Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Ev Bölgesi Bulma (HRD) ilkesini kullanarak belirli etki alanları ve uygulamalar için otomatik hızlandırma oturum açmayı nasıl devre dışı bırakacağınızı öğreneceksiniz. Bu ilke yapılandırıldığında, yöneticiler kullanıcıların her zaman yönetilen kimlik bilgilerini kullanmasını sağlayarak güvenliği geliştirebilir ve tutarlı bir oturum açma deneyimi sağlayabilir.
Home Realm Discovery (HRD) ilkesi, yöneticilere kullanıcılarının kimlik doğrulamasının nasıl ve nerede yapıldığını denetlemek için çeşitli yollar sunar.
domainHintPolicy HRD ilkesinin bölümü, federasyon kullanıcılarının her zaman Microsoft Entra oturum açma sayfasını ziyaret ettiğinden ve etki alanı ipuçları nedeniyle federasyon IDP'sine otomatik olarak hızlandırılmamış olduklarından emin olarak FIDO gibi bulut tarafından yönetilen kimlik bilgilerine geçirilmesine yardımcı olmak için kullanılır. HRD ilkesi hakkında daha fazla bilgi edinmek için bkz . Home Realm Discovery.
Bu ilke, yöneticilerin oturum açma sırasında etki alanı ipuçlarını denetleyememe veya güncelleştirememe durumlarında gereklidir. Örneğin, outlook.com/contoso.com kullanıcının &domain_hint=contoso.com etki alanı için federasyon kimlik sağlayıcısına (IDP) doğrudan yönlendirilmesini sağlamak üzere contoso.com parametresi eklenmiş bir oturum açma sayfasına gönderir. Federasyon IDP'sine gönderilen yönetilen kimlik bilgilerine sahip kullanıcılar, yönetilen kimlik bilgilerini kullanarak oturum açamaz, güvenliği azaltır ve rastgele oturum açma deneyimlerine sahip kullanıcıları rahatsız eder. Yönetilen kimlik bilgilerini dağıtan yöneticilerin, kullanıcıların yönetilen kimlik bilgilerini her zaman kullanabilmesini sağlamak için bu ilkeyi de ayarlaması gerekir.
Önkoşullar
Microsoft Entra Id'de bir uygulamada otomatik hızlandırma oturum açma özelliğini devre dışı bırakmak için şunları yapmanız gerekir:
- Etkin aboneliği olan bir Azure hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
- Aşağıdaki rollerden biri: Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusunun sahibi.
Microsoft Graph PowerShell kullanarak etki alanı ipuçlarını önlemek için HRD'yi yapılandırma
Federasyon etki alanlarının yöneticileri, HRD ilkesinin bu bölümünü dört aşamalı bir planda ayarlamalıdır. Bu planın amacı, bir kiracıdaki tüm kullanıcıların etki alanı veya uygulamadan bağımsız olarak yönetilen kimlik bilgilerini kullanmasını sağlamak, domain_hint kullanımına sıkı bağımlılığı olan uygulamalar hariç. Bu plan yöneticilerin bu uygulamaları bulmasına, yeni ilkeden muaf tutmasına ve değişikliği kiracının geri kalanında dağıtmaya devam etmelerine yardımcı olur.
Bu değişikliği başlangıçta uygulamak için etki alanı seçin. Bu etki alanı test etki alanınızdır, bu nedenle UX'teki değişikliklere daha duyarlı olabilecek bir etki alanı seçin (örneğin, farklı bir oturum açma sayfası görmek). Aşağıdaki örnek, bu alan adını kullanan tüm uygulamalardan gelen tüm alan adı ipuçlarını yoksayacak şekilde yapılandırılmıştır. Bu ilkeyi kiracı varsayılan HRD ilkenizde ayarlayın:
Microsoft Entra Id'de en az Uygulama Yöneticisi rolüyle oturum açmak için Bağlan komutunu çalıştırın:
connect-MgGraph -scopes "Policy.ReadWrite.ApplicationConfiguration"
Test etki alanı için etki alanı ipuçlarını önlemek için aşağıdaki komutu çalıştırın.
# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": [] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsapp-client-Guiddeğerini gerçek uygulama GUID'leriyle ve yer tutucu etki alanı değerini gerçek etki alanıyla değiştirmeniz gerektiğinden emin olun.Test etki alanı kullanıcılarından geri bildirim toplayın. Bu değişiklik sonucunda bozulan uygulamaların ayrıntılarını toplayın. Bunlar etki alanı ipucu kullanımına bağımlıdır ve güncelleştirilmelidir. Şimdilik bunları
RespectDomainHintForAppsbölümüne ekleyin:# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsapp-client-Guiddeğerini gerçek uygulama GUID'leriyle ve yer tutucu etki alanı değerini gerçek etki alanıyla değiştirmeniz gerektiğinden emin olun.İlkenin dağıtımını yeni etki alanlarına genişletmeye ve daha fazla geri bildirim toplamaya devam edin.
# Define the Home Realm Discovery Policy parameters $params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["federated.example.edu", "otherDomain.com", "anotherDomain.com"], "RespectDomainHintForDomains": [], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsapp-client-Guiddeğerini gerçek uygulama GUID'leriyle ve yer tutucu etki alanı değerini gerçek etki alanıyla değiştirmeniz gerektiğinden emin olun.Dağıtımınızı tamamlayın: Hızlandırılmaya devam etmesi gereken etki alanlarını muaf tutarak tüm etki alanlarını hedef alın:
$params = @{ definition = @( '{ "HomeRealmDiscoveryPolicy": { "DomainHintPolicy": { "IgnoreDomainHintForDomains": ["*"], "RespectDomainHintForDomains": ["guestHandlingDomain.com"], "IgnoreDomainHintForApps": [], "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }' ) displayName = "Home Realm Discovery Domain Hint Exclusion Policy" isOrganizationDefault = $true } # Define the Home Realm Discovery Policy ID (ensure this is set to a valid ID) $homeRealmDiscoveryPolicyId = "<Your-Policy-ID-Here>" # Replace with your actual policy ID # Update the policy to ignore domain hints for the specified domains Update-MgPolicyHomeRealmDiscoveryPolicy -HomeRealmDiscoveryPolicyId $homeRealmDiscoveryPolicyId -BodyParameter $paramsapp-client-Guiddeğerini gerçek uygulama GUID'leriyle ve yer tutucu etki alanı değerini gerçek etki alanıyla değiştirmeniz gerektiğinden emin olun.
Microsoft Graph kullanarak etki alanı ipuçlarını önlemek için HRD'yi yapılandırma
Federasyon etki alanlarının yöneticileri, HRD ilkesinin bu bölümünü dört aşamalı bir planda ayarlamalıdır. Bu planın amacı, bir kiracıdaki tüm kullanıcıların etki alanı veya uygulamadan bağımsız olarak yönetilen kimlik bilgilerini kullanmasını sağlamak, domain_hint kullanımına sıkı bağımlılığı olan uygulamalar hariç. Bu plan yöneticilerin bu uygulamaları bulmasına, yeni ilkeden muaf tutmasına ve değişikliği kiracının geri kalanında dağıtmaya devam etmelerine yardımcı olur.
Microsoft Graph gezgini penceresinde en az Uygulama Yöneticisi rolüyle oturum açın.
Policy.ReadWrite.ApplicationConfiguration iznine onay verin.
Bu değişikliği başlangıçta uygulamak için etki alanı seçin. Bu etki alanı test etki alanınızdır, bu nedenle UX'teki değişikliklere daha duyarlı olabilecek bir etki alanı seçin (örneğin, farklı bir oturum açma sayfası görmek). Bu, bu etki alanı adını kullanan tüm uygulamalardan gelen tüm etki alanı ipuçlarını yoksayar. Bu ilkeyi kiracı varsayılan HRD ilkenizde ayarlayın. Yeni bir ilke oluşturmak için POST ET veya mevcut bir ilkeyi güncellemek için PATCH uygula.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }Test etki alanı kullanıcılarından geri bildirim toplayın. Bu değişiklik sonucunda bozulan uygulamaların ayrıntılarını toplayın. Bunlar etki alanı ipucu kullanımına bağımlıdır ve güncelleştirilmelidir. Şimdilik bunları
RespectDomainHintForAppsbölümüne ekleyin:PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy6", "isOrganizationDefault": false }İlkenin dağıtımını yeni etki alanlarına genişletmeye ve daha fazla geri bildirim toplamaya devam edin.
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"testDomain.com\",\"otherDomain.com\",\"anotherDomain.com\"],\"RespectDomainHintForDomains\":[],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }Dağıtımınızı tamamlayın: Hızlandırılmaya devam etmesi gereken etki alanlarını muaf tutarak tüm etki alanlarını hedef alın:
PATCH https://graph.microsoft.com/v1.0/policies/homeRealmDiscoveryPolicies/{homeRealmDiscoveryPolicyId} { "definition": [ "{\"HomeRealmDiscoveryPolicy\":{\"IgnoreDomainHintForDomains\":[\"*\"],\"RespectDomainHintForDomains\":[\"guestHandlingDomain.com\"],\"IgnoreDomainHintForApps\":[],\"RespectDomainHintForApps\":[\"app1-clientID-Guid\",\"app2-clientID-Guid\"]}}" ], "displayName": "Home Realm Discovery Domain Hint Exclusion Policy", "isOrganizationDefault": true }
4. adım tamamlandıktan sonra, guestHandlingDomain.comiçindeki kullanıcılar dışında tüm kullanıcılar, etki alanı ipuçları federasyon IDP'sine otomatik hızlandırmaya neden olsa bile Microsoft Entra oturum açma sayfasında oturum açabilir. Bu ayarın istisnası, oturum açma isteğinde bulunan uygulamanın muaf tutulanlardan biri olmasıdır. Bu uygulamalar için tüm etki alanı ipuçları hala kabul edilir.
DomainHintPolicy ayrıntıları
HRD ilkesinin DomainHintPolicy bölümü, yöneticinin belirli etki alanlarını ve uygulamaları etki alanı ipucu kullanımından geri çevirmesine olanak tanıyan bir JSON nesnesidir. İşlevsel olarak, bu bölüm Microsoft Entra oturum açma sayfasına oturum açma isteğinde domain_hint parametresi yok gibi davranmasını söyler.
saygı ve yoksay ilkesi bölümleri
| Bölüm | Anlamı | Değerler |
|---|---|---|
IgnoreDomainHintForDomains |
Eğer bu etki alanı belirteci istekte gönderilirse, yoksayın. | Etki alanı adresleri dizisi (örneğin contoso.com).
all_domains öğesini de destekler |
RespectDomainHintForDomains |
İstekteki IgnoreDomainHintForApps uygulamanın otomatik hızlandırılmaması gerektiğini belirtse bile, bu etki alanı ipucu istekte gönderiliyorsa dikkate alınmalıdır. Bu özellik, ağınızdaki kullanım dışı bırakılan etki alanı ipuçlarının dağıtımını yavaşlatmak için kullanılır; yine de bazı etki alanlarının hızlandırılması gerektiğini belirtebilirsiniz. |
Etki alanı adresleri dizisi (örneğin contoso.com).
all_domains öğesini de destekler |
IgnoreDomainHintForApps |
Bu uygulamadan gelen bir istek, bir etki alanı ipucuyla geliyorsa, bunu göz ardı edin. | Uygulama kimlikleri dizisi (GUID).
all_apps öğesini de destekler |
RespectDomainHintForApps |
Bu uygulamadan gelen bir istek bir etki alanı ipucuyla geliyorsa, IgnoreDomainHintForDomains bu etki alanını içerse bile buna saygı gösterin. Bazı uygulamaların etki alanı ipuçları olmadan çalışmadığını fark ederseniz, bu uygulamaların çalışmaya devam etmesini sağlamak için kullanılır. |
Uygulama kimlikleri dizisi (GUID).
all_apps öğesini de destekler |
İlke değerlendirmesi
DomainHintPolicy mantığı, etki alanı ipucu içeren her gelen istekte çalışır ve istekteki iki veri parçasına (etki alanı ipucundaki etki alanı ve istemci kimliğine (uygulama) göre hızlandırılır. Kısacası, bir etki alanı veya uygulama için 'Saygı', belirli bir etki alanı veya uygulama için bir etki alanı ipucunu "Yoksayma" yönergesine göre önceliklidir.
- Herhangi bir etki alanı ipucu ilkesi olmadığında veya dört bölümden hiçbiri belirtilen uygulamaya veya etki alanı ipucuna başvurmazsa, HRD ilkesinin geri kalanı değerlendirilir.
- Eğer
RespectDomainHintForAppsveyaRespectDomainHintForDomainsbölümlerinden biri (veya her ikisi) istekte uygulama ya da etki alanı ipucu içeriyorsa, kullanıcı istenen şekilde federasyon IDP'sine otomatik olarak yönlendirilir. -
IgnoreDomainHintsForAppsveyaIgnoreDomainHintsForDomains'in istek içindeki uygulama veya etki alanı ipucuna başvuruda bulunması (veya her ikisinin de) ve “Dikkate al” bölümleri tarafından belirtilmemesi durumunda, istek otomatik olarak hızlandırılmaz ve kullanıcı, kullanıcı adını girmek üzere Microsoft Entra oturum açma sayfasında kalır.
Kullanıcı oturum açma sayfasına bir kullanıcı adı girdikten sonra yönetilen kimlik bilgilerini kullanabilir. Yönetilen kimlik bilgilerini kullanmamayı seçerlerse veya kayıtlı kimlik bilgileri yoksa, her zamanki gibi kimlik bilgisi girişi için federe IDP'lerine yönlendirilirler.