Отключение автоматического ускорения входа
Политика обнаружения домашней области (HRD) предоставляет администраторам несколько способов контроля над тем, как и где пользователи проходят проверку подлинности. Раздел domainHintPolicy политики HRD используется для миграции федеративных пользователей в облачные управляемые учетные данные, такие как FIDO, гарантируя, что они всегда посещают страницу входа Microsoft Entra и не автоматически ускоряются в федеративный поставщик удостоверений из-за подсказок домена. Дополнительные сведения о политике обнаружения домашней области см. в разделе Обнаружение домашней области.
Эта политика необходима в тех случаях, когда администратор не может обновлять указания домена или управлять ими во время входа. Например, outlook.com/contoso.com отправляет пользователя на страницу входа с &domain_hint=contoso.com добавленным параметром, чтобы автоматически ускорить пользователя непосредственно в федеративный поставщик удостоверений для contoso.com домена. Пользователи с управляемыми учетными данными, отправляемыми в федеративный IDP, не могут войти в систему с использованием своих управляемых учетных данных, что негативно влияет на безопасность и затрудняет вход пользователей в систему. При развертывании управляемых учетных данных администраторы также должны настроить эту политику, чтобы пользователи всегда могли использовать свои управляемые учетные данные.
Сведения о DomainHintPolicy
Раздел DomainHintPolicy политики HRD — это объект JSON, позволяющий администратору отказаться от определенных доменов и приложений из использования указания домена. Функционально это указывает на страницу входа в Microsoft Entra, как если domain_hint бы параметр в запросе на вход не присутствовал.
Разделы политик о соблюдении и игнорировании
| Раздел | Значение | Values |
|---|---|---|
IgnoreDomainHintForDomains |
Если это указание домена отправляется в запросе, игнорировать его. | Массив адресов домена (например contoso.com). Также поддерживает all_domains |
RespectDomainHintForDomains |
Если это указание домена отправляется в запросе, соблюдать его, даже если IgnoreDomainHintForApps указывает, что приложение в запросе не должно использовать автоматическое ускорение. Это позволяет замедлить развертывание нерекомендуемых доменов в сети — вы можете указать, что некоторые домены должны работать быстрее. |
Массив адресов домена (например contoso.com). Также поддерживает all_domains |
IgnoreDomainHintForApps |
Если запрос из этого приложения поставляется с указанием домена, игнорировать его. | Массив идентификаторов приложений (GUID). Также поддерживает all_apps |
RespectDomainHintForApps |
Если запрос из этого приложения поставляется с указанием домена, соблюдать его, даже если IgnoreDomainHintForDomains включает этот домен. Используется для того, чтобы некоторые приложения продолжали работать при обнаружении прерывания без указаний домена. |
Массив идентификаторов приложений (GUID). Также поддерживает all_apps |
Оценка политики
Логика DomainHintPolicy выполняется для каждого входящего запроса, содержащего указание домена, и ускоряется на основе двух фрагментов данных в запросе — домен в указании домена и идентификатор клиента (приложения). В двух словах, инструкция соблюдения для домена или приложения имеет приоритет над инструкцией игнорирования указания домена для данного домена или приложения.
- В отсутствие политики указания домена или если ни один из четырех разделов не ссылается на приложение или указание домена, упоминание, будет оценена остальная часть политики HRD.
- Если один (или оба)
RespectDomainHintForAppsRespectDomainHintForDomainsраздела содержит в запросе указание приложения или домена, пользователь автоматически ускоряется в федеративном поставщике удостоверений, как запрашивается. - Если один (или оба)
IgnoreDomainHintsForAppsIgnoreDomainHintsForDomainsили ссылается на приложение или указание домена в запросе, и они не ссылаются на разделы "Уважение", запрос не будет автоматически ускорен, и пользователь остается на странице входа Microsoft Entra, чтобы указать имя пользователя.
Когда пользователь ввел имя пользователя на странице входа, он может использовать свои управляемые учетные данные. Если они решили не использовать управляемые учетные данные или нет зарегистрированных учетных данных, они отправляются в федеративный поставщик удостоверений для записи учетных данных как обычно.
Необходимые компоненты
Чтобы отключить автоматический вход для приложения в идентификаторе Microsoft Entra, вам потребуется:
- Учетная запись Azure с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей: Cloud Application Администратор istrator, Application Администратор istrator или владелец субъекта-службы.
Рекомендуемое использование в клиенте
Администраторы федеративных доменов должны настроить этот раздел политики обнаружения домашней области в рамках четырехэтапного плана. Цель этого плана состоит в том, чтобы все пользователи в арендаторе использовали свои управляемые учетные данные независимо от домена или приложения, кроме приложений с жесткими зависимостями от использования domain_hint. Этот план помогает администраторам найти эти приложения, исключить их из новой политики и продолжить развертывание изменений в остальной части клиента.
- Выберите домен для изначального развертывания этого изменения. Это ваш тестовый домен, поэтому выберите его, который может быть более восприимчивым к изменениям в пользовательском интерфейсе (например, просмотр другой страницы входа). Это игнорирует все указания домена из всех приложений, использующих это доменное имя. Задайте эту политику в политике обнаружения домашней области клиента по умолчанию:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Соберите отзывы от пользователей тестового домена. Собирайте сведения о приложениях, которые были нарушены в результате этого изменения, — они имеют зависимость от использования указания домена и должны быть обновлены. Пока добавьте их в раздел
RespectDomainHintForApps:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Продолжите развертывание политики в новых доменах, чтобы собрать дополнительные отзывы.
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Завершите развертывание — включите в политику все домены, исключая те, для которых по-прежнему требуется ускорение:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
После завершения шага 4 все пользователи, кроме тех, в которых они есть guestHandlingDomain.com, могут войти на странице входа Microsoft Entra, даже если указания домена в противном случае вызвали автоматическое ускорение федеративного поставщика удостоверений. Исключением из этого является то, что приложение, запрашивающее вход, является одним из исключенных . Для этих приложений все указания домена по-прежнему принимаются.
Настройка политики с помощью Graph Explorer
Управление политикой обнаружения домашней области с помощью Microsoft Graph.
Войдите в обозреватель Microsoft Graph с одной из ролей, перечисленных в разделе предварительных требований.
Предоставьте
Policy.ReadWrite.ApplicationConfigurationразрешение.Используйте политику обнаружения домашней области для создания новой политики.
POST новую политику или PATCH для обновления существующей политики.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
Не забудьте использовать косую черту для экранирования раздела JSON Definition при использовании Graph.
isOrganizationDefault должно иметь значение true, но displayName и определение могут измениться.