Automatikus gyorsítási bejelentkezés letiltása
A Home Realm Discovery (HRD) szabályzat több módszert is kínál a rendszergazdák számára annak szabályozására, hogy a felhasználók hogyan és hol hitelesítsék magukat. A domainHintPolicy
HRD-szabályzat szakasza segít az összevont felhasználók felhőbeli felügyelt hitelesítő adatokba, például a FIDO-ba való migrálásában, biztosítva, hogy mindig felkeressék a Microsoft Entra bejelentkezési oldalát, és ne gyorsítsák fel automatikusan az összevont identitásszolgáltatóra a tartományi tippek miatt. A HRD-szabályzattal kapcsolatos további információkért lásd : Home Realm Discovery.
Erre a szabályzatra olyan helyzetekben van szükség, amikor a rendszergazdák nem tudják szabályozni vagy frissíteni a tartományi tippeket a bejelentkezés során. Például outlook.com/contoso.com
elküldi a felhasználót egy bejelentkezési lapra a &domain_hint=contoso.com
hozzáfűzett paraméterrel, hogy automatikusan felgyorsítsa a felhasználót közvetlenül a contoso.com
tartomány összevont identitásszolgáltatójához. Az összevont identitásszolgáltatónak küldött felügyelt hitelesítő adatokkal rendelkező felhasználók nem tudnak bejelentkezni a felügyelt hitelesítő adataikkal, így csökkenthetik a biztonságot, és frusztrálhatják a véletlenszerű bejelentkezési élményekkel rendelkező felhasználókat. A felügyelt hitelesítő adatokat használó rendszergazdáknak is be kell állítaniuk ezt a házirendet , hogy a felhasználók mindig használhassák a felügyelt hitelesítő adataikat.
DomainHintPolicy részletei
A HRD-szabályzat DomainHintPolicy szakasza egy JSON-objektum, amely lehetővé teszi a rendszergazda számára, hogy bizonyos tartományokat és alkalmazásokat letiltson a tartománymutató-használatból. Ez funkcionálisan azt jelzi a Microsoft Entra bejelentkezési oldalának, hogy úgy viselkedjen, mintha a bejelentkezési kérelem egyik domain_hint
paramétere nem jelenik meg.
A Szabályzatok tiszteletben tartása és figyelmen kívül hagyása szakasz
Section | Értelmezés | Értékek |
---|---|---|
IgnoreDomainHintForDomains |
Ha ezt a tartománymutatót a kérésben küldi el, hagyja figyelmen kívül. | Tartománycímek tömbje (például contoso.com ). Emellett támogatja a all_domains |
RespectDomainHintForDomains |
Ha ezt a tartományra vonatkozó tippet küldi el a kérés, akkor is tartsa tiszteletben, ha IgnoreDomainHintForApps azt jelzi, hogy a kérelemben szereplő alkalmazásnak nem szabad automatikusan felgyorsulnia. Ezzel lassítható a hálózaton belüli elavult tartománymutatók bevezetése – jelezheti, hogy egyes tartományok még mindig fel kell gyorsítani. |
Tartománycímek tömbje (például contoso.com ). Emellett támogatja a all_domains |
IgnoreDomainHintForApps |
Ha az alkalmazás kérése tartalmaz egy tartományra vonatkozó tippet, hagyja figyelmen kívül. | Alkalmazásazonosítók (GUID-k) tömbje. Emellett támogatja a all_apps |
RespectDomainHintForApps |
Ha az alkalmazás kérése tartalmaz egy tartományra vonatkozó tippet, akkor is tartsa tiszteletben, ha IgnoreDomainHintForDomains a tartományt is tartalmazza. Ezzel biztosíthatja, hogy egyes alkalmazások továbbra is működjenek, ha észleli, hogy tartománymutatók nélkül törnek. |
Alkalmazásazonosítók (GUID-k) tömbje. Emellett támogatja a all_apps |
Szabályzatkiértékelés
A DomainHintPolicy logika minden bejövő kérelemen fut, amely tartalmaz egy tartománymutatót, és a kérésben szereplő két adat alapján gyorsul fel – a tartománymutató tartománya és az ügyfélazonosító (az alkalmazás) alapján. Röviden: egy tartomány vagy alkalmazás "tisztelete" elsőbbséget élvez egy adott tartomány vagy alkalmazás tartományra vonatkozó tippje "Figyelmen kívül hagyása" utasítással szemben.
- Tartománymutató-szabályzat hiányában, vagy ha a négy szakasz egyike sem hivatkozik az említett alkalmazásra vagy tartománymutatóra, a rendszer kiértékeli a HRD-szabályzat többi részét.
- Ha a kérelem egyik (vagy mindkét) szakasza
RespectDomainHintForApps
RespectDomainHintForDomains
tartalmazza az alkalmazást vagy a tartományra vonatkozó tippet, akkor a felhasználó automatikusan felgyorsul az összevont identitásszolgáltatóra a kérésnek megfelelően. - Ha a kérelem egyik (vagy mindkettő)
IgnoreDomainHintsForApps
IgnoreDomainHintsForDomains
vagy az alkalmazásra vagy a tartományra mutató tippre hivatkozik, és a "Tisztelet" szakaszok nem hivatkoznak rájuk, akkor a kérés nem lesz automatikusan felgyorsítva, és a felhasználó a Microsoft Entra bejelentkezési oldalán marad a felhasználónév megadásához.
Miután egy felhasználó beírt egy felhasználónevet a bejelentkezési oldalon, használhatja a felügyelt hitelesítő adatait. Ha úgy döntenek, hogy nem használnak felügyelt hitelesítő adatokat, vagy nincs regisztrálva, akkor a rendszer a szokásos módon az összevont identitásszolgáltatóhoz viszi őket a hitelesítő adatok bejegyzéséhez.
Előfeltételek
Ha le szeretné tiltani az automatikus gyorsítási bejelentkezést egy alkalmazáshoz a Microsoft Entra-azonosítóban, a következőkre van szüksége:
- Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
- Az alábbi szerepkörök egyike: Felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor vagy a szolgáltatásnév tulajdonosa.
Javasolt használat bérlőn belül
Az összevont tartományok rendszergazdáinak négyfázisú tervben kell beállítaniuk a HRD-szabályzat ezen szakaszát. Ennek a tervnek az a célja, hogy végül a bérlő összes felhasználója tartománytól vagy alkalmazástól függetlenül használja a felügyelt hitelesítő adatait, és mentse azokat az alkalmazásokat, amelyek erősen függnek a használattól domain_hint
. Ez a terv segít a rendszergazdáknak megtalálni ezeket az alkalmazásokat, felmenteni őket az új szabályzat alól, és folytatni a módosítást a bérlő többi részére.
- Válasszon ki egy tartományt a módosítás kezdeti bevezetéséhez. Ez a teszttartomány, ezért válasszon egyet, amely fogékonyabb lehet az UX változásaira (például egy másik bejelentkezési oldal megtekintése). Ez figyelmen kívül hagyja az összes olyan alkalmazás tartománymutatóit, amelyek ezt a tartománynevet használják. Állítsa be ezt a házirendet a bérlő alapértelmezett HRD-házirendjében:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Visszajelzések gyűjtése a teszttartomány felhasználóitól. Gyűjtse össze azokat az alkalmazásokat, amelyek a módosítás következtében megszakadtak – függőségben vannak a tartománymutató-használattal, ezért frissíteni kell őket. Egyelőre vegye fel őket a
RespectDomainHintForApps
szakaszba:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Folytassa a szabályzat új tartományokra való kiterjesztését, és további visszajelzéseket gyűjtsön.
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Végezze el a bevezetést – az összes tartományt célozza meg, mentesítve azokat, amelyeket továbbra is fel kell gyorsítani:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
A 4. lépés befejezése után minden felhasználó bejelentkezhet a Microsoft Entra bejelentkezési oldalára, még akkor is, guestHandlingDomain.com
ha a tartományi tippek egyébként automatikus gyorsítást okoznának egy összevont identitásszolgáltatóra. Ez alól kivételt képez az, ha a bejelentkezést kérő alkalmazás a kivételt élvező alkalmazások egyike – ezeknél az alkalmazásoknál a rendszer továbbra is elfogadja az összes tartományi tippet.
Szabályzat konfigurálása a Graph Explorer használatával
A Home Realm Discovery szabályzat kezelése a Microsoft Graph használatával.
Jelentkezzen be a Microsoft Graph Explorerbe az előfeltétel szakaszban felsorolt szerepkörök egyikével.
Adja meg az
Policy.ReadWrite.ApplicationConfiguration
engedélyt.Új szabályzat létrehozásához használja a Kezdőlap tartományfelderítési szabályzatát .
TEGYE KÖZZÉ az új szabályzatot vagy a PATCH-et egy meglévő szabályzat frissítéséhez.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
A Graph használatakor ügyeljen arra, hogy perjelekkel lépjen ki a Definition
JSON-szakaszból.
isOrganizationDefault
igaznak kell lennie, de a displayName és a definíció változhat.