Share via

Wyłączanie logowania automatycznego przyspieszania

  • Artykuł

Zasady odnajdywania obszaru głównego (HRD) oferują administratorom wiele sposobów kontrolowania sposobu i miejsca uwierzytelniania użytkowników. Sekcja domainHintPolicy zasad HRD służy do migrowania użytkowników federacyjnych do poświadczeń zarządzanych w chmurze, takich jak FIDO, dzięki upewnieniu się, że zawsze odwiedzają stronę logowania firmy Microsoft Entra i nie są automatycznie przyspieszane do federacyjnego dostawcy tożsamości z powodu wskazówek dotyczących domeny. Aby dowiedzieć się więcej na temat zasad HRD, zobacz Odnajdywanie obszaru głównego.

Te zasady są potrzebne w sytuacjach, w których administratorzy nie mogą kontrolować ani aktualizować wskazówek dotyczących domeny podczas logowania. Na przykład outlook.com/contoso.com wysyła użytkownika do strony logowania z &domain_hint=contoso.com dołączonym parametrem, aby automatycznie przyspieszyć użytkownika bezpośrednio do federacyjnego dostawcy tożsamości dla contoso.com domeny. Użytkownicy z poświadczeniami zarządzanymi wysyłanymi do federacyjnego dostawcy tożsamości nie mogą logować się przy użyciu poświadczeń zarządzanych, zmniejszając bezpieczeństwo i frustrując użytkowników z losowymi środowiskami logowania. Administracja wdrażania poświadczeń zarządzanych należy również skonfigurować te zasady, aby zapewnić, że użytkownicy będą zawsze mogli używać swoich poświadczeń zarządzanych.

Szczegóły domainHintPolicy

Sekcja DomainHintPolicy zasad HRD jest obiektem JSON, który umożliwia administratorowi rezygnację z określonych domen i aplikacji z użycia wskazówek dotyczących domeny. Funkcjonalnie informuje to stronę logowania firmy Microsoft, aby zachowywała się tak, jakby domain_hint parametr żądania logowania nie był obecny.

Sekcje zasad Szacunek i Ignorowanie

Sekcja Znaczenie Wartości
IgnoreDomainHintForDomains Jeśli ta wskazówka dotycząca domeny zostanie wysłana w żądaniu, zignoruj ją. Tablica adresów domeny (na przykład contoso.com). Obsługuje również obsługę all_domains
RespectDomainHintForDomains Jeśli ta wskazówka dotycząca domeny jest wysyłana w żądaniu, należy go przestrzegać, nawet jeśli IgnoreDomainHintForApps wskazuje, że aplikacja w żądaniu nie powinna być automatycznie przyspieszana. Służy to do spowolnienia wdrażania przestarzałych wskazówek dotyczących domeny w sieci — można wskazać, że niektóre domeny powinny być nadal przyspieszone. Tablica adresów domeny (na przykład contoso.com). Obsługuje również obsługę all_domains
IgnoreDomainHintForApps Jeśli żądanie z tej aplikacji zawiera wskazówkę dotyczącą domeny, zignoruj je. Tablica identyfikatorów aplikacji (GUID). Obsługuje również obsługę all_apps
RespectDomainHintForApps Jeśli żądanie z tej aplikacji zawiera wskazówkę dotyczącą domeny, należy ją uwzględnić, nawet jeśli IgnoreDomainHintForDomains zawiera tę domenę. Służy do zapewnienia, że niektóre aplikacje będą działać, jeśli odkryjesz, że nie zostaną przerwane bez wskazówek dotyczących domeny. Tablica identyfikatorów aplikacji (GUID). Obsługuje również obsługę all_apps

Ocena zasad

Logika DomainHintPolicy jest uruchamiana na każdym przychodzącym żądaniu zawierającym wskazówkę domeny i przyspiesza na podstawie dwóch fragmentów danych w żądaniu — domeny w wskazówce domeny i identyfikatora klienta (aplikacji). Krótko mówiąc : "Szacunek" dla domeny lub aplikacji ma pierwszeństwo przed instrukcją "Ignoruj" wskazówkę domeny dla danej domeny lub aplikacji.

  • W przypadku braku zasad wskazówek dotyczących domeny lub jeśli żadna z czterech sekcji nie odwołuje się do wymienionej aplikacji lub wskazówki domeny, pozostałe zasady HRD zostaną ocenione.
  • Jeśli jedna (lub obie) RespectDomainHintForAppsRespectDomainHintForDomains sekcji zawiera wskazówkę dotyczącą aplikacji lub domeny w żądaniu, użytkownik zostanie automatycznie przyspieszony do federacyjnego dostawcy tożsamości zgodnie z żądaniem.
  • Jeśli jeden (lub oba) IgnoreDomainHintsForAppsIgnoreDomainHintsForDomains lub odwołuje się do aplikacji lub wskazówki domeny w żądaniu i nie odwołuje się do nich w sekcjach "Szacunek", żądanie nie zostanie automatycznie przyspieszone, a użytkownik pozostanie na stronie logowania Microsoft Entra w celu podania nazwy użytkownika.

Gdy użytkownik wprowadził nazwę użytkownika na stronie logowania, może użyć swoich poświadczeń zarządzanych. Jeśli zdecydują się nie używać poświadczeń zarządzanych lub nie mają żadnych zarejestrowanych, są one przekazywane do federacyjnego dostawcy tożsamości na potrzeby wpisu poświadczeń w zwykły sposób.

Wymagania wstępne

Aby wyłączyć automatyczne przyspieszanie logowania dla aplikacji w usłudze Microsoft Entra ID, potrzebne są następujące elementy:

  • Konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
  • Jedną z następujących ról: Administracja istrator aplikacji w chmurze, Administracja istrator aplikacji lub właściciel jednostki usługi.

Sugerowane użycie w dzierżawie

Administracja domen federacyjnych należy skonfigurować tę sekcję zasad HRD w planie czterofazowym. Celem tego planu jest ostatecznie uzyskanie wszystkich użytkowników w dzierżawie w celu korzystania z poświadczeń zarządzanych niezależnie od domeny lub aplikacji, zapisz te aplikacje, które mają twarde zależności od domain_hint użycia. Ten plan pomaga administratorom znaleźć te aplikacje, wykluczyć je z nowych zasad i kontynuować wprowadzanie zmian w pozostałej części dzierżawy.

  1. Wybierz domenę, aby początkowo wdrożyć tę zmianę. Jest to domena testowa, więc wybierz tę, która może być bardziej otwarta na zmiany w środowisku użytkownika (na przykład wyświetlanie innej strony logowania). Spowoduje to zignorowanie wszystkich wskazówek dotyczących domeny ze wszystkich aplikacji korzystających z tej nazwy domeny. Ustaw te zasady w domyślnych zasadach HRD dzierżawy:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Zbieraj opinie od użytkowników domeny testowej. Zbierz szczegóły aplikacji, które uległy awarii w wyniku tej zmiany — mają zależność od użycia wskazówek dotyczących domeny i powinny zostać zaktualizowane. Na razie dodaj je do RespectDomainHintForApps sekcji:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Kontynuuj rozszerzanie wdrażania zasad w nowych domenach, zbierając więcej opinii.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Ukończ wdrożenie — dotyczy wszystkich domen, wykluczając te, które powinny być nadal przyspieszone:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Po wykonaniu kroku 4 wszyscy użytkownicy, z wyjątkiem tych w guestHandlingDomain.comprogramie , mogą zalogować się na stronie logowania firmy Microsoft Entra nawet wtedy, gdy wskazówki dotyczące domeny w przeciwnym razie spowodują automatyczne przyspieszenie do federacyjnego dostawcy tożsamości. Wyjątkiem jest to, że jeśli aplikacja żądającą logowania jest jedną z wykluczonych aplikacji — w przypadku tych aplikacji wszystkie wskazówki dotyczące domeny są nadal akceptowane.

Konfigurowanie zasad za pomocą Eksploratora programu Graph

Zarządzanie zasadami odnajdywania obszaru głównego przy użyciu programu Microsoft Graph.

  1. Zaloguj się do Eksploratora programu Microsoft Graph przy użyciu jednej z ról wymienionych w sekcji wymagań wstępnych.

  2. Policy.ReadWrite.ApplicationConfiguration Udziel uprawnienia.

  3. Użyj zasad odnajdywania obszaru głównego, aby utworzyć nowe zasady.

  4. OPUBLIKUJ nowe zasady lub PATCH, aby zaktualizować istniejące zasady.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Pamiętaj, aby użyć ukośników, aby uniknąć Definition sekcji JSON podczas korzystania z programu Graph.

isOrganizationDefault musi mieć wartość true, ale nazwa displayName i definicja mogą ulec zmianie.

Następne kroki