Konfigurace chování přihlašování pomocí zjišťování domovské sféry
Tento článek obsahuje úvod ke konfiguraci chování ověřování Microsoft Entra pro federované uživatele pomocí zásad zjišťování domovské sféry (HRD). Popisuje použití automatické akcelerace přihlášení k přeskočení obrazovky pro zadávání uživatelského jména a automatické přesměrování uživatelů na federované koncové body přihlašování. Další informace ozásadách
Přihlášení k automatické akceleraci
Některé organizace konfigurují domény ve svém tenantovi Microsoft Entra tak, aby se federovaly s jiným zprostředkovatelem identity (IDP), jako je Active Directory Federation Services (AD FS) (ADFS) pro ověřování uživatelů. Když se uživatel přihlásí k aplikaci, zobrazí se mu nejprve přihlašovací stránka Microsoft Entra. Když zadají hlavní název uživatele (UPN), pokud jsou v federované doméně, přejde na přihlašovací stránku ZDP obsluhující danou doménu. Za určitých okolností můžou správci chtít uživatele nasměrovat na přihlašovací stránku, když se přihlašují ke konkrétním aplikacím. V důsledku toho mohou uživatelé přeskočit počáteční stránku ID Microsoft Entra. Tento proces se označuje jako "automatické zrychlení přihlašování".
Pro federované uživatele s přihlašovacími údaji s povoleným cloudem, jako jsou přihlášení pomocí SMS nebo klíče FIDO, byste měli zabránit automatické akceleraci přihlašování. Informace o tom, jak zabránit nápovědě k doméně pomocí HRD, najdete v tématu Zakázání přihlášení pomocí automatické akcelerace.
Důležité
Od dubna 2023 můžou organizace, které používají automatické zrychlení nebo inteligentní odkazy, začít zobrazovat novou obrazovku přidanou do přihlašovacího uživatelského rozhraní. Tato obrazovka s názvem Dialogové okno potvrzení domény je součástí obecného závazku Microsoftu k posílení zabezpečení a vyžaduje, aby uživatel potvrdil doménu tenanta, ke kterému se přihlašuje. Pokud se zobrazí dialogové okno potvrzení domény a nerozpoznáte doménu tenanta, měli byste tok ověřování zrušit a kontaktovat správce IT.
Další informace najdete v dialogovém okně Potvrzení domény.
Požadavky
Ke konfiguraci zásad HRD pro aplikaci v Microsoft Entra ID potřebujete:
- Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Jedna z následujících rolí: Správce aplikací, Správce cloudových aplikací nebo vlastník instančního objektu.
- Nejnovější rutina Azure AD PowerShellu ve verzi Preview.
Nastavení zásad HRD v aplikaci
K procházení několika scénářů používáme rutiny Azure AD PowerShellu, mezi které patří:
Microsoft Graph používáme k procházení několika scénářů, mezi které patří:
Nastavení zásad HRD pro automatické zrychlení pro aplikaci v tenantovi s jednou federovanou doménou
Nastavení zásad HRD pro automatické zrychlení aplikace na jednu z několika domén, které jsou ověřeny pro vašeho tenanta.
Nastavení zásad HRD tak, aby starší verze aplikace umožňovala přímé ověřování pomocí uživatelského jména a hesla na ID Microsoft Entra pro federovaného uživatele.
Výpis aplikací, pro které je zásada nakonfigurovaná.
V následujícíchpříkladch
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.
Než začnete, spusťte příkaz Connect pro přihlášení k Microsoft Entra ID pomocí účtu správce:
Connect-AzureAD -Confirm
Spuštěním následujícího příkazu zobrazte všechny zásady ve vaší organizaci:
Get-AzureADPolicy
Pokud se nic nevrátí, znamená to, že v tenantovi nemáte vytvořené žádné zásady.
Vytvoření zásady HRD
V tomto příkladu vytvoříte zásadu, která přiřazuje aplikaci:
- Automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.
- Automaticky zrychluje uživatele na přihlašovací obrazovku zprostředkovatele federovaných identit, pokud je ve vašem tenantovi více než jedna federovaná doména.
- Umožňuje neinteraktivní přihlašování pomocí uživatelského jména a hesla přímo k Microsoft Entra ID pro federované uživatele pro aplikace, ke kterým jsou zásady přiřazeny.
Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, když se přihlašují k aplikaci, když je ve vašem tenantovi jedna doména.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true
}
Následující zásada automaticky zrychluje uživatele na přihlašovací obrazovku federovaného zprostředkovatele identity, pokud je ve vašem tenantovi více než jedna federovaná doména. Pokud máte více než jednu federovanou doménu, která ověřuje uživatele pro aplikace, musíte zadat doménu, která se má automaticky zrychlit.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}")
-DisplayName MultiDomainAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": [
"federated.example.edu"
]
}
Následující zásady umožňují ověřování pomocí uživatelského jména a hesla pro federované uživatele přímo s ID Microsoft Entra pro konkrétní aplikace:
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}")
-DisplayName EnableDirectAuthPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"EnableDirectAuthPolicy": {
"AllowCloudPasswordValidation": true
}
Pokud chcete zobrazit novou zásadu a získat její ID objektu, spusťte následující příkaz:
Get-AzureADPolicy
Pokud chcete zásadu HRD použít po jejím vytvoření, můžete ji přiřadit více instančním objektům aplikace.
Vyhledejte instanční objekt, který se má přiřadit k zásadě.
Potřebujete ID objektu instančních objektů, kterým chcete zásadu přiřadit. Id objektu instančních objektů můžete najít několika způsoby.
Můžete použít Centrum pro správu Microsoft Entra nebo se můžete dotazovat na Microsoft Graph. Můžete také přejít do nástroje Graph Explorer a přihlásit se ke svému účtu Microsoft Entra a zobrazit všechny instanční objekty vaší organizace.
Vzhledem k tomu, že používáte PowerShell, můžete pomocí následující rutiny vypsat instanční objekty a jejich ID.
Get-AzureADServicePrincipal
Přiřazení zásad k instančnímu objektu
Jakmile budete mít OBJECTID instančního objektu aplikace, pro kterou chcete nakonfigurovat automatické zrychlení, spusťte následující příkaz. Tento příkaz přidruží zásadu HRD, kterou jste vytvořili v kroku 1, k instančnímu objektu, který se nachází v kroku 2.
Add-AzureADServicePrincipalPolicy
-Id <ObjectID of the Service Principal>
-RefObjectId <ObjectId of the Policy>
Tento příkaz můžete zopakovat pro každý instanční objekt, do kterého chcete zásadu přidat.
V případě, že aplikace už má přiřazenou zásadu HomeRealmDiscovery, nemůžete přidat druhou. V takovém případě změňte definici zásady HRD, která je přiřazená aplikaci, a přidejte další parametry.
Zkontrolujte, ke kterým instančním objektům jsou přiřazené zásady HRD.
Pokud chcete zkontrolovat, které aplikace mají nakonfigurované zásady HRD, použijte rutinu Get-AzureADPolicyAppliedObject . Předejte id objektu zásady, kterou chcete zkontrolovat.
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Zkuste aplikaci zkontrolovat, jestli nová zásada funguje.
Zobrazení seznamu aplikací, pro které jsou nakonfigurované zásady HRD
Výpis všech zásad vytvořených ve vaší organizaci
Get-AzureADPolicy
Poznamenejte si ID objektu zásady, pro kterou chcete zobrazit seznam přiřazení.
Výpis instančních objektů, ke kterým je zásada přiřazena
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Odebrání zásad HRD z aplikace
Získání ID objektu
Pomocí předchozího příkladu získáte ID objektu zásady a instančního objektu aplikace, ze kterého ho chcete odebrat.
Odebrání přiřazení zásad z instančního objektu aplikace
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal> -PolicyId <ObjectId of the policy>
Kontrola odebrání výpisem instančních objektů, ke kterým je zásada přiřazena
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Konfigurace zásad prostřednictvím Graph Exploreru
V okně Průzkumníka Microsoft Graphu:
Přihlaste se pomocí jedné z rolí uvedených v části Požadavky.
Udělte souhlas s oprávněním
Policy.ReadWrite.ApplicationConfiguration
.Pomocí zásad zjišťování domovské sféry vytvořte novou zásadu.
Nové zásady post nebo PATCH aktualizujte existující zásadu.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "definition": [ "{\"HomeRealmDiscoveryPolicy\": {\"AccelerateToFederatedDomain\":true, \"PreferredDomain\":\"federated.example.edu\", \"AlternateIdLogin\":{\"Enabled\":true}}}" ], "displayName": "Home Realm Discovery auto acceleration", "isOrganizationDefault": true }
Pokud chcete zobrazit novou zásadu, spusťte následující dotaz:
GET /policies/homeRealmDiscoveryPolicies/{id}
Přiřazení nových zásad k aplikaci:
POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
Nebo:
POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
Výpis instančních objektů, ke kterým je zásada přiřazena
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
Pokud chcete odstranit vytvořenou zásadu HRD, spusťte dotaz:
DELETE /policies/homeRealmDiscoveryPolicies/{id}
Odebrání přiřazení zásad z instančního objektu
DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
nebo
DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
Kontrola odebrání výpisem instančních objektů, ke kterým je zásada přiřazena
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo