Otomatik hızlandırma oturum açmayı devre dışı bırakma
Giriş Bölgesi Bulma İlkesi (HRD), yöneticilere kullanıcılarının kimlik doğrulamasının nasıl ve nerede yapıldığını denetlemek için çeşitli yollar sunar. domainHintPolicy
HRD ilkesinin bölümü, federasyon kullanıcılarının her zaman Microsoft Entra oturum açma sayfasını ziyaret ettiğinden ve etki alanı ipuçları nedeniyle federasyon IDP'sine otomatik olarak hızlandırılmamış olduklarından emin olarak FIDO gibi bulut tarafından yönetilen kimlik bilgilerine geçirilmesine yardımcı olmak için kullanılır. HRD ilkesi hakkında daha fazla bilgi edinmek için bkz . Home Realm Discovery.
Bu ilke, ve yöneticilerinin oturum açma sırasında etki alanı ipuçlarını denetleyememe veya güncelleştirememe durumlarında gereklidir. Örneğin, outlook.com/contoso.com
kullanıcıyı etki alanının federasyon IDP'sine otomatik olarak hızlandırmak için contoso.com
parametresi eklenmiş bir oturum açma sayfasına &domain_hint=contoso.com
gönderir. Federasyon IDP'sine gönderilen yönetilen kimlik bilgilerine sahip kullanıcılar, yönetilen kimlik bilgilerini kullanarak oturum açamaz, güvenliği azaltır ve rastgele oturum açma deneyimlerine sahip kullanıcıları rahatsız eder. yönetilen kimlik bilgilerini dağıtan Yönetici, kullanıcıların yönetilen kimlik bilgilerini her zaman kullanabilmesini sağlamak için bu ilkeyi de ayarlamalıdır.
DomainHintPolicy ayrıntıları
HRD ilkesinin DomainHintPolicy bölümü, yöneticinin belirli etki alanlarını ve uygulamaları etki alanı ipucu kullanımından geri çevirmesine olanak tanıyan bir JSON nesnesidir. İşlevsel olarak bu, Microsoft Entra oturum açma sayfasına oturum açma isteğinde bir domain_hint
parametre yok gibi davranmasını söyler.
saygı ve yoksay ilkesi bölümleri
Section | Anlamı | Değerler |
---|---|---|
IgnoreDomainHintForDomains |
bu etki alanı ipucu istekte gönderilirse, yoksayın. | Etki alanı adresleri dizisi (örneğin contoso.com ). Ayrıca destekler all_domains |
RespectDomainHintForDomains |
İstekte bu etki alanı ipucu gönderiliyorsa, istekteki uygulamanın otomatik olarak hızlandırmaması gerektiğini belirtse IgnoreDomainHintForApps bile bu ipucuna dikkat edin. Bu, ağınızdaki kullanım dışı bırakılan etki alanı ipuçlarının dağıtımını yavaşlatmak için kullanılır; bazı etki alanlarının yine de hızlandırılması gerektiğini belirtebilirsiniz. |
Etki alanı adresleri dizisi (örneğin contoso.com ). Ayrıca destekler all_domains |
IgnoreDomainHintForApps |
Bu uygulamadan gelen bir istek bir etki alanı ipucuyla geliyorsa, bunu yoksayın. | Uygulama kimlikleri dizisi (GUID). Ayrıca destekler all_apps |
RespectDomainHintForApps |
Bu uygulamadan gelen bir istek bir etki alanı ipucuyla geliyorsa, bu etki alanını içerse IgnoreDomainHintForDomains bile buna saygı gösterin. Bazı uygulamaların etki alanı ipuçları olmadan bozulacaklarını fark ederseniz çalışmaya devam etmesini sağlamak için kullanılır. |
Uygulama kimlikleri dizisi (GUID). Ayrıca destekler all_apps |
İlke değerlendirmesi
DomainHintPolicy mantığı, etki alanı ipucu içeren her gelen istekte çalışır ve istekteki iki veri parçasına (etki alanı ipucundaki etki alanı ve istemci kimliğine (uygulama) göre hızlandırılır. Kısacası, bir etki alanı veya uygulama için "Saygı", belirli bir etki alanı veya uygulama için bir etki alanı ipucunu "Yoksayma" yönergesine göre önceliklidir.
- Herhangi bir etki alanı ipucu ilkesi olmadığında veya dört bölümden hiçbiri belirtilen uygulamaya veya etki alanı ipucuna başvurmazsa, HRD ilkesinin geri kalanı değerlendirilir.
- ya da bölümünün biri (veya her ikisi)
RespectDomainHintForApps
RespectDomainHintForDomains
istekte uygulama veya etki alanı ipucu içeriyorsa, kullanıcı istenen şekilde federasyon IDP'sine otomatik olarak hızlandırılır. - İstekteki uygulama veya etki alanı ipucundan
IgnoreDomainHintsForApps
IgnoreDomainHintsForDomains
biri (veya her ikisi) başvuruda bulunursa ve bunlara "Saygı" bölümleri tarafından başvurulmazsa, istek otomatik olarak hızlandırılmaz ve kullanıcı kullanıcı adı sağlamak için Microsoft Entra oturum açma sayfasında kalır.
Kullanıcı oturum açma sayfasına bir kullanıcı adı girdikten sonra yönetilen kimlik bilgilerini kullanabilir. Yönetilen kimlik bilgilerini kullanmamayı seçerse veya kayıtlı değilse, her zamanki gibi kimlik bilgisi girişi için federasyon IDP'sine alınırlar.
Önkoşullar
Microsoft Entra Id'de bir uygulamada otomatik hızlandırma oturum açma özelliğini devre dışı bırakmak için şunları yapmanız gerekir:
- Etkin aboneliği olan bir Azure hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Aşağıdaki rollerden biri: Cloud Application Yönetici istrator, Application Yönetici istrator veya hizmet sorumlusunun sahibi.
- Microsoft Graph PowerShell modülü.
Kiracı içinde önerilen kullanım
Yönetici federasyon etki alanları, HRD ilkesinin bu bölümünü dört aşamalı bir planda ayarlamalıdır. Bu planın amacı, bir kiracıdaki tüm kullanıcıların etki alanı veya uygulamadan bağımsız olarak yönetilen kimlik bilgilerini kullanmasını sağlamak, kullanıma bağımlı domain_hint
olan uygulamaları kaydetmektir. Bu plan yöneticilerin bu uygulamaları bulmasına, yeni ilkeden muaf tutmasına ve değişikliği kiracının geri kalanında dağıtmaya devam etmelerine yardımcı olur.
- Başlangıçta bu değişikliğin kullanıma sunması için bir etki alanı seçin. Bu sizin test etki alanınızdır, bu nedenle UX'teki değişikliklere daha açık olabilecek bir etki alanı seçin (örneğin, farklı bir oturum açma sayfası görmek). Bu, bu etki alanı adını kullanan tüm uygulamalardan gelen tüm etki alanı ipuçlarını yoksayar. Bu ilkeyi kiracı varsayılan HRD ilkenizde ayarlayın:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Test etki alanı kullanıcılarından geri bildirim toplayın. Bu değişiklik sonucunda bozulan uygulamaların ayrıntılarını toplayın. Bunlar etki alanı ipucu kullanımına bağımlıdır ve güncelleştirilmelidir. Şimdilik bunları
RespectDomainHintForApps
bölümüne ekleyin:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- İlkenin dağıtımını yeni etki alanlarına genişleterek daha fazla geri bildirim toplamaya devam edin.
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- Dağıtımınızı tamamlayın: Hızlandırılmaya devam etmesi gereken etki alanlarını muaf tutarak tüm etki alanlarını hedef alın:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
4. adım tamamlandıktan sonra, etki alanı ipuçları federasyon IDP'sine otomatik hızlandırmaya neden olsa bile, içindekiler dışında guestHandlingDomain.com
tüm kullanıcılar Microsoft Entra oturum açma sayfasında oturum açabilir. Bunun istisnası, oturum açma isteğinde bulunan uygulamanın muaf tutulanlardan biri olmasıdır. Bu uygulamalar için tüm etki alanı ipuçları hala kabul edilir.
İlkeyi Graph Explorer aracılığıyla yapılandırma
Microsoft Graph kullanarak Giriş Bölgesi Bulma ilkesini yönetin.
Önkoşul bölümünde listelenen rollerden biriyle Microsoft Graph gezgininde oturum açın.
İzin verin
Policy.ReadWrite.ApplicationConfiguration
.Yeni bir ilke oluşturmak için Giriş bölgesi bulma ilkesini kullanın.
Mevcut bir ilkeyi güncelleştirmek için yeni ilkeyi VEYA PATCH'i GÖNDERIN.
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
Graph kullanırken JSON bölümünden kaçmak için eğik çizgi kullandığınızdan Definition
emin olun.
isOrganizationDefault
true olmalıdır, ancak displayName ve tanım değişebilir.