Share via

Otomatik hızlandırma oturum açmayı devre dışı bırakma

  • Makale

Giriş Bölgesi Bulma İlkesi (HRD), yöneticilere kullanıcılarının kimlik doğrulamasının nasıl ve nerede yapıldığını denetlemek için çeşitli yollar sunar. domainHintPolicy HRD ilkesinin bölümü, federasyon kullanıcılarının her zaman Microsoft Entra oturum açma sayfasını ziyaret ettiğinden ve etki alanı ipuçları nedeniyle federasyon IDP'sine otomatik olarak hızlandırılmamış olduklarından emin olarak FIDO gibi bulut tarafından yönetilen kimlik bilgilerine geçirilmesine yardımcı olmak için kullanılır. HRD ilkesi hakkında daha fazla bilgi edinmek için bkz . Home Realm Discovery.

Bu ilke, ve yöneticilerinin oturum açma sırasında etki alanı ipuçlarını denetleyememe veya güncelleştirememe durumlarında gereklidir. Örneğin, outlook.com/contoso.com kullanıcıyı etki alanının federasyon IDP'sine otomatik olarak hızlandırmak için contoso.com parametresi eklenmiş bir oturum açma sayfasına &domain_hint=contoso.com gönderir. Federasyon IDP'sine gönderilen yönetilen kimlik bilgilerine sahip kullanıcılar, yönetilen kimlik bilgilerini kullanarak oturum açamaz, güvenliği azaltır ve rastgele oturum açma deneyimlerine sahip kullanıcıları rahatsız eder. yönetilen kimlik bilgilerini dağıtan Yönetici, kullanıcıların yönetilen kimlik bilgilerini her zaman kullanabilmesini sağlamak için bu ilkeyi de ayarlamalıdır.

DomainHintPolicy ayrıntıları

HRD ilkesinin DomainHintPolicy bölümü, yöneticinin belirli etki alanlarını ve uygulamaları etki alanı ipucu kullanımından geri çevirmesine olanak tanıyan bir JSON nesnesidir. İşlevsel olarak bu, Microsoft Entra oturum açma sayfasına oturum açma isteğinde bir domain_hint parametre yok gibi davranmasını söyler.

saygı ve yoksay ilkesi bölümleri

Section Anlamı Değerler
IgnoreDomainHintForDomains bu etki alanı ipucu istekte gönderilirse, yoksayın. Etki alanı adresleri dizisi (örneğin contoso.com). Ayrıca destekler all_domains
RespectDomainHintForDomains İstekte bu etki alanı ipucu gönderiliyorsa, istekteki uygulamanın otomatik olarak hızlandırmaması gerektiğini belirtse IgnoreDomainHintForApps bile bu ipucuna dikkat edin. Bu, ağınızdaki kullanım dışı bırakılan etki alanı ipuçlarının dağıtımını yavaşlatmak için kullanılır; bazı etki alanlarının yine de hızlandırılması gerektiğini belirtebilirsiniz. Etki alanı adresleri dizisi (örneğin contoso.com). Ayrıca destekler all_domains
IgnoreDomainHintForApps Bu uygulamadan gelen bir istek bir etki alanı ipucuyla geliyorsa, bunu yoksayın. Uygulama kimlikleri dizisi (GUID). Ayrıca destekler all_apps
RespectDomainHintForApps Bu uygulamadan gelen bir istek bir etki alanı ipucuyla geliyorsa, bu etki alanını içerse IgnoreDomainHintForDomains bile buna saygı gösterin. Bazı uygulamaların etki alanı ipuçları olmadan bozulacaklarını fark ederseniz çalışmaya devam etmesini sağlamak için kullanılır. Uygulama kimlikleri dizisi (GUID). Ayrıca destekler all_apps

İlke değerlendirmesi

DomainHintPolicy mantığı, etki alanı ipucu içeren her gelen istekte çalışır ve istekteki iki veri parçasına (etki alanı ipucundaki etki alanı ve istemci kimliğine (uygulama) göre hızlandırılır. Kısacası, bir etki alanı veya uygulama için "Saygı", belirli bir etki alanı veya uygulama için bir etki alanı ipucunu "Yoksayma" yönergesine göre önceliklidir.

  • Herhangi bir etki alanı ipucu ilkesi olmadığında veya dört bölümden hiçbiri belirtilen uygulamaya veya etki alanı ipucuna başvurmazsa, HRD ilkesinin geri kalanı değerlendirilir.
  • ya da bölümünün biri (veya her ikisi) RespectDomainHintForAppsRespectDomainHintForDomains istekte uygulama veya etki alanı ipucu içeriyorsa, kullanıcı istenen şekilde federasyon IDP'sine otomatik olarak hızlandırılır.
  • İstekteki uygulama veya etki alanı ipucundan IgnoreDomainHintsForAppsIgnoreDomainHintsForDomains biri (veya her ikisi) başvuruda bulunursa ve bunlara "Saygı" bölümleri tarafından başvurulmazsa, istek otomatik olarak hızlandırılmaz ve kullanıcı kullanıcı adı sağlamak için Microsoft Entra oturum açma sayfasında kalır.

Kullanıcı oturum açma sayfasına bir kullanıcı adı girdikten sonra yönetilen kimlik bilgilerini kullanabilir. Yönetilen kimlik bilgilerini kullanmamayı seçerse veya kayıtlı değilse, her zamanki gibi kimlik bilgisi girişi için federasyon IDP'sine alınırlar.

Önkoşullar

Microsoft Entra Id'de bir uygulamada otomatik hızlandırma oturum açma özelliğini devre dışı bırakmak için şunları yapmanız gerekir:

  • Etkin aboneliği olan bir Azure hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
  • Aşağıdaki rollerden biri: Cloud Application Yönetici istrator, Application Yönetici istrator veya hizmet sorumlusunun sahibi.

Kiracı içinde önerilen kullanım

Yönetici federasyon etki alanları, HRD ilkesinin bu bölümünü dört aşamalı bir planda ayarlamalıdır. Bu planın amacı, bir kiracıdaki tüm kullanıcıların etki alanı veya uygulamadan bağımsız olarak yönetilen kimlik bilgilerini kullanmasını sağlamak, kullanıma bağımlı domain_hint olan uygulamaları kaydetmektir. Bu plan yöneticilerin bu uygulamaları bulmasına, yeni ilkeden muaf tutmasına ve değişikliği kiracının geri kalanında dağıtmaya devam etmelerine yardımcı olur.

  1. Başlangıçta bu değişikliğin kullanıma sunması için bir etki alanı seçin. Bu sizin test etki alanınızdır, bu nedenle UX'teki değişikliklere daha açık olabilecek bir etki alanı seçin (örneğin, farklı bir oturum açma sayfası görmek). Bu, bu etki alanı adını kullanan tüm uygulamalardan gelen tüm etki alanı ipuçlarını yoksayar. Bu ilkeyi kiracı varsayılan HRD ilkenizde ayarlayın:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Test etki alanı kullanıcılarından geri bildirim toplayın. Bu değişiklik sonucunda bozulan uygulamaların ayrıntılarını toplayın. Bunlar etki alanı ipucu kullanımına bağımlıdır ve güncelleştirilmelidir. Şimdilik bunları RespectDomainHintForApps bölümüne ekleyin:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. İlkenin dağıtımını yeni etki alanlarına genişleterek daha fazla geri bildirim toplamaya devam edin.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Dağıtımınızı tamamlayın: Hızlandırılmaya devam etmesi gereken etki alanlarını muaf tutarak tüm etki alanlarını hedef alın:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

4. adım tamamlandıktan sonra, etki alanı ipuçları federasyon IDP'sine otomatik hızlandırmaya neden olsa bile, içindekiler dışında guestHandlingDomain.comtüm kullanıcılar Microsoft Entra oturum açma sayfasında oturum açabilir. Bunun istisnası, oturum açma isteğinde bulunan uygulamanın muaf tutulanlardan biri olmasıdır. Bu uygulamalar için tüm etki alanı ipuçları hala kabul edilir.

İlkeyi Graph Explorer aracılığıyla yapılandırma

Microsoft Graph kullanarak Giriş Bölgesi Bulma ilkesini yönetin.

  1. Önkoşul bölümünde listelenen rollerden biriyle Microsoft Graph gezgininde oturum açın.

  2. İzin verin Policy.ReadWrite.ApplicationConfiguration .

  3. Yeni bir ilke oluşturmak için Giriş bölgesi bulma ilkesini kullanın.

  4. Mevcut bir ilkeyi güncelleştirmek için yeni ilkeyi VEYA PATCH'i GÖNDERIN.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Graph kullanırken JSON bölümünden kaçmak için eğik çizgi kullandığınızdan Definition emin olun.

isOrganizationDefault true olmalıdır, ancak displayName ve tanım değişebilir.

Sonraki adımlar