Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Ev Alanı Keşfi (HRD) politikası kullanılarak federasyon kullanıcıları için Microsoft Entra kimlik doğrulama davranışını yapılandırmaya bir giriş sunmaktadır. Kullanıcı adı giriş ekranını atlamak ve kullanıcıları otomatik olarak federasyon oturum açma uç noktalarına iletmek için otomatik hızlandırma oturum açma işleminin kullanılmasını kapsar. HRD ilkesi hakkında daha fazla bilgi edinmek için Home Realm Discovery makalesine bakın.
Önkoşullar
Microsoft Entra Id'de bir uygulamanın HRD ilkesini yapılandırmak için şunları yapmanız gerekir:
- Etkin aboneliği olan bir Azure hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Uygulama Yöneticisi rolü
Otomatik hızlandırma oturum açma
Bazı kuruluşlar, kullanıcı kimlik doğrulaması için Active Directory Federasyon Hizmetleri (ADFS) gibi başka bir kimlik sağlayıcısıyla (IDP) federasyon oluşturmak üzere Microsoft Entra kiracılarındaki etki alanlarını yapılandırmaktadır. Bir kullanıcı uygulamada oturum açtığında ilk olarak bir Microsoft Entra oturum açma sayfası sunulur. Kullanıcı Asıl Adını (UPN) yazdıktan sonra, federasyon etki alanındaysa, bu etki alanına hizmet veren IDP'nin oturum açma sayfasına yönlendirilirler. Belirli koşullar altında, yöneticiler belirli uygulamalarda oturum açarken kullanıcıları oturum açma sayfasına yönlendirmek isteyebilir. Sonuç olarak kullanıcılar ilk Microsoft Entra Id sayfasını atlayabilir. Bu işleme "oturum açma otomatik hızlandırma" adı verilir.
Kısa İleti Hizmeti (SMS) oturum açma veya FIDO anahtarları gibi bulut özellikli kimlik bilgilerine sahip federasyon kullanıcıları için oturum açma otomatik hızlandırmasını engellemeniz gerekir. HRD ile etki alanı ipuçlarını nasıl önleyeceğinizi öğrenmek için Otomatik hızlandırılmış oturum açmayı devre dışı bırakma bölümüne bakın.
Önemli
Nisan 2023'den itibaren otomatik hızlandırma veya akıllı bağlantılar kullanan kuruluşlar oturum açma kullanıcı arabirimine yeni bir ekran eklemeye başlayabilir. Etki Alanı Onayı İletişim Kutusu olarak anılan bu ekran, Microsoft'un güvenlik sağlamlaştırmaya yönelik genel taahhüdünün bir parçasıdır ve kullanıcının oturum açtıkları kiracının etki alanını onaylamasını gerektirir. Eğer Etki Alanı Onay İletişim Kutusu'nu görüyorsanız ve listelenen etki alanını tanımıyorsanız, kimlik doğrulama akışını iptal edip BT Yöneticinize başvurmalısınız.
Daha fazla bilgi için lütfen Etki Alanı Onayı İletişim Kutusu'nu ziyaret edin.
Microsoft Graph PowerShell kullanarak HRD ilkesi ayarlama
Microsoft Graph PowerShell cmdlet'lerini kullanarak aşağıdakiler dahil olmak üzere birkaç senaryoya göz atıyoruz:
- Tek bir federasyon etki alanına sahip bir kiracıdaki bir uygulama için otomatik hızlandırma yapmak üzere HRD politikasını ayarlama.
- Kiracınız için doğrulanmış çeşitli etki alanlarından birine bir uygulama için otomatik hızlandırma yapmak üzere HRD ilkesini ayarlama.
- Eski bir uygulamanın federasyon kullanıcısı için Microsoft Entra Id'ye doğrudan kullanıcı adı/parola kimlik doğrulaması yapmasını sağlamak üzere HRD ilkesi ayarlama.
- İlkenin yapılandırıldığı uygulamaları listeleme.
Aşağıdaki örneklerde, Microsoft Entra Id'de uygulama hizmeti sorumlularında HRD ilkeleri oluşturur, güncelleştirir, bağlar ve silersiniz.
Başlamadan önce Bağlan komutunu çalıştırarak en azından Uygulama Yöneticisi rolüyle Microsoft Entra Id'de oturum açın:
connect-MgGraph -scopes "Policy.Read.All"Kuruluşunuzdaki tüm ilkeleri görmek için aşağıdaki komutu çalıştırın:
Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
Hiçbir şey döndürülmezse, kiracı hesabınızda herhangi bir politika oluşturulmadı demektir.
Microsoft Graph PowerShell kullanarak HRD ilkesi oluşturma
Bu örnekte, bir uygulamaya atadığınızda aşağıdakilerden birini de içeren bir ilke oluşturursunuz:
- Kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açarken kullanıcıları bir federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır.
- Kiracınızda birden fazla federasyon etki alanı varsa kullanıcıları otomatik olarak federasyon kimlik sağlayıcısı oturum açma ekranına hızlandırır.
- İlkenin atandığı uygulamalar için federasyon kullanıcıları için doğrudan Microsoft Entra Kimliği'nde etkileşimli olmayan kullanıcı adı/parola oturum açma olanağı sağlar.
Aşağıdaki ilke, kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açarken kullanıcıları federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır.
Microsoft Entra Id'de en azından Uygulama Yöneticisi rolüyle oturum açmak için Bağlan komutunu çalıştırın:
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"Yeni bir HRD ilkesi oluşturmak için aşağıdaki komutu çalıştırın:
# Define the parameters for the policy $params = @{ definition = @( '{"HomeRealmDiscoveryPolicy":{ "AccelerateToFederatedDomain":true, } }' ) displayName = "BasicAutoAccelerationPolicy" isOrganizationDefault = $true } # Create a new Home Realm Discovery Policy New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Aşağıdaki ilke, kiracınızda birden fazla federasyon etki alanı olduğunda kullanıcıları bir federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır. Uygulamalar için kullanıcıların kimliğini doğrulayan birden fazla federasyon etki alanınız varsa, otomatik hızlandırma için etki alanını belirtmeniz gerekir.
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
definition = @(
'{"HomeRealmDiscoveryPolicy":{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu"
}}'
)
displayName = "MultiDomainAutoAccelerationPolicy"
isOrganizationDefault = $true
}
# Create the new policy
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Aşağıdaki ilke, federasyon kullanıcıları için kullanıcı adı/parola kimlik doğrulamasını doğrudan belirli uygulamalar için Microsoft Entra Id ile etkinleştirir:
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
# Define the parameters for the New-MgPolicyHomeRealmDiscoveryPolicy cmdlet
$params = @{
definition = @(
'{"HomeRealmDiscoveryPolicy":{
"AllowCloudPasswordValidation":true
}
}'
)
displayName = "EnableDirectAuthPolicy"
}
New-MgPolicyHomeRealmDiscoveryPolicy -BodyParameter $params
Yeni ilkenizi görmek ve ObjectID değerini almak için aşağıdaki komutu çalıştırın:
Get-MgPolicyHomeRealmDiscoveryPolicy -Property Id, displayName
HRD ilkesini oluşturduktan sonra uygulamak için birden çok hizmet sorumlusuna atayabilirsiniz.
Microsoft Graph PowerShell kullanarak ilkeyi atamak için hizmet sorumlusunu bulun
İlkeyi atamak istediğiniz hizmet sorumlularının ObjectID'sine ihtiyacınız vardır. Hizmet sorumlularının ObjectID değerini bulmanın birkaç yolu vardır.
Microsoft Entra yönetim merkezini kullanabilirsiniz. Bu seçeneği kullanarak:
- Entra ID>Enterprise uygulamaları>Tüm uygulamalar'a göz atın.
- Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin. Uygulamanın Nesne Kimliğini kopyalayın.
Microsoft Graph PowerShell kullandığınızdan, hizmet sorumlularını ve kimliklerini listelemek için aşağıdaki cmdlet'i çalıştırın.
connect-MgGraph -scopes "Application.Read.All"
Get-MgServicePrincipal
Microsoft Graph PowerShell kullanarak ilkeyi hizmet sorumlunuza atama
Otomatik hızlandırmayı yapılandırmak istediğiniz uygulamanın hizmet sorumlusunun ObjectID değerini aldıktan sonra aşağıdaki komutu çalıştırın. Bu komut, oluşturduğunuz HRD ilkesini önceki bölümlerde bulunan hizmet sorumlusuyla ilişkilendirir.
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration", "Application.ReadWrite.All"
# Define the parameters for the New-MgServicePrincipalHomeRealmDiscoveryPolicy cmdlet
$assignParams = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>"
}
New-MgServicePrincipalHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -BodyParameter $assignParams
İlkeyi eklemek istediğiniz her hizmet sorumlusu için bu komutu yineleyebilirsiniz.
Bir uygulamaya zaten bir Giriş Bölgesi Bulma ilkesi atanmışsa, ikincisini ekleyemezsiniz. Bu durumda, ek parametreler eklemek için uygulamaya atanan HRD ilkesinin tanımını değiştirin.
Microsoft Graph PowerShell kullanarak HRD ilkenizin atandığı hizmet sorumlularını denetleyin
İlkenin atandığı hizmet sorumlularını listelemek için aşağıdaki komutu çalıştırın:
Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>"
# Replace with the actual ObjectId of the Policy
Yeni ilkenin çalışıp çalışmadığını denetlemek için uygulamanın oturum açma deneyimini test ettiğinizden emin olun.
Microsoft Graph kullanarak HRD ilkesi ayarlama
Aşağıdakiler dahil olmak üzere birkaç senaryoya göz atmak için Microsoft Graph API çağrılarını kullanırız:
Tek bir federasyon etki alanına sahip bir kiracıdaki bir uygulama için otomatik hızlandırma yapmak üzere HRD politikasını ayarlama.
Kiracınız için doğrulanmış çeşitli etki alanlarından birine bir uygulama için otomatik hızlandırma yapmak üzere HRD ilkesini ayarlama.
Eski bir uygulamanın federasyon kullanıcısı için Microsoft Entra Id'ye doğrudan kullanıcı adı/parola kimlik doğrulaması yapmasını sağlamak üzere HRD ilkesi ayarlama.
İlkenin yapılandırıldığı uygulamaları listeleme.
Aşağıdaki örneklerde, Microsoft Entra Id'de uygulama hizmeti sorumlularında HRD ilkeleri oluşturur, güncelleştirir, bağlar ve silersiniz.
Başlamadan önce Microsoft Graph gezgini penceresine erişin.
En azından Uygulama Yöneticisi rolüyle oturum açın.
İzin için
Policy.Read.Allonay verin.Kuruluşunuzdaki tüm ilkeleri görmek için aşağıdaki API çağrısını çalıştırın:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
Hiçbir şey döndürülmezse, kiracı hesabınızda herhangi bir politika oluşturulmadı demektir.
Microsoft Graph kullanarak HRD ilkesi oluşturma
Bu örnekte, bir uygulamaya atadığınızda aşağıdakilerden birini de içeren bir ilke oluşturursunuz:
- Kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açarken kullanıcıları bir federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır.
- Kiracınızda birden fazla federasyon etki alanı varsa kullanıcıları otomatik olarak federasyon kimlik sağlayıcısı oturum açma ekranına hızlandırır.
- İlkenin atandığı uygulamalar için federasyon kullanıcıları için doğrudan Microsoft Entra Kimliği'nde etkileşimli olmayan kullanıcı adı/parola oturum açma olanağı sağlar.
Aşağıdaki ilke, kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açarken kullanıcıları federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır.
Microsoft Graph gezgini penceresinden:
En azından Uygulama Yöneticisi rolüyle oturum açın.
İzin için
Policy.ReadWrite.ApplicationConfigurationonay verin.Yeni politikayı yayınlamak için POST, mevcut bir politikayı güncellemek için PATCH kullanın.
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true}}" ], "displayName": "BasicAutoAccelerationPolicy", "isOrganizationDefault": true }
Aşağıdaki ilke, kiracınızda birden fazla federasyon etki alanı olduğunda kullanıcıları bir federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır. Uygulamalar için kullanıcıların kimliğini doğrulayan birden fazla federasyon etki alanınız varsa, otomatik hızlandırma için etki alanını belirtmeniz gerekir.
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
{
"definition": [
"{\"HomeRealmDiscoveryPolicy\":{\"AccelerateToFederatedDomain\":true,\"PreferredDomain\":\"federated.example.edu\"}}"
],
"displayName": "MultiDomainAutoAccelerationPolicy",
"isOrganizationDefault": true
}
Aşağıdaki ilke, federasyon kullanıcıları için kullanıcı adı/parola kimlik doğrulamasını doğrudan belirli uygulamalar için Microsoft Entra Id ile etkinleştirir:
POST https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
{
"definition": [
"{\"HomeRealmDiscoveryPolicy\":{\"AllowCloudPasswordValidation\":true}}"
],
"displayName": "EnableDirectAuthPolicy"
}
Yeni ilkenizi görmek ve ObjectID değerini almak için aşağıdaki API çağrısını çalıştırın:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies
HRD ilkesini oluşturduktan sonra uygulamak için birden çok hizmet sorumlusuna atayabilirsiniz.
Microsoft Graph kullanarak ilkeyi atamak için hizmet sorumlusunu bulun
İlkeyi atamak istediğiniz hizmet sorumlularının ObjectID'sine ihtiyacınız vardır. Hizmet sorumlularının ObjectID değerini bulmanın birkaç yolu vardır.
Microsoft Entra yönetim merkezini kullanabilirsiniz. Bu seçeneği kullanarak:
Entra ID>Enterprise uygulamaları>Tüm uygulamalar'a göz atın.
Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin. Uygulamanın Nesne Kimliğini kopyalayın.
Microsoft Graph gezginini kullandığınızdan, hizmet sorumlularını ve kimliklerini listelemek için aşağıdaki isteği çalıştırın.
GET https://graph.microsoft.com/v1.0/servicePrincipals
Microsoft Graph kullanarak ilkeyi hizmet sorumlunuza atama
Otomatik hızlandırmayı yapılandırmak istediğiniz uygulamanın hizmet sorumlusunun ObjectID değerini aldıktan sonra aşağıdaki API cal'yi çalıştırın. Bu API çağrısı, oluşturduğunuz HRD ilkesini önceki bölümlerde bulunan hizmet sorumlusuyla ilişkilendirir.
Application.ReadWrite.All iznine onay verdiğinizden emin olun.
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/$ref
{
"@odata.id": "https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}"
}
İlkeyi eklemek istediğiniz her hizmet sorumlusu için bu API çağrısını yineleyebilirsiniz.
Bir uygulamaya zaten bir Giriş Bölgesi Bulma ilkesi atanmışsa, ikincisini ekleyemezsiniz. Bu durumda, ek parametreler eklemek için uygulamaya atanan HRD ilkesinin tanımını değiştirin.
Microsoft Graph kullanarak HRD ilkenizin hangi hizmet sorumlularına atanıldığını denetleyin
İlkenin atandığı hizmet sorumlularını listelemek için aşağıdaki API çağrısını çalıştırın:
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{policyId}/appliesTo
Yeni ilkenin çalışıp çalışmadığını denetlemek için uygulamanın oturum açma deneyimini test ettiğinizden emin olun.
Microsoft Graph PowerShell kullanarak bir uygulamadan HRD ilkesini kaldırma
İlkenin ObjectID değerini alın.
İlkenin ObjectID değerini ve kaldırmak istediğiniz uygulama hizmet sorumlusunun ObjectID değerini almak için önceki örneği kullanın.
İlke atamasını uygulama hizmet sorumlusundan kaldırın.
Remove-MgServicePrincipalHomeRealmDiscoveryPolicyHomeRealmDiscoveryPolicyByRef -ServicePrincipalId $servicePrincipalId -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyIdİlkenin atandığı hizmet sorumlularını listeleyerek kaldırmayı denetleyin.
Get-MgPolicyHomeRealmDiscoveryPolicyApplyTo -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy
Microsoft Graph PowerShell kullanarak HRD ilkesini silme
Oluşturduğunuz HRD ilkesini silmek için aşağıdaki komutu çalıştırın:
Remove-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId "<ObjectId of the Policy>" # Replace with the actual ObjectId of the Policy
Microsoft Graph kullanarak bir uygulamadan HRD ilkesini kaldırma
İlkenin ObjectID değerini alın.
İlkenin ObjectID değerini ve kaldırmak istediğiniz uygulama hizmet sorumlusunun ObjectID değerini almak için önceki örneği kullanın.
İlke atamasını uygulama hizmet sorumlusundan kaldırın.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/homeRealmDiscoveryPolicies/{policyId}/$refİlkenin atandığı hizmet sorumlularını listeleyerek kaldırmayı denetleyin.
GET https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/<policyId>/appliesTo
Microsoft Graph kullanarak HRD ilkesini silme
Oluşturduğunuz HRD ilkesini silmek için aşağıdaki API çağrısını çalıştırın:
DELETE https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{id}