Inaktivera automatisk accelerationsinloggning

  • Artikel

Home Realm Discovery Policy (HRD) erbjuder administratörer flera sätt att styra hur och var deras användare autentiserar. Avsnittet domainHintPolicy i HRD-principen används för att migrera federerade användare till molnhanterade autentiseringsuppgifter som FIDO, genom att se till att de alltid besöker Microsoft Entra-inloggningssidan och inte accelereras automatiskt till en federerad IDP på grund av domäntips. Mer information om HRD-principer finns i Identifiering av hemsfär.

Den här principen behövs i situationer där administratörer inte kan styra eller uppdatera domäntips under inloggningen. Skickar till exempel outlook.com/contoso.com användaren till en inloggningssida med den &domain_hint=contoso.com bifogade parametern för att automatiskt påskynda användaren direkt till domänens contoso.com federerade IDP. Användare med hanterade autentiseringsuppgifter som skickas till en federerad IDP kan inte logga in med sina hanterade autentiseringsuppgifter, vilket minskar säkerheten och frustrerar användare med slumpmässiga inloggningsupplevelser. Administratörer som distribuerar hanterade autentiseringsuppgifter bör också konfigurera den här principen för att säkerställa att användarna alltid kan använda sina hanterade autentiseringsuppgifter.

DomainHintPolicy-information

Avsnittet DomainHintPolicy i HRD-principen är ett JSON-objekt som gör att en administratör kan välja bort vissa domäner och program från användning av domäntips. Funktionellt instruerar detta Microsoft Entra-inloggningssidan att bete sig som om en domain_hint parameter på inloggningsbegäran inte fanns.

Avsnitten Respekt och Ignorera princip

Avsnitt Innebörd Värden
IgnoreDomainHintForDomains Om det här domäntipset skickas i begäran ignorerar du det. Matris med domänadresser (till exempel contoso.com). Stöder också all_domains
RespectDomainHintForDomains Om det här domäntipset skickas i begäran respekterar du det även om IgnoreDomainHintForApps anger att appen i begäran inte ska påskyndas automatiskt. Detta används för att bromsa distributionen av inaktuella domäntips i nätverket – du kan ange att vissa domäner fortfarande ska påskyndas. Matris med domänadresser (till exempel contoso.com). Stöder också all_domains
IgnoreDomainHintForApps Om en begäran från det här programmet levereras med ett domäntips ignorerar du det. Matris med program-ID:er (GUID). Stöder också all_apps
RespectDomainHintForApps Om en begäran från det här programmet levereras med ett domäntips bör du respektera den även om IgnoreDomainHintForDomains den innehåller den domänen. Används för att säkerställa att vissa appar fortsätter att fungera om du upptäcker att de bryts utan domäntips. Matris med program-ID:er (GUID). Stöder också all_apps

Principutvärdering

Logiken DomainHintPolicy körs på varje inkommande begäran som innehåller ett domäntips och accelererar baserat på två datadelar i begäran – domänen i domäntipset och klient-ID :t (appen). Kort och kort – "Respekt" för en domän eller app har företräde framför en instruktion om att "ignorera" ett domäntips för en viss domän eller ett visst program.

  • Om det inte finns någon princip för domäntips, eller om inget av de fyra avsnitten refererar till appen eller domäntipset som nämns, utvärderas resten av HRD-principen.
  • Om antingen ett (eller båda) av RespectDomainHintForApps eller RespectDomainHintForDomains -avsnittet innehåller app- eller domäntipset i begäran, accelereras användaren automatiskt till den federerade IDP:en på begäran.
  • Om antingen en (eller båda) av IgnoreDomainHintsForApps eller IgnoreDomainHintsForDomains refererar till appen eller domäntipset i begäran, och de inte refereras av avsnitten "Respekt", så accelereras inte begäran automatiskt och användaren finns kvar på inloggningssidan för Microsoft Entra för att ange ett användarnamn.

När en användare har angett ett användarnamn på inloggningssidan kan de använda sina hanterade autentiseringsuppgifter. Om de väljer att inte använda en hanterad autentiseringsuppgift, eller om de inte har någon registrerad, tas de till sin federerade IDP för inmatning av autentiseringsuppgifter som vanligt.

Förutsättningar

Om du vill inaktivera automatisk accelerationsinloggning för ett program i Microsoft Entra-ID behöver du:

  • Ett Azure-konto med en aktiv prenumeration. Om du inte redan har ett konto kan du skapa ett konto kostnadsfritt.
  • En av följande roller: Global administratör eller ägare av tjänstens huvudnamn.

Föreslagen användning i en klientorganisation

Administratörer av federerade domäner bör konfigurera det här avsnittet av HRD-principen i en plan med fyra faser. Målet med den här planen är att så småningom få alla användare i en klientorganisation att använda sina hanterade autentiseringsuppgifter oavsett domän eller program, spara de appar som har hårda beroenden för domain_hint användning. Den här planen hjälper administratörer att hitta dessa appar, undanta dem från den nya principen och fortsätta att distribuera ändringen till resten av klientorganisationen.

  1. Välj en domän som den här ändringen först ska distribueras till. Det här är din testdomän, så välj en som kan vara mer mottaglig för ändringar i UX (till exempel om du ser en annan inloggningssida). Detta ignorerar alla domäntips från alla program som använder det här domännamnet. Ange den här principen i din HRD-standardprincip för klientorganisationen:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Samla in feedback från testdomänanvändarna. Samla in information för program som bröts till följd av den här ändringen – de är beroende av användning av domäntips och bör uppdateras. Lägg till dem i avsnittet RespectDomainHintForApps för tillfället:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Fortsätt att utöka distributionen av principen till nya domäner och samla in mer feedback.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Slutför distributionen – rikta in dig på alla domäner och undanta dem som bör fortsätta att påskyndas:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

När steg 4 har slutförts kan alla användare, förutom de i guestHandlingDomain.com, logga in på inloggningssidan för Microsoft Entra även om domäntips annars skulle orsaka en automatisk acceleration till en federerad IDP. Undantaget är om appen som begär inloggning är en av de undantagna – för dessa appar godkänns fortfarande alla domäntips.

Konfigurera en princip via Graph Explorer

Hantera principen För identifiering av hemsfär med hjälp av Microsoft Graph.

  1. Logga in på Microsoft Graph Explorer med en av rollerna som anges i avsnittet krav.

  2. Bevilja behörigheten Policy.ReadWrite.ApplicationConfiguration .

  3. Använd principen för identifiering av hemsfär för att skapa en ny princip.

  4. PUBLICERA den nya principen eller PATCH för att uppdatera en befintlig princip.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Se till att använda snedstreck för att undvika Definition JSON-avsnittet när du använder Graph.

isOrganizationDefault måste vara sant, men displayName och definitionen kan ändras.

Nästa steg