停用自動加速登入
主領域探索原則 (HRD) 提供系統管理員多種方式來控制其用戶驗證的方式和位置。 domainHintPolicy HRD 原則的 區段可用來協助將同盟使用者移轉至 FIDO 之類的雲端受控認證,方法是確保他們一律流覽 Microsoft Entra 登入頁面,而且不會因為網域提示而自動加速至同盟 IDP。 若要深入瞭解 HRD 原則,請參閱 主領域探索。
在登入期間無法控制或更新網域提示的情況下,需要此原則。 例如, outlook.com/contoso.com 將使用者傳送至已附加 參數的登入頁面 &domain_hint=contoso.com ,以將使用者直接加速至網域的 contoso.com 同盟IDP。 傳送至同盟 IDP 的受控認證用戶無法使用其受控認證登入、降低安全性,以及讓具有隨機登入體驗的令人沮喪的使用者登入。 管理員 推出受控認證也應該設定此原則,以確保使用者一律可以使用其受控認證。
DomainHintPolicy 詳細數據
HRD 原則的 DomainHintPolicy 區段是 JSON 物件,可讓系統管理員從網域提示使用中退出特定網域和應用程式。 在功能上,這會告訴 Microsoft Entra 登入頁面的行為就像 domain_hint 登入要求上的參數不存在一樣。
尊重和忽略原則區段
| 區段 | 意義 | 值 |
|---|---|---|
IgnoreDomainHintForDomains |
如果在要求中傳送此網域提示,請忽略它。 | 網域地址的陣列(例如 contoso.com)。 也支援 all_domains |
RespectDomainHintForDomains |
如果在要求中傳送此網域提示,則即使指出要求中的應用程式不應該自動加速,也 IgnoreDomainHintForApps 一樣。 這可用來減緩網路內淘汰網域提示的推出速度– 您可以指出某些網域仍應加速。 |
網域地址的陣列(例如 contoso.com)。 也支援 all_domains |
IgnoreDomainHintForApps |
如果來自此應用程式的要求隨附網域提示,請忽略它。 | 應用程式識別碼的陣列(GUID)。 也支援 all_apps |
RespectDomainHintForApps |
如果來自此應用程式的要求隨附網域提示,則即使 IgnoreDomainHintForDomains 包含該網域也一樣,也加以尊重。 用來確保您發現某些應用程式在沒有網域提示的情況下中斷時持續運作。 |
應用程式識別碼的陣列(GUID)。 也支援 all_apps |
原則評估
DomainHintPolicy 邏輯會在包含網域提示的每個傳入要求上執行,並根據要求中的兩個數據片段來加速:網域提示中的網域,以及用戶端標識碼(應用程式)。 簡言之 - 網域或應用程式的「尊重」優先於指定網域或應用程式的網域提示「忽略」的指示。
- 如果沒有任何網域提示原則,或如果沒有四個區段參考提及的應用程式或網域提示, 則會評估其餘的 HRD 原則。
- 如果或 區段的
RespectDomainHintForAppsRespectDomainHintForDomains其中一個或兩者都包含要求中的應用程式或網域提示,則使用者會依要求自動加速至同盟IDP。 - 如果其中一個或兩
IgnoreDomainHintsForApps者都參考或參考要求中的應用程式或IgnoreDomainHintsForDomains網域提示,且「尊重」區段並未參考這些提示,則不會自動加速要求,且使用者仍會留在 Microsoft Entra 登入頁面以提供用戶名稱。
當使用者在登入頁面上輸入使用者名稱之後,他們就可以使用其受控認證。 如果他們選擇不使用受控認證,或他們尚未註冊,則會如往常一樣將其帶到其同盟IDP進行認證輸入。
必要條件
若要停用 Microsoft Entra ID 中應用程式的自動加速登入,您需要:
- 具有有效訂用帳戶的 Azure 帳戶。 若您還沒有帳戶,可以免費建立帳戶。
- 下列其中一個角色:雲端應用程式 管理員 istrator、Application 管理員 istrator 或服務主體的擁有者。
租用戶內建議的使用
同盟網域 管理員 應在四階段計劃中設定 HRD 原則的這一節。 此方案的目標是最終讓租使用者中的所有使用者使用其受控認證,而不論網域或應用程式為何,都儲存那些與使用量有硬式相依性 domain_hint 的應用程式。 此方案可協助系統管理員尋找這些應用程式、免除這些應用程式的新原則,並繼續對租用戶的其餘部分推出變更。
- 挑選網域,以一開始將此變更推出至 。 這是您的測試網域,因此請挑選一個可能會更容易接受 UX 變更的網域(例如,查看不同的登入頁面)。 這會忽略所有使用此功能變數名稱之應用程式的網域提示。 在您的租用戶預設 HRD 原則中設定此原則:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": []
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- 從測試網域使用者收集意見反應。 收集因這項變更而中斷的應用程式詳細數據 - 它們相依於網域提示使用方式,而且應該更新。 現在,將它們新增至 區
RespectDomainHintForApps段:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com" ],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- 繼續將原則推出擴充至新網域,並收集更多意見反應。
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"],
"RespectDomainHintForDomains": [],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
- 完成首度發行 - 以所有網域為目標,免除應繼續加速的網域:
PATCH /policies/homeRealmDiscoveryPolicies/{id}
"DomainHintPolicy": {
"IgnoreDomainHintForDomains": [ "*" ],
"RespectDomainHintForDomains": ["guestHandlingDomain.com"],
"IgnoreDomainHintForApps": [],
"RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid]
}
New-AzureADPolicy
-Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }")
-DisplayName BasicBlockAccelerationPolicy
-Type HomeRealmDiscoveryPolicy
在步驟 4 完成所有用戶之後,除了 中的 guestHandlingDomain.com使用者之外,即使網域提示會造成同盟 IDP 的自動加速,也能在 Microsoft Entra 登入頁面登入。 例外狀況是,如果要求登入的應用程式是其中一個豁免的應用程式 ,這些應用程式仍會接受所有網域提示。
透過 Graph 總管設定原則
使用 Microsoft Graph 管理主領域探索原則。
使用必要條件一節中列出的其中一個角色登入 Microsoft Graph 總管。
授與
Policy.ReadWrite.ApplicationConfiguration許可權。使用主領域探索原則來建立新的原則。
張貼新原則或 PATCH 以更新現有的原則。
PATCH /policies/homeRealmDiscoveryPolicies/{id} { "displayName":"Home Realm Discovery Domain Hint Exclusion Policy", "definition":[ "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }" ], "isOrganizationDefault":true }
使用 Graph 時,請務必使用斜線來逸出 Definition JSON 區段。
isOrganizationDefault 必須是 true,但 displayName 和定義可以變更。