Désactiver la connexion d’auto-accélération

La stratégie Découverte de domaine d’accueil (HRD) offre aux administrateurs plusieurs moyens de contrôler le mode et l’emplacement d’authentification de leurs utilisateurs. La section domainHintPolicy de la stratégie HRD est utilisée pour faciliter la migration d’utilisateurs fédérés vers des informations d’identification managées dans le cloud comme FIDO, en veillant à ce qu’ils visitent toujours la page de connexion Microsoft Entra et ne soient pas automatiquement accélérés vers un fournisseur d’identité fédéré en raison d’indications de domaine. Pour en savoir plus sur la stratégie de découverte de domaine d’accueil, consultez Découverte du domaine d’accueil.

Cette stratégie est nécessaire dans les situations où les administrateurs ne peuvent pas contrôler ou mettre à jour les indications de domaine lors de la connexion. Par exemple, outlook.com/contoso.com redirige l’utilisateur vers une page de connexion avec le paramètre &domain_hint=contoso.com ajouté afin d’accélérer automatiquement la connexion de l’utilisateur directement au fournisseur d’identité fédéré pour le domaine contoso.com. Les utilisateurs disposant d’informations d’identification managées envoyées à un fournisseur d’identité fédéré ne peuvent pas se connecter à l’aide de ces informations, ce qui a pour effet de réduire la sécurité et de frustrer les utilisateurs avec des expériences de connexion aléatoires. Les administrateurs déployant des informations d’identification managées doivent également configurer cette stratégie pour s’assurer que les utilisateurs peuvent toujours utiliser ces informations.

Détails de DomainHintPolicy

La section DomainHintPolicy de la stratégie HRD est un objet JSON qui permet à un administrateur de refuser à certains domaines et applications d’utiliser des indications de domaine. Sur le plan fonctionnel, cela indique à la page de connexion Microsoft Entra de se comporter comme si un paramètre domain_hint était introuvable dans la demande de connexion.

Sections Respect et Ignore de la stratégie

Section	Signification	Valeurs
IgnoreDomainHintForDomains	Si cette indication de domaine est envoyée dans la demande, l’ignorer.	Tableau d’adresses de domaine (par exemple, contoso.com). Prend également en charge all_domains.
RespectDomainHintForDomains	Si cet indicateur de domaine est envoyé dans la demande, le respecter même si IgnoreDomainHintForApps indique que l’application dans la demande ne doit pas accélérer automatiquement. Utilisée pour ralentir le déploiement d’indications de domaine en cours de dépréciation au sein de votre réseau. Vous pouvez indiquer que certains domaines doivent toujours être accélérés.	Tableau d’adresses de domaine (par exemple, contoso.com). Prend également en charge all_domains.
IgnoreDomainHintForApps	Si une demande de cette application inclut une indication de domaine, l’ignorer.	Tableau d’ID d’application (GUID). Prend également en charge all_apps.
RespectDomainHintForApps	Si une demande de cette application inclut une indication de domaine, la respecter même si la section IgnoreDomainHintForDomains inclut ce domaine. Utilisée pour garantir que certaines applications continuent de fonctionner si vous découvrez qu’elles s’arrêtent sans indication de domaine.	Tableau d’ID d’application (GUID). Prend également en charge all_apps.

Évaluation de la stratégie

La logique DomainHintPolicy s’exécute sur chaque demande entrante contenant une indication de domaine, et accélère en fonction de deux éléments de données dans la demande : le domaine dans l’indication de domaine et l’ID client (l’application). En bref, l’instruction « Respect » pour un domaine ou une application prend le pas sur l’instruction « Ignore » relative à une indication de domaine pour un domaine ou une application donnés.

• En l’absence de toute stratégie d’indication de domaine, ou si aucune des quatre sections ne référence l’indication d’application ou de domaine mentionnée, le reste de la stratégie HRD est évalué.
• Si l’une ou l’autre des sections RespectDomainHintForApps ou RespectDomainHintForDomains (ou les deux) inclut une indication d’application ou de domaine dans la requête, la connexion de l’utilisateur au fournisseur d’identité fédéré est automatiquement accélérée comme requis.
• Si l’une des instructions IgnoreDomainHintsForApps ou IgnoreDomainHintsForDomains ou les deux référencent l’indication d’application ou de domaine dans la demande et qu’elles ne sont pas référencées dans les sections « Respect », la demande n’est pas accélérée automatiquement et l’utilisateur reste à la page de connexion Microsoft Entra pour fournir un nom d’utilisateur.

Lorsqu’un utilisateur a entré un nom d’utilisateur sur la page de connexion, il peut utiliser ses informations d’identification managées. S’il choisit de ne pas utiliser d’informations d’identification managées, ou s’il n’en a inscrite aucune, il est redirigé vers son fournisseur d’identité fédéré pour entrer ses informations d’identification comme d’habitude.

Prérequis

Pour désactiver la connexion à accélération automatique pour une application dans Microsoft Entra ID, vous avez besoin des éléments suivants :

• Compte Azure avec un abonnement actif. Si vous n’en avez pas déjà un, vous pouvez créer un compte gratuit.
• Un des rôles suivants : Administrateur général ou propriétaire du principal du service.

• Module Microsoft Graph PowerShell.

Usage suggéré dans un locataire

Les administrateurs de domaines fédérés doivent configurer cette section de la stratégie HRD dans un plan en quatre phases. L’objectif de ce plan est d’aboutir à ce que tous les utilisateurs au sein d’un locataire utilisent leurs informations d’identification managées indépendamment du domaine ou de l’application, à l’exception des applications qui ont des dépendances dures par rapport à l’usage de domain_hint. Ce plan permet aux administrateurs de trouver ces applications, de les exempter de la nouvelle stratégie, et de continuer à déployer la modification sur le reste du locataire.

1. Sélectionnez un domaine sur lequel déployer initialement cette modification. Comme c’est votre domaine de test, choisissez-en un qui peut être plus réceptif aux modifications apportées à l’expérience utilisateur (par exemple, affichage d’une page de connexion différente). Cela a pour effet d’ignorer toutes les indications de domaine de toutes les applications qui utilisent ce nom de domaine. Définissez cette stratégie dans votre stratégie HRD par défaut de locataire :

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

2. Recueillez les commentaires des utilisateurs du domaine de test. Collectez les détails des applications qui se sont arrêtées à la suite de cette modification. Elles ont une dépendance par rapport à l’usage d’indication de domaine et nécessitent une mise à jour. Pour le moment, ajoutez-les à la section RespectDomainHintForApps :

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

3. Continuez à étendre le déploiement de la stratégie à de nouveaux domaines, en recueillant davantage de commentaires.

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

4. Terminez votre déploiement. Ciblez tous les domaines, en exemptant ceux qui doivent continuer à être accélérés :

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Une fois l’étape 4 accomplie, tous les utilisateurs, à l’exception de ceux figurant dans guestHandlingDomain.com, peuvent se connecter à l’aide de la page de connexion Microsoft Entra, même si des indications de domaine risquent de provoquer une accélération automatique vers un fournisseur d’identité fédéré. Le fait que l’application demandant la connexion soit l’une des applications exemptées est la seule exception à cela. Pour toutes ces applications, les indications de domaine sont toujours acceptées.

Configuration de stratégie via l’Explorateur graphique

Gérez la stratégie de Découverte du Domaine d’Accueil à l’aide de Microsoft Graph.

1. Connectez-vous à l’Explorateur Microsoft Graph avec l’un des rôles répertoriés dans la section Prérequis.

2. Accordez l'autorisation Policy.ReadWrite.ApplicationConfiguration.

3. Utilisez la stratégie de découverte du domaine d’accueil pour créer une nouvelle stratégie.

4. POST la nouvelle politique ou PATCH pour mettre à jour une stratégie existante.

   PATCH /policies/homeRealmDiscoveryPolicies/{id}
   {
       "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
       "definition":[
           "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
       ],
       "isOrganizationDefault":true
   }
   

Veillez à utiliser des barres obliques pour échapper la section JSON Definition lors de l’utilisation de Graph.

La valeur de isOrganizationDefault doit être true, mais le nom d’affichage et la définition peuvent changer.

Étapes suivantes

• Activer la connexion par clé de sécurité sans mot de passe
• Activer la connexion sans mot de passe avec l’application Microsoft Authenticator