Startbereichsermittlung für eine Anwendung

  • Artikel

Home Realm Discovery (HRD) ist der Prozess, der es Microsoft Entra ID ermöglicht, zu bestimmen, bei welchem Identitätsanbieter ("IDP") sich ein Benutzer zum Zeitpunkt der Anmeldung authentifizieren muss. Wenn sich ein Benutzer bei einem Microsoft Entra-Mandanten oder auf der allgemeinen Anmeldeseite von Microsoft Entra anmeldet, um auf eine Ressource zuzugreifen, gibt er einen Benutzernamen (UPN) ein. Microsoft Entra ID verwendet diesen, um zu ermitteln, wo sich der Benutzer anmelden muss.

Der Benutzer wird zu einem der folgenden Identitätsanbieter weitergeleitet, um sich zu authentifizieren:

  • Basismandant des Benutzers (dies kann der gleiche Mandant wie die Ressource sein, auf die der Benutzer zugreifen möchte).

  • Microsoft-Konto: Der Benutzer ist ein Gast des Ressourcenmandanten, der ein Consumerkonto für die Authentifizierung verwendet.

  • Lokaler Identitätsanbieter, z.B. Active Directory-Verbunddienste (AD FS).

  • Anderer Identitätsanbieter, der einen Verbund mit dem Microsoft Entra-Mandanten bildet.

Automatische Beschleunigung

Einige Unternehmen konfigurieren Domänen in ihrem Microsoft Entra-Mandanten für den Verbund mit einem anderen IdP wie z. B. AD FS zur Benutzerauthentifizierung.

Wenn sich Benutzer*innen bei einer Anwendung anmelden, wird zunächst eine Microsoft Entra-Anmeldeseite angezeigt. Falls er sich in einer Verbunddomäne befindet, wird er nach Eingabe seines UPN zur Anmeldeseite des Identitätsanbieters für diese Domäne weitergeleitet. Unter bestimmten Umständen können Administratoren Benutzer auf die Anmeldeseite weiterleiten, wenn sie sich bei bestimmten Anwendungen anmelden.

Daher können Benutzer*innen die erste Seite von Microsoft Entra ID überspringen. Dieser Vorgang wird als „automatische Beschleunigung der Anmeldung“ bezeichnet. Von Microsoft wird empfohlen, die automatische Beschleunigung nicht mehr zu konfigurieren, da sie die Verwendung sichererer Authentifizierungsmethoden wie FIDO verhindern und bei der Zusammenarbeit hinderlich sein kann. Informationen zu den Vorteilen der Nichtkonfiguration der automatischen Beschleunigung finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln. Informationen zum Verhindern der automatischen Beschleunigung der Anmeldung finden Sie unter Deaktivieren der automatischen Beschleunigung der Anmeldung.

In den Fällen, in denen der Mandant mit einem anderen IdP für die Anmeldung einen Verbund bildet, wird die Benutzeranmeldung durch die automatische Beschleunigung optimiert. Sie können die automatische Beschleunigung für einzelne Anwendungen konfigurieren. Informationen zum Erzwingen der automatischen Beschleunigung mithilfe von HRD finden Sie unter Konfigurieren des Anmeldeverhaltens.

Hinweis

Wenn Sie eine Anwendung für die automatische Beschleunigung konfigurieren, können Benutzer keine verwalteten Anmeldeinformationen (beispielsweise FIDO) verwenden, und Gastbenutzer können sich nicht anmelden. Wenn Sie einen Benutzer zur Authentifizierung direkt zu einem Verbundidentitätsanbieter leiten, gibt es für ihn keine Möglichkeit, auf die Anmeldeseite von Microsoft Entra zurückzukehren. Gastbenutzer, die möglicherweise an andere Mandanten oder an einen externen IdP wie ein Microsoft-Konto weitergeleitet werden müssen, können sich nicht bei dieser Anwendung anmelden, weil sie den HRD-Schritt überspringen.

Die automatische Beschleunigung für einen Verbundidentitätsanbieter kann auf drei Arten gesteuert werden:

Dialogfeld zur Bestätigung der Domäne

Ab April 2023 sehen Organisationen, die die automatische Beschleunigung oder Smart Links verwenden, möglicherweise einen neuen Bildschirm, der der Anmeldebenutzeroberfläche hinzugefügt wurde. Dieser Bildschirm, der als Domänenbestätigungsdialog bezeichnet wird, ist Teil des allgemeinen Engagements von Microsoft zur Sicherheitshärtung und erfordert, dass der Benutzer die Domäne des Mandanten bestätigt, bei dem er sich anmeldet. Wenn das Dialogfeld „Domänenbestätigung“ angezeigt wird und die aufgeführte Mandantendomäne nicht erkannt wird, sollten Sie den Authentifizierungsablauf abbrechen und sich an Ihre IT-Admin (falls zutreffend) wenden. Hier sehen Sie ein Beispiel dafür, wie das Dialogfeld für die Domänenbestätigung für Sie aussehen könnte:

Screenshot of the domain confirmation dialog listing the sign-in identifier '<kelly@contoso.com>' with a tenant domain of 'contoso.com'.

Der Bezeichner am oberen Rand des Dialogfelds, kelly@contoso.com, stellt den Bezeichner dar, der für die Anmeldung verwendet wird. Die in der Kopfzeile des Dialogfelds und Unterüberschrift aufgelistete Mandantendomäne, zeigt die Domäne des Basismandanten des Kontos an.

Während das Dialogfeld „Domänenbestätigung“ nicht für jede Instanz der automatischen Beschleunigung oder Smart Llinks angezeigt werden muss, bedeutet das Domänenbestätigungsdialogfeld, dass die automatische Beschleunigung und Smart Links nicht mehr nahtlos ablaufen können, wenn sie angezeigt werden. Wenn Ihre Organisation Cookies aufgrund von Browserrichtlinien oder aus anderen Gründen löscht, kann es sein, dass Sie den Dialog zur Bestätigung der Domain häufiger sehen. Da Microsoft Entra ID den automatischen Beschleunigungsflow End-to-End verwaltet, sollte die Einführung des Domänenbestätigungsdialogfelds keine Anwendungsunterbrechungen zur Folge haben.

Darüber hinaus können Sie das Dialogfeld „Domänenbestätigung“ unterdrücken, indem Sie eine Richtlinie für Mandanteneinschränkungen v2 (TRv2) konfigurieren. Eine TRv2-Richtlinie erreicht den gleichen Sicherheitsstatus wie das Dialogfeld „Domänenbestätigung“ und wenn ein TRv2-Richtlinienheader in der Anforderung vorhanden ist, wird das Dialogfeld „Domänenbestätigung“ unterdrückt.

Domänenhinweise

Domänenhinweise sind in der Authentifizierungsanforderung einer Anwendung enthaltene Anweisungen. Sie können verwendet werden, um die beschleunigte Anmeldung des Benutzers auf der Anmeldeseite seines Verbundidentitätsanbieters zu ermöglichen. Anwendungen für mehrere Mandanten können sie auch verwenden, um den Benutzer beschleunigt direkt zur organisationsspezifischen Microsoft Entra-Anmeldeseite für ihren Mandanten zu leiten.

Die Anwendung „largeapp.com“ könnte es z. B. ihren Kunden ermöglichen, auf die Anwendung über eine benutzerdefinierte URL wie „contoso.largeapp.com“ zuzugreifen. Dabei könnte sie einen Domänenhinweis auf „Contoso.com“ in die Authentifizierungsanforderung einbeziehen.

Die Syntax des Domänenhinweises variiert je nach verwendetem Protokoll und wird in der Regel auf folgende Weise in der Anwendung konfiguriert:

  • Für Anwendungen, die den Abfragezeichenfolgenparameter des WS-Verbundswhr verwenden. Beispiel: whr=contoso.com

  • Für Anwendungen, die SAML verwenden: Entweder eine SAML-Authentifizierungsanfrage, die einen Domänenhinweis enthält, oder eine Abfragezeichenfolge wie whr=contoso.com.

  • Für Anwendungen, die den Open ID Connect-Abfragezeichenfolgenparameter domain_hint verwenden. Beispiel: domain_hint=contoso.com

Von Microsoft Entra ID wird standardmäßig versucht, die Anmeldung an den für eine Domäne konfigurierten Identitätsanbieter umzuleiten, wenn beide der folgenden Punkte zutreffen:

  • Die Authentifizierungsanforderung der Anwendung enthält einen Domänenhinweis. Und:
  • Der Mandant gehört einem Verbund mit dieser Domäne an.

Wenn sich der Domänenhinweis nicht auf eine überprüfte Verbunddomäne bezieht, wird er ignoriert.

Hinweis

Wenn ein Domänenhinweis in einer Authentifizierungsanforderung enthalten ist und berücksichtigt werden soll, wird die automatische Beschleunigung außer Kraft gesetzt, die in der Richtlinie zur Startbereichsermittlung für die Anwendung festgelegt ist.

HRD-Richtlinie für die automatische Beschleunigung

Einige Anwendungen bieten keine Möglichkeit, die von ihnen ausgegebene Authentifizierungsanforderung zu konfigurieren. In diesen Fällen ist es nicht möglich, Domänenhinweise zum Steuern der automatischen Beschleunigung zu verwenden. Die automatische Beschleunigung kann über die Richtlinie Home Realm Discovery konfiguriert werden, um das gleiche Verhalten zu erreichen.

HRD-Richtlinie zum Verhindern der automatischen Beschleunigung

Einige Microsoft- und SaaS-Anwendungen enthalten automatisch Domänenhinweise. (https://outlook.com/contoso.com resultiert beispielsweise in einer Anmeldeanforderung, an die &domain_hint=contoso.com angefügt ist.) Dies kann das Rollout von verwalteten Anmeldeinformationen wie FIDO behindern. Sie können die Richtlinie zur Startbereichsermittlung verwenden, um Domänenhinweise von bestimmten Anwendungen oder für bestimmte Domänen beim Rollout von verwalteten Anmeldeinformationen zu ignorieren.

Aktivieren der direkten ROPC-Authentifizierung von Verbundbenutzern für Legacyanwendungen

Die beste Praxis ist, dass Anwendungen Microsoft Entra-Bibliotheken und interaktive Anmeldung zur Authentifizierung von Benutzern verwenden. Die Bibliotheken kümmern sich um die Verbundbenutzerflows. Manchmal übermitteln Legacy-Anwendungen, insbesondere Anwendungen, die ROPC-Grants (Resource Owner Password Credentials) verwenden, Benutzernamen und Kennwörter direkt an Microsoft Entra ID und sind nicht so geschrieben, dass sie Federation verstehen. Sie führen keine HRD durch und interagieren nicht mit dem richtigen Verbundendpunkt, um einen Benutzer zu authentifizieren. Wenn Sie sich dafür entscheiden, können Sie die Richtlinie zur Startbereichsermittlung zur Aktivierung bestimmter Legacy-Anwendungen verwenden, die Anmeldeinformationen mit Benutzernamen und Kennwort über die ROPC-Berechtigung übermitteln, um die direkte Authentifizierung mit Microsoft Entra ID zu ermöglichen. Die Kennworthashsynchronisierung muss aktiviert sein.

Wichtig

Aktivieren Sie die direkte Authentifizierung nur dann, wenn die Kennworthashsynchronisierung aktiviert ist und Sie sicher sind, dass diese Anwendung problemlos authentifiziert werden kann, ohne dass Richtlinien von Ihrem lokalen Identitätsanbieter implementiert werden. Wenn Sie die Kennworthashsynchronisierung oder die Verzeichnissynchronisierung mit AD Connect aus irgendeinem Grund deaktivieren, müssen Sie diese Richtlinie entfernen, um die Möglichkeit der direkten Authentifizierung mit einem veralteten Kennworthash zu verhindern.

Festlegen der Richtlinie zur Startbereichsermittlung

Um in einer Anwendung für die automatische Beschleunigung bei der Verbundanmeldung oder für direkte cloudbasierte Anwendungen eine Richtlinie zur Startbereichsermittlung festzulegen, sind drei Schritte durchzuführen:

  1. Erstellen einer Richtlinie zur Startbereichsermittlung

  2. Ermitteln des Dienstprinzipals, an den die Richtlinie angefügt wird

  3. Anfügen der Richtlinie an den Dienstprinzipal

Richtlinien treten für eine bestimmte Anwendung nur in Kraft, wenn sie an einen Dienstprinzipal angefügt werden.

Es kann immer nur eine Richtlinie zur Startbereichsermittlung auf einem Dienstprinzipal aktiv sein.

Sie können eine HRD-Richtlinie mit den Microsoft Graph AD PowerShell-Cmdlets erstellen und verwalten.

Das JSON-Objekt ist ein Beispiel für die HRD-Richtliniendefinition:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

Der Richtlinientyp lautet HomeRealmDiscoveryPolicy.

AccelerateToFederatedDomain ist optional. Wenn AccelerateToFederatedDomain FALSE ist, besitzt die Richtlinie keine Auswirkungen auf die automatische Beschleunigung. Wenn AccelerateToFederatedDomain TRUE ist und der Mandant nur eine verifizierte Verbunddomäne aufweist, werden Benutzer zur Anmeldung direkt zum Verbundidentitätsanbieter weitergeleitet. Wenn die Option TRUE ist und der Mandant mehrere verifizierte Domänen aufweist, muss PreferredDomain angegeben werden.

PreferredDomain ist optional. PreferredDomain sollte eine Domäne angeben, zu der die Beschleunigung erfolgt. Die Angabe kann ausgelassen werden, wenn der Mandant nur eine Verbunddomäne besitzt. Wenn diese Angabe ausgelassen wird und mehrere verifizierte Verbunddomänen verfügbar sind, hat die Richtlinie keine Auswirkungen.

Wenn PreferredDomain angegeben wird, muss diese Angabe mit einer überprüften Verbunddomäne für den Mandanten übereinstimmen. Alle Benutzer der Anwendung müssen sich bei dieser Domäne anmelden können. Benutzer, die sich nicht bei der Verbunddomäne anmelden können, können den Vorgang nicht fortsetzen und die Anmeldung nicht abschließen.

AllowCloudPasswordValidation ist optional. Wenn AllowCloudPasswordValidation TRUE ist, darf die Anwendung einen Verbundbenutzer durch direkte Übermittlung von Anmeldeinformationen (Benutzername/Kennwort) an den Tokenendpunkt von Microsoft Entra authentifizieren. Dies funktioniert nur, wenn die Kennworthashsynchronisierung aktiviert ist.

Darüber hinaus stehen zwei HRD-Optionen auf Mandantenebene zur Verfügung, die oben nicht behandelt wurden:

Priorität und Auswertung von Richtlinien zur Startbereichsermittlung

Richtlinien zur Startbereichsermittlung können erstellt und dann bestimmten Organisationen und Dienstprinzipalen zugewiesen werden. Das bedeutet, dass mehrere Richtlinien für eine bestimmte Anwendung gelten können. Daher muss von Microsoft Entra ID entschieden werden, welche Richtlinie Vorrang hat. Welche (der zahlreichen angewendeten) HRD-Richtlinien wirksam wird, hängt von einer Reihe von Regeln ab:

  • Wenn die Authentifizierungsanforderung einen Domänenhinweis enthält, wird die HRD-Richtlinie für den Mandanten (also die Richtlinie, die als Standard für den Mandanten festgelegt ist) überprüft, um zu ermitteln, ob Domänenhinweise ignoriert werden sollen. Sind Domänenhinweise zulässig, wird das durch den Domänenhinweis angegebene Verhalten verwendet.

  • Andernfalls wird sie erzwungen, wenn eine Richtlinie explizit dem Dienstprinzipal zugewiesen ist.

  • Wenn kein Domänenhinweis vorhanden und dem Dienstprinzipal nicht explizit eine Richtlinie zugewiesen ist, wird eine Richtlinie erzwungen, die ausdrücklich der übergeordneten Organisation des Dienstprinzipals zugewiesen ist.

  • Wenn kein Domänenhinweis vorhanden ist und dem Dienstprinzipal oder der Organisation keine Richtlinie zugewiesen wurde, wird das standardmäßige Verhalten der Startbereichsermittlung verwendet.

Nächste Schritte