Az Azure Active Directory bejelentkezési viselkedésének konfigurálása egy alkalmazáshoz a Kezdőlapfelderítési szabályzat használatávalConfigure Azure Active Directory sign in behavior for an application by using a Home Realm Discovery policy

Ez a cikk bevezetőt nyújt az összevont Azure Active Directory a kezdőlap-felderítési (HRD) házirendet használó összevont felhasználók hitelesítési viselkedésének konfigurálásához.This article provides an introduction to configuring Azure Active Directory authentication behavior for federated users using Home Realm Discovery (HRD) policy. Ez a cikk az automatikus gyorsítás használatának a felhasználónevek beviteli képernyőjét kihagyja, és automatikusan továbbítja a felhasználókat az összevont bejelentkezési végpontokra.It covers using auto-acceleration to skip the username entry screen and automatically forward users to federated login endpoints. A Microsoft már nem javasolja az automatikus gyorsítás konfigurálását, mivel megakadályozhatja erősebb hitelesítési módszerek, például a FIDO használatát, és akadályozhatja az együttműködést.Microsoft does not recommend configuring auto-acceleration any longer, as it can prevent the use of stronger authentication methods such as FIDO and hinders collaboration.

Kezdőtartomány felderítéseHome Realm Discovery

A kezdőlap-felderítés (HOME Realm Discovery, HRD) az a folyamat, amely lehetővé teszi az Azure Active Directory (Azure AD) számára annak megállapítását, hogy a felhasználónak melyik identitásszolgáltatóval (IdP) kell hitelesítést végeznie a bejelentkezéskor.Home Realm Discovery (HRD) is the process that allows Azure Active Directory (Azure AD) to determine which identity provider ("IdP") a user needs to authenticate with at sign-in time. Amikor egy felhasználó bejelentkezik egy Azure AD-bérlőbe egy erőforrás eléréséhez, vagy az Azure AD közös bejelentkezési oldalára, begépel egy felhasználónevet (UPN).When a user signs in to an Azure AD tenant to access a resource, or to the Azure AD common sign-in page, they type a user name (UPN). Az Azure AD ezzel deríti fel, hogy a felhasználónak hol kell bejelentkeznie.Azure AD uses that to discover where the user needs to sign in.

A felhasználó a következő identitásszolgáltatók egyikéhez lesz áthozva a hitelesítéshez:The user will be taken to one of the following identity providers to be authenticated:

  • A felhasználó otthoni bérlője (lehet ugyanaz a bérlő, mint a felhasználó által elérni kívánt erőforrás).The home tenant of the user (might be the same tenant as the resource that the user is attempting to access).

  • Microsoft-fiók lehetőséget.Microsoft account. A felhasználó az erőforrás-bérlő vendége, amely egy felhasználói fiókot használ a hitelesítéshez.The user is a guest in the resource tenant that uses a consumer account for authentication.

  • Helyszíni identitásszolgáltató, például Active Directory összevonási szolgáltatások (AD FS) (AD FS).An on-premises identity provider such as Active Directory Federation Services (AD FS).

  • Egy másik identitásszolgáltató, amely össze van ásva az Azure AD-bérlővel.Another identity provider that's federated with the Azure AD tenant.

Automatikus gyorsításAuto-acceleration

Egyes szervezetek a saját bérlőjükben Azure Active Directory konfigurálják a tartományokat, hogy más, például felhasználói hitelesítésre AD FS idP-t használjanak.Some organizations configure domains in their Azure Active Directory tenant to federate with another IdP, such as AD FS for user authentication.

Amikor egy felhasználó bejelentkezik egy alkalmazásba, először jelennek meg egy Azure AD bejelentkezési oldal.When a user signs into an application, they are first presented with an Azure AD sign-in page. Miután begépelték az UPN-jüket, összevont tartományban vannak, a tartományt kiszolgáló internetszolgáltató bejelentkezési oldalára lépnek.After they have typed their UPN, if they are in a federated domain they are then taken to the sign-in page of the IdP serving that domain. Bizonyos körülmények között előfordulhat, hogy a rendszergazdák a bejelentkezési oldalra szeretnék irányítani a felhasználókat, amikor adott alkalmazásokba jelentkeznek be.Under certain circumstances, administrators might want to direct users to the sign-in page when they're signing in to specific applications.

Ennek eredményeképpen a felhasználók kihagyhatja a kezdeti Azure Active Directory lapot.As a result users can skip the initial Azure Active Directory page. Ezt a folyamatot "bejelentkezés automatikus gyorsításának" nevezzük.This process is referred to as “sign-in auto-acceleration.”

Abban az esetben, ha a bérlőt egy másik, bejelentkezéshez való idP-hez összevonták, az automatikus gyorsítás egyszerűbbé teszi a felhasználói bejelentkezést.In cases where the tenant is federated to another IdP for sign-in, auto-acceleration makes user sign-in more streamlined. Az automatikus gyorsítást konfigurálhatja az egyes alkalmazásokhoz.You can configure auto-acceleration for individual applications.

Megjegyzés

Ha automatikus gyorsításra konfigurál egy alkalmazást, a felhasználók nem használhatnak felügyelt hitelesítő adatokat (például FIDO), és a vendégfelhasználók nem tudnak bejelentkezni.If you configure an application for auto-acceleration, users can't use managed credentials (like FIDO) and guest users can't sign in. Ha egy felhasználót közvetlenül egy összevont azonosítóhoz használ a hitelesítéshez, nincs mód arra, hogy visszajöjjön a Azure Active Directory bejelentkezési oldalára.If you take a user straight to a federated IdP for authentication, there is no way to for them to get back to the Azure Active Directory sign-in page. Azok a vendégfelhasználók, akiknek más bérlőkhöz vagy egy külső, például egy Microsoft-fiók-hoz kell irányítaniuk, nem tudnak bejelentkezni az alkalmazásba, mert kihagyják a Kezdőlap-felderítés lépést.Guest users, who might need to be directed to other tenants or an external IdP such as a Microsoft account, can't sign in to that application because they're skipping the Home Realm Discovery step.

Az összevont idP-be való automatikus gyorsítás háromféleképpen szabályozható:There are three ways to control auto-acceleration to a federated IdP:

TartománymutatókDomain hints

A tartománymutatók olyan direktívák, amelyek egy alkalmazás hitelesítési kérésében szerepelnek.Domain hints are directives that are included in the authentication request from an application. Ezek segítségével felgyorsítható a felhasználó számára az összevont idP bejelentkezési oldala.They can be used to accelerate the user to their federated IdP sign-in page. Vagy egy több-bérlős alkalmazás is használhatja őket, hogy felgyorsítsa a felhasználót közvetlenül a bérlőhöz használt, védjegyes Azure AD bejelentkezési oldalára.Or they can be used by a multi-tenant application to accelerate the user straight to the branded Azure AD sign-in page for their tenant.

A "largeapp.com" alkalmazás például lehetővé teheti, hogy az ügyfeleik egy egyéni URL-címen ,"contoso.largeapp.com"For example, the application "largeapp.com" might enable their customers to access the application at a custom URL "contoso.largeapp.com." Az alkalmazás tartalmazhat egy tartománymutatót is, contoso.com a hitelesítési kérelemben.The app might also include a domain hint to contoso.com in the authentication request.

A tartománymutató szintaxisa a használt protokolltól függően változik, és általában az alkalmazásban van konfigurálva.Domain hint syntax varies depending on the protocol that's used, and it's typically configured in the application.

WS-Federation: whr=contoso.com a lekérdezési sztringben.WS-Federation: whr=contoso.com in the query string.

SAML: Egy tartománymutatót tartalmazó SAML-hitelesítési kérelem vagy egy whr=contoso.com lekérdezési sztring.SAML: Either a SAML authentication request that contains a domain hint or a query string whr=contoso.com.

Open ID Connect: A lekérdezési sztring domain_hint=contoso.com.Open ID Connect: A query string domain_hint=contoso.com.

Alapértelmezés szerint az Azure AD megkísérli átirányítani a bejelentkezést a tartományhoz konfigurált internetszolgáltatóra, ha az alábbiak közül mindkettő igaz: By default, Azure AD attempts to redirect sign-in to the IdP that's configured for a domain if both of the following are true:

  • Az alkalmazástól és az alkalmazástól származó hitelesítési kérelem tartománymutatót tartalmaz,A domain hint is included in the authentication request from the application and
  • A bérlő ezzel a tartománnyal van össze egyesülve.The tenant is federated with that domain.

Ha a tartománymutató nem hivatkozik ellenőrzött összevont tartományra, a rendszer figyelmen kívül hagyja.If the domain hint doesn’t refer to a verified federated domain, it is ignored.

További információ az automatikus gyorsításról a Azure Active Directory által támogatott tartománymutatók használatával: Enterprise Mobility + Security blog.For more information about auto-acceleration using the domain hints that are supported by Azure Active Directory, see the Enterprise Mobility + Security blog.

Megjegyzés

Ha egy tartománymutatót tartalmaz egy hitelesítési kérelem, és azt figyelembe kell venni,a jelenléte felülírja az alkalmazáshoz a HRD-házirendben beállított automatikus gyorsítást.If a domain hint is included in an authentication request and should be respected, its presence overrides auto-acceleration that is set for the application in HRD policy.

Kezdőlap-felderítési szabályzat automatikus gyorsításhozHome Realm Discovery policy for auto-acceleration

Egyes alkalmazások nem biztosítanak lehetőséget az általa kibocsátott hitelesítési kérelem konfigurálára.Some applications do not provide a way to configure the authentication request they emit. Ezekben az esetekben nem lehet tartománymutatókat használni az automatikus gyorsítás vezérléséhez.In these cases, it’s not possible to use domain hints to control auto-acceleration. Az automatikus gyorsítás a kezdőlap-felderítési szabályzaton keresztül konfigurálható úgy, hogy ugyanezt a viselkedést éri el.Auto-acceleration can be configured via Home Realm Discovery policy to achieve the same behavior.

Kezdőlap-felderítési szabályzat az automatikus gyorsítás megakadályozásáhozHome Realm Discovery policy to prevent auto-acceleration

Egyes Microsoft- és SaaS-alkalmazások automatikusan tartalmaznak domain_hints -t (például egy hozzáfűző bejelentkezési kérést ad vissza), ami megzavarhatja a felügyelt hitelesítő adatok, például https://outlook.com/contoso.com a &domain_hint=contoso.com FIDO használatát.Some Microsoft and SaaS applications automatically include domain_hints (for example, https://outlook.com/contoso.com results in a login request with &domain_hint=contoso.com appended), which can disrupt rollout of managed credentials like FIDO. A Kezdőlaptartomány-felderítési szabályzat használatával figyelmen kívül hagyhatja bizonyos alkalmazások vagy bizonyos tartományok tartománymutatóit a felügyelt hitelesítő adatok telepítése során.You can use Home Realm Discovery Policy to ignore domain hints from certain apps or for certain domains, during rollout of managed credentials.

Összevont felhasználók közvetlen ROPC-hitelesítésének engedélyezése örökölt alkalmazásokhozEnable direct ROPC authentication of federated users for legacy applications

Az ajánlott eljárás az, hogy az alkalmazások AAD-kódtárakat és interaktív bejelentkezést használjanak a felhasználók hitelesítéséhez.Best practice is for applications to use AAD libraries and interactive sign-in to authenticate users. A kódtárak gondoskodnak az összevont felhasználói folyamatokról.The libraries take care of the federated user flows. Előfordulhat, hogy az örökölt alkalmazások, különösen azok, amelyek ROPC-t használnak, közvetlenül az Azure AD-be küldik a felhasználónevet és a jelszót, és nem az összevonás érthetőségéhez vannak megírva.Sometimes legacy applications, especially those that use ROPC grants, submit username and password directly to Azure AD, and aren't written to understand federation. Nem végeznek otthoni tartományfelderítést, és nem lépnek kapcsolatba a megfelelő összevont végponttal a felhasználók hitelesítéséhez.They don't perform home realm discovery and do not interact with the correct federated endpoint to authenticate a user. Ha úgy dönt, a HRD-szabályzattal engedélyezheti az olyan örökölt alkalmazásokat, amelyek a ROPC-engedély használatával küldik el a felhasználónév-jelszó hitelesítő adatokat a közvetlen hitelesítéshez a Azure Active Directory.If you choose to, you can use HRD Policy to enable specific legacy applications that submit username/password credentials using the ROPC grant to authenticate directly with Azure Active Directory. Engedélyezni kell a jelszó kivonatszinkronizálását.Password Hash Sync must be enabled.

Fontos

Csak akkor engedélyezze a közvetlen hitelesítést, ha be van kapcsolva a jelszó kivonatszinkronizálása, és tudja, hogy az alkalmazás hitelesítése nem szükséges a helyszíni identitásszolgáltató által megvalósított szabályzatok nélkül.Only enable direct authentication if you have Password Hash Sync turned on and you know it's okay to authenticate this application without any policies implemented by your on-premises IdP. Ha bármilyen okból kikapcsolja a jelszó-kivonatszinkronizálást, vagy bármilyen okból kikapcsolja a címtár-szinkronizálást az AD Connect használatával, távolítsa el ezt a szabályzatot, hogy megakadályozza az elavult jelszó-kivonatot használó közvetlen hitelesítés lehetőségét.If you turn off Password Hash Sync, or turn off Directory Synchronization with AD Connect for any reason, you should remove this policy to prevent the possibility of direct authentication using a stale password hash.

HRD-szabályzat beállításaSet HRD policy

Három lépésből áll a HRD-szabályzat beállítása egy alkalmazáshoz az összevont bejelentkezés automatikus gyorsításához vagy közvetlen felhőalapú alkalmazásokhoz:There are three steps to setting HRD policy on an application for federated sign-in auto-acceleration or direct cloud-based applications:

  1. HRD-szabályzat létrehozása.Create an HRD policy.

  2. Keresse meg azt a szolgáltatásnév, amelyhez hozzá kell csatolni a szabályzatot.Locate the service principal to which to attach the policy.

  3. Csatolja a szabályzatot a szolgáltatásnévhez.Attach the policy to the service principal.

A szabályzatok csak egy adott alkalmazásra vonatkoznak, ha szolgáltatásnévhez vannak csatolva.Policies only take effect for a specific application when they are attached to a service principal.

Egy szolgáltatásnéven egyszerre csak egy HRD-szabályzat lehet aktív.Only one HRD policy can be active on a service principal at any one time.

A hrd-Azure Active Directory powerShell-parancsmagok használatával hozhatja létre és kezelheti.You can use the Azure Active Directory PowerShell cmdlets to create and manage HRD policy.

Az alábbiakban egy HRD-szabályzatdefiníciót mutatunk be:Following is an example HRD policy definition:

  {  
   "HomeRealmDiscoveryPolicy":
   {  
   "AccelerateToFederatedDomain":true,
   "PreferredDomain":"federated.example.edu",
   "AllowCloudPasswordValidation":false,    
   }
  }

A szabályzat típusa "HomeRealmDiscoveryPolicy".The policy type is "HomeRealmDiscoveryPolicy".

Az AccelerateToFederatedDomain nem kötelező.AccelerateToFederatedDomain is optional. Ha az AccelerateToFederatedDomain értéke hamis, a szabályzatnak nincs hatása az automatikus gyorsításra.If AccelerateToFederatedDomain is false, the policy has no effect on auto-acceleration. Ha az AccelerateToFederatedDomain igaz, és csak egy ellenőrzött és összevont tartomány található a bérlőben, akkor a felhasználók közvetlenül az összevont internetszolgáltatóhoz lesznek rendelve a bejelentkezéshez.If AccelerateToFederatedDomain is true and there is only one verified and federated domain in the tenant, then users will be taken straight to the federated IdP for sign in. Ha igaz, és a bérlőben egynél több ellenőrzött tartomány található, meg kell adni a PreferredDomain értéket.If it is true and there is more than one verified domain in the tenant, PreferredDomain must be specified.

A PreferredDomain paraméter megadása nem kötelező.PreferredDomain is optional. A PreferredDomain tulajdonságnak azt a tartományt kell jeleznie, amely felé a gyorsítást el kell látni.PreferredDomain should indicate a domain to which to accelerate. Kihagyható, ha a bérlő csak egy összevont tartománnyal rendelkezik.It can be omitted if the tenant has only one federated domain. Ha nincs megadva, és több ellenőrzött összevont tartomány van, a szabályzatnak nincs hatása.If it is omitted, and there is more than one verified federated domain, the policy has no effect.

Ha a PreferredDomain (Előnyben részesített tartomány) meg van adva, akkor egyeznie kell a bérlő ellenőrzött, összevont tartományának.If PreferredDomain is specified, it must match a verified, federated domain for the tenant. Az alkalmazás összes felhasználója bejelentkezhet ebbe a tartományba – azok a felhasználók, akik nem tudnak bejelentkezni az összevont tartományba, nem fognak tudni bejelentkezni, és nem tudnak bejelentkezni.All users of the application must be able to sign in to that domain - users who cannot sign in at the federated domain will be trapped and unable to complete sign in.

Az AllowCloudPasswordValidation paraméter megadása nem kötelező.AllowCloudPasswordValidation is optional. Ha az AllowCloudPasswordValidation igaz, akkor az alkalmazás hitelesíthet egy összevont felhasználót azáltal, hogy a felhasználónév/jelszó hitelesítő adatokat közvetlenül a Azure Active Directory jogkivonat végpontjának adja meg.If AllowCloudPasswordValidation is true then the application is allowed to authenticate a federated user by presenting username/password credentials directly to the Azure Active Directory token endpoint. Ez csak akkor működik, ha a jelszó kivonatszinkronizálása engedélyezve van.This only works if Password Hash Sync is enabled.

Emellett két bérlőszintű HRD-beállítás is létezik, amelyek a fentiekben nem láthatók:Additionally, two tenant-level HRD options exist, not shown above:

  • Az AlternateIdLogin nem kötelező.AlternateIdLogin is optional. Ha engedélyezve van, a felhasználók az Azure AD bejelentkezési oldalán, az UPN-jük helyett az e-mail-címüket használva jelentkeznek be.If enabled, this allows users to sign in with their email addresses instead of their UPN at the Azure AD sign in page. A másodlagos azonosítók arra támaszkodnak, hogy a felhasználó nincs automatikusan felgyorsítva egy összevont idP-hez.Alternate IDs rely on the user not being auto-accelerated to a federated IDP.

  • A DomainHintPolicy egy nem kötelező, összetett objektum, amely megakadályozza, hogy a tartománymutatók automatikusan felgyorsítsák a felhasználókat összevont tartományokra.DomainHintPolicy is an optional complex object that prevents domain hints from auto-accelerating users to federated domains. Ezzel a bérlői szintű beállítással biztosítható, hogy a tartománymutatókat küldeni képes alkalmazások ne akadályozzák meg a felhasználókat a felhőben felügyelt hitelesítő adatokkal való bejelentkezésben.This tenant-wide setting is used to ensure that applications which send domain hints do not prevent users from signing in with cloud-managed credentials.

A HRD-szabályzatok prioritása és értékelésePriority and evaluation of HRD policies

HRD-szabályzatokat lehet létrehozni, majd hozzárendelni adott szervezetekhez és szolgáltatásnévhez.HRD policies can be created and then assigned to specific organizations and service principals. Ez azt jelenti, hogy egy adott alkalmazásra több szabályzat is vonatkozhat, ezért az Azure AD-nek kell eldöntenie, melyik élvez elsőbbséget.This means that it is possible for multiple policies to apply to a specific application, so Azure AD must decide which one takes precedence. A szabályok halmaza dönti el, hogy melyik (több alkalmazott HRD-szabályzat) lép életbe:A set of rules decides which HRD policy (of many applied) takes effect:

  • Ha tartománymutató található a hitelesítési kérelemben, a rendszer ellenőrzi a bérlő HRD-szabályzatát (a bérlő alapértelmezett szabályzata), és ellenőrzi, hogy a tartománymutatókat figyelmen kívül kell-e hagyni.If a domain hint is present in the authentication request, then HRD policy for the tenant (the policy set as the tenant default) is checked to see if domain hints should be ignored. Ha a tartománymutatók engedélyezettek, a rendszer a tartománymutató által meghatározott viselkedést használja.If domain hints are allowed, the behavior that's specified by the domain hint is used.

  • Ellenkező esetben, ha egy szabályzat explicit módon hozzá van rendelve a szolgáltatásnévhez, a rendszer kényszeríti azt.Otherwise, if a policy is explicitly assigned to the service principal, it is enforced.

  • Ha nincs tartománymutató, és nincs explicit módon hozzárendelve szabályzat a szolgáltatásnévhez, a rendszer kényszeríti a szolgáltatásnév szülőszervezetéhez explicit módon hozzárendelt szabályzatot.If there is no domain hint, and no policy is explicitly assigned to the service principal, a policy that's explicitly assigned to the parent organization of the service principal is enforced.

  • Ha nincs tartománymutató, és nincs hozzárendelve szabályzat a szolgáltatásnévhez vagy a szervezethez, a rendszer az alapértelmezett HRD-viselkedést használja.If there is no domain hint, and no policy has been assigned to the service principal or the organization, the default HRD behavior is used.

Oktatóanyag a HRD-szabályzat alkalmazáson való beállításáhozTutorial for setting HRD policy on an application

Az Azure AD PowerShell-parancsmagok segítségével végigveszünk néhány forgatókönyvet, például a következőket:We'll use Azure AD PowerShell cmdlets to walk through a few scenarios, including:

  • HRD-szabályzat beállítása egy egyetlen összevont tartománnyal rendelkező bérlőben található alkalmazás automatikus gyorsításához.Setting up HRD policy to do auto-acceleration for an application in a tenant with a single federated domain.

  • HRD-szabályzat beállítása egy alkalmazás automatikus gyorsításához a bérlő által ellenőrzött tartományok egyikéhez.Setting up HRD policy to do auto-acceleration for an application to one of several domains that are verified for your tenant.

  • HRD-szabályzat beállítása, hogy egy örökölt alkalmazás közvetlen felhasználónév-jelszó hitelesítést Azure Active Directory összevont felhasználó számára.Setting up HRD policy to enable a legacy application to do direct username/password authentication to Azure Active Directory for a federated user.

  • Felsorolja az alkalmazásokat, amelyekhez szabályzat van konfigurálva.Listing the applications for which a policy is configured.

ElőfeltételekPrerequisites

A következő példákban szabályzatokat hozhat létre, frissíthet, kapcsolhet össze és törölhet az Azure AD-beli alkalmazás-szolgáltatásnévekkel.In the following examples, you create, update, link, and delete policies on application service principals in Azure AD.

  1. Először töltse le az Azure AD PowerShell-parancsmagok legújabb előzetes verzióját.To begin, download the latest Azure AD PowerShell cmdlet preview.

  2. Miután letöltötte az Azure AD PowerShell-parancsmagokat, futtassa a Connect parancsot az Azure AD-be való bejelentkezéshez a rendszergazdai fiókjával:After you have downloaded the Azure AD PowerShell cmdlets, run the Connect command to sign in to Azure AD with your admin account:

    Connect-AzureAD -Confirm
    
  3. Futtassa a következő parancsot a szervezet összes szabályzatának a futtatásával:Run the following command to see all the policies in your organization:

    Get-AzureADPolicy
    

Ha semmit nem ad vissza, az azt jelenti, hogy nem hozott létre szabályzatokat a bérlőben.If nothing is returned, it means you have no policies created in your tenant.

Példa: HRD-szabályzat beállítása egy alkalmazáshozExample: Set an HRD policy for an application

Ebben a példában egy olyan szabályzatot hoz létre, amely akkor lesz hozzárendelve egy alkalmazáshoz, ha:In this example, you create a policy that when it is assigned to an application either:

  • Automatikusan felgyorsítja a felhasználók AD FS bejelentkezési képernyőjére, amikor bejelentkeznek egy alkalmazásba, ha a bérlő egyetlen tartományból áll.Auto-accelerates users to an AD FS sign-in screen when they are signing in to an application when there is a single domain in your tenant.
  • A felhasználók automatikus felgyorsítása AD FS bejelentkezési képernyőn a bérlőben több összevont tartomány is található.Auto-accelerates users to an AD FS sign-in screen there is more than one federated domain in your tenant.
  • Engedélyezi a nem interaktív felhasználónév/jelszó közvetlen bejelentkezést Azure Active Directory az összevont felhasználók számára a szabályzathoz rendelt alkalmazásokhoz.Enables non-interactive username/password sign in directly to Azure Active Directory for federated users for the applications the policy is assigned to.

1. lépés: HRD-szabályzat létrehozásaStep 1: Create an HRD policy

Az alábbi szabályzat automatikusan felgyorsítja a AD FS bejelentkezési képernyőjére, amikor bejelentkeznek egy alkalmazásba, amikor a bérlő egyetlen tartományt rendelkezik.The following policy auto-accelerates users to an AD FS sign-in screen when they are signing in to an application when there is a single domain in your tenant.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Az alábbi szabályzat automatikusan felgyorsítja a felhasználókat egy AD FS bejelentkezési képernyőjére, amely több összevont tartományt is a bérlőn található.The following policy auto-accelerates users to an AD FS sign-in screen there is more than one federated domain in your tenant. Ha több összevont tartománya van, amely hitelesíti a felhasználókat az alkalmazásokhoz, meg kell adnia a tartományt az automatikus gyorsításhoz.If you have more than one federated domain that authenticates users for applications, you need specify the domain to auto-accelerate.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") -DisplayName MultiDomainAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Ha olyan szabályzatot hoz létre, amely engedélyezi a felhasználónevet/jelszót használó hitelesítést az összevont felhasználók számára közvetlenül, Azure Active Directory adott alkalmazásokhoz tartozó házirendeket, futtassa a következő parancsot:To create a policy to enable username/password authentication for federated users directly with Azure Active Directory for specific applications, run the following command:

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") -DisplayName EnableDirectAuthPolicy -Type HomeRealmDiscoveryPolicy

Futtassa a következő parancsot az új szabályzat és az ObjectID lekért adatokat:To see your new policy and get its ObjectID, run the following command:

Get-AzureADPolicy

A HRD-szabályzatot a létrehozása után több alkalmazás-szolgáltatásnévhez is hozzárendelheti.To apply the HRD policy after you have created it, you can assign it to multiple application service principals.

2. lépés: Keresse meg azt a szolgáltatásnév, amelyhez hozzá kell rendelni a szabályzatotStep 2: Locate the service principal to which to assign the policy

Szüksége lesz annak a szolgáltatásnévnek az ObjectID-ére, amelyhez hozzá szeretné rendelni a szabályzatot.You need the ObjectID of the service principals to which you want to assign the policy. A szolgáltatásnév objektumazonosítóját többféleképpen is megkereshet.There are several ways to find the ObjectID of service principals.

Használhatja a portált, vagy lekérdezheti a Microsoft Graph.You can use the portal, or you can query Microsoft Graph. A Graph Explorer eszközt is használhatja, és bejelentkezhet Azure AD-fiókjába, és láthatja a szervezet összes egyszerű szolgáltatását.You can also go to the Graph Explorer Tool and sign in to your Azure AD account to see all your organization's service principals.

Mivel a PowerShellt használja, a következő parancsmag használatával listázódhat a szolgáltatásnévvel és azok az adatokat használhatja.Because you are using PowerShell, you can use the following cmdlet to list the service principals and their IDs.

Get-AzureADServicePrincipal

3. lépés: A szabályzat hozzárendelése a szolgáltatásnévhezStep 3: Assign the policy to your service principal

Miután megvan annak az alkalmazásnak az ObjectID-értéke, amelyhez az automatikus gyorsítást konfigurálni szeretné, futtassa a következő parancsot.After you have the ObjectID of the service principal of the application for which you want to configure auto-acceleration, run the following command. Ez a parancs társítja az 1. lépésben létrehozott HRD-szabályzatot a 2. lépésben található szolgáltatásnévvel.This command associates the HRD policy that you created in step 1 with the service principal that you located in step 2.

Add-AzureADServicePrincipalPolicy -Id <ObjectID of the Service Principal> -RefObjectId <ObjectId of the Policy>

Ezt a parancsot megismételheti minden olyan szolgáltatásnévvel, amelyhez hozzá szeretné adni a szabályzatot.You can repeat this command for each service principal to which you want to add the policy.

Abban az esetben, ha egy alkalmazáshoz már hozzá van rendelve egy HomeRealmDiscovery szabályzat, nem adhat hozzá újabbat.In the case where an application already has a HomeRealmDiscovery policy assigned, you won’t be able to add a second one. Ebben az esetben módosítsa az alkalmazáshoz rendelt Kezdőlap-felderítési szabályzat definícióját további paraméterek hozzáadásához.In that case, change the definition of the Home Realm Discovery policy that is assigned to the application to add additional parameters.

4. lépés: Annak ellenőrzése, hogy a HRD-szabályzat mely alkalmazás-szolgáltatásnévkhöz van hozzárendelveStep 4: Check which application service principals your HRD policy is assigned to

A Get-AzureADPolicyAppliedObject parancsmag használatával ellenőrizheti, hogy mely alkalmazásokra van HRD-szabályzat konfigurálva.To check which applications have HRD policy configured, use the Get-AzureADPolicyAppliedObject cmdlet. Adja meg annak a szabályzatnak az ObjectID-ját, amelyről ellenőrizni szeretne.Pass it the ObjectID of the policy that you want to check on.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

5. lépés: Kész!Step 5: You're done!

Próbálja ki az alkalmazást, és ellenőrizze, hogy működik-e az új szabályzat.Try the application to check that the new policy is working.

Példa: Azon alkalmazások felsorolása, amelyekhez HRD-szabályzat van konfigurálvaExample: List the applications for which HRD policy is configured

1. lépés: A szervezetben létrehozott összes szabályzat felsorolásaStep 1: List all policies that were created in your organization

Get-AzureADPolicy

Jegyezze fel annak a szabályzatnak az ObjectID-ját, amely számára a hozzárendeléseket listába szeretné sorolni.Note the ObjectID of the policy that you want to list assignments for.

2. lépés: Azon szolgáltatásnév felsorolása, amelyekhez a szabályzat hozzá van rendelveStep 2: List the service principals to which the policy is assigned

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Példa: HRD-szabályzat eltávolítása egy alkalmazásbólExample: Remove an HRD policy from an application

1. lépés: Az ObjectID lekért számaStep 1: Get the ObjectID

Az előző példában lekérte a szabályzat ObjectID-ját, valamint annak az alkalmazás-szolgáltatásnévnek az objektumazonosítóját, amelyből el szeretné távolítani.Use the previous example to get the ObjectID of the policy, and that of the application service principal from which you want to remove it.

2. lépés: A szabályzat-hozzárendelés eltávolítása az alkalmazás szolgáltatásnévbőlStep 2: Remove the policy assignment from the application service principal

Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>

3. lépés: Az eltávolítás ellenőrzése azokkal a szolgáltatásnévvel, amelyekhez a szabályzat hozzá van rendelveStep 3: Check removal by listing the service principals to which the policy is assigned

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Következő lépésekNext steps