Desabilitar credenciais de aceleração automática
A HRD (Política de Descoberta de Realm Inicial) oferece aos administradores várias maneiras de controlar como e em que local os usuários se autenticam. A seção domainHintPolicy da política HRD é usada para ajudar a migrar usuários federados para credenciais gerenciadas na nuvem, como o FIDO, garantindo que eles sempre acessem a página de entrada do Microsoft Entra e não sejam acelerados automaticamente para um IdP federado devido às dicas de domínio. Para saber mais sobre a política de HRD, confira Descoberta de Realm Inicial.
Essa política é necessária nas situações em que os administradores não podem controlar nem atualizar as dicas de domínio durante a entrada. Por exemplo, outlook.com/contoso.com envia o usuário para uma página de entrada com o parâmetro &domain_hint=contoso.com anexado, para acelerar automaticamente o usuário diretamente para o IDP federado do domínio contoso.com. Os usuários com credenciais gerenciadas enviadas para um IdP federado não podem se conectar usando as credenciais gerenciadas, reduzindo a segurança e frustrando os usuários com experiências de entrada aleatórias. Os administradores que distribuem credenciais gerenciadas também devem configurar essa política a fim de garantir que os usuários sempre possam usar as credenciais gerenciadas.
Detalhes da DomainHintPolicy
A seção DomainHintPolicy da política HRD é um objeto JSON que permite que um administrador exclua determinados domínios e aplicativos do uso das dicas de domínio. Funcionalmente, isso faz com que a página de entrada do Microsoft Entra se comporte como se um parâmetro domain_hint na solicitação de entrada não estivesse presente.
As seções Respect e Ignore da política
| Seção | Significado | Valores |
|---|---|---|
IgnoreDomainHintForDomains |
Se essa dica de domínio for enviada na solicitação, ignore-a. | Matriz de endereços de domínio (por exemplo, contoso.com). Também dá suporte a all_domains |
RespectDomainHintForDomains |
Se essa dica de domínio for enviada na solicitação, respeite-a mesmo que IgnoreDomainHintForApps indicar que o aplicativo na solicitação não deve usar a aceleração automática. Isso é usado para reduzir a velocidade da distribuição de dicas de domínio preteridas na rede. Você pode indicar que alguns domínios ainda devem ser acelerados. |
Matriz de endereços de domínio (por exemplo, contoso.com). Também dá suporte a all_domains |
IgnoreDomainHintForApps |
Se uma solicitação desse aplicativo vier com uma dica de domínio, ignore-a. | Matriz de IDs de aplicativo (GUIDs). Também dá suporte a all_apps |
RespectDomainHintForApps |
Se uma solicitação desse aplicativo vier com uma dica de domínio, respeite-a mesmo que IgnoreDomainHintForDomains incluir esse domínio. Usado para garantir que alguns aplicativos continuem funcionando caso você descubra que eles são interrompidos sem dicas de domínio. |
Matriz de IDs de aplicativo (GUIDs). Também dá suporte a all_apps |
Avaliação da política
A lógica DomainHintPolicy é executada em cada solicitação de entrada que contém uma dica de domínio e usa a aceleração com base em dois tipos de dados na solicitação: o domínio na dica de domínio e a ID do cliente (o aplicativo). Em suma, "Respeitar" para um domínio ou um aplicativo tem precedência sobre uma instrução para "Ignorar" uma dica de domínio de determinado domínio ou aplicativo.
- Na ausência de qualquer política de dica de domínio, ou se nenhuma das quatro seções fizer referência ao aplicativo ou dica de domínio mencionada, o restante da política de RHD será avaliado.
- Se uma (ou ambas) das seções
RespectDomainHintForAppsouRespectDomainHintForDomainsincluir a dica de aplicativo ou domínio na solicitação, o usuário será acelerado automaticamente para o IDP federado conforme solicitado. - Se uma (ou ambas) as
IgnoreDomainHintsForAppsouIgnoreDomainHintsForDomainsfizer referência ao aplicativo ou à dica de domínio na solicitação e elas não forem referenciadas pelas seções “Respeito”, a solicitação não será acelerada automaticamente e o usuário permanecerá na página de entrada do Microsoft Entra para fornecer um nome de usuário.
Uma vez que um usuário tenha inserido um nome de usuário na página de entrada, ele pode usar suas credenciais gerenciadas. Se optarem por não usar uma credencial gerenciada ou se não tiverem nenhuma registrada, eles serão encaminhados ao IDP federado para inserir a credencial, como de costume.
Pré-requisitos
Para desabilitar a entrada de aceleração automática para um aplicativo no Microsoft Entra ID, você precisa do seguinte:
- Uma conta do Azure com uma assinatura ativa. Se ainda não tem uma, crie uma conta gratuita.
- Uma das seguintes funções: Administrador Global ou proprietário da entidade de serviço.
- Módulo do Microsoft Graph PowerShell.
Uso sugerido dentro de um locatário
Os administradores de domínios federados devem configurar esta seção da política HRD em um plano de quatro fases. A meta desse plano é, em última análise, fazer com que todos os usuários de um locatário usem as credenciais gerenciadas, independentemente do domínio ou do aplicativo, exceto os aplicativos que tenham dependências rígidas do uso de domain_hint. Esse plano ajuda os administradores a encontrar esses aplicativos, isentá-los da nova política e continuar distribuindo a alteração para o restante do locatário.
- Escolha um domínio para o qual essa alteração será distribuída inicialmente. Esse é seu domínio de teste, então escolha um que possa ser mais receptivo às alterações na UX (por exemplo, ver uma página de entrada diferente). Isso ignora todas as dicas de domínio de todos os aplicativos que usam esse nome de domínio. Defina essa política na política HRD padrão do locatário:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Reúna comentários dos usuários do domínio de teste. Colete detalhes de aplicativos que foram interrompidos como resultado dessa alteração. Eles têm uma dependência do uso de dicas de domínio e devem ser atualizados. Por enquanto, adicione-os à seção
RespectDomainHintForApps:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Continue expandindo a distribuição da política para novos domínios, coletando mais comentários.
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Conclua a distribuição: tenha como destino todos os domínios, isentando aqueles que devem continuar sendo acelerados:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
Após a conclusão da etapa 4, todos os usuários, exceto aqueles no guestHandlingDomain.com, podem entrar na página de entrada do Microsoft Entra mesmo quando as dicas de domínio, de outro modo, causariam uma aceleração automática para um IdP federado. A exceção a isso é se o aplicativo que está solicitando a entrada for um dos isentos. Para esses aplicativos, todas as dicas de domínio ainda são aceitas.
Como configurar a política por meio do Explorador do Graph
Gerencie a política de Descoberta de Realm Inicial usando o Microsoft Graph.
Entrar no Explorador do Microsoft Graph com uma das funções listadas na seção de pré-requisitos.
Conceda a permissão
Policy.ReadWrite.ApplicationConfiguration.Use a política de Descoberta de Realm Inicial para criar uma nova política.
PUBLIQUE a nova política ou PATCH para atualizar uma política existente.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
Lembre-se de usar barras para fazer escape da seção JSON Definition ao usar o Graph.
isOrganizationDefault precisa ser true, mas o displayName e a definição podem ser alterados.