Konfigurace chování přihlašování pomocí zjišťování domovské sféry

  • Článek

Tento článek obsahuje úvod ke konfiguraci chování ověřování Microsoft Entra pro federované uživatele pomocí zásad zjišťování domovské sféry (HRD). Popisuje použití automatické akcelerace přihlášení k přeskočení obrazovky pro zadávání uživatelského jména a automatické přesměrování uživatelů na federované přihlašovací koncové body. Další informace ozásadách

Přihlášení k automatické akceleraci

Některé organizace konfigurují domény ve svém tenantovi Microsoft Entra tak, aby se federovaly s jiným zprostředkovatelem identity (IDP), jako je služba AD FS pro ověřování uživatelů. Když se uživatel přihlásí k aplikaci, zobrazí se mu nejprve přihlašovací stránka Microsoft Entra. Když zadá hlavní název uživatele (UPN), pokud jsou v federované doméně, přejde na přihlašovací stránku ZDP obsluhující danou doménu. Za určitých okolností můžou správci chtít uživatele nasměrovat na přihlašovací stránku, když se přihlašují ke konkrétním aplikacím. V důsledku toho mohou uživatelé přeskočit počáteční stránku ID Microsoft Entra. Tento proces se označuje jako "automatické zrychlení přihlašování".

Pro federované uživatele s přihlašovacími údaji s povoleným cloudem, jako jsou přihlášení pomocí SMS nebo klíče FIDO, byste měli zabránit automatické akceleraci přihlašování. Informace o tom, jak zabránit nápovědě k doméně pomocí HRD, najdete v tématu Zakázání přihlášení pomocí automatické akcelerace.

Důležité

Od dubna 2023 můžou organizace, které používají automatické zrychlení nebo inteligentní odkazy, začít zobrazovat novou obrazovku přidanou do přihlašovacího uživatelského rozhraní. Tato obrazovka s názvem Dialogové okno potvrzení domény je součástí obecného závazku Microsoftu k posílení zabezpečení a vyžaduje, aby uživatel potvrdil doménu tenanta, ke kterému se přihlašuje. Pokud se zobrazí dialogové okno potvrzení domény a nerozpoznáte doménu tenanta, měli byste zrušit tok ověřování a kontaktovat it Správa.

Další informace najdete v dialogovém okně Potvrzení domény.

Požadavky

Ke konfiguraci zásad HRD pro aplikaci v Microsoft Entra ID potřebujete:

  • Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
  • Jedna z následujících rolí: Globální Správa istrator nebo vlastník instančního objektu.
  • Nejnovější rutina Azure AD PowerShellu ve verzi Preview.

Nastavení zásad HRD v aplikaci

K procházení několika scénářů použijeme rutiny Azure AD PowerShellu, mezi které patří:

Microsoft Graph použijeme k procházení několika scénářů, mezi které patří:

  • Nastavení zásad HRD pro automatické zrychlení pro aplikaci v tenantovi s jednou federovanou doménou

  • Nastavení zásad HRD pro automatické zrychlení aplikace na jednu z několika domén, které jsou ověřeny pro vašeho tenanta.

  • Nastavení zásad HRD tak, aby starší verze aplikace umožňovala přímé ověřování pomocí uživatelského jména a hesla na ID Microsoft Entra pro federovaného uživatele.

  • Výpis aplikací, pro které je zásada nakonfigurovaná.

V následujícíchpříkladch

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

  1. Než začnete, spusťte příkaz Připojení pro přihlášení k ID Microsoft Entra pomocí účtu správce:

    Connect-AzureAD -Confirm

  2. Spuštěním následujícího příkazu zobrazte všechny zásady ve vaší organizaci:

    Get-AzureADPolicy

Pokud se nic nevrátí, znamená to, že v tenantovi nemáte vytvořené žádné zásady.

Vytvoření zásady HRD

V tomto příkladu vytvoříte zásadu, která při přiřazení k aplikaci:

  • Automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.
  • Automaticky zrychluje uživatele na přihlašovací obrazovku zprostředkovatele federovaných identit, pokud je ve vašem tenantovi více než jedna federovaná doména.
  • Umožňuje neinteraktivní přihlašování pomocí uživatelského jména a hesla přímo k Microsoft Entra ID pro federované uživatele pro aplikace, ke kterým jsou zásady přiřazeny.

Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true
}

Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, pokud je ve vašem tenantovi více než jedna federovaná doména. Pokud máte více než jednu federovanou doménu, která ověřuje uživatele pro aplikace, musíte zadat doménu, která se má automaticky zrychlit.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") 
    -DisplayName MultiDomainAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true,
    "PreferredDomain": [
      "federated.example.edu"
    ]
}

Následující zásady umožňují ověřování pomocí uživatelského jména a hesla pro federované uživatele přímo s ID Microsoft Entra pro konkrétní aplikace:

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") 
    -DisplayName EnableDirectAuthPolicy 
    -Type HomeRealmDiscoveryPolicy

POST /policies/homeRealmDiscoveryPolicies

"EnableDirectAuthPolicy": {
    "AllowCloudPasswordValidation": true
}

Pokud chcete zobrazit novou zásadu a získat její ID objektu, spusťte následující příkaz:

Get-AzureADPolicy

Pokud chcete zásadu HRD použít po vytvoření, můžete ji přiřadit více instančním objektům aplikace.

Vyhledejte instanční objekt, ke kterému chcete zásadu přiřadit.

Potřebujete ID objektu instančních objektů, kterým chcete zásadu přiřadit. Id objektu instančních objektů můžete najít několika způsoby.

Můžete použít Centrum pro správu Microsoft Entra nebo se můžete dotazovat na Microsoft Graph. Můžete také přejít do nástroje Graph Explorer a přihlásit se ke svému účtu Microsoft Entra a zobrazit všechny instanční objekty vaší organizace.

Vzhledem k tomu, že používáte PowerShell, můžete pomocí následující rutiny vypsat instanční objekty a jejich ID.

Get-AzureADServicePrincipal

Přiřazení zásad k instančnímu objektu

Jakmile budete mít OBJECTID instančního objektu aplikace, pro kterou chcete nakonfigurovat automatické zrychlení, spusťte následující příkaz. Tento příkaz přidruží zásadu HRD, kterou jste vytvořili v kroku 1, k instančnímu objektu, který se nachází v kroku 2.

Add-AzureADServicePrincipalPolicy 
    -Id <ObjectID of the Service Principal> 
    -RefObjectId <ObjectId of the Policy>

Tento příkaz můžete zopakovat pro každý instanční objekt, do kterého chcete zásadu přidat.

V případě, že aplikace už má přiřazenou zásadu HomeRealmDiscovery, nebudete moct přidat druhou. V takovém případě změňte definici zásady HRD, která je přiřazená aplikaci, a přidejte další parametry.

Zkontrolujte, ke kterým instančním objektům aplikace máte přiřazené zásady HRD.

Pokud chcete zkontrolovat, které aplikace mají nakonfigurované zásady HRD, použijte rutinu Get-AzureADPolicyAppliedObject . Předejte id objektu zásady, kterou chcete zkontrolovat.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Zkuste aplikaci zkontrolovat, jestli nová zásada funguje.

Zobrazení seznamu aplikací, pro které jsou nakonfigurované zásady HRD

  1. Výpis všech zásad vytvořených ve vaší organizaci

    Get-AzureADPolicy

Poznamenejte si ID objektu zásady, pro kterou chcete zobrazit seznam přiřazení.

  1. Výpis instančních objektů, ke kterým je zásada přiřazena

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Odebrání zásad HRD z aplikace

  1. Získání ID objektu

Pomocí předchozího příkladu získáte ID objektu zásady a instančního objektu aplikace, ze kterého ho chcete odebrat.

  1. Odebrání přiřazení zásad z instančního objektu aplikace

    Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>

  2. Kontrola odebrání výpisem instančních objektů, ke kterým je zásada přiřazena

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Konfigurace zásad prostřednictvím Graph Exploreru

V okně Průzkumníka Microsoft Graphu:

  1. Přihlaste se pomocí jedné z rolí uvedených v části Požadavky.

  2. Udělte souhlas s oprávněním Policy.ReadWrite.ApplicationConfiguration .

  3. Pomocí zásad zjišťování domovské sféry vytvořte novou zásadu.

  4. Nové zásady post nebo PATCH aktualizujte existující zásadu.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
    {
        "definition": [
        "{\"HomeRealmDiscoveryPolicy\":
        {\"AccelerateToFederatedDomain\":true,
        \"PreferredDomain\":\"federated.example.edu\",
        \"AlternateIdLogin\":{\"Enabled\":true}}}"
    ],
        "displayName": "Home Realm Discovery auto acceleration",
        "isOrganizationDefault": true
    }

  5. Pokud chcete zobrazit novou zásadu, spusťte následující dotaz:

    GET /policies/homeRealmDiscoveryPolicies/{id}

  6. Pokud chcete odstranit vytvořenou zásadu HRD, spusťte dotaz:

    DELETE /policies/homeRealmDiscoveryPolicies/{id}

Další kroky