Impedir la aceleración automática del inicio de sesión mediante la directiva Detección de dominio principal - Microsoft Entra ID

Artículo
10/28/2023

La directiva de detección del dominio de inicio (HRD) ofrece a los administradores varias formas de controlar cómo y dónde se autentican sus usuarios. La sección domainHintPolicy de la directiva de HRD se usa para ayudar a migrar usuarios federados a credenciales administradas en la nube como FIDO, asegurándose de que siempre visitan la página de inicio de sesión de Microsoft Entra y no se aceleran automáticamente a un IDP federado como consecuencia de las sugerencias de dominio. Para más información sobre la directiva de HRD, consulte Detección del dominio de inicio.

Esta directiva es necesaria en situaciones en las que los administradores no pueden controlar ni actualizar las sugerencias de dominio durante el inicio de sesión. Por ejemplo, outlook.com/contoso.com envía al usuario a una página de inicio de sesión con el parámetro &domain_hint=contoso.com anexado, para acelerar automáticamente al usuario de manera directa al IDP federado del dominio contoso.com. Los usuarios con credenciales administradas enviadas a un IDP federado no pueden iniciar sesión con sus credenciales administradas, lo que reduce la seguridad y les genera frustración por experiencias de inicio de sesión aleatorias. Los administradores que implementan credenciales administradas también deben configurar esta directiva para asegurarse de que los usuarios siempre puedan usar sus credenciales administradas.

Detalles de DomainHintPolicy

La sección DomainHintPolicy de la directiva de HRD es un objeto JSON que permite que un administrador opte por que ciertos dominios y aplicaciones no reciban sugerencias de dominio. En la práctica, esto indica a la página de inicio de sesión de Microsoft Entra que se comporte como si en la solicitud de inicio de sesión no estuviera presente un parámetro domain_hint.

Secciones de la directiva de respetar y omitir

Sección	Significado	Valores
`IgnoreDomainHintForDomains`	Si se envía esta sugerencia de dominio en la solicitud, omítala.	Matriz de direcciones de dominio (por ejemplo, `contoso.com`). También admite `all_domains`.
`RespectDomainHintForDomains`	Si se envía esta sugerencia de dominio en la solicitud, respétela incluso si `IgnoreDomainHintForApps` indica que la aplicación de la solicitud no debería acelerarse automáticamente. Se usa para ralentizar el lanzamiento de sugerencias de dominio en desuso dentro de la red: puede indicar que algunos dominios deben seguir acelerados.	Matriz de direcciones de dominio (por ejemplo, `contoso.com`). También admite `all_domains`.
`IgnoreDomainHintForApps`	Si una solicitud de esta aplicación incluye una sugerencia de dominio, omítala.	Matriz de identificadores de aplicación (GUID). También admite `all_apps`.
`RespectDomainHintForApps`	Si una solicitud de esta aplicación incluye una sugerencia de dominio, respétela incluso si `IgnoreDomainHintForDomains` incluye ese dominio. Se usa para asegurarse de que algunas aplicaciones siguen funcionando si detecta que se interrumpen sin sugerencias de dominio.	Matriz de identificadores de aplicación (GUID). También admite `all_apps`.

Evaluación de directiva

La lógica de DomainHintPolicy se ejecuta en cada solicitud entrante que contiene una sugerencia de dominio y se acelera en función de dos fragmentos de datos de la solicitud: el dominio de la sugerencia de dominios y el identificador de cliente (la aplicación). En resumen: el "respeto" de un dominio o una aplicación tiene prioridad sobre una instrucción para "omitir" una sugerencia de dominio para un dominio o aplicación determinados.

En ausencia de una directiva de sugerencia de dominio, o si ninguna de las cuatro secciones hacen referencia a la sugerencia de aplicación o dominio mencionada, se evaluará el resto de la directiva de HRD.
Si alguna de las secciones RespectDomainHintForApps o RespectDomainHintForDomains (o ambas) incluye la sugerencia de aplicación o dominio en la solicitud, el usuario se acelera automáticamente al IDP federado según se solicite.
Si alguna de las secciones IgnoreDomainHintsForApps o IgnoreDomainHintsForDomains (o ambas) hace referencia a la sugerencia de aplicación o dominio en la solicitud, y no se hace referencia a ellas en las secciones de "respeto", la solicitud no se acelerará automáticamente y el usuario permanece en la página de inicio de sesión de Microsoft Entra para proporcionar un nombre de usuario.

Una vez que un usuario ha escrito un nombre de usuario en la página de inicio de sesión, puede usar sus credenciales administradas. Si deciden no usar una credencial administrada o no tienen ninguna registrada, se les dirige a su IDP federado para la indicación de credenciales como de costumbre.

Requisitos previos

Para deshabilitar el inicio de sesión de aceleración automática para una aplicación en Microsoft Entra ID, necesita:

Una cuenta de Azure con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
Uno de los siguientes roles: Administrador de aplicaciones en la nube, Administrador de aplicaciones o propietario de la entidad de servicio.

Módulo PowerShell de Microsoft Graph.

Uso sugerido dentro de un inquilino

Los administradores de dominios federados deben configurar esta sección de la directiva de HRD en un plan de cuatro fases. El objetivo de este plan es que, finalmente, todos los usuarios de un inquilino utilicen sus credenciales administradas independientemente del dominio o de la aplicación, salvo aquellas aplicaciones que tengan una fuerte dependencia del uso de domain_hint. Este plan ayuda a los administradores a encontrar esas aplicaciones, eximirlas de la nueva directiva y seguir implementando el cambio en el resto del inquilino.

Escoja un dominio para realizar este cambio inicialmente. Este es su dominio de prueba, por lo que debe elegir uno que pueda ser más receptivo a los cambios en la experiencia de usuario (por ejemplo, ver una página de inicio de sesión diferente). Se omitirán todas las sugerencias de dominio de todas las aplicaciones que usen este nombre de dominio. Configure esta directiva en la directiva de HRD predeterminada del inquilino:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
}

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Recopile comentarios de los usuarios del dominio de prueba. Recoja los detalles de las aplicaciones que se han interrumpido como resultado de este cambio: tienen una dependencia de uso de la sugerencia de dominio y deben actualizarse. Por ahora, agréguelas a la sección RespectDomainHintForApps:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
}

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Continúe expandiendo la implementación de la directiva a los nuevos dominios y recopile más comentarios.

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
}

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Complete la implementación: diríjase a todos los dominios, excepto a aquellos que deban seguir acelerados:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
}

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Una vez completado el paso 4, todos los usuarios, excepto los de guestHandlingDomain.com, pueden iniciar sesión en la página de inicio de sesión de Microsoft Entra, incluso cuando las sugerencias de dominio podrían provocar una aceleración automática en un IDP federado. La excepción a esto es si la aplicación que solicita el inicio de sesión es una de las exentas; para esas aplicaciones, todas las sugerencias de dominio seguirán siendo aceptadas.

Configuración de la Directiva mediante el Probador de Graph

Administre la directiva de detección del dominio de inicio mediante Microsoft Graph.

Inicie sesión en el Probador de Microsoft Graph con uno de los roles enumerados en la sección de requisitos previos.
Conceda el permiso Policy.ReadWrite.ApplicationConfiguration.
Use la directiva de detección del dominio de inicio para crear una nueva directiva.

Publique la nueva directiva o una revisión para actualizar la directiva existente.

PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Asegúrese de usar barras diagonales para provocar el escape de la sección JSON de Definition al usar Graph.

isOrganizationDefault debe ser true, pero el valor de displayName y la definición pueden cambiar.

Compartir vía

Detalles de DomainHintPolicy

Secciones de la directiva de respetar y omitir

Evaluación de directiva

Requisitos previos

Uso sugerido dentro de un inquilino

Configuración de la Directiva mediante el Probador de Graph

Pasos siguientes

Comentarios

Comentarios

Recursos adicionales

Compartir vía

Deshabilitación del inicio de sesión de aceleración automática

Detalles de DomainHintPolicy

Secciones de la directiva de respetar y omitir

Evaluación de directiva

Requisitos previos

Uso sugerido dentro de un inquilino

Configuración de la Directiva mediante el Probador de Graph

Pasos siguientes

Comentarios

Comentarios

Recursos adicionales