Delen via

Aanmelden bij automatische versnelling uitschakelen

  • Artikel

Het HRD-beleid (Home Realm Discovery) biedt beheerders meerdere manieren om te bepalen hoe en waar hun gebruikers zich verifiƫren. De domainHintPolicy sectie van het HRD-beleid wordt gebruikt om federatieve gebruikers te helpen migreren naar door de cloud beheerde referenties, zoals FIDO, door ervoor te zorgen dat ze altijd de aanmeldingspagina van Microsoft Entra bezoeken en niet automatisch worden versneld naar een federatieve IDP vanwege domeinhints. Zie Home Realm Discovery voor meer informatie over HRD-beleid.

Dit beleid is nodig in situaties waarin beheerders geen domeinhints kunnen beheren of bijwerken tijdens het aanmelden. Verzendt de gebruiker bijvoorbeeld outlook.com/contoso.com naar een aanmeldingspagina waaraan de &domain_hint=contoso.com parameter is toegevoegd, om de gebruiker automatisch te versnellen naar de federatieve IDP voor het contoso.com domein. Gebruikers met beheerde referenties die zijn verzonden naar een federatieve IDP kunnen zich niet aanmelden met hun beheerde referenties, waardoor de beveiliging wordt verminderd en gebruikers met gerandomiseerde aanmeldingservaringen worden gerandomiseerd. Beheerders die beheerde referenties implementeren, moeten dit beleid ook instellen om ervoor te zorgen dat gebruikers altijd hun beheerde referenties kunnen gebruiken.

Details van DomainHintPolicy

De sectie DomainHintPolicy van het HRD-beleid is een JSON-object waarmee een beheerder bepaalde domeinen en toepassingen kan afmelden voor het gebruik van domeinhints. Functioneel betekent dit dat de aanmeldingspagina van Microsoft Entra zich gedraagt alsof er domain_hint geen parameter op de aanmeldingsaanvraag aanwezig was.

De secties Beleid respecteren en negeren

Sectie Betekenis Waarden
IgnoreDomainHintForDomains Als deze domeinhint wordt verzonden in de aanvraag, negeert u deze. Matrix van domeinadressen (bijvoorbeeld contoso.com). Ondersteunt ook all_domains
RespectDomainHintForDomains Als deze domeinhint wordt verzonden in de aanvraag, respecteert u deze zelfs als IgnoreDomainHintForApps dit aangeeft dat de app in de aanvraag niet automatisch moet versnellen. Dit wordt gebruikt om de implementatie van afgeschafte domeinhints in uw netwerk te vertragen. U kunt aangeven dat sommige domeinen nog steeds moeten worden versneld. Matrix van domeinadressen (bijvoorbeeld contoso.com). Ondersteunt ook all_domains
IgnoreDomainHintForApps Als een aanvraag van deze toepassing wordt geleverd met een domeinhint, negeert u deze. Matrix van toepassings-id's (GUID's). Ondersteunt ook all_apps
RespectDomainHintForApps Als een aanvraag van deze toepassing wordt geleverd met een domeinhint, moet u deze respecteren, zelfs als IgnoreDomainHintForDomains dat domein is opgenomen. Wordt gebruikt om ervoor te zorgen dat sommige apps blijven werken als u ontdekt dat ze breken zonder domeinhints. Matrix van toepassings-id's (GUID's). Ondersteunt ook all_apps

Beleidsevaluatie

De DomainHintPolicy-logica wordt uitgevoerd op elke binnenkomende aanvraag die een domeinhint bevat en versnelt op basis van twee stukjes gegevens in de aanvraag: het domein in de domeinhint en de client-id (de app). Kortom: 'Respect' voor een domein of app heeft voorrang op een instructie om een domeinhint voor een bepaald domein of een bepaalde toepassing te negeren.

  • Als er geen domeinhintbeleid is, of als geen van de vier secties verwijst naar de app of domeinhint die wordt vermeld, wordt de rest van het HRD-beleid geĆ«valueerd.
  • Als een (of beide) van RespectDomainHintForApps of RespectDomainHintForDomains sectie de app- of domeinhint in de aanvraag bevat, wordt de gebruiker automatisch versneld naar de federatieve IDP zoals aangevraagd.
  • Als een (of beide) van IgnoreDomainHintsForApps of IgnoreDomainHintsForDomains verwijst naar de app of de domeinhint in de aanvraag en ze niet worden verwezen door de secties Respect, wordt de aanvraag niet automatisch versneld en blijft de gebruiker op de aanmeldingspagina van Microsoft Entra om een gebruikersnaam op te geven.

Zodra een gebruiker een gebruikersnaam heeft ingevoerd op de aanmeldingspagina, kunnen ze hun beheerde referenties gebruiken. Als ze ervoor kiezen om geen beheerde referentie te gebruiken of als ze geen referenties hebben geregistreerd, worden ze naar hun federatieve IDP geleid voor referentievermelding zoals gebruikelijk.

Vereisten

Als u aanmelding voor automatische versnelling wilt uitschakelen voor een toepassing in Microsoft Entra ID, hebt u het volgende nodig:

  • Een Azure-account met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
  • Een van de volgende rollen: cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal.

Voorgesteld gebruik binnen een tenant

Beheerders van federatieve domeinen moeten deze sectie van het HRD-beleid instellen in een plan met vier fasen. Het doel van dit plan is om uiteindelijk alle gebruikers in een tenant te laten gebruiken om hun beheerde referenties te gebruiken, ongeacht het domein of de toepassing, om die apps op te slaan die harde afhankelijkheden hebben van domain_hint het gebruik. Met dit plan kunnen beheerders deze apps vinden, deze uitsluiten van het nieuwe beleid en de wijziging in de rest van de tenant blijven implementeren.

  1. Kies een domein om deze wijziging in eerste instantie uit te rollen. Dit is uw testdomein, dus kies een domein dat mogelijk meer geschikt is voor wijzigingen in UX (bijvoorbeeld een andere aanmeldingspagina). Hiermee worden alle domeinhints genegeerd van alle toepassingen die gebruikmaken van deze domeinnaam. Stel dit beleid in uw tenantstandaard HRD-beleid in:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Verzamel feedback van de testdomeingebruikers. Verzamel details voor toepassingen die zijn verbroken als gevolg van deze wijziging. Ze hebben een afhankelijkheid van het gebruik van domeinhints en moeten worden bijgewerkt. Voeg deze voorlopig toe aan de RespectDomainHintForApps sectie:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Blijf de implementatie van het beleid uitbreiden naar nieuwe domeinen en verzamel meer feedback.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Voltooi uw implementatie: richt u op alle domeinen, waarbij de domeinen worden uitgesloten die nog steeds moeten worden versneld:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Nadat stap 4 is voltooid, kunnen alle gebruikers, behalve die in guestHandlingDomain.com, zich aanmelden op de aanmeldingspagina van Microsoft Entra, zelfs wanneer domeinhints anders een automatische versnelling naar een federatieve IDP veroorzaken. De uitzondering hierop is als de app die aanmelding aanvraagt een van de uitgesloten apps is. Voor deze apps worden alle domeinhints nog steeds geaccepteerd.

Beleid configureren via Graph Explorer

Beheer het detectiebeleid voor thuisrealm met Behulp van Microsoft Graph.

  1. Meld u aan bij Microsoft Graph Explorer met een van de rollen die worden vermeld in de sectie Vereisten.

  2. Geef de Policy.ReadWrite.ApplicationConfiguration machtiging.

  3. Gebruik het detectiebeleid voor thuisrealm om een nieuw beleid te maken.

  4. POST het nieuwe beleid of PATCH om een bestaand beleid bij te werken.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Zorg ervoor dat u slashes gebruikt om te ontsnappen aan de Definition JSON-sectie wanneer u Graph gebruikt.

isOrganizationDefault moet waar zijn, maar de displayName en definitie kunnen worden gewijzigd.

Volgende stappen