Megosztás a következőn keresztül:

Automatikus gyorsítási bejelentkezés letiltása

  • Cikk

A Home Realm Discovery Policy (HRD) több módszert is kínál a rendszergazdák számára annak szabályozására, hogy a felhasználók hogyan és hol hitelesítsék magukat. A domainHintPolicy HRD-szabályzat szakasza segít az összevont felhasználók felhőbeli felügyelt hitelesítő adatokba, például a FIDO-ba való migrálásában, biztosítva, hogy mindig felkeressék a Microsoft Entra bejelentkezési oldalát, és ne gyorsítsák fel automatikusan az összevont identitásszolgáltatóra a tartományi tippek miatt. A HRD-szabályzattal kapcsolatos további információkért lásd : Home Realm Discovery.

Erre a szabályzatra olyan helyzetekben van szükség, amikor a rendszergazdák nem tudják szabályozni vagy frissíteni a tartományi tippeket a bejelentkezés során. Például outlook.com/contoso.com elküldi a felhasználót egy bejelentkezési lapra a &domain_hint=contoso.com hozzáfűzett paraméterrel, hogy automatikusan felgyorsítsa a felhasználót közvetlenül a contoso.com tartomány összevont identitásszolgáltatójához. Az összevont identitásszolgáltatónak küldött felügyelt hitelesítő adatokkal rendelkező felhasználók nem tudnak bejelentkezni a felügyelt hitelesítő adataikkal, így csökkenthetik a biztonságot, és frusztrálhatják a véletlenszerű bejelentkezési élményekkel rendelkező felhasználókat. Rendszergazda felügyelt hitelesítő adatok bevezetésekor ezt a házirendet is be kell állítani, hogy a felhasználók mindig használhassák a felügyelt hitelesítő adataikat.

DomainHintPolicy részletei

A HRD-szabályzat DomainHintPolicy szakasza egy JSON-objektum, amely lehetővé teszi a rendszergazda számára, hogy bizonyos tartományokat és alkalmazásokat letiltson a tartománymutató-használatból. Ez funkcionálisan azt jelzi a Microsoft Entra bejelentkezési oldalának, hogy úgy viselkedjen, mintha a bejelentkezési kérelem egyik domain_hint paramétere nem jelenik meg.

A Szabályzatok tiszteletben tartása és figyelmen kívül hagyása szakasz

Section Értelmezés Értékek
IgnoreDomainHintForDomains Ha ezt a tartománymutatót a kérésben küldi el, hagyja figyelmen kívül. Tartománycímek tömbje (például contoso.com). Emellett támogatja a all_domains
RespectDomainHintForDomains Ha ezt a tartományra vonatkozó tippet küldi el a kérés, akkor is tartsa tiszteletben, ha IgnoreDomainHintForApps azt jelzi, hogy a kérelemben szereplő alkalmazásnak nem szabad automatikusan felgyorsulnia. Ezzel lassítható a hálózaton belüli elavult tartománymutatók bevezetése – jelezheti, hogy egyes tartományok még mindig fel kell gyorsítani. Tartománycímek tömbje (például contoso.com). Emellett támogatja a all_domains
IgnoreDomainHintForApps Ha az alkalmazás kérése tartalmaz egy tartományra vonatkozó tippet, hagyja figyelmen kívül. Alkalmazásazonosítók (GUID-k) tömbje. Emellett támogatja a all_apps
RespectDomainHintForApps Ha az alkalmazás kérése tartalmaz egy tartományra vonatkozó tippet, akkor is tartsa tiszteletben, ha IgnoreDomainHintForDomains a tartományt is tartalmazza. Ezzel biztosíthatja, hogy egyes alkalmazások továbbra is működjenek, ha észleli, hogy tartománymutatók nélkül törnek. Alkalmazásazonosítók (GUID-k) tömbje. Emellett támogatja a all_apps

Szabályzatkiértékelés

A DomainHintPolicy logika minden bejövő kérelemen fut, amely tartalmaz egy tartománymutatót, és a kérésben szereplő két adat alapján gyorsul fel – a tartománymutató tartománya és az ügyfélazonosító (az alkalmazás) alapján. Röviden: egy tartomány vagy alkalmazás "tisztelete" elsőbbséget élvez egy adott tartomány vagy alkalmazás tartományra vonatkozó tippje "Figyelmen kívül hagyása" utasítással szemben.

  • Tartománymutató-szabályzat hiányában, vagy ha a négy szakasz egyike sem hivatkozik az említett alkalmazásra vagy tartománymutatóra, a rendszer kiértékeli a HRD-szabályzat többi részét.
  • Ha a kérelem egyik (vagy mindkét) szakasza RespectDomainHintForAppsRespectDomainHintForDomains tartalmazza az alkalmazást vagy a tartományra vonatkozó tippet, akkor a felhasználó automatikusan felgyorsul az összevont identitásszolgáltatóra a kérésnek megfelelően.
  • Ha a kérelem egyik (vagy mindkettő) IgnoreDomainHintsForAppsIgnoreDomainHintsForDomains vagy az alkalmazásra vagy a tartományra mutató tippre hivatkozik, és a "Tisztelet" szakaszok nem hivatkoznak rájuk, akkor a kérés nem lesz automatikusan felgyorsítva, és a felhasználó a Microsoft Entra bejelentkezési oldalán marad a felhasználónév megadásához.

Miután egy felhasználó beírt egy felhasználónevet a bejelentkezési oldalon, használhatja a felügyelt hitelesítő adatait. Ha úgy döntenek, hogy nem használnak felügyelt hitelesítő adatokat, vagy nincs regisztrálva, akkor a rendszer a szokásos módon az összevont identitásszolgáltatóhoz viszi őket a hitelesítő adatok bejegyzéséhez.

Előfeltételek

Ha le szeretné tiltani az automatikus gyorsítási bejelentkezést egy alkalmazáshoz a Microsoft Entra-azonosítóban, a következőkre van szüksége:

  • Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • Az alábbi szerepkörök egyike: Cloud Application Rendszergazda istrator, Application Rendszergazda istrator vagy a szolgáltatásnév tulajdonosa.

Javasolt használat bérlőn belül

Rendszergazda összevont tartományoknak négyfázisú tervben kell beállítaniuk a HRD-szabályzat ezen szakaszát. Ennek a tervnek az a célja, hogy végül a bérlő összes felhasználója tartománytól vagy alkalmazástól függetlenül használja a felügyelt hitelesítő adatait, és mentse azokat az alkalmazásokat, amelyek erősen függnek a használattól domain_hint . Ez a terv segít a rendszergazdáknak megtalálni ezeket az alkalmazásokat, felmenteni őket az új szabályzat alól, és folytatni a módosítást a bérlő többi részére.

  1. Válasszon ki egy tartományt a módosítás kezdeti bevezetéséhez. Ez a teszttartomány, ezért válasszon egyet, amely fogékonyabb lehet az UX változásaira (például egy másik bejelentkezési oldal megtekintése). Ez figyelmen kívül hagyja az összes olyan alkalmazás tartománymutatóit, amelyek ezt a tartománynevet használják. Állítsa be ezt a házirendet a bérlő alapértelmezett HRD-házirendjében:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Visszajelzések gyűjtése a teszttartomány felhasználóitól. Gyűjtse össze azokat az alkalmazásokat, amelyek a módosítás következtében megszakadtak – függőségben vannak a tartománymutató-használattal, ezért frissíteni kell őket. Egyelőre vegye fel őket a RespectDomainHintForApps szakaszba:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Folytassa a szabályzat új tartományokra való kiterjesztését, és további visszajelzéseket gyűjtsön.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Végezze el a bevezetést – az összes tartományt célozza meg, mentesítve azokat, amelyeket továbbra is fel kell gyorsítani:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

A 4. lépés befejezése után minden felhasználó bejelentkezhet a Microsoft Entra bejelentkezési oldalára, még akkor is, guestHandlingDomain.comha a tartományi tippek egyébként automatikus gyorsítást okoznának egy összevont identitásszolgáltatóra. Ez alól kivételt képez az, ha a bejelentkezést kérő alkalmazás a kivételt élvező alkalmazások egyike – ezeknél az alkalmazásoknál a rendszer továbbra is elfogadja az összes tartományi tippet.

Szabályzat konfigurálása a Graph Explorer használatával

A Home Realm Discovery szabályzat kezelése a Microsoft Graph használatával.

  1. Jelentkezzen be a Microsoft Graph Explorerbe az előfeltétel szakaszban felsorolt szerepkörök egyikével.

  2. Adja meg az Policy.ReadWrite.ApplicationConfiguration engedélyt.

  3. Új szabályzat létrehozásához használja a Kezdőlap tartományfelderítési szabályzatát .

  4. TEGYE KÖZZÉ az új szabályzatot vagy a PATCH-et egy meglévő szabályzat frissítéséhez.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

A Graph használatakor ügyeljen arra, hogy perjelekkel lépjen ki a Definition JSON-szakaszból.

isOrganizationDefault igaznak kell lennie, de a displayName és a definíció változhat.

Következő lépések