Aracılığıyla paylaş


Giriş Bölgesi Bulma kullanarak oturum açma davranışını yapılandırma

Bu makalede, Ev Bölgesi Bulma (HRD) ilkesini kullanarak federasyon kullanıcıları için Microsoft Entra kimlik doğrulama davranışını yapılandırmaya giriş bilgileri sağlanmaktadır. Kullanıcı adı giriş ekranını atlamak ve kullanıcıları otomatik olarak federasyon oturum açma uç noktalarına iletmek için otomatik hızlandırma oturum açma işleminin kullanılmasını kapsar. HRD ilkesi hakkında daha fazla bilgi edinmek için Giriş Bölgesi Bulma makalesine bakın.

Otomatik hızlandırma oturum açma

Bazı kuruluşlar, Microsoft Entra kiracılarındaki etki alanlarını, kullanıcı kimlik doğrulaması için Active Directory Federasyon Hizmetleri (AD FS) (ADFS) gibi başka bir kimlik sağlayıcısıyla (IDP) federasyon oluşturacak şekilde yapılandırmaktadır. Bir kullanıcı uygulamada oturum açtığında ilk olarak bir Microsoft Entra oturum açma sayfası sunulur. Kullanıcı Asıl Adını (UPN) yazdıktan sonra, federasyon etki alanındaysa, bu etki alanına hizmet veren IDP'nin oturum açma sayfasına yönlendirilirler. Belirli koşullar altında, yöneticiler belirli uygulamalarda oturum açarken kullanıcıları oturum açma sayfasına yönlendirmek isteyebilir. Sonuç olarak kullanıcılar ilk Microsoft Entra Id sayfasını atlayabilir. Bu işleme "oturum açma otomatik hızlandırma" adı verilir.

SMS oturum açma veya FIDO anahtarları gibi bulut özellikli kimlik bilgilerine sahip federasyon kullanıcıları için oturum açma otomatik hızlandırmasını engellemeniz gerekir. HRD ile etki alanı ipuçlarını önlemeyi öğrenmek için bkz . Otomatik hızlandırma oturum açmayı devre dışı bırakma.

Önemli

Nisan 2023'den itibaren otomatik hızlandırma veya akıllı bağlantılar kullanan kuruluşlar oturum açma kullanıcı arabirimine yeni bir ekran eklemeye başlayabilir. Etki Alanı Onayı İletişim Kutusu olarak anılan bu ekran, Microsoft'un güvenlik sağlamlaştırmaya yönelik genel taahhüdünün bir parçasıdır ve kullanıcının oturum açtıkları kiracının etki alanını onaylamasını gerektirir. Etki Alanı Onay İletişim Kutusu'nı görüyorsanız ve listelenen kiracı etki alanını tanımıyorsanız, kimlik doğrulama akışını iptal etmeli ve BT Yöneticinize başvurmalısınız.

Daha fazla bilgi için lütfen Etki Alanı Onayı İletişim Kutusu'u ziyaret edin.

Önkoşullar

Microsoft Entra Id'de bir uygulamanın HRD ilkesini yapılandırmak için şunları yapmanız gerekir:

  • Etkin aboneliği olan bir Azure hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
  • Aşağıdaki rollerden biri: Uygulama Yöneticisi, Bulut Uygulaması Yöneticisi veya hizmet sorumlusunun sahibi.
  • En son Azure AD PowerShell cmdlet önizlemesi.

Uygulamada HRD ilkesi ayarlama

Azure AD PowerShell cmdlet'lerini kullanarak aşağıdakiler dahil olmak üzere birkaç senaryoya göz atıyoruz:

Aşağıdakiler de dahil olmak üzere birkaç senaryoya göz atmak için Microsoft Graph'ı kullanırız:

  • Tek bir federasyon etki alanına sahip bir kiracıdaki bir uygulama için otomatik hızlandırma yapmak için HRD ilkesini ayarlama.

  • Kiracınız için doğrulanmış çeşitli etki alanlarından birine bir uygulama için otomatik hızlandırma yapmak üzere HRD ilkesini ayarlama.

  • Eski bir uygulamanın federasyon kullanıcısı için Microsoft Entra Id'ye doğrudan kullanıcı adı/parola kimlik doğrulaması yapmasını sağlamak üzere HRD ilkesi ayarlama.

  • İlkenin yapılandırıldığı uygulamaları listeleme.

Aşağıdaki örneklerde, Microsoft Entra Id'de uygulama hizmeti sorumlularında HRD ilkeleri oluşturur, güncelleştirir, bağlar ve silersiniz.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

  1. Başlamadan önce Bağlan komutunu çalıştırarak yönetici hesabınızla Microsoft Entra ID'de oturum açın:

    Connect-AzureAD -Confirm
    
  2. Kuruluşunuzdaki tüm ilkeleri görmek için aşağıdaki komutu çalıştırın:

    Get-AzureADPolicy
    

Hiçbir şey döndürülmezse, kiracınızda hiçbir ilke oluşturulmaz.

HRD ilkesi oluşturma

Bu örnekte, bir uygulamaya atadığınızda aşağıdakilerden birini de içeren bir ilke oluşturursunuz:

  • Kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açarken kullanıcıları bir federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır.
  • Kiracınızda birden fazla federasyon etki alanı varsa kullanıcıları otomatik olarak federasyon kimlik sağlayıcısı oturum açma ekranına hızlandırır.
  • İlkenin atandığı uygulamalar için federasyon kullanıcıları için doğrudan Microsoft Entra Kimliği'nde etkileşimli olmayan kullanıcı adı/parola oturum açma olanağı sağlar.

Aşağıdaki ilke, kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açarken kullanıcıları federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true
}

Aşağıdaki ilke, kiracınızda birden fazla federasyon etki alanı olduğunda kullanıcıları bir federasyon kimlik sağlayıcısı oturum açma ekranına otomatik olarak hızlandırır. Uygulamalar için kullanıcıların kimliğini doğrulayan birden fazla federasyon etki alanınız varsa, otomatik hızlandırma için etki alanını belirtmeniz gerekir.

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") 
    -DisplayName MultiDomainAutoAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"HomeRealmDiscoveryPolicy": {
    "AccelerateToFederatedDomain": true,
    "PreferredDomain": [
      "federated.example.edu"
    ]
}

Aşağıdaki ilke, federasyon kullanıcıları için kullanıcı adı/parola kimlik doğrulamasını doğrudan belirli uygulamalar için Microsoft Entra Id ile etkinleştirir:

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") 
    -DisplayName EnableDirectAuthPolicy 
    -Type HomeRealmDiscoveryPolicy
POST /policies/homeRealmDiscoveryPolicies

"EnableDirectAuthPolicy": {
    "AllowCloudPasswordValidation": true
}

Yeni ilkenizi görmek ve ObjectID değerini almak için aşağıdaki komutu çalıştırın:

Get-AzureADPolicy

HRD ilkesini oluşturduktan sonra uygulamak için birden çok uygulama hizmeti sorumlusuna atayabilirsiniz.

İlkeye atanacak hizmet sorumlusunu bulma

İlkeyi atamak istediğiniz hizmet sorumlularının ObjectID'sine ihtiyacınız vardır. Hizmet sorumlularının ObjectID değerini bulmanın birkaç yolu vardır.

Microsoft Entra yönetim merkezini kullanabilir veya Microsoft Graph'ı sorgulayabilirsiniz. Ayrıca, kuruluşunuzun tüm hizmet sorumlularını görmek için Graph Explorer Aracı'na gidip Microsoft Entra hesabınızda oturum açabilirsiniz.

PowerShell kullandığınızdan, hizmet sorumlularını ve kimliklerini listelemek için aşağıdaki cmdlet'i kullanabilirsiniz.

Get-AzureADServicePrincipal

İlkeyi hizmet sorumlunuza atama

Otomatik hızlandırmayı yapılandırmak istediğiniz uygulamanın hizmet sorumlusunun ObjectID değerini aldıktan sonra aşağıdaki komutu çalıştırın. Bu komut, 1. adımda oluşturduğunuz HRD ilkesini 2. adımda bulunan hizmet sorumlusuyla ilişkilendirir.

Add-AzureADServicePrincipalPolicy 
    -Id <ObjectID of the Service Principal> 
    -RefObjectId <ObjectId of the Policy>

İlkeyi eklemek istediğiniz her hizmet sorumlusu için bu komutu yineleyebilirsiniz.

Bir uygulamanın zaten bir HomeRealmDiscovery ilkesi atanmış olması durumunda, ikinci bir ilke ekleyemezsiniz. Bu durumda, ek parametreler eklemek için uygulamaya atanan HRD ilkesinin tanımını değiştirin.

HRD ilkenizin atandığı hizmet sorumlularını denetleyin

HrD ilkesinin yapılandırıldığı uygulamaları denetlemek için Get-AzureADPolicyAppliedObject cmdlet'ini kullanın. Denetlemek istediğiniz ilkenin ObjectID değerini geçirin.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Yeni ilkenin çalışıp çalışmadığını denetlemek için uygulamayı deneyin.

HRD ilkesinin yapılandırıldığı uygulamaları listeleme

  1. Kuruluşunuzda oluşturulan tüm ilkeleri listeleme

    Get-AzureADPolicy
    

Atamaları listelemek istediğiniz ilkenin ObjectID değerini not edin.

  1. İlkenin atandığı hizmet sorumlularını listeleme

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

Bir uygulamadan HRD ilkesini kaldırma

  1. ObjectID'yi alma

    İlkenin ObjectID değerini ve kaldırmak istediğiniz uygulama hizmet sorumlusunun ObjectID değerini almak için önceki örneği kullanın.

  2. uygulama hizmet sorumlusundan ilke atamasını kaldırma

    Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>
    
  3. İlkenin atandığı hizmet sorumlularını listeleyerek kaldırmayı denetleyin

    Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>
    

İlkeyi Graph Explorer aracılığıyla yapılandırma

Microsoft Graph gezgini penceresinden:

  1. Önkoşullar bölümünde listelenen rollerden biriyle oturum açın.

  2. İzin için Policy.ReadWrite.ApplicationConfiguration onay verin.

  3. Yeni bir ilke oluşturmak için Giriş bölgesi bulma ilkesini kullanın.

  4. Mevcut bir ilkeyi güncelleştirmek için yeni ilkeyi VEYA PATCH'i GÖNDERIN.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
        {
            "definition": [
            "{\"HomeRealmDiscoveryPolicy\":
            {\"AccelerateToFederatedDomain\":true,
            \"PreferredDomain\":\"federated.example.edu\",
            \"AlternateIdLogin\":{\"Enabled\":true}}}"
        ],
            "displayName": "Home Realm Discovery auto acceleration",
            "isOrganizationDefault": true
        }
    
  5. Yeni ilkenizi görüntülemek için aşağıdaki sorguyu çalıştırın:

    GET /policies/homeRealmDiscoveryPolicies/{id}
    
  6. Yeni ilkeyi bir uygulamaya atamak için:

    POST /servicePrincipals/{id}/homeRealmDiscoveryPolicies/$ref
    

    Veya

    POST /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/$ref
    
  7. İlkenin atandığı hizmet sorumlularını listeleme

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    
  8. Oluşturduğunuz HRD ilkesini silmek için sorguyu çalıştırın:

    DELETE /policies/homeRealmDiscoveryPolicies/{id}
    
  9. hizmet sorumlusundan ilke atamasını kaldırma

    DELETE /servicePrincipals/{id}/homeRealmDiscoveryPolicies/{policyId}/$ref
    

    veya

    DELETE /servicePrincipals(appId='{appId}')/homeRealmDiscoveryPolicies/{policyId}/$ref
    
  10. İlkenin atandığı hizmet sorumlularını listeleyerek kaldırmayı denetleyin

    GET /policies/homeRealmDiscoveryPolicies/{ObjectId of the policy}/appliesTo
    

Sonraki adımlar