Konfigurace chování přihlášení

tento článek poskytuje úvod do konfigurace chování ověřování Azure Active Directory (Azure AD) pro federované uživatele pomocí zásad zjišťování HRD (Home Realm Discovery). Zahrnuje použití automatické akcelerace k přeskočení obrazovky zadávání uživatelského jména a automatické přeposílání uživatelů na koncové body federovaného přihlášení. Společnost Microsoft už nedoporučuje konfigurovat automatické urychlení, protože může bránit použití silnějších metod ověřování, jako je první identita online (FIDO) a brání spolupráci.

Požadavky

Pokud chcete nakonfigurovat zásady HRD pro aplikaci v Azure AD, budete potřebovat:

  • Účet Azure s aktivním předplatným. Vytvořte si účet zdarma.
  • Jedna z následujících rolí: globální správce, správce cloudové aplikace, správce aplikace nebo vlastník instančního objektu.
  • Nejnovější verze Preview rutiny Azure AD PowerShellu

Nastavení zásad HRD pro aplikaci

Pomocí rutin Azure AD PowerShellu projdeme několik scénářů, mezi které patří:

  • Nastavení zásad HRD pro automatické urychlení aplikace v tenantovi s jednou federované doménou.

  • Nastavení zásad HRD pro automatické urychlení aplikace na jednu z několika domén, které jsou ověřené pro vašeho tenanta.

  • Nastavují se zásady HRD, které umožní, aby se starší verze aplikace nastavila přímé ověřování uživatelského jména a hesla do služby Azure AD pro federovaného uživatele.

  • Seznam aplikací, pro které je nakonfigurovaná zásada

V následujících příkladech můžete vytvořit, aktualizovat, propojit a odstranit zásady pro instanční objekty služby ve službě Azure AD.

  1. než začnete, spusťte příkaz Připojení a přihlaste se k Azure AD pomocí svého účtu správce:

    Connect-AzureAD -Confirm
    
  2. Spuštěním následujícího příkazu zobrazíte všechny zásady ve vaší organizaci:

    Get-AzureADPolicy
    

Pokud se nic nevrátí, znamená to, že ve vašem tenantovi nejsou vytvořené žádné zásady.

V tomto příkladu vytvoříte zásadu, která je přiřazena k aplikaci buď:

  • Automaticky zrychluje uživatele na AD FS přihlašovací obrazovku, když se přihlásí k aplikaci, když je ve vašem tenantovi jedna doména.
  • Automaticky zrychluje uživatele na AD FS přihlašovací obrazovku, pokud je ve vašem tenantovi více než jedna federované doména.
  • Povoluje neinteraktivní přihlášení uživatelského jména a hesla přímo do služby Azure AD pro federované uživatele pro aplikace, ke kterým je zásada přiřazená.

Vytvoření zásady HRD

Následující zásady automaticky zrychlují uživatele na AD FS přihlašovací obrazovku, když se přihlásí k aplikaci, když je ve vašem tenantovi jedna doména.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Následující zásady automaticky zrychlují uživatele na AD FS přihlašovací obrazovku, pokud je ve vašem tenantovi více než jedna federované doména. Pokud máte více než jednu federované domény, která ověřuje uživatele pro aplikace, je nutné zadat doménu pro automatické urychlení.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") -DisplayName MultiDomainAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Pokud chcete vytvořit zásadu pro povolení ověřování uživatelského jména a hesla pro federované uživatele přímo se službou Azure AD pro konkrétní aplikace, spusťte následující příkaz:

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") -DisplayName EnableDirectAuthPolicy -Type HomeRealmDiscoveryPolicy

Pokud chcete zobrazit novou zásadu a získat její objectID, spusťte následující příkaz:

Get-AzureADPolicy

Pokud chcete zásady HRD použít po jejím vytvoření, můžete ji přiřadit k několika instančním objektům aplikace.

Vyhledejte instanční objekt, ke kterému chcete zásadu přiřadit.

Potřebujete ID objektu služby, ke kterému chcete zásadu přiřadit. Existuje několik způsobů, jak najít objectID objektů služby.

Můžete použít Azure Portal, nebo můžete zadat dotaz na Microsoft Graph. můžete také přejít na nástroj Graph Explorer a přihlásit se k účtu služby Azure AD, abyste viděli všechny instanční objekty vaší organizace.

Vzhledem k tomu, že používáte PowerShell, můžete použít následující rutinu pro výpis objektů služby a jejich ID.

Get-AzureADServicePrincipal

Přiřazení zásad k instančnímu objektu

Až budete mít objectID instančního objektu aplikace, pro kterou chcete nakonfigurovat automatickou akceleraci, spusťte následující příkaz. Tento příkaz přidruží zásadu HRD, kterou jste vytvořili v kroku 1, k instančnímu objektu, který jste našli v kroku 2.

Add-AzureADServicePrincipalPolicy -Id <ObjectID of the Service Principal> -RefObjectId <ObjectId of the Policy>

Tento příkaz můžete opakovat pro každý instanční objekt, ke kterému chcete zásadu přidat.

V případě, že aplikace už má přiřazenou zásadu HomeRealmDiscovery, nebudete moct přidat druhou. V takovém případě změňte definici zásady zjišťování domovské sféry, která je přiřazena aplikaci pro přidání dalších parametrů.

Ověřte, k jakým instančním objektům služby se vaše zásada HRD přiřazuje.

Pokud chcete zjistit, které aplikace mají nakonfigurované zásady HRD, použijte rutinu Get-AzureADPolicyAppliedObject . Předejte mu objectID zásad, které chcete kontrolovat.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Try the application to check that the new policy is working.

### List the applications for which HRD policy is configured

1. List all policies that were created in your organization

```powershell
Get-AzureADPolicy

Poznamenejte si identifikátor objektu zásad, pro který chcete vypsat přiřazení.

  1. Seznam instančních objektů, ke kterým je zásada přiřazena
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Odebrání zásad HRD z aplikace

  1. Získat ObjectID

Použijte předchozí příklad k získání ID objectID zásady a k objektu služby Application Service, ze kterého ho chcete odebrat.

  1. Odebrání přiřazení zásad z instančního objektu služby
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>
  1. Zrušení odebrání zobrazením objektů služby, ke kterým je zásada přiřazena
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Další kroky