Deaktivieren der Automatischen Beschleunigung der Anmeldung

Mit der Richtlinie zur Startbereichsermittlung (Home Realm Discovery, HRD) können Administratoren auf verschiedene Weise steuern, wie und wo sich Benutzer authentifizieren müssen. Der Abschnitt domainHintPolicy der HRD-Richtlinie wird verwendet, um Verbundbenutzer*innen zu in der Cloud verwalteten Anmeldeinformationen wie z. B. FIDO zu migrieren. Hierfür wird sichergestellt, dass die Benutzer*innen immer die Microsoft Entra-Anmeldeseite verwenden müssen und nicht aufgrund von Domänenhinweisen eine automatische Anmeldebeschleunigung an einen Verbundidentitätsanbieter erfolgt. Weitere Informationen zu HRD-Richtlinien finden Sie unter Startbereichsermittlung.

Diese Richtlinie ist in Situationen erforderlich, in denen Administratoren Domänenhinweise während der Anmeldung nicht steuern oder aktualisieren können. Von outlook.com/contoso.com wird der Benutzer beispielsweise an eine Anmeldeseite mit angefügtem Parameter &domain_hint=contoso.com geleitet, um für den Benutzer die direkte automatische Anmeldebeschleunigung an den Verbundidentitätsanbieter für die Domäne contoso.com durchzuführen. Benutzer mit verwalteten Anmeldeinformationen, die an einen Verbundidentitätsanbieter geleitet werden, können sich nicht mit ihren verwalteten Anmeldeinformationen anmelden. Dies führt zu einer Verringerung der Sicherheit und zu Frustration bei den Benutzern, weil die Anmeldeumgebung nicht einheitlich ist. Administratoren, die verwaltete Anmeldeinformationen einführen, sollten auch diese Richtlinie einrichten. Hierdurch wird sichergestellt, dass Benutzer immer ihre verwalteten Anmeldeinformationen nutzen können.

Details zu „DomainHintPolicy“

Der Abschnitt „DomainHintPolicy“ der HRD-Richtlinie ist ein JSON-Objekt, mit dem ein Administrator bestimmte Domänen und Anwendungen aus den Domänenhinweisen ausschließen kann. In Bezug auf die Funktionsweise, dass die Microsoft Entra-Anmeldeseite angewiesen wird, sich so zu verhalten, als wäre der Parameter domain_hint in der Anmeldeanforderung nicht enthalten.

Abschnitte zum Beachten/Ignorieren der Richtlinie (Respect/Ignore)

`Section`	Bedeutung	Werte
IgnoreDomainHintForDomains	Wenn dieser Domänenhinweis in der gesendeten Anforderung enthalten ist, wird er ignoriert.	Array mit Domänenadressen (z. B. contoso.com). all_domains wird ebenfalls unterstützt.
RespectDomainHintForDomains	Wenn dieser Domänenhinweis in der gesendeten Anforderung enthalten ist, wird er auch dann beachtet, wenn mit IgnoreDomainHintForApps darauf hingewiesen wird, dass für die in der Anforderung enthaltene App keine automatische Anmeldebeschleunigung erfolgen soll. Hiermit wird der Rollout von veralteten Domänenhinweisen in Ihrem Netzwerk verlangsamt. Sie können aber angeben, dass die Beschleunigung für einige Domänen durchgeführt werden soll.	Array mit Domänenadressen (z. B. contoso.com). all_domains wird ebenfalls unterstützt.
IgnoreDomainHintForApps	Wenn eine Anforderung dieser Anwendung einen Domänenhinweis enthält, wird er ignoriert.	Array mit Anwendungs-IDs (GUIDs). all_apps wird ebenfalls unterstützt.
RespectDomainHintForApps	Wenn eine Anforderung dieser Anwendung einen Domänenhinweis enthält, wird er auch dann beachtet, wenn die Domäne in IgnoreDomainHintForDomains enthalten ist. Hiermit wird sichergestellt, dass einige Apps weiterhin funktionieren, wenn Sie feststellen, dass dafür Domänenhinweise erforderlich sind.	Array mit Anwendungs-IDs (GUIDs). all_apps wird ebenfalls unterstützt.

Richtlinienauswertung

Die „DomainHintPolicy“-Logik wird für jede eingehende Anforderung ausgeführt, die einen Domänenhinweis enthält, und die Beschleunigung erfolgt anhand von zwei Datenelementen der Anforderung: der Domäne im Domänenhinweis und der Client-ID (die App). Kurz gesagt: Die Beachtung einer Domäne oder App hat Vorrang vor einer Anweisung zum Ignorieren eines Domänenhinweises für eine bestimmte Domäne oder Anwendung.

• Falls keine Domänenhinweisrichtlinie vorhanden ist oder in keinem der vier Abschnitte auf die entsprechende App oder den Domänenhinweis verwiesen wird, wird der restliche Teil der HRD-Richtlinie evaluiert.
• Falls entweder der Abschnitt RespectDomainHintForApps oder RespectDomainHintForDomains (oder beide) die App oder den Domänenhinweis in der Anforderung enthält, wird für den Benutzer wie gewünscht die automatische Beschleunigung an den Verbundidentitätsanbieter durchgeführt.
• Falls entweder in IgnoreDomainHintsForApps oder in IgnoreDomainHintsForDomains oder in beiden Abschnitten auf die App oder den Domänenhinweis in der Anforderung verwiesen wird, aber in den Respect-Abschnitten kein Verweis enthalten ist, erfolgt keine automatische Beschleunigung für die Anforderung. Benutzer*innen verbleiben auf der Microsoft Entra-Anmeldeseite und müssen einen Benutzernamen angeben.

Nachdem ein Benutzer auf der Anmeldeseite einen Benutzernamen eingegeben hat, kann er seine verwalteten Anmeldeinformationen verwenden. Wenn sich der Benutzer gegen die Verwendung der verwalteten Anmeldeinformationen entscheidet oder keine Informationen registriert sind, wird er wie üblich an seinen Verbunddienstanbieter geleitet, damit er die Anmeldeinformationen eingeben kann.

Voraussetzungen

Um die automatische Beschleunigung der Anmeldung für eine Anwendung in Microsoft Entra ID deaktivieren zu können, benötigen Sie Folgendes:

• Ein Azure-Konto mit einem aktiven Abonnement. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
• Eine der folgenden Rollen: Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals.

• Microsoft Graph PowerShell-Modul

Empfohlene Nutzung innerhalb eines Mandanten

Administratoren von Verbunddomänen sollten für die Einrichtung dieses Abschnitts der HRD-Richtlinie einen Plan mit vier Phasen verwenden. Das Ziel des Plans besteht darin, dass schließlich alle Benutzer eines Mandanten ihre verwalteten Anmeldeinformationen verwenden, und zwar unabhängig von der Domäne oder Anwendung (mit Ausnahme der Apps, für die in Bezug auf die Nutzung von domain_hint feste Abhängigkeiten gelten). Anhand dieses Plans können Administratoren nach diesen Apps suchen, sie aus der neuen Richtlinie ausschließen und dann mit dem Rollout der Änderung für den restlichen Teil des Mandanten fortfahren.

1. Wählen Sie eine Domäne aus, für die diese Änderung zuerst eingeführt werden soll. Da dies Ihre Testdomäne ist, sollten Sie eine auswählen, die für Änderungen der Benutzeroberfläche empfänglicher ist (z. B. die Anzeige einer anderen Anmeldeseite). Hierbei werden alle Domänenhinweise aller Anwendungen ignoriert, in denen dieser Domänenname verwendet wird. Führen Sie das Einrichten dieser Richtlinie in der HRD-Standardrichtlinie für Ihren Mandanten durch:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

2. Sammeln Sie Feedback von den Benutzern der Testdomäne. Sammeln Sie die Details von Anwendungen, die aufgrund dieser Änderung beschädigt wurden. Da für diese Anwendungen die Verwendung von Domänenhinweisen zwingend erforderlich ist, sollten sie aktualisiert werden. Fügen Sie sie vorerst dem Abschnitt RespectDomainHintForApps hinzu:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

3. Fahren Sie mit der Einführung der Richtlinie für neue Domänen fort, und sammeln Sie weiteres Feedback.

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

4. Schließen den Rollout ab, indem Sie alle Domänen ausschließen, für die weiterhin eine Beschleunigung erfolgen soll:

PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Nach Abschluss von Schritt 4 können sich alle Benutzer*innen außer den in guestHandlingDomain.com enthaltenen auf der Microsoft Entra-Anmeldeseite anmelden. Dies gilt auch, wenn Domänenhinweise normalerweise zu einer automatischen Anmeldebeschleunigung an einen Verbundidentitätsanbieter führen würden. Eine Ausnahme ist der Fall, in dem die App, von der die Anmeldung angefordert wird, in der Liste mit den ausgeschlossenen Apps enthalten ist. Für diese Apps werden alle Domänenhinweise weiterhin akzeptiert.

Konfigurieren der Richtlinie per Graph-Tester

Legen Sie die Richtlinie zur Startbereichsermittlung wie gewohnt mithilfe von Microsoft Graph fest.

1. Melden Sie sich mit einer der im Abschnitt „Voraussetzungen“ aufgeführten Rollen beim Microsoft Graph-Tester an, um die Berechtigungen zu überprüfen.

2. Erteilen Sie die Berechtigung Policy.ReadWrite.ApplicationConfiguration.

3. Verwenden Sie die Startbereichsermittlungsrichtlinie, um eine neue Richtlinie zu erstellen.

4. Verwenden Sie POST zum Veröffentlichen der neuen Richtlinie oder PATCH, um eine bestehende Richtlinie zu aktualisieren.

   PATCH /policies/homeRealmDiscoveryPolicies/{id}
   {
       "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
       "definition":[
           "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
       ],
       "isOrganizationDefault":true
   }
   

Achten Sie bei Verwendung von Graph darauf, dass Sie Schrägstriche verwenden, um den JSON-Abschnitt Definition mit Escapezeichen zu versehen.

isOrganizationDefault muss auf „true“ festgelegt sein, aber „displayName“ und die Definition können sich ändern.

Nächste Schritte

• Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln
• Aktivieren der kennwortlosen Anmeldung mit der Microsoft Authenticator-App (Vorschauversion)