomainHintForDomains	Se essa dica de domínio for enviada na solicitação, ignore-a.	Matriz de endereços de domínio (por exemplo contoso.com). Também suporta all_domains
RespectDomainHintForDomains	Se essa dica de domínio for enviada na solicitação, respeite-a IgnoreDomainHintForApps , mesmo que indique que o aplicativo na solicitação não deve acelerar automaticamente. Esta propriedade destina-se a abrandar a implementação de sugestões de domínio obsoletas na sua rede – pode indicar que alguns domínios ainda devem ser acelerados.	Matriz de endereços de domínio (por exemplo contoso.com). Também suporta all_domains
IgnoreDomainHintForApps	Se uma solicitação deste aplicativo vier com uma dica de domínio, ignore-a.	Matriz de IDs de aplicativo (GUIDs). Também suporta all_apps
RespectDomainHintForApps	Se uma solicitação deste aplicativo vier com uma dica de domínio, respeite-a IgnoreDomainHintForDomains , mesmo que inclua esse domínio. Usado para garantir que alguns aplicativos continuem funcionando se você descobrir que eles quebram sem dicas de domínio.	Matriz de IDs de aplicativo (GUIDs). Também suporta all_apps

Avaliação do Policy

A lógica DomainHintPolicy é executada em cada solicitação de entrada que contém uma dica de domínio e acelera com base em duas partes de dados na solicitação – o domínio na dica de domínio e a ID do cliente (o aplicativo). Em resumo: 'Respeito' por um domínio ou aplicativo tem precedência sobre uma instrução para "Ignorar" uma dica de domínio para um determinado domínio ou aplicativo.

• Na ausência de qualquer política de dica de domínio, ou se nenhuma das quatro seções fizer referência ao aplicativo ou dica de domínio mencionado, o restante da política de HRD é avaliado.
• Se uma (ou ambas) seções incluir RespectDomainHintForApps a dica de RespectDomainHintForDomains aplicativo ou domínio na solicitação, o usuário será acelerado automaticamente para o IDP federado, conforme solicitado.
• Se um (ou ambos) ou fizer referência ao aplicativo ou à dica de IgnoreDomainHintsForAppsIgnoreDomainHintsForDomains domínio na solicitação, e eles não forem referenciados pelas seções "Respeito", a solicitação não será acelerada automaticamente e o usuário permanecerá na página de entrada do Microsoft Entra para fornecer um nome de usuário.

Depois que um usuário insere um nome de usuário na página de entrada, ele pode usar suas credenciais gerenciadas. Se eles optarem por não usar uma credencial gerenciada ou não tiverem nenhuma registrada, serão levados ao IDP federado para entrada de credenciais, como de costume.