Startbereichsermittlung für eine Anwendung

Home Realm Discovery (HRD) ermöglicht es Microsoft Entra ID, den entsprechenden Identitätsanbieter (IDP) für die Benutzerauthentifizierung während der Anmeldung zu identifizieren. Wenn sich Benutzer bei einem Microsoft Entra-Mandanten anmelden, um auf eine Ressource oder die allgemeine Anmeldeseite zuzugreifen, geben sie einen Benutzernamen (UPN) ein. Die Microsoft Entra-ID verwendet diese Informationen, um den richtigen Anmeldeort zu ermitteln.

Benutzer werden zur Authentifizierung an einen der folgenden Identitätsanbieter weitergeleitet:

• Basismandant der benutzenden Person (kann mit dem Ressourcenmandanten identisch sein)
• Microsoft-Konto, wenn die benutzende Person ein Gast im Ressourcenmandanten mit einem Consumerkonto ist
• Ein lokaler Identitätsanbieter, z. B. Active Directory-Verbunddienste (AD FS).
• Anderer Identitätsanbieter im Verbund mit dem Microsoft Entra-Mandanten

Automatische Beschleunigung

Organisationen können Domänen in ihrem Microsoft Entra-Mandanten so konfigurieren, dass sie mit einem anderen IdP verbunden sind, z. B. ADFS, für die Benutzerauthentifizierung. Wenn sich Benutzer bei einer Anwendung anmelden, wird zunächst eine Microsoft Entra-Anmeldeseite angezeigt. Wenn sie zu einer Verbunddomäne gehören, werden sie zur Anmeldeseite des IdP für diese Domäne umgeleitet. Administratoren möchten möglicherweise die anfängliche Microsoft Entra ID-Seite für bestimmte Anwendungen umgehen, ein Prozess, der als „automatische Beschleunigung bei der Anmeldung“ bezeichnet wird.

Microsoft rät davon ab, die automatische Beschleunigung zu konfigurieren, da sie stärkere Authentifizierungsmethoden wie FIDO und die Zusammenarbeit behindern kann. Weitere Informationen finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln. Informationen zum Verhindern der automatischen Beschleunigung der Anmeldung finden Sie unter Deaktivieren der automatischen Beschleunigung der Anmeldung.

Die automatische Beschleunigung kann die Anmeldung für Mandanten im Verbund mit einem anderen Identitätsanbieter (Identity Provider, IdP) optimieren. Sie können sie für einzelne Anwendungen konfigurieren. Informationen zum Erzwingen der automatischen Beschleunigung mithilfe der Startbereichsermittlung (Home Realm Discovery, HDR) finden Sie unter Konfigurieren der automatischen Beschleunigung.

Hinweis

Wenn Sie eine Anwendung für die automatische Beschleunigung konfigurieren, können benutzende Personen keine verwalteten Anmeldeinformationen (wie Fast Identity Online Alliance, FIDO) verwenden und Gastbenutzende können sich nicht anmelden. Werden benutzende Personen für die Authentifizierung zu einem Verbund-IdP weitergeleitet, wird die Microsoft Entra-Anmeldeseite umgangen. Dadurch wird verhindert, dass Gastbenutzende auf andere Mandanten oder externe IdPs wie Microsoft-Konten zugreifen.

Die automatische Beschleunigung für einen Verbundidentitätsanbieter kann auf drei Arten gesteuert werden:

• Verwenden Sie einen Domänenhinweis für Authentifizierungsanforderungen für eine Anwendung.
• Konfigurieren Sie eine HRD-Richtlinie zum Erzwingen der automatischen Beschleunigung.
• Konfigurieren Sie eine Richtlinie zur Startbereichsermittlung, um für bestimmte Anwendungen oder Domänen Domänenhinweise zu ignorieren.

Dialogfeld zur Bestätigung der Domäne

Ab April 2023 können Organisationen, die automatische Beschleunigung oder intelligente Links verwenden, auf einen neuen Bildschirm in der Anmeldebenutzeroberfläche stoßen, das als Dialogfeld "Domänenbestätigung" bezeichnet wird. Dieser Bildschirm ist Teil der Maßnahmen zur Sicherheitshärtung von Microsoft und erfordert, dass benutzende Personen die Domäne des Mandanten bestätigen, bei dem sie sich anmelden.

Was Sie tun müssen

Wenn das Dialogfeld "Domänenbestätigung" angezeigt wird:

• Überprüfen Sie die Domäne: Überprüfen Sie, ob der Domänenname auf dem Bildschirm der Organisation entspricht, bei der Sie sich anmelden möchten, z. B. contoso.com.
  • Wenn Sie die Domäne kennen, wählen Sie Bestätigen aus, um fortzufahren.
  • Wenn Sie die Domäne nicht erkennen, brechen Sie den Anmeldevorgang ab, und wenden Sie sich an Ihren IT-Administrator, um Hilfe zu erhalten.

Komponenten des Dialogfelds zur Bestätigung der Domäne

Der folgende Screenshot zeigt ein Beispiel, wie das Dialogfeld zur Bestätigung der Domäne aussehen könnte:

Der Bezeichner am oberen Rand des Dialogfelds, kelly@contoso.com, stellt den Bezeichner dar, der für die Anmeldung verwendet wird. Die in der Kopfzeile und Unterüberschrift des Dialogfelds aufgelistete Mandantendomäne, zeigt die Domäne des Basismandanten des Kontos an.

Dieses Dialogfeld wird möglicherweise nicht für jede Instanz der automatischen Beschleunigung oder Smart Links angezeigt. Wenn Ihre Organisation Cookies aufgrund von Browserrichtlinien löscht, wird das Dialogfeld zur Bestätigung der Domäne möglicherweise häufiger angezeigt. Das Dialogfeld "Domänenbestätigung" sollte keine Anwendungsunterbrechungen verursachen, da die Microsoft Entra-ID die automatische Beschleunigung des Anmeldeflusses verwaltet.

Domänenhinweise

Domänenhinweise sind Anweisungen in Authentifizierungsanforderungen von Anwendungen, durch die benutzende Personen schneller zur Anmeldeseite ihres Verbund-IdP gelangen können. Anwendungen für mehrere Mandanten können sie verwenden, um Benutzer zur organisationsspezifischen Microsoft Entra-Anmeldeseite für ihren Mandanten zu leiten.

Beispielsweise kann "largeapp.com" den Zugriff über eine benutzerdefinierte URL "contoso.largeapp.com" zulassen und einen Domänenhinweis zum contoso.com in die Authentifizierungsanforderung einschließen.

Die Syntax für Domänenhinweise variiert je nach Protokoll:

• WS-Verbund: whr-Abfragezeichenfolge-Parameter, z. B. whr=contoso.com
• SAML: SAML-Authentifizierungsanforderung mit einem Domänenhinweis oder whr=contoso.com
• OpenID Connect: domain_hint-Abfragezeichenfolge-Parameter, z. B. domain_hint=contoso.com

Die Microsoft Entra ID leitet die Anmeldung an den für eine Domäne konfigurierten Identitätsanbieter um, wenn beide der folgenden Fälle zutreffen:

• Ein Domänenhinweis ist in der Authentifizierungsanforderung enthalten.
• Der Mandant gehört einem Verbund mit dieser Domäne an.

Wenn der Domänenhinweis nicht auf eine überprüfte Verbunddomäne verweist, kann er ignoriert werden.

Hinweis

Ein Domänenhinweis in einer Authentifizierungsanforderung setzt die automatische Beschleunigung außer Kraft, die für die Anwendung in der HRD-Richtlinie festgelegt ist.

Richtlinie zur Startbereichsermittlung für die automatische Beschleunigung

Einige Anwendungen lassen die Konfiguration von Authentifizierungsanforderungen nicht zu. In solchen Fällen ist es nicht möglich, Domänenhinweise zum Steuern der automatischen Beschleunigung zu verwenden. Verwenden Sie die Richtlinie zur Startbereichsermittlung, um die automatische Beschleunigung zu konfigurieren.

Richtlinie zur Startbereichsermittlung zum Verhindern der automatischen Beschleunigung

Einige Microsoft- und SaaS-Anwendungen (Software-as-a-Service) enthalten automatisch Domänenhinweise, wodurch das Rollout von verwalteten Anmeldeinformationen wie FIDO behindert werden kann. Verwenden Sie die Richtlinie zur Startbereichsermittlung zum Ignorieren von Domänenhinweisen von bestimmten Apps oder Domänen während des Rollouts von verwalteten Anmeldeinformationen.

Aktivieren der direkten ROPC-Authentifizierung von Verbundbenutzern für Legacyanwendungen

Es ist bewährte Praxis, Microsoft Entra-Bibliotheken und die interaktive Anmeldung für die Benutzerauthentifizierung zu verwenden. Legacyanwendungen, die ROPC-Gewährungen (Resource Owner Password Credentials, Kennwortanmeldeinformationen des Ressourcenbesitzers) verwenden, senden Anmeldeinformationen möglicherweise direkt an Microsoft Entra ID, ohne den Verbund zu verstehen. Sie führen keine HRD durch oder interagieren nicht mit dem richtigen Verbundendpunkt. Sie können die Richtlinie zur Startbereichsermittlung verwenden, um für bestimmte Legacy-Anwendungen die direkte Authentifizierung mit Microsoft Entra ID zu ermöglichen. Diese Option funktioniert, wenn die Kennwort-Hash-Synchronisierung aktiviert ist.

Wichtig

Aktivieren Sie die direkte Authentifizierung nur, wenn die Kennwort-Hashsynchronisierung aktiviert ist und es akzeptabel ist, die Anwendung ohne lokale IdP-Richtlinien zu authentifizieren. Wenn die Kennwort-Hashsynchronisierung oder die Verzeichnissynchronisierung mit AD Connect deaktiviert ist, entfernen Sie diese Richtlinie, um die direkte Authentifizierung mit veralteten Kennwort-Hashes zu verhindern.

Festlegen einer HRD-Richtlinie

Um eine Richtlinie zur Startbereichsermittlung für eine Anwendung für die automatische Beschleunigung bei der Verbundanmeldung oder für direkte cloudbasierte Anwendungen festzulegen, führen Sie die folgenden Schritte durch:

• Erstellen einer Richtlinie zur Startbereichsermittlung
• Ermitteln Sie den Dienstprinzipal, an den die Richtlinie angefügt wird.
• Fügen Sie die Richtlinie an den Dienstprinzipal an.

Richtlinien treten für eine bestimmte Anwendung in Kraft, wenn sie an einen Dienstprinzipal angefügt werden. Es kann jeweils nur eine Richtlinie zur Startbereichsermittlung für einen Dienstprinzipal aktiv sein. Erstellen und verwalten Sie eine HRD-Richtlinie mit den Microsoft Graph PowerShell-Cmdlets.

Beispiel für HRD-Richtliniendefinition:

{  
  "HomeRealmDiscoveryPolicy": {  
    "AccelerateToFederatedDomain": true,  
    "PreferredDomain": "federated.example.edu",  
    "AllowCloudPasswordValidation": false  
  }  
}  

• AccelerateToFederatedDomain: Optional. Bei „false” hat die Richtlinie keine Auswirkung auf die automatische Beschleunigung. Bei „true“, und wenn eine überprüfte Verbunddomäne vorhanden ist, werden die Benutzer an den Verbundidentitätsanbieter weitergeleitet. Wenn mehrere Domänen vorhanden sind, geben Sie PreferredDomainan.
• PreferredDomain: Optional. Gibt eine Domäne für die Beschleunigung an. Auslassen, wenn nur eine Verbunddomäne vorhanden ist. Wenn bei mehreren Domänen darauf verzichtet wird, hat die Richtlinie keine Auswirkung.
• AllowCloudPasswordValidation: Optional. Bei „true“ wird die Authentifizierung von Verbundbenutzern über Benutzername/Kennwort-Anmeldeinformationen direkt am Microsoft Entra-Tokenendpunkt ermöglicht, wobei die Kennwort-Hashsynchronisierung erforderlich ist.

Zusätzliche Optionen für die Startbereichsermittlung auf Mandantenebene:

• AlternateIdLogin: Optional. Aktiviert AlternateLoginID für die Anmeldung per E-Mail anstelle des UPN auf der Microsoft Entra-Anmeldeseite. Setzt voraus, dass Benutzer nicht mit der automatischen Beschleunigung zu einem Verbundidentitätsanbieter weitergeleitet werden.
• DomainHintPolicy: Ein optionales komplexes Objekt, das verhindert, dass benutzende Personen durch Domänenhinweise automatisch zu Verbunddomänen weitergeleitet werden. Stellt sicher, dass Anwendungen, die Domänenhinweise senden, keine Anmeldungen mit cloud-verwalteten Anmeldeinformationen verhindern.

Priorität und Bewertung von HRD-Richtlinien

Richtlinien zur Startbereichsermittlung können Organisationen und Dienstprinzipalen zugewiesen werden, sodass für eine Anwendung mehrere Richtlinien gelten können. Die Microsoft Entra-ID bestimmt die Rangfolge mithilfe dieser Regeln:

• Wenn ein Domänenhinweis vorhanden ist, überprüft die HRD-Richtlinie des Mandanten, ob Domänenhinweise ignoriert werden sollen. Wenn dies zulässig ist, wird das Verhalten des Domänenhinweises verwendet.
• Wenn eine Richtlinie explizit dem Dienstprinzipal zugewiesen ist, wird sie erzwungen.
• Wenn weder ein Domänenhinweis noch eine Dienstprinzipal-Richtlinie vorhanden ist, wird eine Richtlinie erzwungen, die der übergeordneten Organisation zugewiesen ist.
• Wenn keine Domänenhinweise oder Richtlinien zugewiesen sind, gilt das Standardverhalten der Startbereichsermittlung.

Nächste Schritte

• Konfigurieren des Anmeldeverhaltens für eine Anwendung mithilfe einer Richtlinie zur Startbereichsermittlung
• Deaktivieren der automatischen Beschleunigung für die Weiterleitung zu einem Verbundidentitätsanbieter während der Benutzeranmeldung mit der Richtlinie zur Startbereichsermittlung