Startbereichsermittlung für eine Anwendung
Home Realm Discovery (HRD) ist der Prozess, der es Microsoft Entra ID ermöglicht, zu bestimmen, bei welchem Identitätsanbieter ("IDP") sich ein Benutzer zum Zeitpunkt der Anmeldung authentifizieren muss. Wenn sich ein Benutzer bei einem Microsoft Entra-Mandanten oder auf der allgemeinen Anmeldeseite von Microsoft Entra anmeldet, um auf eine Ressource zuzugreifen, gibt er einen Benutzernamen (UPN) ein. Microsoft Entra ID verwendet diesen, um zu ermitteln, wo sich der Benutzer anmelden muss.
Der Benutzer wird zu einem der folgenden Identitätsanbieter weitergeleitet, um sich zu authentifizieren:
Basismandant des Benutzers (dies kann der gleiche Mandant wie die Ressource sein, auf die der Benutzer zugreifen möchte).
Microsoft-Konto: Der Benutzer ist ein Gast des Ressourcenmandanten, der ein Consumerkonto für die Authentifizierung verwendet.
Lokaler Identitätsanbieter, z. B. Active Directory-Verbunddienste (AD FS).
Anderer Identitätsanbieter, der einen Verbund mit dem Microsoft Entra-Mandanten bildet.
Automatische Beschleunigung
Einige Unternehmen konfigurieren Domänen in ihrem Microsoft Entra-Mandanten für den Verbund mit einem anderen IdP wie z. B. ADFS zur Benutzerauthentifizierung.
Wenn sich Benutzer*innen bei einer Anwendung anmelden, wird zunächst eine Microsoft Entra-Anmeldeseite angezeigt. Falls er sich in einer Verbunddomäne befindet, wird er nach Eingabe seines UPN zur Anmeldeseite des Identitätsanbieters für diese Domäne weitergeleitet. Unter bestimmten Umständen können Administratoren Benutzer auf die Anmeldeseite weiterleiten, wenn sie sich bei bestimmten Anwendungen anmelden.
Daher können Benutzer*innen die erste Seite von Microsoft Entra ID überspringen. Dieser Vorgang wird als „automatische Beschleunigung der Anmeldung“ bezeichnet. Von Microsoft wird empfohlen, die automatische Beschleunigung nicht mehr zu konfigurieren, da sie die Verwendung sichererer Authentifizierungsmethoden wie FIDO verhindern und bei der Zusammenarbeit hinderlich sein kann. Informationen zu den Vorteilen der Nichtkonfiguration der automatischen Beschleunigung finden Sie unter Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln. Informationen zum Verhindern der automatischen Beschleunigung der Anmeldung finden Sie unter Deaktivieren der automatischen Beschleunigung der Anmeldung.
In den Fällen, in denen der Mandant mit einem anderen IdP für die Anmeldung einen Verbund bildet, wird die Benutzeranmeldung durch die automatische Beschleunigung optimiert. Sie können die automatische Beschleunigung für einzelne Anwendungen konfigurieren. Informationen zum Erzwingen der automatischen Beschleunigung mithilfe von HRD finden Sie unter Konfigurieren des Anmeldeverhaltens.
Hinweis
Wenn Sie eine Anwendung für die automatische Beschleunigung konfigurieren, können Benutzer keine verwalteten Anmeldeinformationen (beispielsweise FIDO) verwenden, und Gastbenutzer können sich nicht anmelden. Wenn Sie einen Benutzer zur Authentifizierung direkt zu einem Verbundidentitätsanbieter leiten, gibt es für ihn keine Möglichkeit, auf die Anmeldeseite von Microsoft Entra zurückzukehren. Gastbenutzer, die möglicherweise an andere Mandanten oder an einen externen IdP wie ein Microsoft-Konto weitergeleitet werden müssen, können sich nicht bei dieser Anwendung anmelden, weil sie den HRD-Schritt überspringen.
Die automatische Beschleunigung für einen Verbundidentitätsanbieter kann auf drei Arten gesteuert werden:
- Verwenden Sie einen Domänenhinweis für Authentifizierungsanforderungen für eine Anwendung.
- Konfigurieren Sie eine HRD-Richtlinie zum Erzwingen der automatischen Beschleunigung.
- Konfigurieren Sie eine HRD-Richtlinie, um Domänenhinweise von bestimmten Anwendungen oder für bestimmte Domänen zu ignorieren.
Dialogfeld zur Bestätigung der Domäne
Ab April 2023 sehen Organisationen, die die automatische Beschleunigung oder Smart Links verwenden, möglicherweise einen neuen Bildschirm, der der Anmeldebenutzeroberfläche hinzugefügt wurde. Dieser Bildschirm, der als Domänenbestätigungsdialog bezeichnet wird, ist Teil des allgemeinen Engagements von Microsoft zur Sicherheitshärtung und erfordert, dass Benutzende die Domäne des Mandanten bestätigen, bei dem sie sich anmelden.
Was Sie tun müssen
Wenn Sie das Dialogfeld „Domänenbestätigung“ sehen, solten Sie:
Die Domäne überprüfen: Sehen Sie sich den auf dem Bildschirm aufgeführten Domänennamen an. Die Domäne des Home-Mandanten des Kontos sollte angezeigt werden, beispielsweise
contoso.com
:- Wenn Sie die Domäne erkennen und sie mit der Organisation übereinstimmt, bei der Sie sich anmelden möchten, wählen Sie Bestätigen aus, um fortzufahren.
- Wenn Sie die Domäne nicht erkennen, brechen Sie den Anmeldevorgang ab und wenden Sie sich an die bzw. den IT-Admin (falls zutreffend), um Unterstützung zu erhalten.
Mit diesem Schritt wird sichergestellt, dass Sie sich bei der richtigen Organisation anmelden.
Komponenten des Dialogfelds „Domänenbestätigung“
Der folgende Screenshot zeigt ein Beispiel dafür, wie das Dialogfeld für die Domänenbestätigung für Sie aussehen könnte:
Der Bezeichner am oberen Rand des Dialogfelds, kelly@contoso.com
, stellt den Bezeichner dar, der für die Anmeldung verwendet wird. Die in der Kopfzeile des Dialogfelds und Unterüberschrift aufgelistete Mandantendomäne, zeigt die Domäne des Basismandanten des Kontos an.
Während das Dialogfeld „Domänenbestätigung“ nicht für jede Instanz der automatischen Beschleunigung oder Smart Llinks angezeigt werden muss, bedeutet das Domänenbestätigungsdialogfeld, dass die automatische Beschleunigung und Smart Links nicht mehr nahtlos ablaufen können, wenn sie angezeigt werden. Wenn Ihre Organisation Cookies aufgrund von Browserrichtlinien oder aus anderen Gründen löscht, kann es sein, dass Sie den Dialog zur Bestätigung der Domain häufiger sehen. Da Microsoft Entra ID den automatischen Beschleunigungsflow End-to-End verwaltet, sollte die Einführung des Domänenbestätigungsdialogfelds keine Anwendungsunterbrechungen zur Folge haben.
Domänenhinweise
Domänenhinweise sind in der Authentifizierungsanforderung einer Anwendung enthaltene Anweisungen. Sie können verwendet werden, um die beschleunigte Anmeldung des Benutzers auf der Anmeldeseite seines Verbundidentitätsanbieters zu ermöglichen. Anwendungen für mehrere Mandanten können sie auch verwenden, um den Benutzer beschleunigt direkt zur organisationsspezifischen Microsoft Entra-Anmeldeseite für ihren Mandanten zu leiten.
Die Anwendung „largeapp.com“ könnte es z. B. ihren Kunden ermöglichen, auf die Anwendung über eine benutzerdefinierte URL wie „contoso.largeapp.com“ zuzugreifen. Dabei könnte sie einen Domänenhinweis auf „Contoso.com“ in die Authentifizierungsanforderung einbeziehen.
Die Syntax des Domänenhinweises variiert je nach verwendetem Protokoll und wird in der Anwendung auf folgende Weise konfiguriert:
Für Anwendungen, die den Abfragezeichenfolgenparameter des WS-Verbunds
whr
verwenden. Beispiel: whr=contoso.comFür Anwendungen, die Security Assertion Markup Language (SAML) verwenden: Entweder eine SAML-Authentifizierungsanfrage, die einen Domain-Hinweis oder eine Abfragezeichenfolge whr=contoso.com enthält.
Für Anwendungen, die den Open ID Connect-Abfragezeichenfolgenparameter
domain_hint
verwenden. Beispiel: domain_hint=contoso.com
Von Microsoft Entra ID wird standardmäßig versucht, die Anmeldung an den für eine Domäne konfigurierten Identitätsanbieter umzuleiten, wenn beide der folgenden Punkte zutreffen:
- Die Authentifizierungsanforderung der Anwendung enthält einen Domänenhinweis.
- Der Mandant gehört einem Verbund mit dieser Domäne an.
Wenn sich der Domänenhinweis nicht auf eine überprüfte Verbunddomäne bezieht, können Sie ihn ignorieren.
Hinweis
Wenn ein Domänenhinweis in einer Authentifizierungsanforderung enthalten ist und berücksichtigt werden soll, wird die automatische Beschleunigung außer Kraft gesetzt, die in der Richtlinie zur Startbereichsermittlung für die Anwendung festgelegt ist.
HRD-Richtlinie für die automatische Beschleunigung
Einige Anwendungen bieten keine Möglichkeit, die von ihnen ausgegebene Authentifizierungsanforderung zu konfigurieren. In diesen Fällen ist es nicht möglich, Domänenhinweise zum Steuern der automatischen Beschleunigung zu verwenden. Die automatische Beschleunigung kann über die Richtlinie zur Startbereichsermittlung konfiguriert werden, um das gleiche Verhalten zu erreichen.
HRD-Richtlinie zum Verhindern der automatischen Beschleunigung
Einige Microsoft- und SaaS-Anwendungen enthalten automatisch Domänenhinweise. (https://outlook.com/contoso.com
resultiert beispielsweise in einer Anmeldeanforderung, an die &domain_hint=contoso.com
angefügt ist.) Dies kann das Rollout von verwalteten Anmeldeinformationen wie FIDO behindern. Sie können die Richtlinie zur Startbereichsermittlung verwenden, um Domänenhinweise von bestimmten Anwendungen oder für bestimmte Domänen beim Rollout von verwalteten Anmeldeinformationen zu ignorieren.
Aktivieren der direkten ROPC-Authentifizierung von Verbundbenutzern für Legacyanwendungen
Die beste Praxis ist, dass Anwendungen Microsoft Entra-Bibliotheken und interaktive Anmeldung zur Authentifizierung von Benutzern verwenden. Die Bibliotheken kümmern sich um die Verbundbenutzerflows. Manchmal übermitteln Legacy-Anwendungen, insbesondere Anwendungen, die ROPC-Grants (Resource Owner Password Credentials) verwenden, Benutzernamen und Kennwörter direkt an Microsoft Entra ID und sind nicht so geschrieben, dass sie Federation verstehen. Sie führen keine HRD durch und interagieren nicht mit dem richtigen Verbundendpunkt, um einen Benutzer zu authentifizieren. Wenn Sie sich dafür entscheiden, können Sie die Richtlinie zur Startbereichsermittlung zur Aktivierung bestimmter Legacy-Anwendungen verwenden, die Anmeldeinformationen mit Benutzernamen und Kennwort über die ROPC-Berechtigung übermitteln, um die direkte Authentifizierung mit Microsoft Entra ID zu ermöglichen. Die Kennworthashsynchronisierung muss aktiviert sein.
Wichtig
Aktivieren Sie die direkte Authentifizierung nur dann, wenn die Kennworthashsynchronisierung aktiviert ist und Sie sicher sind, dass diese Anwendung problemlos authentifiziert werden kann, ohne dass Richtlinien von Ihrem lokalen Identitätsanbieter implementiert werden. Wenn Sie die Kennworthashsynchronisierung oder die Verzeichnissynchronisierung mit AD Connect aus irgendeinem Grund deaktivieren, müssen Sie diese Richtlinie entfernen, um die Möglichkeit der direkten Authentifizierung mit einem veralteten Kennworthash zu verhindern.
Festlegen der Richtlinie zur Startbereichsermittlung
Um in einer Anwendung für die automatische Beschleunigung bei der Verbundanmeldung oder für direkte cloudbasierte Anwendungen eine Richtlinie zur Startbereichsermittlung festzulegen, sind drei Schritte durchzuführen:
Erstellen einer Richtlinie zur Startbereichsermittlung
Ermitteln des Dienstprinzipals, an den die Richtlinie angefügt wird
Anfügen der Richtlinie an den Dienstprinzipal
Richtlinien treten für eine bestimmte Anwendung nur in Kraft, wenn sie an einen Dienstprinzipal angefügt werden.
Es kann immer nur eine Richtlinie zur Startbereichsermittlung auf einem Dienstprinzipal aktiv sein.
Sie können eine HRD-Richtlinie mit den Microsoft Graph AD PowerShell-Cmdlets erstellen und verwalten.
Das JSON-Objekt ist ein Beispiel für die HRD-Richtliniendefinition:
{
"HomeRealmDiscoveryPolicy":
{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu",
"AllowCloudPasswordValidation":false
}
}
Der Richtlinientyp lautet „HomeRealmDiscoveryPolicy“.
AccelerateToFederatedDomain ist optional. Wenn AccelerateToFederatedDomain FALSE ist, besitzt die Richtlinie keine Auswirkungen auf die automatische Beschleunigung. Wenn AccelerateToFederatedDomain TRUE ist und der Mandant nur eine verifizierte Verbunddomäne aufweist, werden Benutzer zur Anmeldung direkt zum Verbundidentitätsanbieter weitergeleitet. Wenn die Option TRUE ist und der Mandant mehrere verifizierte Domänen aufweist, muss PreferredDomain angegeben werden.
PreferredDomain ist optional. PreferredDomain sollte eine Domäne angeben, zu der die Beschleunigung erfolgt. Die Angabe kann ausgelassen werden, wenn der Mandant nur eine Verbunddomäne besitzt. Wenn diese Angabe ausgelassen wird und mehrere verifizierte Verbunddomänen verfügbar sind, hat die Richtlinie keine Auswirkungen.
Wenn PreferredDomain angegeben wird, muss diese Angabe mit einer überprüften Verbunddomäne für den Mandanten übereinstimmen. Alle Benutzer der Anwendung müssen sich bei dieser Domäne anmelden können. Benutzer, die sich nicht bei der Verbunddomäne anmelden können, können den Vorgang nicht fortsetzen und die Anmeldung nicht abschließen.
AllowCloudPasswordValidation ist optional. Wenn AllowCloudPasswordValidation TRUE ist, darf die Anwendung einen Verbundbenutzer durch direkte Übermittlung von Anmeldeinformationen (Benutzername/Kennwort) an den Tokenendpunkt von Microsoft Entra authentifizieren. Dies funktioniert nur, wenn die Kennworthashsynchronisierung aktiviert ist.
Darüber hinaus sind zwei HRD-Optionen auf Mandantenebene vorhanden, die nicht im vorherigen Abschnitt dieses Artikels gezeigt werden:
AlternateIdLogin ist optional. Ist AlternateLoginID aktiviert ist, können Benutzer anstelle ihres UPN ihre E-Mail-Adresse verwenden, um sich auf der Microsoft Entra-Anmeldeseite anzumelden. Die Verwendung alternativer IDs setzt voraus, dass der Benutzer nicht automatisch zu einem Verbundidentitätsanbieter weitergeleitet wird.
DomainHintPolicy ist ein optionales komplexes Objekt, das verhindert, dass Benutzer durch Domänenhinweise automatisch zu Verbunddomänen weitergeleitet werden. Mithilfe dieser mandantenweiten Einstellung wird sichergestellt, dass Benutzer durch Anwendungen, die Domänenhinweise senden, nicht davon abgehalten werden, sich mit in der Cloud verwalteten Anmeldeinformationen anzumelden.
Priorität und Auswertung von Richtlinien zur Startbereichsermittlung
Richtlinien zur Startbereichsermittlung können erstellt und dann bestimmten Organisationen und Dienstprinzipalen zugewiesen werden. Das bedeutet, dass mehrere Richtlinien für eine bestimmte Anwendung gelten können. Daher muss von Microsoft Entra ID entschieden werden, welche Richtlinie Vorrang hat. Welche (der zahlreichen angewendeten) HRD-Richtlinien wirksam wird, hängt von einer Reihe von Regeln ab:
Wenn die Authentifizierungsanforderung einen Domänenhinweis enthält, wird die HRD-Richtlinie für den Mandanten (also die Richtlinie, die als Standard für den Mandanten festgelegt ist) überprüft, um zu ermitteln, ob Domänenhinweise ignoriert werden sollen. Sind Domänenhinweise zulässig, wird das durch den Domänenhinweis angegebene Verhalten verwendet.
Wenn eine Richtlinie explizit dem Dienstprinzipal zugewiesen ist, wird sie erzwungen.
Wenn kein Domänenhinweis vorhanden und dem Dienstprinzipal nicht explizit eine Richtlinie zugewiesen ist, wird eine Richtlinie erzwungen, die ausdrücklich der übergeordneten Organisation des Dienstprinzipals zugewiesen ist.
Wenn kein Domänenhinweis vorhanden ist und dem Dienstprinzipal oder der Organisation keine Richtlinie zugewiesen wurde, wird das standardmäßige Verhalten der Startbereichsermittlung verwendet.
Nächste Schritte
- Konfigurieren Sie das Anmeldeverhalten für eine Anwendung mithilfe einer Richtlinie zur Startbereichsermittlung
- Deaktivieren der automatischen Anmeldebeschleunigung an einen Verbundidentitätsanbieter während der Benutzeranmeldung per Richtlinie zur Startbereichsermittlung (Home Realm Discovery, HRD)
- Authentifizierungsszenarien für Microsoft Entra ID