Configurare il comportamento di accesso usando l'individuazione dell'area di autenticazione principale
Questo articolo fornisce un'introduzione alla configurazione del comportamento di autenticazione di Microsoft Entra per gli utenti federati che usano i criteri di individuazione dell'area di autenticazione principale (HRD). Viene illustrato l'uso dell'accesso con accelerazione automatica per ignorare la schermata di immissione del nome utente e inoltrare automaticamente gli utenti agli endpoint di accesso federati. Per altre informazioni sui criteri HRD, vedere l'articolo Individuazione dell'area di autenticazione principale.
Accesso con accelerazione automatica
Alcune organizzazioni configurano i domini nel tenant di Microsoft Entra per la federazione con un altro provider di identità (IDP), ad esempio Active Directory Federation Services (ADFS) per l'autenticazione utente. Quando un utente accede a un'applicazione, viene visualizzata per la prima volta una pagina di accesso a Microsoft Entra. Dopo aver digitato il nome dell'entità utente (UPN), se si trovano in un dominio federato, viene visualizzata la pagina di accesso del provider di identità che gestisce tale dominio. In alcuni casi, è consigliabile per gli amministratori indirizzare gli utenti alla pagina di accesso quando accedono ad applicazioni specifiche. Di conseguenza, gli utenti possono ignorare la pagina iniziale di Microsoft Entra ID. Questo processo viene definito "accelerazione automatica dell'accesso".
Per gli utenti federati con credenziali abilitate per il cloud, ad esempio l'accesso TRAMITE SMS o le chiavi FIDO, è consigliabile impedire l'accelerazione automatica dell'accesso. Vedere Disabilitare l'accesso con accelerazione automatica per informazioni su come evitare hint di dominio con HRD.
Importante
A partire da aprile 2023, le organizzazioni che usano l'accelerazione automatica o gli smartlink potrebbero iniziare a visualizzare una nuova schermata aggiunta all'interfaccia utente di accesso. Questa schermata, come finestra di dialogo di conferma del dominio, fa parte dell'impegno generale di Microsoft per la protezione avanzata e richiede all'utente di confermare il dominio del tenant in cui accede. Se viene visualizzata la finestra di dialogo di conferma del dominio e non si riconosce il dominio tenant elencato, è necessario annullare il flusso di autenticazione e contattare il Amministrazione IT.
Per altre informazioni, visitare la finestra di dialogo di conferma del dominio.
Prerequisiti
Per configurare i criteri HRD per un'applicazione in Microsoft Entra ID, è necessario:
- Un account Azure con una sottoscrizione attiva. Se non è già disponibile, è possibile creare un account gratuitamente.
- Uno dei ruoli seguenti: Global Amministrazione istrator o proprietario dell'entità servizio.
- Anteprima più recente del cmdlet di Azure AD PowerShell.
Configurare un criterio HRD in un'applicazione
I cmdlet di Azure AD PowerShell vengono usati per esaminare alcuni scenari, tra cui:
Microsoft Graph viene usato per esaminare alcuni scenari, tra cui:
Configurazione del criterio HDR per eseguire l'accelerazione automatica di un'applicazione per un tenant con un unico dominio federato.
Configurazione del criterio HRD per eseguire l'accelerazione automatica per un'applicazione per uno dei diversi domini verificati per il tenant.
Configurazione dei criteri HRD per consentire a un'applicazione legacy di eseguire l'autenticazione diretta di nome utente/password all'ID Microsoft Entra per un utente federato.
Elenco delle applicazioni per cui sono configurati i criteri.
Negli esempi seguenti vengono creati, aggiornati, collegati ed eliminati criteri HRD nelle entità servizio dell'applicazione in Microsoft Entra ID.
Nota
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Prima di iniziare, eseguire il comando Connessione per accedere a Microsoft Entra ID con l'account amministratore:
Connect-AzureAD -ConfirmEseguire questo comando per visualizzare tutti i criteri dell'organizzazione:
Get-AzureADPolicy
Se non viene restituito alcun risultato, significa che non sono presenti criteri creati nel tenant.
creazione di un criterio HRD
In questo esempio si crea un criterio in modo che, quando lo si assegna a un'applicazione, si tratti di:
- Accelera automaticamente gli utenti alla schermata di accesso di un provider di identità federato quando accedono a un'applicazione quando è presente un singolo dominio nel tenant.
- Accelera automaticamente gli utenti in una schermata di accesso a un provider di identità federato se nel tenant sono presenti più domini federati.
- Abilita l'accesso diretto di nome utente/password non interattivo all'ID Entra Microsoft per gli utenti federati per le applicazioni a cui viene assegnato il criterio.
Il criterio seguente accelera automaticamente gli utenti alla schermata di accesso di un provider di identità federato quando accedono a un'applicazione quando è presente un singolo dominio nel tenant.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true
}
Il criterio seguente accelera automaticamente gli utenti a una schermata di accesso a un provider di identità federato quando è presente più di un dominio federato nel tenant. Se sono presenti più domini federati che autenticano gli utenti per le applicazioni, è necessario specificare il dominio per accelerare automaticamente.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}")
-DisplayName MultiDomainAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": [
"federated.example.edu"
]
}
Il criterio seguente abilita l'autenticazione nome utente/password per gli utenti federati direttamente con l'ID Microsoft Entra per applicazioni specifiche:
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}")
-DisplayName EnableDirectAuthPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"EnableDirectAuthPolicy": {
"AllowCloudPasswordValidation": true
}
Per visualizzare i nuovi criteri e ottenere il relativo ObjectID, eseguire questo comando:
Get-AzureADPolicy
Per applicare i criteri HRD dopo averlo creato, è possibile assegnarlo a più entità servizio dell'applicazione.
Individuare l'entità servizio da assegnare ai criteri
È necessario disporre dell'ObjectID delle entità servizio alle quali si intende assegnare i criteri. Esistono diversi modi per trovare l'ObjectID delle entità servizio.
È possibile usare l'interfaccia di amministrazione di Microsoft Entra oppure eseguire query su Microsoft Graph. È anche possibile passare allo strumento Graph Explorer e accedere all'account Microsoft Entra per visualizzare tutte le entità servizio dell'organizzazione.
Poiché si usa PowerShell, è possibile usare il cmdlet seguente per elencare le entità servizio e i relativi ID.
Get-AzureADServicePrincipal
assegnazione del criterio all'entità servizio
Dopo aver creato l'ObjectID dell'entità servizio dell'applicazione per la quale si intende configurare l'accelerazione automatica, eseguire questo comando. Questo comando associa i criteri HRD creati nel passaggio 1 con l'entità servizio individuata nel passaggio 2.
Add-AzureADServicePrincipalPolicy
-Id <ObjectID of the Service Principal>
-RefObjectId <ObjectId of the Policy>
È possibile ripetere questo comando per ciascuna entità servizio alla quale si intende aggiungere i criteri.
Nel caso in cui un'applicazione abbia già un criterio HomeRealmDiscovery assegnato, non è possibile aggiungere un secondo. In tal caso, modificare la definizione dei criteri HRD assegnati all'applicazione per aggiungere parametri aggiuntivi.
Controllare a quali entità servizio sono assegnati i criteri HRD
Per verificare quali applicazioni hanno criteri HRD configurati, usare il cmdlet Get-AzureADPolicyAppliedObject. Passare l'ObjectID dei criteri che si intende verificare.
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Provare l'applicazione per verificare che il nuovo criterio funzioni.
elencare le applicazioni per cui sono configurati criteri HRD
elencare tutti i criteri creati nell'organizzazione
Get-AzureADPolicy
Individuare l'ID oggetto dei criteri per cui si intende elencare le assegnazioni.
elencare le entità servizio a cui sono assegnati i criteri
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Rimuovere un criterio HRD da un'applicazione
ottenere l'ObjectID
Usare l'esempio precedente per ottenere l'ObjectID dei criteri e quello dell'entità servizio dell'applicazione dalla quale si intende rimuoverli.
rimuovere l'assegnazione dei criteri dall'entità servizio dell'applicazione
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal> -PolicyId <ObjectId of the policy>verificare la rimozione elencando le entità servizio a cui sono assegnati i criteri
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Configurazione dei criteri tramite Graph Explorer
Dalla finestra di Microsoft Graph Explorer:
Accedere con uno dei ruoli elencati nella sezione prerequisiti.
Concedere il consenso all'autorizzazione
Policy.ReadWrite.ApplicationConfiguration.Usare i criteri di individuazione dell'area di autenticazione principale per creare un nuovo criterio.
PUBBLICARE i nuovi criteri o PATCH per aggiornare un criterio esistente.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "definition": [ "{\"HomeRealmDiscoveryPolicy\": {\"AccelerateToFederatedDomain\":true, \"PreferredDomain\":\"federated.example.edu\", \"AlternateIdLogin\":{\"Enabled\":true}}}" ], "displayName": "Home Realm Discovery auto acceleration", "isOrganizationDefault": true }Per visualizzare il nuovo criterio, eseguire la query seguente:
GET /policies/homeRealmDiscoveryPolicies/{id}Per assegnare il nuovo criterio a un'applicazione:
POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$refOppure
POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$refelencare le entità servizio a cui sono assegnati i criteri
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesToPer eliminare i criteri HRD creati, eseguire la query:
DELETE /policies/homeRealmDiscoveryPolicies/{id}Rimuovere l'assegnazione di criteri dall'entità servizio
DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$refo
DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$refverificare la rimozione elencando le entità servizio a cui sono assegnati i criteri
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo