Inaktivera automatisk accelerationsinloggning - Microsoft Entra ID

Artikel
12/19/2024

I den här artikeln får du lära dig hur du inaktiverar autoacceleration vid inloggning för vissa domäner och program med hjälp av Home Realm Discovery-policyn (HRD). Med den här principen konfigurerad kan administratörer se till att användarna alltid använder sina hanterade autentiseringsuppgifter, vilket förbättrar säkerheten och ger en konsekvent inloggningsupplevelse.

Principen för identifiering av hemsfär (HRD) ger administratörer flera sätt att styra hur och var deras användare autentiserar. Avsnittet domainHintPolicy i HRD-principen används för att migrera federerade användare till molnhanterade autentiseringsuppgifter som FIDO, genom att se till att de alltid besöker Microsoft Entra-inloggningssidan och inte accelereras automatiskt till en federerad IDP på grund av domäntips. Mer information om HRD-principer finns i Identifiering av hemsfär.

Den här principen behövs i situationer där administratörer inte kan styra eller uppdatera domäntips under inloggningen. Skickar till exempel outlook.com/contoso.com användaren till en inloggningssida med den &domain_hint=contoso.com bifogade parametern för att automatiskt påskynda användaren direkt till domänens contoso.com federerade IDP. Användare med hanterade autentiseringsuppgifter som skickas till en federerad IDP kan inte logga in med sina hanterade autentiseringsuppgifter, vilket minskar säkerheten och frustrerar användare med slumpmässiga inloggningsupplevelser. Administratörer som distribuerar hanterade autentiseringsuppgifter bör också konfigurera den här principen för att säkerställa att användarna alltid kan använda sina hanterade autentiseringsuppgifter.

Förutsättningar

Om du vill inaktivera automatisk accelerationsinloggning för ett program i Microsoft Entra-ID behöver du:

Ett Azure-konto med en aktiv prenumeration. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
En av följande roller: Molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.

Konfigurera HRD för att förhindra domäntips med Microsoft Graph PowerShell

Administratörer av federerade domäner bör konfigurera det här avsnittet av HRD-principen i en plan med fyra faser. Målet med den här planen är att så småningom få alla användare i en klientorganisation att använda sina hanterade autentiseringsuppgifter oavsett domän eller program, spara de appar som har hårda beroenden för domain_hint användning. Den här planen hjälper administratörer att hitta dessa appar, undanta dem från den nya principen och fortsätta att distribuera ändringen till resten av klientorganisationen.

Välj en domän som den här ändringen först ska distribueras till. Den här domänen är din testdomän, så välj en som kan vara mer mottaglig för ändringar i UX (till exempel om du ser en annan inloggningssida). Följande exempel är konfigurerat för att ignorera alla domäntips från alla program som använder det här domännamnet. Ange den här principen i din HRD-standardprincip för klientorganisationen:

Kör kommandot Anslut för att logga in på Microsoft Entra-ID med minst rollen programadministratör:

connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"

Kör följande kommando för att förhindra domäntips för testdomänen.

# Define the Home Realm Discovery Policy parameters  
$params = @{
definition = @(
    '{
        "HomeRealmDiscoveryPolicy": {
            "DomainHintPolicy": {
                "IgnoreDomainHintForDomains": ["federated.example.edu"],
                "RespectDomainHintForDomains": [],
                "IgnoreDomainHintForApps": [],
                "RespectDomainHintForApps": []
            }
        }
    }'
)
displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
isOrganizationDefault = $true
}

# Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
$homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  

# Update the policy to ignore domain hints for the specified domains  
Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params

Se till att ersätta app-client-Guid med de faktiska GUID:erna för appen och värdet för platshållardomän med den faktiska domänen.

Samla in feedback från testdomänanvändarna. Samla in information för program som bröts till följd av den här ändringen – de är beroende av användning av domäntips och bör uppdateras. Lägg till dem i avsnittet RespectDomainHintForApps för tillfället:

# Define the Home Realm Discovery Policy parameters
$params = @{
definition = @(
    '{
        "HomeRealmDiscoveryPolicy": {
            "DomainHintPolicy": {
                "IgnoreDomainHintForDomains": ["federated.example.edu"],
                "RespectDomainHintForDomains": [],
                "IgnoreDomainHintForApps": [],
                "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
            }
        }
    }'
)
displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
isOrganizationDefault = $true
}
# Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
$homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  

# Update the policy to ignore domain hints for the specified domains  
Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params

Se till att ersätta med app-client-Guid med de faktiska app-GUID:erna och platshållardomänvärdet med den faktiska domänen.

Fortsätt att utöka distributionen av principen till nya domäner och samla in mer feedback.

# Define the Home Realm Discovery Policy parameters  
$params = @{
definition = @(
    '{
        "HomeRealmDiscoveryPolicy": {
            "DomainHintPolicy": {
                "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"],
                "RespectDomainHintForDomains": [],
                "IgnoreDomainHintForApps": [],
                "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
            }
        }
    }'
)
displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
isOrganizationDefault = $true
}

# Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
$homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  

# Update the policy to ignore domain hints for the specified domains  
Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params

Se till att ersätta app-client-Guid med de aktuella app-GUID:erna, platshållardomänvärdet med den faktiska domänen.

Slutför distributionen – rikta in dig på alla domäner och undanta dem som bör fortsätta att påskyndas:

$params = @{
definition = @(
    '{
        "HomeRealmDiscoveryPolicy": {
            "DomainHintPolicy": {
                "IgnoreDomainHintForDomains": ["*"],
                "RespectDomainHintForDomains": ["guestHandlingDomain.com"],
                "IgnoreDomainHintForApps": [],
                "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"]
            }
        }
    }'
)
displayName = "Home Realm Discovery Domain Hint Exclusion Policy"
isOrganizationDefault = $true
}  

# Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID)  
$homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>"  # Replace with your actual policy ID  

# Update the policy to ignore domain hints for the specified domains  
Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $params

Se till att ersätta app-client-Guid med de faktiska app-GUID:erna och ersätta platshållardomänvärdet med den faktiska domänen.

Konfigurera HRD för att förhindra domänförslag med hjälp av Microsoft Graph

Från Microsoft Graph Explorer-fönstret loggar du in med minst rollen programadministratör.

Bevilja samtycke till Policy.ReadWrite.ApplicationConfiguration-behörighet.

Välj en domän som den här ändringen först ska distribueras till. Den här domänen är din testdomän, så välj en som kan vara mer mottaglig för ändringar i UX (till exempel om du ser en annan inloggningssida). Detta ignorerar alla domäntips från alla program som använder det här domännamnet. Ange den här policyn i din standard-HRD policy för hyresgästen. PUBLICERA en ny princip eller PATCH för att uppdatera en befintlig princip.
```
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
    {  
"definition": [  
    "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}"
],
"displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
"isOrganizationDefault": true 
}
```

PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
{  
"definition": [  
    "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"
],
"displayName": "Home Realm Discovery Domain Hint Exclusion Policy6",  
"isOrganizationDefault": false   
}

Fortsätt att utöka distributionen av principen till nya domäner och samla in mer feedback.

PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
{  
"definition": [  
    "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
],  
"displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
"isOrganizationDefault": true  
}

Slutför distributionen – rikta in dig på alla domäner och undanta de domäner som bör fortsätta att påskyndas:

PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} 
{  
"definition": [  
    "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}"  
],  
"displayName": "Home Realm Discovery Domain Hint Exclusion Policy",  
"isOrganizationDefault": true   
}

När steg 4 har slutförts kan alla användare, förutom användare i guestHandlingDomain.com, logga in på microsoft Entra-inloggningssidan även när domäntips annars skulle orsaka en automatisk acceleration till en federerad IDP. Undantaget för den här inställningen är om appen som begär inloggning är en av de undantagna – för dessa appar godkänns fortfarande alla domäntips.

DomainHintPolicy-information

Avsnittet DomainHintPolicy i HRD-principen är ett JSON-objekt som gör att en administratör kan välja bort vissa domäner och program från användning av domäntips. Funktionellt instruerar det här avsnittet Microsoft Entra-inloggningssidan att bete sig som om en domain_hint parameter på inloggningsbegäran inte fanns.

Avsnitten Respekt och Ignorera princip

Avsnitt	Innebörd	Värden
`IgnoreDomainHintForDomains`	Om det här domäntipset skickas i begäran ignorerar du det.	Matris med domänadresser (till exempel `contoso.com`). Stöder också `all_domains`
`RespectDomainHintForDomains`	Om det här domäntipset skickas i begäran respekterar du det även om `IgnoreDomainHintForApps` anger att appen i begäran inte ska påskyndas automatiskt. Den här egenskapen är till för att fördröja distributionen av inaktuella domäntips i nätverket – du kan ange att vissa domäner fortfarande ska påskyndas.	Matris med domänadresser (till exempel `contoso.com`). Stöder också `all_domains`
`IgnoreDomainHintForApps`	Om en begäran från det här programmet levereras med ett domäntips ignorerar du det.	Matris med program-ID:er (GUID). Stöder också `all_apps`
`RespectDomainHintForApps`	Om en begäran från det här programmet levereras med ett domäntips bör du respektera den även om `IgnoreDomainHintForDomains` den innehåller den domänen. Används för att säkerställa att vissa appar fortsätter att fungera om du upptäcker att de bryts utan domäntips.	Matris med program-ID:er (GUID). Stöder också `all_apps`

Principutvärdering

Logiken DomainHintPolicy körs på varje inkommande begäran som innehåller ett domäntips och accelererar baserat på två datadelar i begäran – domänen i domäntipset och klient-ID :t (appen). Kort och kort – "Respekt" för en domän eller app har företräde framför en instruktion om att "ignorera" ett domäntips för en viss domän eller ett visst program.

I avsaknad av någon policy för domäntips, eller om inget av de fyra avsnitten refererar till appen eller domäntipset som nämns, utvärderas resten av HRD-policyn.
Om antingen ett (eller båda) av RespectDomainHintForApps eller RespectDomainHintForDomains -avsnittet innehåller app- eller domäntipset i begäran, accelereras användaren automatiskt till den federerade IDP:en på begäran.
Om antingen en (eller båda) av IgnoreDomainHintsForApps eller IgnoreDomainHintsForDomains refererar till appen eller domäntipset i begäran, och de inte refereras av avsnitten "Respekt", så accelereras inte begäran automatiskt och användaren finns kvar på inloggningssidan för Microsoft Entra för att ange ett användarnamn.

När en användare anger ett användarnamn på inloggningssidan kan de använda sina hanterade autentiseringsuppgifter. Om de väljer att inte använda en hanterad autentiseringsuppgift, eller om de inte har någon registrerad, tas de till sin federerade IDP för autentiseringsuppgifter som vanligt.

Dela via