Konfigurieren des Anmeldeverhaltens mithilfe der Startbereichsermittlung
Dieser Artikel enthält eine Einführung in die Konfiguration des Microsoft Entra-Authentifizierungsverhaltens für Verbundbenutzer*innen unter Verwendung einer Richtlinie für die Startbereichsermittlung (Home Realm Discovery, HRD). Er behandelt die Verwendung der automatischen Beschleunigung der Anmeldung, durch die der Bildschirm für die Eingabe des Benutzernamens übersprungen wird und Benutzer automatisch an Endpunkte mit Verbundanmeldung weitergeleitet werden. Weitere Informationen zur HRD-Richtlinie finden Sie im Artikel zur Startbereichsermittlung.
Automatische Beschleunigung der Anmeldung
Einige Unternehmen konfigurieren Domänen in ihrem Microsoft Entra-Mandanten für den Verbund mit einem anderen Identitätsanbieter (Identity Provider, IdP) wie z. B. Active Directory Federation Services (ADFS) zur Benutzerauthentifizierung. Wenn sich Benutzer*innen bei einer Anwendung anmelden, wird zunächst eine Microsoft Entra-Anmeldeseite angezeigt. Falls er sich in einer Verbunddomäne befindet, wird er nach Eingabe seines Benutzerprinzipalnamens (User Principal Name; UPN) zur Anmeldeseite des Identitätsanbieters für diese Domäne weitergeleitet. Unter bestimmten Umständen können Administratoren Benutzer auf die Anmeldeseite weiterleiten, wenn sie sich bei bestimmten Anwendungen anmelden. Daher können Benutzer*innen die erste Seite von Microsoft Entra ID überspringen. Dieser Vorgang wird als „automatische Beschleunigung der Anmeldung“ bezeichnet.
Für Verbundbenutzer*innen mit cloudfähigen Anmeldeinformationen, z. B. SMS-Anmeldung oder FIDO-Schlüssel, sollten Sie die automatische Beschleunigung der Anmeldung verhindern. Informationen zum Verhindern von Domänenhinweisen mit HRD finden Sie unter Deaktivieren der Automatischen Beschleunigung der Anmeldung.
Wichtig
Ab April 2023 sehen Organisationen, die die automatische Beschleunigung oder Smartlinks verwenden, möglicherweise einen neuen Bildschirm, der der Anmeldebenutzeroberfläche hinzugefügt wurde. Dieser Bildschirm, der als Domänenbestätigungsdialog bezeichnet wird, ist Teil des allgemeinen Engagements von Microsoft zur Sicherheitshärtung und erfordert, dass der Benutzer die Domäne des Mandanten bestätigt, bei dem er sich anmeldet. Wenn das Dialogfeld "Domänenbestätigung" angezeigt wird und die aufgeführte Mandantendomäne nicht erkannt wird, sollten Sie den Authentifizierungsablauf abbrechen und sich an Ihre IT-Admin wenden.
Weitere Informationen finden Sie unter Dialogfeld „Domänenbestätigung“.
Voraussetzungen
Zum Konfigurieren einer Richtlinie für die Startbereichsermittlung für eine Anwendung in Microsoft Entra ID benötigen Sie Folgendes:
- Ein Azure-Konto mit einem aktiven Abonnement. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
- Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Besitzer des Dienstprinzipals.
- Die aktuelle Vorschauversion von Azure AD-PowerShell-Cmdlet
Einrichten einer Richtlinie für die Startbereichsermittlung für eine Anwendung
Wir verwenden Azure AD PowerShell-Cmdlets, um einige Szenarien zu erläutern, darunter:
Wir verwenden Microsoft Graph, um einige Szenarien zu durchlaufen, darunter:
Einrichten einer Richtlinie zur Startbereichsermittlung zum Durchführen der automatischen Beschleunigung für eine Anwendung in einem Mandanten mit einer einzigen Verbunddomäne.
Einrichten einer HRD-Richtlinie zur automatischen Beschleunigung für eine Anwendung in einer von mehreren Domänen, die für Ihren Mandanten überprüft wurden.
Einrichten einer Richtlinie für die Startbereichsermittlung, um einer Legacyanwendung die direkte Authentifizierung von Verbundbenutzer*innen bei Microsoft Entra ID über Benutzername und Kennwort zu ermöglichen
Auflisten der Anwendungen, für die eine Richtlinie konfiguriert ist.
In den folgenden Beispielen erstellen, aktualisieren, verknüpfen und löschen Sie HRD-Richtlinien für Anwendungsdienstprinzipale in Microsoft Entra ID.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.
Führen Sie zunächst den Befehl „Connect“ aus, um sich bei Ihrem Microsoft Entra ID-Administratorkonto anzumelden:
Connect-AzureAD -Confirm
Führen Sie den folgenden Befehl aus, um alle Richtlinien in Ihrer Organisation anzuzeigen:
Get-AzureADPolicy
Wenn nichts zurückgegeben wird, bedeutet dies, dass in Ihrem Mandanten keine Richtlinien erstellt wurden.
Erstellen einer Richtlinie zur Startbereichsermittlung
In diesem Beispiel erstellen Sie eine Richtlinie, die eine der folgenden Aktionen durchführt, sobald Sie sie einer Anwendung zuweisen:
- Wenn Ihr Mandant eine einzige Domäne aufweist, werden Benutzer beim Anmelden bei einer Anwendung automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet.
- Benutzer werden automatisch beschleunigt zu einem Anmeldebildschirm für Verbundidentitätsanbieter weitergeleitet, wenn Ihr Mandant über mehrere Verbunddomänen verfügt.
- Ermöglichen einer nicht interaktiven, direkten Anmeldung bei Microsoft Entra ID über Benutzername und Kennwort für Verbundbenutzer*innen für die Anwendungen, denen die Richtlinie zugewiesen ist
Wenn Ihr Mandant eine einzige Domäne aufweist, werden Benutzer beim Anmelden bei einer Anwendung durch die folgende Richtlinie automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true
}
Wenn Ihr Mandant über mehrere Verbunddomänen verfügt, werden Benutzer durch die folgende Richtlinie automatisch beschleunigt zu einem Anmeldebildschirm eines Verbundidentitätsanbieters weitergeleitet. Wenn mehrere Verbunddomänen vorliegen, die Benutzer*innen für Anwendungen authentifizieren, müssen Sie die Domäne für die automatische Beschleunigung angeben.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}")
-DisplayName MultiDomainAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": [
"federated.example.edu"
]
}
Die folgende Richtlinie ermöglicht die direkte Benutzernamen-/Kennwortauthentifizierung für Verbundbenutzer*innen mit Microsoft Entra ID für bestimmte Anwendungen:
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}")
-DisplayName EnableDirectAuthPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"EnableDirectAuthPolicy": {
"AllowCloudPasswordValidation": true
}
Um Ihre neue Richtlinie und deren ObjectId abzurufen, führen Sie den folgenden Befehl aus:
Get-AzureADPolicy
Um die Richtlinie zur Startbereichsermittlung nach ihrer Erstellung anzuwenden, können Sie sie mehreren Anwendungsdienstprinzipalen zuweisen.
Ermitteln des Dienstprinzipals, der der Richtlinie zugewiesen werden soll
Sie benötigen die ObjectID der Dienstprinzipale, denen Sie die Richtlinie zuweisen möchten. Es gibt mehrere Möglichkeiten, die ObjectID von Dienstprinzipalen zu ermitteln.
Sie können entweder das Microsoft Entra Admin Center verwenden oder Microsoft Graph abfragen. Sie können auch zum Tool Microsoft Graph-Tester navigieren und sich bei Ihrem Microsoft Entra-Konto anmelden, um alle Dienstprinzipale Ihrer Organisation anzuzeigen.
Da Sie PowerShell verwenden, können Sie das folgende Cmdlet verwenden, um die Dienstprinzipale sowie deren IDs aufzulisten.
Get-AzureADServicePrincipal
Zuweisen der Richtlinie zu Ihrem Dienstprinzipal
Nachdem Sie über die ObjectID des Dienstprinzipals der Anwendung verfügen, für die Sie automatische Beschleunigung konfigurieren möchten, führen Sie den folgenden Befehl aus. Dieser Befehl ordnet die Richtlinie zur Startbereichsermittlung, die Sie in Schritt 1 erstellt haben, dem Dienstprinzipal zu, den Sie in Schritt 2 ermittelt haben.
Add-AzureADServicePrincipalPolicy
-Id <ObjectID of the Service Principal>
-RefObjectId <ObjectId of the Policy>
Sie können diesen Befehl für jeden Dienstprinzipal wiederholen, dem Sie die Richtlinie hinzufügen möchten.
Falls einer Anwendung bereits eine HomeRealmDiscovery-Richtlinie zugewiesen ist, können Sie keine zweite hinzufügen. Ändern Sie in diesem Fall die Definition der HRD-Richtlinie, die der Anwendung zugewiesen ist, um zusätzliche Parameter hinzuzufügen.
Überprüfen, welchen Dienstprinzipalen Ihre Richtlinie zur Startbereichsermittlung zugewiesen ist
Um zu überprüfen, welche Anwendungen über eine konfigurierte Richtlinie zur Startbereichsermittlung verfügen, verwenden Sie das Cmdlet Get-AzureADPolicyAppliedObject. Übergeben Sie ihm die ObjectID der Richtlinie, die Sie überprüfen möchten.
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Testen Sie die Anwendung, um zu überprüfen, ob die neue Richtlinie funktioniert.
Auflisten der Anwendungen, für die eine Richtlinie zur Startbereichsermittlung konfiguriert ist
Auflisten aller Richtlinien, die in Ihrer Organisation erstellt wurden
Get-AzureADPolicy
Notieren Sie sich die ObjectID der Richtlinie, für die Sie Zuordnungen auflisten möchten.
Auflisten der Dienstprinzipale, denen die Richtlinie zugewiesen ist
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Entfernen einer Richtlinie zur Startbereichsermittlung aus einer Anwendung
Abrufen der ObjectID
Verwenden Sie das vorherige Beispiel, um die ObjectID der Richtlinie und die ObjectID des Anwendungsdienstprinzipals abzurufen, von dem Sie sie entfernen möchten.
Entfernen der Richtlinienzuordnung vom Anwendungsdienstprinzipal
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal> -PolicyId <ObjectId of the policy>
Überprüfen der Entfernung durch Auflisten der Dienstprinzipale, denen die Richtlinie zugewiesen ist
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Konfigurieren der Richtlinie per Graph-Tester
Führen Sie die folgenden Aktionen im Microsoft Graph-Explorer-Fenster aus:
Melden Sie sich mit einer der Rollen an, die im Abschnitt „Voraussetzungen“ aufgeführt sind.
Stimmen Sie der
Policy.ReadWrite.ApplicationConfiguration
-Berechtigung zu.Verwenden Sie die Startbereichsermittlungsrichtlinie, um eine neue Richtlinie zu erstellen.
Verwenden Sie POST zum Veröffentlichen der neuen Richtlinie oder PATCH, um eine bestehende Richtlinie zu aktualisieren.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "definition": [ "{\"HomeRealmDiscoveryPolicy\": {\"AccelerateToFederatedDomain\":true, \"PreferredDomain\":\"federated.example.edu\", \"AlternateIdLogin\":{\"Enabled\":true}}}" ], "displayName": "Home Realm Discovery auto acceleration", "isOrganizationDefault": true }
Um die neue Richtlinie anzuzeigen, führen Sie die folgende Abfrage aus:
GET /policies/homeRealmDiscoveryPolicies/{id}
So weisen Sie die neue Richtlinie einer Anwendung zu:
POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
Oder
POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
Auflisten der Dienstprinzipale, denen die Richtlinie zugewiesen ist
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
Führen Sie die Abfrage aus, um die von Ihnen erstellte HRD-Richtlinie zu löschen:
DELETE /policies/homeRealmDiscoveryPolicies/{id}
Entfernen der Richtlinienzuordnung vom Dienstprinzipal
DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
oder
DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
Überprüfen der Entfernung durch Auflisten der Dienstprinzipale, denen die Richtlinie zugewiesen ist
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo