Zakázání přihlášení automatické akcelerace

Zásady zjišťování domovské sféry (HRD) nabízejí správcům různé způsoby, jak řídit, jak a kde se uživatelé ověřují. Část domainHintPolicy zásad HRD slouží k migraci federovaných uživatelů do cloudových spravovaných přihlašovacích údajů, jako je FIDO, tím, že zajišťují, že vždy navštíví přihlašovací stránku Microsoft Entra a nebudou automaticky akcelerovány na federovaný protokol IDP z důvodu nápovědy k doméně. Další informace ozásadách

Tyto zásady jsou potřeba v situacích, kdy a správci nemůžou během přihlašování řídit ani aktualizovat rady domény. Například outlook.com/contoso.com odešle uživatele na přihlašovací stránku s připojeným parametrem &domain_hint=contoso.com , aby se uživatel automaticky zrychlil přímo na federovaný protokol IDP domény contoso.com . Uživatelé se spravovanými přihlašovacími údaji odesílanými do federovaného ZDP se nemůžou přihlásit pomocí svých spravovaných přihlašovacích údajů, snížit zabezpečení a frustrovat uživatele s náhodným přihlašováním. Správa zavádění spravovaných přihlašovacích údajů by také mělo nastavit tuto zásadu, aby uživatelé mohli vždy používat své spravované přihlašovací údaje.

Podrobnosti domainHintPolicy

Oddíl DomainHintPolicy zásad HRD je objekt JSON, který správci umožňuje vyjádřit výslovný nesouhlas s určitými doménami a aplikacemi z používání nápovědy k doméně. Funkčně to říká přihlašovací stránce Microsoft Entra, aby se chovala, jako by domain_hint nebyl k dispozici parametr v žádosti o přihlášení.

Oddíly Respekt a Ignorovat zásady

Sekce	Význam	Hodnoty
IgnoreDomainHintForDomains	Pokud se v požadavku odešle tento tip k doméně, ignorujte ho.	Pole doménových adres (například contoso.com). Podporuje také all_domains
RespectDomainHintForDomains	Pokud se tato nápověda k doméně odešle v požadavku, respektujte ji i v případě IgnoreDomainHintForApps , že značí, že aplikace v požadavku by se neměla automaticky zrychlit. Používá se ke zpomalení zavedení doporučení k vyřazení domén v rámci vaší sítě – můžete indikovat, že některé domény by měly být stále akcelerované.	Pole doménových adres (například contoso.com). Podporuje také all_domains
IgnoreDomainHintForApps	Pokud žádost z této aplikace obsahuje nápovědu k doméně, ignorujte ji.	Pole ID aplikací (GUID). Podporuje také all_apps
RespectDomainHintForApps	Pokud žádost z této aplikace obsahuje nápovědu k doméně, respektujte ji i v případě, že IgnoreDomainHintForDomains tuto doménu obsahuje. Používá se k zajištění toho, aby některé aplikace fungovaly, pokud zjistíte, že se přeruší bez nápovědy k doméně.	Pole ID aplikací (GUID). Podporuje také all_apps

Vyhodnocení zásad

Logika DomainHintPolicy běží na každém příchozím požadavku, který obsahuje nápovědu k doméně a zrychluje se na základě dvou částí dat v požadavku – domény v nápovědě k doméně a ID klienta (aplikace). Stručně řečeno – "Respekt" pro doménu nebo aplikaci má přednost před pokynem "Ignorovat" nápovědu k doméně nebo aplikaci pro danou doménu nebo aplikaci.

• Pokud nejsou žádné zásady nápovědy k doméně, nebo pokud žádná ze čtyř částí odkazuje na zmínku o aplikaci nebo nápovědě k doméně, vyhodnotí se zbytek zásad HRD.
• Pokud jeden (nebo obojí) RespectDomainHintForApps nebo RespectDomainHintForDomains oddíl obsahuje v požadavku nápovědu aplikace nebo domény, uživatel se automaticky akceleruje na federovaný protokol IDP podle požadavku.
• Pokud jedna (nebo obě) IgnoreDomainHintsForApps aplikace nebo IgnoreDomainHintsForDomains odkazy na aplikaci nebo nápovědu k doméně v požadavku, na které odkazuje oddíly "Respekt", požadavek se automaticky nezrychlí a uživatel zůstane na přihlašovací stránce Microsoft Entra, aby zadal uživatelské jméno.

Jakmile uživatel zadá uživatelské jméno na přihlašovací stránce, může použít své spravované přihlašovací údaje. Pokud se rozhodnou nepoužívat spravované přihlašovací údaje nebo nemají zaregistrované žádné přihlašovací údaje, přejdou na federovaný protokol IDP pro zadávání přihlašovacích údajů jako obvykle.

Požadavky

Pokud chcete zakázat přihlášení k automatické akceleraci pro aplikaci v Microsoft Entra ID, potřebujete:

• Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Jedna z následujících rolí: Cloudová aplikace Správa istrator, Application Správa istrator nebo vlastník instančního objektu.

• Modul Microsoft Graph PowerShellu

Navrhované použití v rámci tenanta

Správa federovaných domén by měly tuto část zásad HRD nastavit ve čtyřfázovém plánu. Cílem tohoto plánu je nakonec získat všechny uživatele v tenantovi, aby používali své spravované přihlašovací údaje bez ohledu na doménu nebo aplikaci, uložte aplikace, které mají pevné závislosti na domain_hint využití. Tento plán pomáhá správcům tyto aplikace najít, vyloučit je z nových zásad a pokračovat v zavádění změny do zbytku tenanta.

1. Vyberte doménu, do které chcete tuto změnu nejprve zavést. Toto je vaše testovací doména, takže vyberte doménu, která může být přístupnější ke změnám v uživatelském prostředí (například se zobrazí jiná přihlašovací stránka). Tím se ignorují všechny rady domény ze všech aplikací, které používají tento název domény. Nastavte tuto zásadu ve výchozích zásadách hrdého tenanta:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

2. Shromážděte zpětnou vazbu od uživatelů testovací domény. Shromážděte podrobnosti o aplikacích, které se v důsledku této změny přerušily – jsou závislé na využití nápovědy k doméně a měly by se aktualizovat. Prozatím je přidejte do oddílu RespectDomainHintForApps :

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

3. Pokračujte v rozšiřování zásad na nové domény a shromažďujte další zpětnou vazbu.

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

4. Dokončete zavádění – zaměřte se na všechny domény a vyněžte ty, které by měly být i nadále akcelerované:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Po dokončení kroku 4 se můžou všichni uživatelé s výjimkou těch, kteří se guestHandlingDomain.compřihlašují, přihlásit na přihlašovací stránce Microsoft Entra i v případě, že by v nápovědě k doméně jinak mohlo dojít k automatické akceleraci federovaného ZDP. Výjimkou je, že pokud je aplikace, která žádá o přihlášení, jednou z vyloučených aplikací – pro tyto aplikace se stále přijímají všechny rady k doméně.

Konfigurace zásad prostřednictvím Graph Exploreru

Spravujte zásady zjišťování domovské sféry pomocí Microsoft Graphu.

1. Přihlaste se k Průzkumníku Microsoft Graphu pomocí jedné z rolí uvedených v části předpokladů.

2. Udělte Policy.ReadWrite.ApplicationConfiguration oprávnění.

3. Pomocí zásad zjišťování domovské sféry vytvořte novou zásadu.

4. Nové zásady post nebo PATCH aktualizujte existující zásadu.

   PATCH /policies/homeRealmDiscoveryPolicies/{id}
   {
       "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
       "definition":[
           "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
       ],
       "isOrganizationDefault":true
   }
   

Při použití Graphu nezapomeňte použít lomítka k řídicímu znaku oddílu Definition JSON.

isOrganizationDefault musí být true, ale displayName a definice může změnit.

Další kroky

• Povolení přihlašování pomocí bezpečnostního klíče bez hesla
• Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator