應用程式的主領域探索
主領域探索(HRD)使 Microsoft Entra ID 能夠在登入時識別適合的身份提供者(IDP)以進行用戶驗證。 當使用者登入 Microsoft Entra 租用戶以進行資源存取或一般的登入頁面時,他們會輸入使用者名稱(UPN)。 Microsoft Entra ID 會使用此資訊來判斷正確的登入位置。
系統會將使用者導向至下列其中一個識別提供者進行驗證:
- 使用者的主要租戶(可能與資源租戶相同)。
- Microsoft帳戶,如果使用者作為使用個人帳戶的資源租戶中的來賓。
- 內部部署身分識別提供者,例如 Active Directory 同盟服務 (ADFS)。
- 另一個與 Microsoft Entra 租戶聯盟的身分識別提供者。
自動加速
組織可能會在其 Microsoft Entra 租用戶中設定網域,以與另一個 IdP 聯邦,例如 ADFS,以進行用戶驗證。 當使用者登入應用程式時,他們一開始會看到Microsoft Entra 登入頁面。 如果它們屬於同盟網域,則會重新導向至該網域的IdP登入頁面。 系統管理員可能希望跳過特定應用程式的初始 Microsoft Entra ID 頁面,此過程稱為「登入自動加速」。
Microsoft建議不要設定自動加速,因為它可能會阻礙更強大的驗證方法,例如 FIDO 和共同作業。 如需詳細資訊,請參閱 啟用無密碼安全性金鑰登入。 若要了解如何防止登入自動加速,請參閱停用自動加速登入。
自動加速可以簡化與另一個IdP同盟租使用者的登入。 您可以針對個別應用程式進行設定。 若要瞭解如何使用 HRD 強制自動加速,請參閱 設定自動加速。
注意
設定應用程式以進行自動加速可防止使用者使用受控認證(例如 FIDO)和來賓使用者登入。 將用戶導向同盟身份提供者 (IdP) 進行驗證會略過 Microsoft Entra 登入頁面,防止來賓使用者存取其他租戶或外部 IdP,例如 Microsoft 帳戶。
以三種方式控制自動加速至同盟IdP:
- 在應用程式的驗證要求上使用網域提示。
- 設定 HRD 原則來強制自動加速。
- 將 HRD 原則設定為 忽略特定應用程式或網域 網域提示。
[登入確認] 對話方塊
從 2023 年 4 月開始,使用自動加速或智慧連結的組織可能會遇到登入 UI 中的新畫面,稱為 [網域確認] 對話框。 此畫面是Microsoft安全性強化工作的一部分,需要使用者確認他們登入的租用戶網域。
您需要執行的動作
當您看到 [網域確認] 對話框時:
-
檢查網域:確認螢幕上的網域名稱與您要登入的組織相符,例如
contoso.com
。- 如果您辨識網域,請選取 [確認] 繼續。
- 如果您無法辨識網域,請取消登入程式,並連絡IT系統管理員以取得協助。
網域確認對話框的元件
下列螢幕快照顯示網域確認對話框可能適合您的範例:
對話方塊最上方的識別碼,kelly@contoso.com
,代表用來登入的識別碼。 對話方塊標頭和子標頭中列出的租用戶網域會顯示帳戶主租用戶的網域。
在某些自動加速或智能連結的情況下,此對話方塊可能不會出現。 如果您的組織因瀏覽器原則而清除 Cookie,可能會頻繁出現網域確認對話框。 網域確認對話框不應該造成應用程式中斷,因為Microsoft Entra ID 會管理自動加速登入流程。
網域提示
網域提示是在應用程式驗證請求中的指令,可協助加速使用者進入其聯盟 IdP 的登入頁面。 多租戶應用程式可以使用它們,將使用者導向其租戶的品牌化 Microsoft Entra 登入頁面。
例如,“largeapp.com” 可能會允許透過自訂 URL “contoso.largeapp.com” 進行存取,並且在驗證要求中包含指向 contoso.com 的網域提示。
網域提示語法會因通訊協定而異:
-
WS-Federation:
whr
查詢字串參數,例如,whr=contoso.com
。 -
SAML:具有網域提示或
whr=contoso.com
的 SAML 驗證要求。 -
OpenID Connect:
domain_hint
查詢字串參數,例如,domain_hint=contoso.com
。
Microsoft 如果 下列情況,Entra ID 會將登入重新導向至已設定網域的 IDP:
- 驗證要求中包含網域提示。
- 租用戶與該網域同盟。
如果網域提示未指向已驗證的聯邦網域,則可以忽略它。
注意
驗證要求中的領域提示會覆寫 HRD 原則中應用程式的自動加速設置。
自動化加速的 HRD 政策
某些應用程式不允許設定驗證要求。 在這種情況下,您無法使用網域提示來控制自動加速。 使用 主領域探索 原則來設定自動加速。
防止自動加速的 HRD 原則
某些 Microsoft 和 SaaS 應用程式會自動包含網域提示,這可能會中斷 FIDO 等受控的認證管理流程。 使用 主域探索政策,在管理憑證發佈期間忽略特定應用程式或網域 的網域提示。
啟用舊版應用程式中同盟使用者的直接 ROPC 驗證
最佳做法是讓應用程式使用 Microsoft Entra 連結庫和互動式登入來進行用戶驗證。 使用資源擁有者密碼認證授權 (ROPC) 的舊版應用程式,可能會直接將認證提交至 Microsoft Entra ID,而不理解聯邦驗證。 它們不會執行 HRD 或與正確的同盟端點互動。 您可以使用 主領域探索原則,讓特定舊版應用程式 直接使用 Microsoft Entra 標識符進行驗證。 此選項可運作,前提是已啟用密碼哈希同步處理。
重要
只有在密碼哈希同步作用中且可接受驗證應用程式而不使用內部部署IdP原則時,才啟用直接驗證。 如果停用密碼哈希同步或與 AD Connect 的目錄同步處理,請移除此原則,以防止使用過時的密碼哈希進行直接驗證。
設定人力資源發展政策
若要在聯合登入自動加速或直接基於雲端的應用程式上設定 HRD 政策:
- 建立 HRD 原則。
- 找出要附加原則的服務主體。
- 將原則附加至服務主體。
當原則附加至服務主體時,即對特定應用程式生效。 一次只能有一個 HRD 政策在服務主體上啟用。 使用 Microsoft Graph PowerShell Cmdlet 來建立和管理 HRD 原則。
範例 HRD 原則定義:
{
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": "federated.example.edu",
"AllowCloudPasswordValidation": false
}
}
- AccelerateToFederatedDomain:選擇性。 如果為否,則該政策不會影響自動加速。 如果為 true 且有一個已驗證的同盟網域,則會將用戶導向至同盟 IdP。 如果有多個網域存在,請指定 PreferredDomain。
- PreferredDomain:選擇性。 表示要加速的網域。 如果只有一個同盟網域存在,請省略 。 若忽略當多個網域存在時,原則就不會發揮任何作用。
- AllowCloudPasswordValidation:選擇性。 如果為 true,則允許透過使用者名稱/密碼認證直接進行同盟使用者驗證,以Microsoft Entra 令牌端點,要求密碼哈希同步。
其他租戶層級的 HRD 選項:
- AlternateIdLogin:選擇性。 在 Microsoft Entra 登入頁面上啟用 AlternateLoginID,而不是 UPN。 依賴使用者沒有自動被轉移至聯邦IDP。
- DomainHintPolicy:選擇性的複雜物件,防止網域提示將使用者 自動導向至同盟網域。 確保傳送網域提示的應用程式不會防止雲端管理的認證登入。
HRD 原則的優先順序和評估
HRD 原則可以指派給組織和服務主體,允許將多個原則套用至應用程式。 Microsoft Entra ID 會使用這些規則來決定優先順序:
- 如果網域提示存在,租戶的 HRD 原則會檢查是否應該忽略該提示。 如果允許,則會使用網域提示功能。
- 如果已將原則明確指派給服務主體,就會強制執行該原則。
- 如果沒有網域提示或服務主體原則存在,則會強制執行指派給父組織的原則。
- 如果未指派網域提示或原則,則會套用預設 HRD 行為。