Megosztás a következőn keresztül:


Bejelentkezési viselkedés konfigurálása a Home Realm Discovery használatával

Ez a cikk bemutatja a Microsoft Entra hitelesítési viselkedésének konfigurálását a Home Realm Discovery (HRD) házirendet használó összevont felhasználók számára. Ez magában foglalja az automatikus gyorsítású bejelentkezés használatát a felhasználónév beviteli képernyőjének kihagyásához, és automatikusan továbbítja a felhasználókat az összevont bejelentkezési végpontokhoz. Ha többet szeretne megtudni a HRD-szabályzatról, tekintse meg a Home Realm Discovery cikket.

Automatikus gyorsítású bejelentkezés

Egyes szervezetek úgy konfigurálják a Microsoft Entra-bérlő tartományait, hogy egy másik identitásszolgáltatóval (IDP-vel) egyesítsék őket, például Active Directory összevonási szolgáltatások (AD FS) (ADFS) a felhasználói hitelesítéshez. Amikor egy felhasználó bejelentkezik egy alkalmazásba, először megjelenik egy Microsoft Entra bejelentkezési oldal. Miután beírták a felhasználónevet (UPN), ha összevont tartományban vannak, akkor a rendszer az adott tartományt kiszolgáló identitásszolgáltató bejelentkezési oldalára irányítja őket. Bizonyos körülmények között előfordulhat, hogy a rendszergazdák a bejelentkezési oldalra szeretnék irányítani a felhasználókat, amikor bizonyos alkalmazásokba jelentkeznek be. Ennek eredményeképpen a felhasználók kihagyhatják a Microsoft Entra-azonosító kezdeti oldalát. Ezt a folyamatot nevezik "bejelentkezési automatikus gyorsításnak".

A felhőalapú hitelesítő adatokkal , például SMS-bejelentkezéssel vagy FIDO-kulcsokkal rendelkező összevont felhasználók esetében meg kell akadályoznia a bejelentkezés automatikus gyorsítását. Az automatikus gyorsítási bejelentkezés letiltása című cikkből megtudhatja, hogyan akadályozhatja meg a tartománymutatókat a HRD-vel.

Fontos

2023 áprilisától az automatikus gyorsítást vagy smartlinkeket használó szervezetek új képernyőt láthatnak a bejelentkezési felhasználói felületen. Ez a tartománymegerősítő párbeszédpanel a Microsoft általános biztonsági megerősítése iránti elkötelezettségének része, és megköveteli a felhasználótól, hogy erősítse meg annak a bérlőnek a tartományát, ahová bejelentkezik. Ha megjelenik a Tartomány megerősítése párbeszédpanel, és nem ismeri fel a bérlői tartományt a listában, szakítsa meg a hitelesítési folyamatot, és forduljon a rendszergazdához.

További információkért látogasson el a Domain Confirmation Dialog (Tartomány megerősítése) párbeszédpanelre.

Előfeltételek

A HRD-szabályzat Microsoft Entra-azonosítóban lévő alkalmazáshoz való konfigurálásához a következőkre van szükség:

  • Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • Az alábbi szerepkörök egyike: Alkalmazásadminisztrátor, felhőalkalmazás-rendszergazda vagy a szolgáltatásnév tulajdonosa.
  • Az Azure AD PowerShell legújabb parancsmagjának előzetes verziója.

HRD-szabályzat beállítása egy alkalmazásban

Az Azure AD PowerShell-parancsmagokkal áttekintünk néhány forgatókönyvet, többek között a következőket:

A Microsoft Graph segítségével bemutatunk néhány forgatókönyvet, többek között a következőket:

  • A HRD-szabályzat beállítása automatikus gyorsításhoz egy bérlői alkalmazáshoz egyetlen összevont tartománnyal.

  • A HRD-szabályzat beállítása az alkalmazások automatikus gyorsításához a bérlő számára ellenőrzött tartományok egyikére.

  • A HRD-szabályzat beállítása, amely lehetővé teszi egy örökölt alkalmazás számára, hogy közvetlen felhasználónevet/jelszót adjon meg a Microsoft Entra-azonosítónak egy összevont felhasználó számára.

  • Azon alkalmazások felsorolása, amelyekhez szabályzat van konfigurálva.

Az alábbi példákban HRD-szabályzatokat hozhat létre, frissíthet, csatolhat és törölhet a Microsoft Entra-azonosítóban lévő alkalmazásszolgáltatás-tagokon.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

  1. Mielőtt hozzákezdene, futtassa a Connect parancsot a Microsoft Entra-azonosítóba való bejelentkezéshez a rendszergazdai fiókkal:

    Connect-AzureAD -Confirm
    
  2. Futtassa a következő parancsot a szervezet összes szabályzatának megtekintéséhez:

    Get-AzureADPolicy
    

Ha semmit sem ad vissza, az azt jelenti, hogy nem hozott létre szabályzatokat a bérlőjében.

HRD-szabályzat létrehozása

Ebben a példában egy olyan szabályzatot hoz létre, amely egy alkalmazáshoz rendelve a következő:

  • Automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, amikor bejelentkeznek egy alkalmazásba, amikor egyetlen tartomány található a bérlőben.
  • Automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, ha a bérlőben több összevont tartomány található.
  • Engedélyezi a nem interaktív felhasználónév/jelszó közvetlen bejelentkezését a Microsoft Entra-azonosítóba az összevont felhasználók számára azokhoz az alkalmazásokhoz, amelyekhez a szabályzat hozzá van rendelve.

Az alábbi szabályzat automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, amikor bejelentkeznek egy alkalmazásba, amikor egyetlen tartomány található a bérlőben.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true
}

Az alábbi szabályzat automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, ha több összevont tartomány van a bérlőben. Ha több összevont tartománya van, amely hitelesíti a felhasználókat az alkalmazásokhoz, meg kell adnia a tartományt az automatikus gyorsításhoz.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") 
    -DisplayName MultiDomainAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true,
    "PreferredDomain": [
      "federated.example.edu"
    ]
}

Az alábbi szabályzat lehetővé teszi a felhasználónevek/jelszavak hitelesítését az összevont felhasználók számára közvetlenül a Microsoft Entra-azonosítóval adott alkalmazások esetében:

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") 
    -DisplayName EnableDirectAuthPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"EnableDirectAuthPolicy": {
    "AllowCloudPasswordValidation": true
}

Az új szabályzat megtekintéséhez és az ObjectID beszerzéséhez futtassa a következő parancsot:

Get-AzureADPolicy

Ha a HRD-szabályzatot a létrehozása után szeretné alkalmazni, több alkalmazásszolgáltatás-taghoz is hozzárendelheti.

Keresse meg a szabályzathoz hozzárendelni kívánt szolgáltatásnevet

Szüksége van azoknak a szolgáltatásneveknek az ObjectID azonosítójára , amelyekhez hozzá szeretné rendelni a szabályzatot. A szolgáltatásnevek ObjectID azonosítóját többféleképpen is megkeresheti.

Használhatja a Microsoft Entra felügyeleti központot, vagy lekérdezheti a Microsoft Graphot. A Graph Explorer eszközre is léphet, és bejelentkezhet a Microsoft Entra-fiókjába, és megtekintheti a szervezet összes szolgáltatásnevét.

Mivel a PowerShellt használja, a következő parancsmaggal listázhatja a szolgáltatásnevek és azok azonosítóit.

Get-AzureADServicePrincipal

A szabályzat hozzárendelése a szolgáltatásnévhez

Miután rendelkezik annak az alkalmazásnak a szolgáltatásnévével, amelyhez automatikus gyorsítást szeretne konfigurálni, futtassa a következő parancsot. Ez a parancs társítja az 1. lépésben létrehozott HRD-szabályzatot a 2. lépésben található szolgáltatásnévvel.

Add-AzureADServicePrincipalPolicy 
    -Id <ObjectID of the Service Principal> 
    -RefObjectId <ObjectId of the Policy>

Ezt a parancsot minden olyan szolgáltatásnévnél megismételheti, amelyhez hozzá szeretné adni a szabályzatot.

Abban az esetben, ha egy alkalmazás már rendelkezik HomeRealmDiscovery szabályzattal, nem vehet fel másodikat. Ebben az esetben módosítsa az alkalmazáshoz rendelt HRD-szabályzat definícióját további paraméterek hozzáadásához.

Annak ellenőrzése, hogy a HRD-szabályzat mely szolgáltatásnevekhez van hozzárendelve

Annak ellenőrzéséhez, hogy mely alkalmazásokhoz van konfigurálva a HRD-szabályzat, használja a Get-AzureADPolicyAppliedObject parancsmagot. Adja át annak a szabályzatnak az ObjectID azonosítóját , amelyet ellenőrizni szeretne.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Próbálja meg az alkalmazást annak ellenőrzéséhez, hogy az új szabályzat működik-e.

Azon alkalmazások listázása, amelyekhez a HRD-szabályzat konfigurálva van

  1. A szervezetben létrehozott összes szabályzat listázása

    Get-AzureADPolicy
    

Figyelje meg annak a szabályzatnak az ObjectID azonosítóját , amelynek a hozzárendeléseit listázni szeretné.

  1. Azon szolgáltatásnevek listázása, amelyekhez a szabályzat hozzá van rendelve

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

HRD-szabályzat eltávolítása egy alkalmazásból

  1. Az ObjectID lekérése

    Az előző példában lekérheti a szabályzat ObjectID azonosítóját , valamint annak az alkalmazásszolgáltatásnak az azonosítóját, amelyből el szeretné távolítani.

  2. Szabályzat-hozzárendelés eltávolítása az application service principal-ből

    Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>
    
  3. Az eltávolítás ellenőrzéséhez sorolja fel azokat a szolgáltatásneveket, amelyekhez a szabályzat hozzá van rendelve

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

Szabályzat konfigurálása a Graph Explorer használatával

A Microsoft Graph Explorer ablakából:

  1. Jelentkezzen be az előfeltételek szakaszban felsorolt szerepkörök egyikével.

  2. Adjon hozzájárulást az Policy.ReadWrite.ApplicationConfiguration engedélyhez.

  3. Új szabályzat létrehozásához használja a Kezdőlap tartományfelderítési szabályzatát .

  4. TEGYE KÖZZÉ az új szabályzatot vagy a PATCH-et egy meglévő szabályzat frissítéséhez.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
        {
            "definition": [
            "{\"HomeRealmDiscoveryPolicy\":
            {\"AccelerateToFederatedDomain\":true,
            \"PreferredDomain\":\"federated.example.edu\",
            \"AlternateIdLogin\":{\"Enabled\":true}}}"
        ],
            "displayName": "Home Realm Discovery auto acceleration",
            "isOrganizationDefault": true
        }
    
  5. Az új szabályzat megtekintéséhez futtassa a következő lekérdezést:

    GET /policies/homeRealmDiscoveryPolicies/{id}
    
  6. Az új szabályzat hozzárendelése egy alkalmazáshoz:

    POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
    

    Vagy

    POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
    
  7. Azon szolgáltatásnevek listázása, amelyekhez a szabályzat hozzá van rendelve

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    
  8. A létrehozott HRD-szabályzat törléséhez futtassa a lekérdezést:

    DELETE /policies/homeRealmDiscoveryPolicies/{id}
    
  9. Szabályzat-hozzárendelés eltávolítása a szolgáltatásnévről

    DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
    

    vagy

    DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
    
  10. Az eltávolítás ellenőrzéséhez sorolja fel azokat a szolgáltatásneveket, amelyekhez a szabályzat hozzá van rendelve

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    

Következő lépések