Bejelentkezési viselkedés konfigurálása a Home Realm Discovery használatával
Ez a cikk bemutatja a Microsoft Entra hitelesítési viselkedésének konfigurálását a Home Realm Discovery (HRD) házirendet használó összevont felhasználók számára. Ez magában foglalja az automatikus gyorsítású bejelentkezés használatát a felhasználónév beviteli képernyőjének kihagyásához, és automatikusan továbbítja a felhasználókat az összevont bejelentkezési végpontokhoz. Ha többet szeretne megtudni a HRD-szabályzatról, tekintse meg a Home Realm Discovery cikket.
Automatikus gyorsítású bejelentkezés
Egyes szervezetek úgy konfigurálják a Microsoft Entra-bérlő tartományait, hogy egy másik identitásszolgáltatóval (IDP-vel) egyesítsék őket, például Active Directory összevonási szolgáltatások (AD FS) (ADFS) a felhasználói hitelesítéshez. Amikor egy felhasználó bejelentkezik egy alkalmazásba, először megjelenik egy Microsoft Entra bejelentkezési oldal. Miután beírták a felhasználónevet (UPN), ha összevont tartományban vannak, akkor a rendszer az adott tartományt kiszolgáló identitásszolgáltató bejelentkezési oldalára irányítja őket. Bizonyos körülmények között előfordulhat, hogy a rendszergazdák a bejelentkezési oldalra szeretnék irányítani a felhasználókat, amikor bizonyos alkalmazásokba jelentkeznek be. Ennek eredményeképpen a felhasználók kihagyhatják a Microsoft Entra-azonosító kezdeti oldalát. Ezt a folyamatot nevezik "bejelentkezési automatikus gyorsításnak".
A felhőalapú hitelesítő adatokkal , például SMS-bejelentkezéssel vagy FIDO-kulcsokkal rendelkező összevont felhasználók esetében meg kell akadályoznia a bejelentkezés automatikus gyorsítását. Az automatikus gyorsítási bejelentkezés letiltása című cikkből megtudhatja, hogyan akadályozhatja meg a tartománymutatókat a HRD-vel.
Fontos
2023 áprilisától az automatikus gyorsítást vagy smartlinkeket használó szervezetek új képernyőt láthatnak a bejelentkezési felhasználói felületen. Ez a tartománymegerősítő párbeszédpanel a Microsoft általános biztonsági megerősítése iránti elkötelezettségének része, és megköveteli a felhasználótól, hogy erősítse meg annak a bérlőnek a tartományát, ahová bejelentkezik. Ha megjelenik a Tartomány megerősítése párbeszédpanel, és nem ismeri fel a bérlői tartományt a listában, szakítsa meg a hitelesítési folyamatot, és forduljon a rendszergazdához.
További információkért látogasson el a Domain Confirmation Dialog (Tartomány megerősítése) párbeszédpanelre.
Előfeltételek
A HRD-szabályzat Microsoft Entra-azonosítóban lévő alkalmazáshoz való konfigurálásához a következőkre van szükség:
- Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
- Az alábbi szerepkörök egyike: Alkalmazásadminisztrátor, felhőalkalmazás-rendszergazda vagy a szolgáltatásnév tulajdonosa.
- Az Azure AD PowerShell legújabb parancsmagjának előzetes verziója.
HRD-szabályzat beállítása egy alkalmazásban
Az Azure AD PowerShell-parancsmagokkal áttekintünk néhány forgatókönyvet, többek között a következőket:
A Microsoft Graph segítségével bemutatunk néhány forgatókönyvet, többek között a következőket:
A HRD-szabályzat beállítása automatikus gyorsításhoz egy bérlői alkalmazáshoz egyetlen összevont tartománnyal.
A HRD-szabályzat beállítása az alkalmazások automatikus gyorsításához a bérlő számára ellenőrzött tartományok egyikére.
A HRD-szabályzat beállítása, amely lehetővé teszi egy örökölt alkalmazás számára, hogy közvetlen felhasználónevet/jelszót adjon meg a Microsoft Entra-azonosítónak egy összevont felhasználó számára.
Azon alkalmazások felsorolása, amelyekhez szabályzat van konfigurálva.
Az alábbi példákban HRD-szabályzatokat hozhat létre, frissíthet, csatolhat és törölhet a Microsoft Entra-azonosítóban lévő alkalmazásszolgáltatás-tagokon.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Mielőtt hozzákezdene, futtassa a Connect parancsot a Microsoft Entra-azonosítóba való bejelentkezéshez a rendszergazdai fiókkal:
Connect-AzureAD -Confirm
Futtassa a következő parancsot a szervezet összes szabályzatának megtekintéséhez:
Get-AzureADPolicy
Ha semmit sem ad vissza, az azt jelenti, hogy nem hozott létre szabályzatokat a bérlőjében.
HRD-szabályzat létrehozása
Ebben a példában egy olyan szabályzatot hoz létre, amely egy alkalmazáshoz rendelve a következő:
- Automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, amikor bejelentkeznek egy alkalmazásba, amikor egyetlen tartomány található a bérlőben.
- Automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, ha a bérlőben több összevont tartomány található.
- Engedélyezi a nem interaktív felhasználónév/jelszó közvetlen bejelentkezését a Microsoft Entra-azonosítóba az összevont felhasználók számára azokhoz az alkalmazásokhoz, amelyekhez a szabályzat hozzá van rendelve.
Az alábbi szabályzat automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, amikor bejelentkeznek egy alkalmazásba, amikor egyetlen tartomány található a bérlőben.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true
}
Az alábbi szabályzat automatikusan felgyorsítja a felhasználókat egy összevont identitásszolgáltató bejelentkezési képernyőjére, ha több összevont tartomány van a bérlőben. Ha több összevont tartománya van, amely hitelesíti a felhasználókat az alkalmazásokhoz, meg kell adnia a tartományt az automatikus gyorsításhoz.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}")
-DisplayName MultiDomainAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": [
"federated.example.edu"
]
}
Az alábbi szabályzat lehetővé teszi a felhasználónevek/jelszavak hitelesítését az összevont felhasználók számára közvetlenül a Microsoft Entra-azonosítóval adott alkalmazások esetében:
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}")
-DisplayName EnableDirectAuthPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"EnableDirectAuthPolicy": {
"AllowCloudPasswordValidation": true
}
Az új szabályzat megtekintéséhez és az ObjectID beszerzéséhez futtassa a következő parancsot:
Get-AzureADPolicy
Ha a HRD-szabályzatot a létrehozása után szeretné alkalmazni, több alkalmazásszolgáltatás-taghoz is hozzárendelheti.
Keresse meg a szabályzathoz hozzárendelni kívánt szolgáltatásnevet
Szüksége van azoknak a szolgáltatásneveknek az ObjectID azonosítójára , amelyekhez hozzá szeretné rendelni a szabályzatot. A szolgáltatásnevek ObjectID azonosítóját többféleképpen is megkeresheti.
Használhatja a Microsoft Entra felügyeleti központot, vagy lekérdezheti a Microsoft Graphot. A Graph Explorer eszközre is léphet, és bejelentkezhet a Microsoft Entra-fiókjába, és megtekintheti a szervezet összes szolgáltatásnevét.
Mivel a PowerShellt használja, a következő parancsmaggal listázhatja a szolgáltatásnevek és azok azonosítóit.
Get-AzureADServicePrincipal
A szabályzat hozzárendelése a szolgáltatásnévhez
Miután rendelkezik annak az alkalmazásnak a szolgáltatásnévével, amelyhez automatikus gyorsítást szeretne konfigurálni, futtassa a következő parancsot. Ez a parancs társítja az 1. lépésben létrehozott HRD-szabályzatot a 2. lépésben található szolgáltatásnévvel.
Add-AzureADServicePrincipalPolicy
-Id <ObjectID of the Service Principal>
-RefObjectId <ObjectId of the Policy>
Ezt a parancsot minden olyan szolgáltatásnévnél megismételheti, amelyhez hozzá szeretné adni a szabályzatot.
Abban az esetben, ha egy alkalmazás már rendelkezik HomeRealmDiscovery szabályzattal, nem vehet fel másodikat. Ebben az esetben módosítsa az alkalmazáshoz rendelt HRD-szabályzat definícióját további paraméterek hozzáadásához.
Annak ellenőrzése, hogy a HRD-szabályzat mely szolgáltatásnevekhez van hozzárendelve
Annak ellenőrzéséhez, hogy mely alkalmazásokhoz van konfigurálva a HRD-szabályzat, használja a Get-AzureADPolicyAppliedObject parancsmagot. Adja át annak a szabályzatnak az ObjectID azonosítóját , amelyet ellenőrizni szeretne.
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Próbálja meg az alkalmazást annak ellenőrzéséhez, hogy az új szabályzat működik-e.
Azon alkalmazások listázása, amelyekhez a HRD-szabályzat konfigurálva van
A szervezetben létrehozott összes szabályzat listázása
Get-AzureADPolicy
Figyelje meg annak a szabályzatnak az ObjectID azonosítóját , amelynek a hozzárendeléseit listázni szeretné.
Azon szolgáltatásnevek listázása, amelyekhez a szabályzat hozzá van rendelve
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
HRD-szabályzat eltávolítása egy alkalmazásból
Az ObjectID lekérése
Az előző példában lekérheti a szabályzat ObjectID azonosítóját , valamint annak az alkalmazásszolgáltatásnak az azonosítóját, amelyből el szeretné távolítani.
Szabályzat-hozzárendelés eltávolítása az application service principal-ből
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal> -PolicyId <ObjectId of the policy>
Az eltávolítás ellenőrzéséhez sorolja fel azokat a szolgáltatásneveket, amelyekhez a szabályzat hozzá van rendelve
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Szabályzat konfigurálása a Graph Explorer használatával
A Microsoft Graph Explorer ablakából:
Jelentkezzen be az előfeltételek szakaszban felsorolt szerepkörök egyikével.
Adjon hozzájárulást az
Policy.ReadWrite.ApplicationConfiguration
engedélyhez.Új szabályzat létrehozásához használja a Kezdőlap tartományfelderítési szabályzatát .
TEGYE KÖZZÉ az új szabályzatot vagy a PATCH-et egy meglévő szabályzat frissítéséhez.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "definition": [ "{\"HomeRealmDiscoveryPolicy\": {\"AccelerateToFederatedDomain\":true, \"PreferredDomain\":\"federated.example.edu\", \"AlternateIdLogin\":{\"Enabled\":true}}}" ], "displayName": "Home Realm Discovery auto acceleration", "isOrganizationDefault": true }
Az új szabályzat megtekintéséhez futtassa a következő lekérdezést:
GET /policies/homeRealmDiscoveryPolicies/{id}
Az új szabályzat hozzárendelése egy alkalmazáshoz:
POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
Vagy
POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
Azon szolgáltatásnevek listázása, amelyekhez a szabályzat hozzá van rendelve
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
A létrehozott HRD-szabályzat törléséhez futtassa a lekérdezést:
DELETE /policies/homeRealmDiscoveryPolicies/{id}
Szabályzat-hozzárendelés eltávolítása a szolgáltatásnévről
DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
vagy
DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
Az eltávolítás ellenőrzéséhez sorolja fel azokat a szolgáltatásneveket, amelyekhez a szabályzat hozzá van rendelve
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo