Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous apprendrez à désactiver la connexion à accélération automatique pour certains domaines et applications à l'aide de la stratégie de découverte du domaine d'accueil (HRD). Avec cette stratégie configurée, les administrateurs peuvent s’assurer que les utilisateurs utilisent toujours leurs informations d’identification managées, améliorant ainsi la sécurité et offrant une expérience de connexion cohérente.
La stratégie de Découverte de domaine d'accueil (HRD) offre aux administrateurs plusieurs moyens de contrôler le mode et l'emplacement d'authentification de leurs utilisateurs. La section domainHintPolicy de la stratégie HRD est utilisée pour faciliter la migration d'utilisateurs fédérés vers des informations d'identification managées dans le cloud telles que FIDO, en veillant à ce qu'ils visitent toujours la page de connexion à Microsoft Entra et ne soient pas automatiquement accélérés vers un fournisseur d'identité fédéré en raison d'indications de domaine. Pour en savoir plus sur la stratégie de découverte de domaine d’accueil, consultez Découverte du domaine d’accueil.
Cette stratégie est nécessaire dans les situations où les administrateurs ne peuvent pas contrôler ou mettre à jour les indicateurs de domaine pendant la connexion. Par exemple, outlook.com/contoso.com redirige l’utilisateur vers une page de connexion avec le paramètre &domain_hint=contoso.com ajouté afin d’accélérer automatiquement la connexion de l’utilisateur directement au fournisseur d’identité fédéré pour le domaine contoso.com. Les utilisateurs disposant d’informations d’identification managées envoyées à un fournisseur d’identité fédéré ne peuvent pas se connecter à l’aide de ces informations, ce qui a pour effet de réduire la sécurité et de frustrer les utilisateurs avec des expériences de connexion aléatoires. Les administrateurs qui déploient des informations d’identification managées doivent également configurer cette stratégie pour s’assurer que les utilisateurs peuvent toujours utiliser leurs informations d’identification managées.
Prerequisites
Pour désactiver la connexion à accélération automatique pour une application dans Microsoft Entra ID, vous avez besoin des éléments suivants :
- Compte Azure avec un abonnement actif. Si vous n’en avez pas déjà un, vous pouvez créer un compte gratuit.
- Un des rôles suivants : Administrateur d'application cloud, Administrateur d'application ou propriétaire du principal de service.
Configurer HRD pour empêcher les indicateurs de domaine à l’aide de Microsoft Graph PowerShell
Les administrateurs de domaines fédérés doivent configurer cette section de la stratégie HRD dans un plan en quatre phases. L’objectif de ce plan est d’aboutir à ce que tous les utilisateurs au sein d’un locataire utilisent leurs informations d’identification managées indépendamment du domaine ou de l’application, à l’exception des applications qui ont des dépendances dures par rapport à l’usage de domain_hint. Ce plan permet aux administrateurs de trouver ces applications, de les exempter de la nouvelle stratégie, et de continuer à déployer la modification sur le reste du locataire.
Sélectionnez un domaine sur lequel déployer initialement cette modification. Ce domaine est votre domaine de test. Choisissez-en un qui peut être plus réceptif aux modifications apportées à l’expérience utilisateur (par exemple, voir une autre page de connexion). L’exemple suivant est configuré pour ignorer tous les indicateurs de domaine de toutes les applications qui utilisent ce nom de domaine. Définissez cette stratégie dans votre stratégie HRD par défaut de locataire :
Exécutez la commande Connect pour vous connecter à Microsoft Entra ID avec au moins le rôle Administrateur d’application :
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
Exécutez la commande suivante pour empêcher les indicateurs de domaine pour le domaine de test.
# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": [] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsVeillez à remplacer les
app-client-Guidpar les GUID d'application réels et la valeur d'espace réservé de domaine par le domaine réel.Recueillez les commentaires des utilisateurs du domaine de test. Collectez les détails des applications qui se sont arrêtées à la suite de cette modification. Elles ont une dépendance par rapport à l’usage d’indication de domaine et nécessitent une mise à jour. Pour le moment, ajoutez-les à la section
RespectDomainHintForApps:# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsVeillez à remplacer les
app-client-Guidpar les GUID d'application réels et la valeur d'espace réservé de domaine par le domaine réel.Poursuivez le déploiement de la stratégie vers de nouveaux domaines et collectez plus de commentaires.
# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsVeillez à remplacer les
app-client-Guidpar les GUID d'application réels et la valeur d'espace réservé de domaine par le domaine réel.Terminez votre déploiement. Ciblez tous les domaines, en exemptant ceux qui doivent continuer à être accélérés :
$params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["*"], "RespectDomainHintForDomains": ["guestHandlingDomain.com"], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsVeillez à remplacer les
app-client-Guidpar les GUID d'application réels et la valeur d'espace réservé de domaine par le domaine réel.
Configurer HRD pour empêcher l'utilisation des indices de domaine à l’aide de Microsoft Graph
Les administrateurs de domaines fédérés doivent configurer cette section de la stratégie HRD dans un plan en quatre phases. L’objectif de ce plan est d’aboutir à ce que tous les utilisateurs au sein d’un locataire utilisent leurs informations d’identification managées indépendamment du domaine ou de l’application, à l’exception des applications qui ont des dépendances dures par rapport à l’usage de domain_hint. Ce plan permet aux administrateurs de trouver ces applications, de les exempter de la nouvelle stratégie, et de continuer à déployer la modification sur le reste du locataire.
Dans la fenêtre de l’Explorateur Microsoft Graph, connectez-vous avec au moins le rôle Administrateur d’application .
Obtenez le consentement à l’autorisation Policy.ReadWrite.ApplicationConfiguration.
Sélectionnez un domaine sur lequel déployer initialement cette modification. Ce domaine est votre domaine de test. Choisissez-en un qui peut être plus réceptif aux modifications apportées à l’expérience utilisateur (par exemple, voir une autre page de connexion). Cela a pour effet d’ignorer toutes les indications de domaine de toutes les applications qui utilisent ce nom de domaine. Définissez cette stratégie dans votre stratégie HRD par défaut du locataire. POST une nouvelle stratégie ou PATCH pour la mise à jour d'une stratégie existante.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }Recueillez les commentaires des utilisateurs du domaine de test. Collectez les détails des applications qui se sont arrêtées à la suite de cette modification. Elles ont une dépendance par rapport à l’usage d’indication de domaine et nécessitent une mise à jour. Pour le moment, ajoutez-les à la section
RespectDomainHintForApps:PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy6", "isOrganizationDefault": false }Poursuivez le déploiement de la stratégie vers de nouveaux domaines et collectez plus de commentaires.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }Effectuez votre déploiement : ciblez tous les domaines, en exemptant ces domaines qui doivent continuer à être accélérés :
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }
Une fois l'étape 4 accomplie, tous les utilisateurs, à l'exception de ceux figurant dans guestHandlingDomain.com, peuvent se connecter via la page de connexion à Microsoft Entra, même si des indications de domaine risquent de provoquer une accélération automatique vers un fournisseur d'identité fédéré. L’exception à ce paramètre est si l’application demandant la connexion est l’une des applications exemptées : pour ces applications, tous les indicateurs de domaine sont toujours acceptés.
Détails de DomainHintPolicy
La section DomainHintPolicy de la stratégie HRD est un objet JSON qui permet à un administrateur de refuser à certains domaines et applications d’utiliser des indications de domaine. Fonctionnellement, cette section indique à la page de connexion Microsoft Entra de se comporter comme si un domain_hint paramètre sur la demande de connexion n’était pas présent.
Sections Respect et Ignore de la stratégie
| Section | Signification | Valeurs |
|---|---|---|
IgnoreDomainHintForDomains |
Si cette indication de domaine est envoyée dans la demande, l’ignorer. | Tableau d’adresses de domaine (par exemple, contoso.com). Prend également en charge all_domains. |
RespectDomainHintForDomains |
Si cet indicateur de domaine est envoyé dans la demande, le respecter même si IgnoreDomainHintForApps indique que l’application dans la demande ne doit pas accélérer automatiquement. Cette propriété est destinée à ralentir le déploiement des indicateurs de domaine déconseillés au sein de votre réseau . Vous pouvez indiquer que certains domaines doivent toujours être accélérés. |
Tableau d’adresses de domaine (par exemple, contoso.com). Prend également en charge all_domains. |
IgnoreDomainHintForApps |
Si une demande de cette application inclut une indication de domaine, l’ignorer. | Tableau d’ID d’application (GUID). Prend également en charge all_apps. |
RespectDomainHintForApps |
Si une demande de cette application inclut une indication de domaine, la respecter même si la section IgnoreDomainHintForDomains inclut ce domaine. Utilisée pour garantir que certaines applications continuent de fonctionner si vous découvrez qu’elles s’arrêtent sans indication de domaine. |
Tableau d’ID d’application (GUID). Prend également en charge all_apps. |
Évaluation de la stratégie
La logique DomainHintPolicy s’exécute sur chaque demande entrante contenant une indication de domaine, et accélère en fonction de deux éléments de données dans la demande : le domaine dans l’indication de domaine et l’ID client (l’application). En bref : « Respect » d’un domaine ou d’une application est prioritaire sur une instruction pour « Ignorer » un indicateur de domaine pour un domaine ou une application donné.
- En l’absence de stratégie d’indicateur de domaine ou si aucune des quatre sections référence l’application ou l’indicateur de domaine mentionné, le reste de la stratégie HRD est évalué.
- Si l’une ou l’autre des sections
RespectDomainHintForAppsouRespectDomainHintForDomains(ou les deux) inclut une indication d’application ou de domaine dans la requête, la connexion de l’utilisateur au fournisseur d’identité fédéré est automatiquement accélérée comme requis. - Si l'une ou l'autre des instructions
IgnoreDomainHintsForAppsouIgnoreDomainHintsForDomains(ou les deux) renvoie (renvoient) à l'application ou à l'indication ou de domaine dans la requête, et si celles-ci ne sont pas référencées dans les sections « Respect », la requête n'est pas accélérée automatiquement et l'utilisateur reste à la page de connexion Microsoft Entra pour fournir un nom d'utilisateur.
Une fois qu’un utilisateur entre un nom d’utilisateur dans la page de connexion, il peut utiliser ses informations d’identification managées. S'ils choisissent de ne pas utiliser d'identifiants managés, ou s'ils n’en ont enregistré aucun, ils sont dirigés vers leur fournisseur d'identité fédéré pour la saisie des identifiants comme à l'accoutumée.