Condividi tramite


Disabilitare l'accesso con accelerazione automatica

I criteri di individuazione dell'area di autenticazione principale (HRD) offrono agli amministratori diversi modi per controllare come e dove gli utenti eseguono l'autenticazione. La domainHintPolicy sezione dei criteri HRD viene usata per facilitare la migrazione di utenti federati a credenziali gestite dal cloud come FIDO, assicurandosi di visitare sempre la pagina di accesso di Microsoft Entra e di non essere accelerata automaticamente a un provider di identità federato a causa di hint di dominio. Per altre informazioni sui criteri HRD, vedere Individuazione dell'area di autenticazione principale.

Questo criterio è necessario in situazioni in cui e gli amministratori non possono controllare o aggiornare hint di dominio durante l'accesso. Ad esempio, outlook.com/contoso.com invia l'utente a una pagina di accesso con il &domain_hint=contoso.com parametro aggiunto, per accelerare automaticamente l'utente direttamente al provider di identità federato per il contoso.com dominio. Gli utenti con credenziali gestite inviate a un provider di identità federato non possono accedere usando le credenziali gestite, riducendo la sicurezza e frustrando gli utenti con esperienze di accesso casuali. Gli amministratori che implementano le credenziali gestite devono anche configurare questo criterio per garantire che gli utenti possano usare sempre le credenziali gestite.

Dettagli di DomainHintPolicy

La sezione DomainHintPolicy dei criteri HRD è un oggetto JSON che consente a un amministratore di rifiutare esplicitamente determinati domini e applicazioni dall'utilizzo degli hint di dominio. A livello funzionale, indica alla pagina di accesso di Microsoft Entra di comportarsi come se non fosse presente un domain_hint parametro nella richiesta di accesso.

Sezioni relative ai criteri Rispetto e Ignora

Sezione Significato Valori
IgnoreDomainHintForDomains Se questo hint di dominio viene inviato nella richiesta, ignorarlo. Matrice di indirizzi di dominio , ad esempio contoso.com. Supporta anche all_domains
RespectDomainHintForDomains Se questo hint di dominio viene inviato nella richiesta, rispettarlo anche se IgnoreDomainHintForApps indica che l'app nella richiesta non deve accelerare automaticamente. Viene usato per rallentare l'implementazione di hint di dominio deprecato all'interno della rete. È possibile indicare che alcuni domini devono essere ancora accelerati. Matrice di indirizzi di dominio , ad esempio contoso.com. Supporta anche all_domains
IgnoreDomainHintForApps Se una richiesta da questa applicazione viene fornita con un hint di dominio, ignorarla. Matrice di ID applicazione (GUID). Supporta anche all_apps
RespectDomainHintForApps Se una richiesta da questa applicazione viene fornita con un hint di dominio, rispettarla anche se IgnoreDomainHintForDomains include tale dominio. Usato per garantire che alcune app continuino a funzionare se vengono interrotte senza hint di dominio. Matrice di ID applicazione (GUID). Supporta anche all_apps

Valutazione dei criteri

La logica DomainHintPolicy viene eseguita su ogni richiesta in ingresso che contiene un hint di dominio e accelera in base a due parti di dati nella richiesta, ovvero il dominio nell'hint di dominio e l'ID client (l'app). In breve, "Rispetto" per un dominio o un'app ha la precedenza su un'istruzione "Ignora" un hint di dominio per un determinato dominio o applicazione.

  • In assenza di criteri di hint per il dominio o se nessuna delle quattro sezioni fa riferimento all'app o all'hint di dominio menzionato, il resto dei criteri HRD verrà valutato.
  • Se una (o entrambe) di RespectDomainHintForApps o RespectDomainHintForDomains include l'hint per l'app o il dominio nella richiesta, l'utente viene accelerato automaticamente all'IDP federato come richiesto.
  • Se uno (o entrambi) di IgnoreDomainHintsForApps o IgnoreDomainHintsForDomains fa riferimento all'app o all'hint di dominio nella richiesta e non fa riferimento alle sezioni "Rispetto", la richiesta non verrà accelerata automaticamente e l'utente rimane nella pagina di accesso di Microsoft Entra per fornire un nome utente.

Dopo aver immesso un nome utente nella pagina di accesso, un utente può usare le credenziali gestite. Se scelgono di non usare credenziali gestite o non hanno alcuna registrazione, vengono portati al proprio IDP federato per la voce delle credenziali come di consueto.

Prerequisiti

Per disabilitare l'accesso con accelerazione automatica per un'applicazione in Microsoft Entra ID, è necessario:

  • Un account Azure con una sottoscrizione attiva. Se non è già disponibile, è possibile creare un account gratuitamente.
  • Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore applicazione o proprietario dell'entità servizio.

Uso consigliato all'interno di un tenant

Gli amministratori dei domini federati devono configurare questa sezione dei criteri HRD in un piano in quattro fasi. L'obiettivo di questo piano è quello di ottenere tutti gli utenti in un tenant per usare le credenziali gestite indipendentemente dal dominio o dall'applicazione, salvare le app che hanno dipendenze difficili dall'utilizzo domain_hint . Questo piano consente agli amministratori di trovare tali app, esentare i nuovi criteri e continuare a distribuire la modifica al resto del tenant.

  1. Selezionare un dominio per implementare inizialmente questa modifica. Si tratta del dominio di test, quindi selezionarne uno che potrebbe essere più receptive per le modifiche apportate all'esperienza utente (ad esempio, quando viene visualizzata una pagina di accesso diversa). In questo modo tutti gli hint di dominio vengono ignorati da tutte le applicazioni che usano questo nome di dominio. Impostare questo criterio nei criteri HRD predefiniti del tenant:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 
New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Raccogliere commenti e suggerimenti dagli utenti del dominio di test. Raccogliere i dettagli per le applicazioni che si sono interrotte a seguito di questa modifica: hanno una dipendenza dall'utilizzo degli hint di dominio e devono essere aggiornate. Per il momento, aggiungerli alla RespectDomainHintForApps sezione :
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 
New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Continuare a espandere l'implementazione dei criteri in nuovi domini, raccogliendo altri commenti e suggerimenti.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 
New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Completare l'implementazione: specificare come destinazione tutti i domini, esentando quelli che devono continuare ad essere accelerati:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 
New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Al termine del passaggio 4, tutti gli utenti, ad eccezione di quelli in guestHandlingDomain.com, possono accedere alla pagina di accesso di Microsoft Entra anche quando gli hint di dominio causerebbero altrimenti un'accelerazione automatica a un provider di identità federato. L'eccezione è se l'app che richiede l'accesso è una delle app escluse. Per tali app, tutti gli hint di dominio sono ancora accettati.

Configurazione dei criteri tramite Graph Explorer

Gestire i criteri di individuazione dell'area di autenticazione principale usando Microsoft Graph.

  1. Accedere a Microsoft Graph Explorer con uno dei ruoli elencati nella sezione prerequisiti.

  2. Concedere l'autorizzazione Policy.ReadWrite.ApplicationConfiguration .

  3. Usare i criteri di individuazione dell'area di autenticazione principale per creare un nuovo criterio.

  4. PUBBLICARE i nuovi criteri o PATCH per aggiornare un criterio esistente.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
    {
        "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
        "definition":[
            "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
        ],
        "isOrganizationDefault":true
    }
    

Assicurarsi di usare le barre per eseguire l'escape della Definition sezione JSON quando si usa Graph.

isOrganizationDefault deve essere true, ma la definizione e displayName possono cambiare.

Passaggi successivi