停用自動加速登入
主領域探索 (HRD) 原則提供系統管理員多種方式控制使用者驗證的方式和位置。 HRD 原則的 domainHintPolicy 區段可用來協助將同盟使用者遷移至雲端管理的認證 (例如 FIDO),方法是確保他們一律造訪 Microsoft Entra 登入頁面,而不會因為網域提示而自動加速 IDP 同盟。 若要深入了解 HRD 原則,請參閱主領域探索。
在和系統管理員無法在登入期間控制或更新網域提示的情況下需要此原則。 例如,outlook.com/contoso.com將使用者傳送至附加參數的登入頁面&domain_hint=contoso.com,以將使用者直接自動加速到網域的同盟 IDPcontoso.com。 傳送給同盟 IDP 之受控認證的使用者無法使用其受控認證登入,會降低安全性,並讓使用者因隨機化的登入體驗而感到受挫。 推出受控認證的系統管理員也應設定此原則,以確保使用者一律可以使用自己的受控認證。
DomainHintPolicy 詳細資料
HRD 原則的 DomainHintPolicy 區段是一個 JSON 物件,讓系統管理員可從網域提示使用方式中退出某些網域和應用程式。 在功能上,這會指示 Microsoft Entra 登入頁面應視同domain_hint登入要求的參數不存在而行動。
尊重與忽略原則區段
| 區段 | 意義 | 值 |
|---|---|---|
IgnoreDomainHintForDomains |
如果在要求中傳送此網域提示,請忽略。 | 網域位址的陣列 (例如 contoso.com)。 也支援all_domains |
RespectDomainHintForDomains |
如果在要求中傳送此網域提示,即使 IgnoreDomainHintForApps 指出要求中的應用程式不應自動加速,也請尊重此網域提示。 這是用來減緩在您的網路中推出淘汰網域提示的速度 - 您可以指出某些網域仍應加速。 |
網域位址的陣列 (例如 contoso.com)。 也支援all_domains |
IgnoreDomainHintForApps |
如果來自此應用程式的要求隨附網域提示,請忽略。 | (GUIDs) 的應用程式識別碼陣列。 也支援all_apps |
RespectDomainHintForApps |
如果來自此應用程式的要求隨附網域提示,即使 IgnoreDomainHintForDomains 包含該網域也請尊重該應用程式。 當您發現應用程式在沒有網域提示的情況下中斷時,用來確保某些應用程式會繼續運作。 |
(GUIDs) 的應用程式識別碼陣列。 也支援all_apps |
原則評估
DomainHintPolicy 邏輯會在每個包含網域提示的傳入要求上執行,並根據要求中的兩個數據片段(網域提示中的網域,以及應用程式的用戶端識別碼)進行加速。 簡單來說,網域或應用程式中的「尊重」中,優先于指定網域或應用程式的「忽略」網域提示的指示。
- 如果沒有任何網域提示原則,或4個區段都沒有參考所述的應用程式或網域提示,則會評估其餘的 HRD 原則。
- 如果其中一個 (或兩個)
RespectDomainHintForApps或RespectDomainHintForDomains的區段都包含要求中的應用程式或網域提示,則使用者會依要求自動加速至同盟 IDP。 - 如果其中一個 (或兩個)
IgnoreDomainHintsForApps或IgnoreDomainHintsForDomains參考應用程式或要求中的網域提示,且未受「尊重」區段參考,則不會自動加速要求,且使用者維持在 Microsoft Entra 登入頁面以提供使用者名稱。
使用者在登入頁面上輸入使用者名稱之後,就可以使用他們受管理的認證。 如果他們選擇不使用受管理的認證,或尚未註冊,則會照常將他們加入認證專案的同盟 IDP。
必要條件
若要在 Microsoft Entra ID 中停用應用程式自動加速登入,您需要:
- 具有有效訂用帳戶的 Azure 帳戶。 若您還沒有帳戶,可以免費建立帳戶。
- 下列其中一個角色:雲端應用程式管理員、應用程式系統管理員或服務主體擁有者。
租用戶中的建議使用方法
同盟網域的系統管理員應該在四階段方案中設定 HRD 原則的這個區段。 此計畫的目標,是要讓租用戶中的所有使用者不論網域或應用程式為何,都能使用其受管理的認證,以儲存對使用量有困難domain_hint相依性的應用程式。 此方案可協助系統管理員找出這些應用程式,以新的原則豁免這些應用程式,並繼續對其餘租用戶進行變更。
- 挑選一開始推出變更的目的網域。 這是您的測試網域,因此請挑選一個較可能願意變更 UX 的網域 (例如,看到不同的登入頁面)。 這會忽略所有使用網域名稱應用程式的網域提示。 在您的租用戶-預設 HRD 原則中設定此原則:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- 從測試網域使用者收集意見反應。 針對因為這項變更而中斷的應用程式收集詳細資料 - 它們對網域提示使用方式有相依性,而且應該更新。 現在請將其新增至
RespectDomainHintForApps區段:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- 繼續將原則擴充推出至新網域,並收集更多意見反應。
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- 完成推出 - 以所有網域為目標,排除那些應繼續加速的網域:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
完成步驟4之後,除了中guestHandlingDomain.com的所有使用者,都可以在 Microsoft Entra 登入頁面登入,即使網域提示造成同盟 IDP 自動加速也一樣。 如果要求登入的應用程式是豁免的應用程式則為例為,這些應用程式仍會接受所有網域提示。
透過 Graph 總管設定原則
使用 Microsoft Graph,管理主領域探索原則。
請使用必要條件一節中列出的其中一個角色登入 Microsoft Graph 總管。
授與
Policy.ReadWrite.ApplicationConfiguration權限。使用主領域探索原則來建立新原則。
張貼新原則或修補檔以更新現有的原則。
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
使用 Graph 時,請務必使用斜線逸出Definition JSON 區段。
isOrganizationDefault 必須是 true,但 displayName 和定義可以變更。