Nonaktifkan masuk akselerasi otomatis
Kebijakan Home Realm Discovery (HRD) menawarkan administrator beberapa cara untuk mengontrol bagaimana dan di mana pengguna mereka mengautentikasi. Bagian domainHintPolicy dari kebijakan HRD digunakan untuk membantu memigrasikan pengguna federasi ke kredensial yang dikelola cloud seperti FIDO, dengan memastikan bahwa mereka selalu mengunjungi halaman masuk Microsoft Entra dan tidak dipercepat secara otomatis ke IDP federasi karena petunjuk domain. Untuk mempelajari lebih lanjut tentang kebijakan HRD, lihat Home Realm Discovery.
Kebijakan ini diperlukan dalam situasi di mana dan admin tidak dapat mengontrol atau memperbarui petunjuk domain selama masuk. Misalnya, outlook.com/contoso.com mengirim pengguna ke halaman masuk dengan &domain_hint=contoso.com parameter ditambahkan, untuk mempercepat pengguna secara otomatis langsung ke IDP federasi untuk domain tersebut contoso.com . Pengguna dengan info masuk terkelola yang dikirim ke IDP federasi tidak dapat masuk menggunakan info masuk terkelola mereka, mengurangi keamanan dan membuat frustrasi pengguna dengan pengalaman masuk yang acak. Admin yang meluncurkan kredensial terkelola juga harus menyiapkan kebijakan ini untuk memastikan bahwa pengguna selalu dapat menggunakan kredensial terkelola mereka.
Detail DomainHintPolicy
Bagian DomainHintPolicy dari kebijakan HRD adalah objek JSON yang memungkinkan admin untuk menolak domain dan aplikasi tertentu dari penggunaan petunjuk domain. Secara fungsional, ini memberi tahu halaman masuk Microsoft Entra untuk berperilaku seolah-olah domain_hint parameter pada permintaan masuk tidak ada.
Bagian kebijakan Utamakan dan Abaikan
| Bagian | Makna | Nilai |
|---|---|---|
IgnoreDomainHintForDomains |
Jika petunjuk domain ini dikirim dalam permintaan, abaikan saja. | Array alamat domain (misalnya contoso.com). Juga mendukung all_domains |
RespectDomainHintForDomains |
Jika petunjuk domain ini dikirim dalam permintaan, utamakan sekalipun IgnoreDomainHintForApps menunjukkan bahwa aplikasi dalam permintaan tidak boleh dipercepat secara otomatis. Ini digunakan untuk memperlambat peluncuran petunjuk domain yang tidak digunakan lagi dalam jaringan Anda – Anda dapat menunjukkan bahwa beberapa domain tetap harus dipercepat. |
Array alamat domain (misalnya contoso.com). Juga mendukung all_domains |
IgnoreDomainHintForApps |
Jika permintaan dari aplikasi ini dilengkapi dengan petunjuk domain, abaikan saja. | Array ID aplikasi (GUID). Juga mendukung all_apps |
RespectDomainHintForApps |
Jika permintaan dari aplikasi ini dilengkapi dengan petunjuk domain, utamakan sekalipun IgnoreDomainHintForDomains menyertakan domain tersebut. Digunakan untuk memastikan beberapa aplikasi tetap berfungsi jika Anda menemukan aplikasi tersebut melanggar tanpa petunjuk domain. |
Array ID aplikasi (GUID). Juga mendukung all_apps |
Evaluasi kebijakan
Logika DomainHintPolicy berjalan pada setiap permintaan masuk yang berisi petunjuk domain dan dipercepat berdasarkan dua bagian data dalam permintaan – domain dalam petunjuk domain, dan ID klien (aplikasi). Singkatnya - "Utamakan" untuk domain atau aplikasi yang diutamakan terhadap instruksi untuk "Mengabaikan" petunjuk domain untuk domain atau aplikasi tertentu.
- Dengan tidak adanya kebijakan petunjuk domain apa pun, atau jika tidak ada dari empat bagian yang mereferensikan petunjuk aplikasi atau domain yang disebutkan, kebijakan HRD lainnya akan dievaluasi.
- Jika salah satu (atau keduanya) dari
RespectDomainHintForAppsatauRespectDomainHintForDomainsbagian menyertakan petunjuk aplikasi atau domain dalam permintaan, maka pengguna dipercepat secara otomatis ke IDP federasi seperti yang diminta. - Jika salah satu (atau keduanya) dari
IgnoreDomainHintsForAppsatauIgnoreDomainHintsForDomainsmereferensikan aplikasi atau petunjuk domain dalam permintaan, dan mereka tidak dirujuk oleh bagian "Hormati", permintaan tidak akan dipercepat secara otomatis, dan pengguna tetap berada di halaman masuk Microsoft Entra untuk memberikan nama pengguna.
Setelah pengguna memasukkan nama pengguna di halaman masuk, mereka dapat menggunakan kredensial terkelola mereka. Jika mereka memilih untuk tidak menggunakan kredensial terkelola, atau mereka tidak terdaftar, mereka dibawa ke IDP federasi mereka untuk entri kredensial seperti biasa.
Prasyarat
Untuk menonaktifkan masuk akselerasi otomatis untuk aplikasi di ID Microsoft Entra, Anda memerlukan:
- Akun Azure dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat membuat akun secara gratis.
- Salah satu peran berikut: Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan.
Penggunaan yang disarankan dalam penyewa
Admin domain federasi harus menyiapkan bagian kebijakan HRD ini dalam paket empat fase. Tujuan dari rencana ini pada akhirnya adalah membuat semua pengguna dalam penyewa memiliki kesempatan untuk menggunakan info masuk terkelola mereka terlepas dari domain atau aplikasi, kecuali aplikasi yang memiliki ketergantungan berat pada domain_hint penggunaan. Paket ini membantu admin menemukan aplikasi tersebut, membebaskannya dari kebijakan baru, dan terus meluncurkan perubahan ke penyewa lainnya.
- Pilih domain untuk mulai meluncurkan perubahan ini. Ini adalah domain pengujian Anda, jadi pilih domain yang mungkin lebih reseptif terhadap perubahan di UX (Misalnya, melihat halaman masuk yang berbeda). Ini mengabaikan semua petunjuk domain dari semua aplikasi yang menggunakan nama domain ini. Tetapkan kebijakan ini dalam kebijakan HRD default penyewa Anda:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Kumpulkan umpan balik dari pengguna domain pengujian. Kumpulkan detail untuk aplikasi yang rusak sebagai akibat dari perubahan ini - aplikasi memiliki dependensi pada penggunaan petunjuk domain, dan harus diperbarui. Untuk saat ini, tambahkan aplikasi ke bagian
RespectDomainHintForApps:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Lanjutkan memperluas peluncuran kebijakan ke domain baru, mengumpulkan lebih banyak umpan balik.
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Selesaikan peluncuran Anda - targetkan semua domain, kecualikan domain yang harus terus dipercepat:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
Setelah langkah 4 selesai semua pengguna, kecuali pengguna di guestHandlingDomain.com, dapat masuk di halaman masuk Microsoft Entra bahkan ketika petunjuk domain akan menyebabkan akselerasi otomatis ke IDP federasi. Pengecualian untuk ini adalah jika aplikasi yang meminta masuk adalah salah satu yang dikecualikan - untuk aplikasi tersebut, semua petunjuk domain masih diterima.
Mengonfigurasi kebijakan melalui Graph Explorer
Kelola kebijakan Home Realm Discovery menggunakan Microsoft Graph.
Masuk ke penjelajah Microsoft Graph dengan salah satu peran yang tercantum di bagian prasyarat.
Berikan izin.
Policy.ReadWrite.ApplicationConfigurationGunakan kebijakan penemuan realm Rumah untuk membuat kebijakan baru.
POSTING kebijakan baru, atau PATCH untuk memperbarui kebijakan yang ada.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
Pastikan untuk menggunakan garis miring untuk keluar dari bagian JSON Definition saat menggunakan Graph.
isOrganizationDefault harus benar, tetapi displayName dan definisi dapat berubah.