Aanmeldingsgedrag configureren met Home Realm Discovery

  • Artikel

Dit artikel bevat een inleiding tot het configureren van microsoft Entra-verificatiegedrag voor federatieve gebruikers met behulp van HRD-beleid (Home Realm Discovery). Dit omvat het gebruik van aanmelding met automatische versnelling om het scherm voor gebruikersnaaminvoer over te slaan en gebruikers automatisch door te sturen naar federatieve aanmeldingseindpunten. Raadpleeg het artikel Home Realm Discovery voor meer informatie over HRD-beleid.

Aanmelden met automatische versnelling

Sommige organisaties configureren domeinen in hun Microsoft Entra-tenant om te federeren met een andere id-provider (IDP), zoals Active Directory Federation Services (ADFS) voor gebruikersverificatie. Wanneer een gebruiker zich aanmeldt bij een toepassing, krijgt deze de eerste aanmeldingspagina van Microsoft Entra te zien. Nadat ze hun User Principal Name (UPN) hebben getypt, als ze zich in een federatief domein bevinden, worden ze naar de aanmeldingspagina van de IDP geleid die dat domein bedient. Onder bepaalde omstandigheden willen beheerders gebruikers mogelijk doorsturen naar de aanmeldingspagina wanneer ze zich aanmelden bij specifieke toepassingen. Hierdoor kunnen gebruikers de eerste Microsoft Entra ID-pagina overslaan. Dit proces wordt 'automatisch aanmelden' genoemd.

Voor federatieve gebruikers met cloudreferenties, zoals sms-aanmelding of FIDO-sleutels, moet u automatisch aanmelden voorkomen. Zie Aanmelden voor automatische versnelling uitschakelen voor meer informatie over het voorkomen van domeinhints met HRD.

Belangrijk

Vanaf april 2023 kunnen organisaties die gebruikmaken van automatische versnelling of smartlinks een nieuw scherm zien dat is toegevoegd aan de aanmeldingsgebruikersinterface. Dit scherm, aangeduid als het dialoogvenster Domeinbevestiging, maakt deel uit van de algemene toezegging van Microsoft om beveiliging te beveiligen en vereist dat de gebruiker het domein van de tenant waarin hij zich aanmeldt, bevestigt. Als u het dialoogvenster Domeinbevestiging ziet en het tenantdomein niet herkent, moet u de verificatiestroom annuleren en contact opnemen met uw IT-Beheer.

Ga naar het dialoogvenster Domeinbevestiging voor meer informatie.

Vereisten

Als u HRD-beleid wilt configureren voor een toepassing in Microsoft Entra ID, hebt u het volgende nodig:

  • Een Azure-account met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
  • Een van de volgende rollen: Global Beheer istrator of eigenaar van de service-principal.
  • De nieuwste preview-versie van de Azure AD PowerShell-cmdlet.

Een HRD-beleid instellen voor een toepassing

We gebruiken Azure AD PowerShell-cmdlets om een aantal scenario's te doorlopen, waaronder:

We gebruiken Microsoft Graph om een aantal scenario's te doorlopen, waaronder:

  • Het HRD-beleid instellen voor automatische versnelling voor een toepassing in een tenant met één federatief domein.

  • Stel HRD-beleid in om automatische versnelling voor een toepassing uit te voeren op een van de verschillende domeinen die zijn geverifieerd voor uw tenant.

  • Het instellen van HRD-beleid om een verouderde toepassing in staat te stellen om directe verificatie van gebruikersnaam/wachtwoord naar Microsoft Entra-id voor een federatieve gebruiker uit te voeren.

  • De toepassingen weergeven waarvoor een beleid is geconfigureerd.

In de volgende voorbeelden maakt, bijwerkt, koppelt en verwijdert u HRD-beleid voor toepassingsservice-principals in Microsoft Entra-id.

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

  1. Voordat u begint, voert u de opdracht Verbinding maken uit om u aan te melden bij Microsoft Entra ID met uw beheerdersaccount:

    Connect-AzureAD -Confirm

  2. Voer de volgende opdracht uit om alle beleidsregels in uw organisatie weer te geven:

    Get-AzureADPolicy

Als er niets wordt geretourneerd, betekent dit dat u geen beleid hebt gemaakt in uw tenant.

Een HRD-beleid maken

In dit voorbeeld maakt u een beleid dat u als volgt toewijst aan een toepassing:

  • Hiermee worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw tenant is.
  • Gebruikers automatisch versnellen naar een aanmeldingsscherm van een federatieve id-provider als er meer dan één federatief domein in uw tenant is.
  • Hiermee schakelt u niet-interactieve aanmelding via gebruikersnaam/wachtwoord rechtstreeks in bij Microsoft Entra ID voor federatieve gebruikers voor de toepassingen waaraan het beleid is toegewezen.

Met het volgende beleid worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw tenant is.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true
}

Met het volgende beleid worden gebruikers automatisch versneld naar een aanmeldingsscherm van een federatieve id-provider wanneer er meer dan één federatief domein in uw tenant is. Als u meer dan één federatief domein hebt dat gebruikers verifieert voor toepassingen, moet u het domein opgeven om automatisch te versnellen.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") 
    -DisplayName MultiDomainAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true,
    "PreferredDomain": [
      "federated.example.edu"
    ]
}

Met het volgende beleid wordt verificatie van gebruikersnaam en wachtwoord voor federatieve gebruikers rechtstreeks met Microsoft Entra-id ingeschakeld voor specifieke toepassingen:

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") 
    -DisplayName EnableDirectAuthPolicy 
    -Type HomeRealmDiscoveryPolicy

POST /policies/homeRealmDiscoveryPolicies

"EnableDirectAuthPolicy": {
    "AllowCloudPasswordValidation": true
}

Voer de volgende opdracht uit om uw nieuwe beleid te zien en de object-id op te halen:

Get-AzureADPolicy

Als u het HRD-beleid wilt toepassen nadat u het hebt gemaakt, kunt u het toewijzen aan meerdere toepassingsservice-principals.

De service-principal zoeken die moet worden toegewezen aan het beleid

U hebt de ObjectID nodig van de service-principals waaraan u het beleid wilt toewijzen. Er zijn verschillende manieren om de ObjectID van service-principals te vinden.

U kunt het Microsoft Entra-beheercentrum gebruiken of u kunt een query uitvoeren op Microsoft Graph. U kunt ook naar het Graph Explorer-hulpprogramma gaan en u aanmelden bij uw Microsoft Entra-account om alle service-principals van uw organisatie te bekijken.

Omdat u PowerShell gebruikt, kunt u de volgende cmdlet gebruiken om de service-principals en hun id's weer te geven.

Get-AzureADServicePrincipal

Het beleid toewijzen aan uw service-principal

Nadat u de ObjectID van de service-principal van de toepassing hebt waarvoor u automatische versnelling wilt configureren, voert u de volgende opdracht uit. Met deze opdracht wordt het HRD-beleid dat u in stap 1 hebt gemaakt, gekoppeld aan de service-principal die u in stap 2 hebt gevonden.

Add-AzureADServicePrincipalPolicy 
    -Id <ObjectID of the Service Principal> 
    -RefObjectId <ObjectId of the Policy>

U kunt deze opdracht herhalen voor elke service-principal waaraan u het beleid wilt toevoegen.

In het geval dat aan een toepassing al een HomeRealmDiscovery-beleid is toegewezen, kunt u geen tweede toevoegen. In dat geval wijzigt u de definitie van het HRD-beleid dat aan de toepassing is toegewezen om extra parameters toe te voegen.

Controleren aan welke service-principals uw HRD-beleid is toegewezen

Als u wilt controleren welke toepassingen HRD-beleid hebben geconfigureerd, gebruikt u de cmdlet Get-AzureADPolicyAppliedObject . Geef de object-id door van het beleid waarop u wilt controleren.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Probeer de toepassing om te controleren of het nieuwe beleid werkt.

De toepassingen weergeven waarvoor HRD-beleid is geconfigureerd

  1. Alle beleidsregels weergeven die in uw organisatie zijn gemaakt

    Get-AzureADPolicy

Noteer de ObjectID van het beleid waarvoor u toewijzingen wilt vermelden.

  1. Een lijst weergeven van de service-principals waaraan het beleid is toegewezen

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Een HRD-beleid verwijderen uit een toepassing

  1. De object-id ophalen

    Gebruik het vorige voorbeeld om de ObjectID van het beleid op te halen en die van de service-principal van de toepassing waaruit u het wilt verwijderen.

  2. De beleidstoewijzing verwijderen uit de service-principal van de toepassing

    Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>

  3. Controleer het verwijderen door de service-principals weer te geven waaraan het beleid is toegewezen

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Beleid configureren via Graph Explorer

Vanuit het Microsoft Graph Explorer-venster:

  1. Meld u aan met een van de rollen die worden vermeld in de sectie Vereisten.

  2. Geef toestemming aan de Policy.ReadWrite.ApplicationConfiguration machtiging.

  3. Gebruik het detectiebeleid voor thuisrealm om een nieuw beleid te maken.

  4. POST het nieuwe beleid of PATCH om een bestaand beleid bij te werken.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
    {
        "definition": [
        "{\"HomeRealmDiscoveryPolicy\":
        {\"AccelerateToFederatedDomain\":true,
        \"PreferredDomain\":\"federated.example.edu\",
        \"AlternateIdLogin\":{\"Enabled\":true}}}"
    ],
        "displayName": "Home Realm Discovery auto acceleration",
        "isOrganizationDefault": true
    }

  5. Voer de volgende query uit om uw nieuwe beleid weer te geven:

    GET /policies/homeRealmDiscoveryPolicies/{id}

  6. Het nieuwe beleid toewijzen aan een toepassing:

    POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref

    Of

    POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref

  7. Een lijst weergeven van de service-principals waaraan het beleid is toegewezen

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo

  8. Als u het HRD-beleid wilt verwijderen dat u hebt gemaakt, voert u de query uit:

    DELETE /policies/homeRealmDiscoveryPolicies/{id}

  9. De beleidstoewijzing verwijderen uit de service-principal

    DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref

    Of

    DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref

  10. Controleer het verwijderen door de service-principals weer te geven waaraan het beleid is toegewezen

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo

Volgende stappen