Configurare il comportamento di accesso usando l'Individuazione dell'area di autenticazione principale
Questo articolo fornisce un'introduzione alla configurazione del comportamento di autenticazione di Microsoft Entra per gli utenti federati che usano i criteri di Individuazione dell'area di autenticazione principale. Viene illustrato l'uso dell'accesso con accelerazione automatica per ignorare la schermata di immissione del nome utente e inoltrare automaticamente gli utenti agli endpoint di accesso federati. Per altre informazioni sui criteri di Individuazione dell'area di autenticazione principale, vedere l'articolo Individuazione dell'area di autenticazione principale.
Accesso con accelerazione automatica
Alcune organizzazioni configurano i domini nel tenant di Microsoft Entra per la federazione con un altro provider di identità, ad esempio Active Directory Federation Services (ADFS) per l'autenticazione dell'utente. Quando un utente accede a un'applicazione, viene innanzitutto visualizzata una pagina di accesso di Microsoft Entra. Dopo aver digitato il nome dell'entità utente (UPN), se ci si trova in un dominio federato verrà visualizzata la pagina di accesso del provider di identità che serve tale dominio. In alcuni casi, è consigliabile per gli amministratori indirizzare gli utenti alla pagina di accesso quando accedono ad applicazioni specifiche. Di conseguenza, gli utenti possono ignorare la pagina iniziale di Microsoft Entra ID. Questo processo è noto come "accelerazione automatica dell'accesso".
Per gli utenti federati con credenziali abilitate per il cloud, ad esempio l'accesso tramite SMS o le chiavi FIDO, è consigliabile impedire l'accelerazione automatica dell'accesso. Vedere Disabilitare l'accesso con accelerazione automatica per informazioni su come evitare hint di dominio con Individuazione dell'area di autenticazione principale.
Importante
A partire da aprile 2023, le organizzazioni che usano l'accelerazione automatica o i collegamenti intelligenti potrebbero iniziare a visualizzare una nuova schermata aggiunta all'interfaccia utente di accesso. Questa schermata, denominata Finestra di dialogo di conferma del dominio, fa parte dell'impegno generale di Microsoft per la protezione avanzata e richiede all'utente di confermare il dominio del tenant in cui accede. Annullare il flusso di autenticazione e contattare l'amministratore IT se viene visualizzata la Finestra di dialogo di conferma del dominio e non si riconosce il dominio del tenant elencato.
Per altre informazioni, visitare Finestra di dialogo di conferma del dominio.
Prerequisiti
Per configurare i criteri di Individuazione dell'area di autenticazione principale per un'applicazione in Microsoft Entra ID, è necessario:
- Un account Azure con una sottoscrizione attiva. Se non è già disponibile, è possibile creare un account gratuitamente.
- Uno dei ruoli seguenti: Amministratore applicazione, Amministratore applicazione cloud o Proprietario dell'entità servizio.
- La versione di anteprima del cmdlet di Azure AD PowerShell più recente.
Configurare un criterio di Individuazione dell'area di autenticazione principale in un'applicazione
Verranno usati i cmdlet di Azure AD PowerShell per esaminare in modo dettagliato alcuni scenari, tra cui:
Microsoft Graph viene usato per esaminare in modo dettagliato alcuni scenari, tra cui:
Configurazione del criterio HDR per eseguire l'accelerazione automatica di un'applicazione per un tenant con un unico dominio federato.
Configurazione del criterio HRD per eseguire l'accelerazione automatica per un'applicazione per uno dei diversi domini verificati per il tenant.
Impostazione dei criteri di Individuazione dell'area di autenticazione principale per abilitare un'applicazione legacy a indirizzare l'autenticazione di nome utente/password in Microsoft Entra ID per un utente federato.
Elenco delle applicazioni per cui sono configurati i criteri.
Negli esempi seguenti vengono creati, aggiornati, collegati ed eliminati i criteri di Individuazione dell'area di autenticazione principale su entità servizio di un'applicazione in Microsoft Entra ID.
Nota
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Prima di iniziare, eseguire il comando Connect per accedere a Microsoft Entra ID con l'account amministratore:
Connect-AzureAD -Confirm
Eseguire questo comando per visualizzare tutti i criteri dell'organizzazione:
Get-AzureADPolicy
Se non viene restituito alcun risultato, significa che non sono presenti criteri creati nel tenant.
creazione di un criterio HRD
In questo esempio si crea un criterio in modo che, quando lo si assegna a un'applicazione, possa:
- Eseguire l'accelerazione automatica degli utenti a una schermata di accesso del provider di identità federato quando effettuano l'accesso a un'applicazione qualora sia presente un dominio singolo nel tenant.
- Eseguire l'accelerazione automaticamente degli utenti a una schermata di accesso di un provider di identità federato se nel tenant sono presenti più domini federati.
- Consentire l'accesso non interattivo a nome utente/password direttamente a Microsoft Entra ID agli utenti federati per le applicazioni a cui è assegnato il criterio.
Il criterio seguente esegue l'accelerazione automatica degli utenti a una schermata di accesso del provider di identità federato quando effettuano l'accesso a un'applicazione qualora sia presente un dominio singolo nel tenant.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true
}
Il criterio seguente esegue l'accelerazione automaticamente degli utenti a una schermata di accesso di un provider di identità federato se nel tenant sono presenti più domini federati. Se si dispone di più di un dominio federato che esegue l'autenticazione degli utenti per le applicazioni, è necessario specificare il dominio per cui eseguire l'accelerazione automatica.
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}")
-DisplayName MultiDomainAutoAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": [
"federated.example.edu"
]
}
Il criterio seguente abilita l'autenticazione nome utente/password per gli utenti federati direttamente con Microsoft Entra ID per applicazioni specifiche:
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}")
-DisplayName EnableDirectAuthPolicy
-Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies
"EnableDirectAuthPolicy": {
"AllowCloudPasswordValidation": true
}
Per visualizzare i nuovi criteri e ottenere il relativo ObjectID, eseguire questo comando:
Get-AzureADPolicy
Per applicare i criteri di Individuazione dell'area di autenticazione principale dopo averli creati, è possibile assegnarli a più entità servizio dell'applicazione.
Individuare l'entità servizio a cui assegnare i criteri
È necessario disporre dell'ObjectID delle entità servizio alle quali si intende assegnare i criteri. Esistono diversi modi per trovare l'ObjectID delle entità servizio.
È possibile usare l'Interfaccia di amministrazione di Microsoft Entra oppure eseguire query in Microsoft Graph. Per visualizzare tutte le entità servizio dell'organizzazione, è inoltre possibile passare allo strumento Graph explorer e accedere all'account Microsoft Entra.
Poiché si usa PowerShell, è possibile usare il cmdlet seguente per elencare le entità servizio e i relativi ID.
Get-AzureADServicePrincipal
assegnazione del criterio all'entità servizio
Dopo aver creato l'ObjectID dell'entità servizio dell'applicazione per la quale si intende configurare l'accelerazione automatica, eseguire questo comando. Questo comando associa i criteri HRD creati nel passaggio 1 con l'entità servizio individuata nel passaggio 2.
Add-AzureADServicePrincipalPolicy
-Id <ObjectID of the Service Principal>
-RefObjectId <ObjectId of the Policy>
È possibile ripetere questo comando per ciascuna entità servizio alla quale si intende aggiungere i criteri.
Nel caso in cui a un'applicazione sia già stato assegnato un criterio HomeRealmDiscovery, non sarà possibile aggiungerne un altro. In tal caso, modificare la definizione dei criteri di Individuazione dell'area di autenticazione principale assegnati all'applicazione per aggiungere altri parametri.
Verificare le entità servizio a cui è assegnato il criterio di Individuazione dell'area di autenticazione principale
Per verificare quali applicazioni hanno criteri HRD configurati, usare il cmdlet Get-AzureADPolicyAppliedObject. Passare l'ObjectID dei criteri che si intende verificare.
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Provare l'applicazione per verificare che il nuovo criterio funzioni.
elencare le applicazioni per cui sono configurati criteri HRD
elencare tutti i criteri creati nell'organizzazione
Get-AzureADPolicy
Individuare l'ID oggetto dei criteri per cui si intende elencare le assegnazioni.
elencare le entità servizio a cui sono assegnati i criteri
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Rimuovere i criteri di Individuazione dell'area di autenticazione principale da un'applicazione
ottenere l'ObjectID
Usare l'esempio precedente per ottenere l'ObjectID dei criteri e quello dell'entità servizio dell'applicazione dalla quale si intende rimuoverli.
rimuovere l'assegnazione dei criteri dall'entità servizio dell'applicazione
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal> -PolicyId <ObjectId of the policy>
verificare la rimozione elencando le entità servizio a cui sono assegnati i criteri
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
Configurazione dei criteri tramite Graph explorer
Nella finestra di Microsoft Graph explorer:
Accedere con uno dei ruoli elencati nella sezione prerequisiti.
Concedere il consenso all'autorizzazione
Policy.ReadWrite.ApplicationConfiguration
.Usare i criteri di Individuazione dell'area di autenticazione principale per creare un nuovo criterio.
PUBBLICARE i nuovi criteri o applicare le PATCH per aggiornare un criterio esistente.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "definition": [ "{\"HomeRealmDiscoveryPolicy\": {\"AccelerateToFederatedDomain\":true, \"PreferredDomain\":\"federated.example.edu\", \"AlternateIdLogin\":{\"Enabled\":true}}}" ], "displayName": "Home Realm Discovery auto acceleration", "isOrganizationDefault": true }
Per visualizzare il nuovo criterio, eseguire la query seguente:
GET /policies/homeRealmDiscoveryPolicies/{id}
Per assegnare il nuovo criterio a un'applicazione:
POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
Oppure
POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
elencare le entità servizio a cui sono assegnati i criteri
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
Per eliminare i criteri di Individuazione dell'area di autenticazione principale creati, eseguire la query:
DELETE /policies/homeRealmDiscoveryPolicies/{id}
Rimuovere l'assegnazione dei criteri dall'entità servizio dell'applicazione
DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
o
DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
verificare la rimozione elencando le entità servizio a cui sono assegnati i criteri
GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo