ホーム領域検出ポリシーを使用して、アプリケーションの Azure Active Directory サインイン動作を構成するConfigure Azure Active Directory sign in behavior for an application by using a Home Realm Discovery policy

この記事では、フェデレーション ユーザーに対する Azure Active Directory 認証動作の構成方法について説明します。This article provides an introduction to configuring Azure Active Directory authentication behavior for federated users. また、フェデレーション ドメイン内のユーザーに対する自動高速化および認証制限の構成方法についても説明します。It covers configuration of auto-acceleration and authentication restrictions for users in federated domains.

ホーム領域検出Home Realm Discovery

ホーム領域検出 (HRD) は、ユーザーの認証が必要な場所を、Azure Active Directory (Azure AD) がサインイン時に決定できるようにするプロセスです。Home Realm Discovery (HRD) is the process that allows Azure Active Directory (Azure AD) to determine where a user needs to authenticate at sign-in time. ユーザーは、Azure AD テナントにサインインしてリソース (または Azure AD の共通サインイン ページ) にアクセスするとき、ユーザー名 (UPN) を入力します。When a user signs in to an Azure AD tenant to access a resource, or to the Azure AD common sign-in page, they type a user name (UPN). Azure AD はそれを使用して、ユーザーがどこにサインインする必要があるかを決定します。Azure AD uses that to discover where the user needs to sign in.

ユーザーは、認証を受けるために次のいずれかの場所にアクセスする必要があります。The user might need to be taken to one of the following locations to be authenticated:

  • ユーザーのホーム テナント (ユーザーがアクセスしようとしているリソースと同じテナントである可能性があります)。The home tenant of the user (might be the same tenant as the resource that the user is attempting to access).

  • Microsoft アカウント。Microsoft account. ユーザーはリソース テナントのゲストです。The user is a guest in the resource tenant.

  • Active Directory フェデレーション サービス (AD FS) など、オンプレミスの ID プロバイダー。An on-premises identity provider such as Active Directory Federation Services (AD FS).

  • Azure AD テナントとフェデレーションされた別の ID プロバイダー。Another identity provider that's federated with the Azure AD tenant.

自動高速化Auto-acceleration

組織によっては、Azure Active Directory テナント内のドメインを、ユーザー認証用の別の IdP (AD FS など) とフェデレーションするように構成することがあります。Some organizations configure domains in their Azure Active Directory tenant to federate with another IdP, such as AD FS for user authentication.

ユーザーがアプリケーションにサインインすると、最初に Azure AD のサインイン ページが表示されます。When a user signs into an application, they are first presented with an Azure AD sign-in page. UPN を入力した後、フェデレーション ドメイン内にいると、そのドメインにサービスを提供している IdP のサインイン ページが表示されます。After they have typed their UPN, if they are in a federated domain they are then taken to the sign-in page of the IdP serving that domain. 状況によっては、管理者は特定のアプリケーションにサインインしたユーザーに対してサインイン ページを表示したい場合があります。Under certain circumstances, administrators might want to direct users to the sign-in page when they're signing in to specific applications.

そのため、ユーザーは Azure Active Directory の最初のページをスキップできます。As a result users can skip the initial Azure Active Directory page. このプロセスは、"サインイン自動高速化" と呼ばれます。This process is referred to as “sign-in auto-acceleration.”

テナントがサインイン用の別の IdP にフェデレーションされている場合、自動高速化によりユーザー サインインがいっそう効率化されます。In cases where the tenant is federated to another IdP for sign-in, auto-acceleration makes user sign-in more streamlined. 自動高速化は個々 のアプリケーションに対して構成できます。You can configure auto-acceleration for individual applications.

注意

アプリケーションを自動高速化用に構成した場合、ゲスト ユーザーはサインインできません。If you configure an application for auto-acceleration, guest users cannot sign in. ユーザーを認証用のフェデレーション IdP に導く場合、Azure Active Directory のサインイン ページに戻ることはできません。If you take a user straight to a federated IdP for authentication, there is no way to for them to get back to the Azure Active Directory sign-in page. ゲスト ユーザーは、他のテナントや Microsoft アカウントなどの外部 IdP に移動されなければならない場合があり、ホーム領域検出の手順がスキップされるため、そのアプリケーションにサインインすることはできません。Guest users, who might need to be directed to other tenants or an external IdP such as a Microsoft account, can't sign in to that application because they're skipping the Home Realm Discovery step.

フェデレーション IdP への自動高速化を制御するには、2 つの方法があります。There are two ways to control auto-acceleration to a federated IdP:

  • アプリケーションの認証要求でドメイン ヒントを使用する。Use a domain hint on authentication requests for an application.
  • ホーム領域検出ポリシーを構成して自動高速化を有効にする。Configure a Home Realm Discovery policy to enable auto-acceleration.

ドメイン ヒントDomain hints

ドメイン ヒントは、アプリケーションからの認証要求に含まれるディレクティブです。Domain hints are directives that are included in the authentication request from an application. ドメイン ヒントを使用して、ユーザーのフェデレーション IdP サインイン ページへの移動を高速化できます。They can be used to accelerate the user to their federated IdP sign-in page. または、マルチテナント アプリケーションで使用して、テナント用にブランディングされた Azure AD サインイン ページをすぐに表示することができます。Or they can be used by a multi-tenant application to accelerate the user straight to the branded Azure AD sign-in page for their tenant.

たとえば、"largeapp.com" というアプリケーションがあり、顧客は "contoso.largeapp.com" というカスタム URL でアプリケーションにアクセスできるものとします。For example, the application "largeapp.com" might enable their customers to access the application at a custom URL "contoso.largeapp.com." アプリは、認証要求に contoso.com へのドメイン ヒントを組み込んでいる可能性もあります。The app might also include a domain hint to contoso.com in the authentication request.

ドメイン ヒントの構文は、使用されているプロトコルによって異なり、通常はアプリケーション内で構成されます。Domain hint syntax varies depending on the protocol that's used, and it's typically configured in the application.

WS-Federation: クエリ文字列内の whr=contoso.com。WS-Federation: whr=contoso.com in the query string.

SAML: ドメイン ヒントを含んだ SAML 認証要求か、クエリ文字列 whr=contoso.com。SAML: Either a SAML authentication request that contains a domain hint or a query string whr=contoso.com.

Open ID Connect: クエリ文字列 domain_hint=contoso.com。Open ID Connect: A query string domain_hint=contoso.com.

アプリケーションからの認証要求にドメイン ヒントが含まれていて、テナントがそのドメインとフェデレーションされている場合、Azure AD は、そのドメイン用に構成された IdP にサインインをリダイレクトしようとします。If a domain hint is included in the authentication request from the application, and the tenant is federated with that domain, Azure AD attempts to redirect sign-in to the IdP that's configured for that domain.

ドメイン ヒントが確認済みのフェデレーション ドメインを参照していない場合、そのドメイン ヒントは無視され、通常のホーム領域検出が起動されます。If the domain hint doesn’t refer to a verified federated domain, it is ignored and normal Home Realm Discovery is invoked.

Azure Active Directory によってサポートされるドメイン ヒントを使った自動高速化について詳しくは、Enterprise Mobility + Security のブログをご覧ください。For more information about auto-acceleration using the domain hints that are supported by Azure Active Directory, see the Enterprise Mobility + Security blog.

注意

認証要求にドメイン ヒントが含まれている場合は、HRD ポリシー内でアプリケーションに対して設定されている自動高速化が、そのドメイン ヒントによってオーバーライドされます。If a domain hint is included in an authentication request, its presence overrides auto-acceleration that is set for the application in HRD policy.

自動高速化に対するホーム領域検出ポリシーHome Realm Discovery policy for auto-acceleration

アプリケーションで、出力される認証要求を構成する手段が提供されていない場合があります。Some applications do not provide a way to configure the authentication request they emit. そのような場合は、ドメイン ヒントを使って自動高速化を制御することはできません。In these cases, it’s not possible to use domain hints to control auto-acceleration. そのような場合は、ポリシーを使用して自動高速化を構成することで、同じ動作を実現できます。Auto-acceleration can be configured via policy to achieve the same behavior.

レガシ アプリケーションに対する直接認証を有効にするEnable direct authentication for legacy applications

アプリケーションで AAD ライブラリと対話型サインインを使用してユーザーを認証するのが最良の方法です。Best practice is for applications to use AAD libraries and interactive sign-in to authenticate users. ライブラリは、フェデレーション ユーザーのフローを処理します。The libraries take care of the federated user flows. レガシ アプリケーションによっては、フェデレーションを解釈するように作成されていないものがあります。Sometimes legacy applications aren't written to understand federation. これらのアプリケーションは、ホーム領域検出を実行せず、また、目的のフェデレーション エンドポイントと対話してユーザーを認証することもしません。They don't perform home realm discovery and do not interact with the correct federated endpoint to authenticate a user. 選択した場合は、HRD ポリシーを使用して、ユーザー名とパスワードの資格情報を送信する特定のレガシー アプリケーションが、Azure Active Directory に対して直接認証を行うようにすることもできます。If you choose to, you can use HRD Policy to enable specific legacy applications that submit username/password credentials to authenticate directly with Azure Active Directory. パスワード ハッシュ同期を有効にする必要があります。Password Hash Sync must be enabled.

重要

直接認証を有効にするのは、パスワード ハッシュ同期がオンであり、なおかつオンプレミス IdP でポリシーを実装せずにこのアプリケーションを認証しても問題ないことがわかっている場合のみにしてください。Only enable direct authentication if you have Password Hash Sync turned on and you know it's okay to authenticate this application without any policies implemented by your on-premises IdP. 何らかの理由でパスワード ハッシュ同期をオフにした場合、または AD Connect によるディレクトリ同期をオフにした場合は、このポリシーを削除し、古いパスワード ハッシュを使用して直接認証が行われないようにしてください。If you turn off Password Hash Sync, or turn off Directory Synchronization with AD Connect for any reason, you should remove this policy to prevent the possibility of direct authentication using a stale password hash.

HRD ポリシーを設定するSet HRD policy

フェデレーション サインイン自動高速化用のアプリケーション、または直接的なクラウドベース アプリケーションに対して HRD ポリシーを設定するには、以下の 3 つのステップを実行します。There are three steps to setting HRD policy on an application for federated sign-in auto-acceleration or direct cloud-based applications:

  1. HRD ポリシーを作成します。Create an HRD policy.

  2. ポリシーをアタッチするサービス プリンシパルを探します。Locate the service principal to which to attach the policy.

  3. サービス プリンシパルにポリシーをアタッチします。Attach the policy to the service principal.

ポリシーは、サービス プリンシパルにアタッチされてはじめて、特定のアプリケーションに対して有効になります。Policies only take effect for a specific application when they are attached to a service principal.

サービス プリンシパル上でアクティブにできる HRD ポリシーは、一度に 1 つだけです。Only one HRD policy can be active on a service principal at any one time.

HRD ポリシーを作成および管理するには、Microsoft Azure Active Directory Graph API を直接使用する方法と、Azure Active Directory PowerShell コマンドレットを使用する方法があります。You can use either the Microsoft Azure Active Directory Graph API directly, or the Azure Active Directory PowerShell cmdlets to create and manage HRD policy.

ポリシーを操作する Graph API については、MSDN の記事「Operations on policy」(ポリシーに対する操作) をご覧ください。The Graph API that manipulates policy is described in the Operations on policy article on MSDN.

HRD ポリシーの定義の例を次に示します。Following is an example HRD policy definition:

  {  
   "HomeRealmDiscoveryPolicy":
   {  
   "AccelerateToFederatedDomain":true,
   "PreferredDomain":"federated.example.edu",
   "AllowCloudPasswordValidation":true
   }
  }

ポリシー タイプは、"HomeRealmDiscoveryPolicy" です。The policy type is "HomeRealmDiscoveryPolicy."

AccelerateToFederatedDomain は、省略可能です。AccelerateToFederatedDomain is optional. AccelerateToFederatedDomain が false の場合、ポリシーが自動高速化に影響を与えることはありません。If AccelerateToFederatedDomain is false, the policy has no effect on auto-acceleration. AccelerateToFederatedDomain が true で、テナント内に検証およびフェデレーションされたドメインが 1 つのみある場合は、フェデレーション IdP のサインイン ページが直接表示されます。If AccelerateToFederatedDomain is true and there is only one verified and federated domain in the tenant, then users will be taken straight to the federated IdP for sign in. これが true で、テナント内に検証されたドメインが複数ある場合は、PreferredDomain を指定する必要があります。If it is true and there is more than one verified domain in the tenant, PreferredDomain must be specified.

PreferredDomain は、省略可能です。PreferredDomain is optional. PreferredDomain では、高速化するドメインを指定する必要があります。PreferredDomain should indicate a domain to which to accelerate. テナントのフェデレーション ドメインが 1 つだけの場合は、これを省略できます。It can be omitted if the tenant has only one federated domain. これを省略した場合で、確認済みのフェデレーション ドメインが 2 つ以上ある場合には、ポリシーは効力を持ちません。If it is omitted, and there is more than one verified federated domain, the policy has no effect.

PreferredDomain を指定する場合は、テナントの検証済みのフェデレーション ドメインと一致している必要があります。If PreferredDomain is specified, it must match a verified, federated domain for the tenant. アプリケーションのすべてのユーザーが、そのドメインにサインインできる必要があります。All users of the application must be able to sign in to that domain.

AllowCloudPasswordValidation は、省略可能です。AllowCloudPasswordValidation is optional. AllowCloudPasswordValidation が true の場合、アプリケーションは、Azure Active Directory トークン エンドポイントに対して直接ユーザー名とパスワードの資格情報を提示することにより、フェデレーション ユーザーを認証できます。If AllowCloudPasswordValidation is true then the application is allowed to authenticate a federated user by presenting username/password credentials directly to the Azure Active Directory token endpoint. これが機能するのは、パスワード ハッシュ同期が有効の場合に限られます。This only works if Password Hash Sync is enabled.

HRD ポリシーの優先順位と評価Priority and evaluation of HRD policies

HRD ポリシーを作成し、特定の組織およびサービス プリンシパルに割り当てることができます。HRD policies can be created and then assigned to specific organizations and service principals. つまり、複数のポリシーを特定のアプリケーションに適用できます。This means that it is possible for multiple policies to apply to a specific application. HRD ポリシーは、次の規則に従って発効されます。The HRD policy that takes effect follows these rules:

  • 認証要求内にドメイン ヒントが存在する場合は、自動高速化に関して、すべての HRD ポリシーが無視されます。If a domain hint is present in the authentication request, then any HRD policy is ignored for auto-acceleration. ドメイン ヒントによって指定された動作が使われます。The behavior that's specified by the domain hint is used.

  • その他の場合、ポリシーがサービス プリンシパルに明示的に割り当てられていれば、そのポリシーが適用されます。Otherwise, if a policy is explicitly assigned to the service principal, it is enforced.

  • ドメイン ヒントが存在せず、サービス プリンシパルに明示的に割り当てられているポリシーがない場合は、サービス プリンシパルの親組織に明示的に割り当てられているポリシーが適用されます。If there is no domain hint, and no policy is explicitly assigned to the service principal, a policy that's explicitly assigned to the parent organization of the service principal is enforced.

  • ドメイン ヒントが存在せず、サービス プリンシパルまたは組織にポリシーが割り当てられていない場合は、既定の HRD 動作が使用されます。If there is no domain hint, and no policy has been assigned to the service principal or the organization, the default HRD behavior is used.

アプリケーションの HRD ポリシーの設定に関するチュートリアルTutorial for setting HRD policy on an application

Azure AD PowerShell コマンドレットを使って次のようなシナリオを設定する手順を示します。We'll use Azure AD PowerShell cmdlets to walk through a few scenarios, including:

  • 1 つのフェデレーション ドメインを持つテナント内でアプリケーションの自動高速化を実行するように HRD ポリシーを設定する。Setting up HRD policy to do auto-acceleration for an application in a tenant with a single federated domain.

  • テナント用に確認された複数のドメインのいずれかに対してアプリケーションの自動高速化を実行するように HRD ポリシーを設定する。Setting up HRD policy to do auto-acceleration for an application to one of several domains that are verified for your tenant.

  • フェデレーション ユーザー用の Azure Active Directory に対して、レガシ アプリケーションがユーザー名とパスワードの認証を直接実行できるように HRD ポリシーを設定する。Setting up HRD policy to enable a legacy application to do direct username/password authentication to Azure Active Directory for a federated user.

  • ポリシーが構成されているアプリケーションを一覧表示する。Listing the applications for which a policy is configured.

前提条件Prerequisites

以下の例では、Azure AD 内のアプリケーション サービス プリンシパルを対象に、ポリシーを作成、更新、リンク、および削除します。In the following examples, you create, update, link, and delete policies on application service principals in Azure AD.

  1. まず、最新版の Azure AD PowerShell コマンドレットのプレビューをダウンロードします。To begin, download the latest Azure AD PowerShell cmdlet preview.

  2. Azure AD PowerShell コマンドレットをダウンロードした後、Connect コマンドを実行して、Azure AD に管理者アカウントでサインインします。After you have downloaded the Azure AD PowerShell cmdlets, run the Connect command to sign in to Azure AD with your admin account:

    Connect-AzureAD -Confirm
    
  3. 次のコマンドを実行して、組織内のすべてのポリシーを表示します。Run the following command to see all the policies in your organization:

    Get-AzureADPolicy
    

何も返されない場合は、テナント内にポリシーが作成されていないことを意味します。If nothing is returned, it means you have no policies created in your tenant.

例:アプリケーション用の HRD ポリシーを設定するExample: Set HRD policy for an application

この例では、アプリケーションに割り当てられたときに以下を行うポリシーを作成します。In this example, you create a policy that when it is assigned to an application either:

  • テナント内のドメインが 1 つのみの場合、ユーザーがアプリケーションにサインインするときに、AD FS サインイン画面への移動を自動高速化する。Auto-accelerates users to an AD FS sign-in screen when they are signing in to an application when there is a single domain in your tenant.
  • テナント内にフェデレーション ドメインが複数あるときに、AD FS サインイン画面への移動を自動高速化する。Auto-accelerates users to an AD FS sign-in screen there is more than one federated domain in your tenant.
  • ポリシー割り当て先のアプリケーションのフェデレーション ユーザー用の Azure Active Directory に対して、非対話型のユーザー名/パスワード サインインを直接行えるようにする。Enables non-interactive username/password sign in directly to Azure Active Directory for federated users for the applications the policy is assigned to.

手順 1:HRD ポリシーを作成するStep 1: Create an HRD policy

以下のポリシーは、テナント内のドメインが 1 つのみの場合、ユーザーがアプリケーションにサインインするときに、AD FS サインイン画面への移動を自動高速化します。The following policy auto-accelerates users to an AD FS sign-in screen when they are signing in to an application when there is a single domain in your tenant.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

以下のポリシーは、テナント内にフェデレーション ドメインが複数あるときに、AD FS サインイン画面への移動を自動高速化します。The following policy auto-accelerates users to an AD FS sign-in screen there is more than one federated domain in your tenant. アプリケーションのユーザーを認証するフェデレーション ドメインが複数ある場合は、自動高速化するドメインを指定する必要があります。If you have more than one federated domain that authenticates users for applications, you need specify the domain to auto-accelerate.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") -DisplayName MultiDomainAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

特定のアプリケーション用の Azure Active Directory に対し、ユーザー名とパスワードを使用してフェデレーション ユーザーを直接認証できるようにするポリシーを作成するには、以下のコマンドを実行します。To create a policy to enable username/password authentication for federated users directly with Azure Active Directory for specific applications, run the following command:

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") -DisplayName EnableDirectAuthPolicy -Type HomeRealmDiscoveryPolicy

新しいポリシーを表示し、その ObjectId を取得するには、次のコマンドを実行します。To see your new policy and get its ObjectID, run the following command:

Get-AzureADPolicy

作成した HRD ポリシーを適用するには、複数のアプリケーション サービス プリンシパルに HRD ポリシーを割り当てる必要があります。To apply the HRD policy after you have created it, you can assign it to multiple application service principals.

手順 2:ポリシーを割り当てるサービス プリンシパルを見つけるStep 2: Locate the service principal to which to assign the policy

ポリシーを割り当てるサービス プリンシパルの ObjectID が必要となります。You need the ObjectID of the service principals to which you want to assign the policy. サービス プリンシパルの ObjectID を検索するには、複数の方法があります。There are several ways to find the ObjectID of service principals.

ポータルを使うか、Microsoft Graph のクエリを行うことができます。You can use the portal, or you can query Microsoft Graph. また、Graph エクスプローラー ツールに移動して Azure AD アカウントにサインインし、組織のすべてのサービス プリンシパルを表示することもできます。You can also go to the Graph Explorer Tool and sign in to your Azure AD account to see all your organization's service principals.

PowerShell を使用しているため、次のコマンドレットを使用してサービス プリンシパルとその ID を一覧表示できます。Because you are using PowerShell, you can use the following cmdlet to list the service principals and their IDs.

Get-AzureADServicePrincipal

手順 3:サービス プリンシパルにポリシーを割り当てるStep 3: Assign the policy to your service principal

自動高速化を構成するアプリケーションのサービス プリンシパルの ObjectID を入手した後、次のコマンドを実行します。After you have the ObjectID of the service principal of the application for which you want to configure auto-acceleration, run the following command. このコマンドは、手順 1 で作成した HRD ポリシーを、手順 2 で取得したサービス プリンシパルに関連付けます。This command associates the HRD policy that you created in step 1 with the service principal that you located in step 2.

Add-AzureADServicePrincipalPolicy -Id <ObjectID of the Service Principal> -RefObjectId <ObjectId of the Policy>

このコマンドは、ポリシーを追加する各サービス プリンシパルに対して繰り返し実行できます。You can repeat this command for each service principal to which you want to add the policy.

アプリケーションに HomeRealmDiscovery ポリシーが既に割り当てられている場合は、さらにポリシーを追加することはできません。In the case where an application already has a HomeRealmDiscovery policy assigned, you won’t be able to add a second one. その場合は、アプリケーションに割り当てられているホーム領域検出ポリシーの定義を変更して、別のパラメーターを追加します。In that case, change the definition of the Home Realm Discovery policy that is assigned to the application to add additional parameters.

手順 4:HRD ポリシーが割り当てられているアプリケーション サービス プリンシパルを確認するStep 4: Check which application service principals your HRD policy is assigned to

HRD ポリシーがどのアプリケーションに構成されているかを確認するには、Get-AzureADPolicyAppliedObject コマンドレットを使用します。To check which applications have HRD policy configured, use the Get-AzureADPolicyAppliedObject cmdlet. そして、確認するポリシーの ObjectID を渡します。Pass it the ObjectID of the policy that you want to check on.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

手順 5:以上で終わりです。Step 5: You're done!

アプリケーションを実行して、新しいポリシーが機能していることを確認します。Try the application to check that the new policy is working.

例:HRD ポリシーが構成されているアプリケーションを一覧表示するExample: List the applications for which HRD policy is configured

手順 1:組織内で作成されたすべてのポリシーを一覧表示するStep 1: List all policies that were created in your organization

Get-AzureADPolicy

割り当てを一覧表示するポリシーの ObjectID をメモします。Note the ObjectID of the policy that you want to list assignments for.

手順 2:ポリシーが割り当てられているサービス プリンシパルを一覧表示するStep 2: List the service principals to which the policy is assigned

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

例:アプリケーション用の HRD ポリシーを削除するExample: Remove an HRD policy for an application

手順 1:ObjectID を取得するStep 1: Get the ObjectID

先述の例を使って、ポリシーの ObjectID と、ポリシーを削除するアプリケーション サービス プリンシパルのオブジェクト ID を取得します。Use the previous example to get the ObjectID of the policy, and that of the application service principal from which you want to remove it.

手順 2:アプリケーション サービス プリンシパルからポリシーの割り当てを削除するStep 2: Remove the policy assignment from the application service principal

Remove-AzureADApplicationPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>

手順 3:ポリシーが割り当てられているサービス プリンシパルを一覧表示して、削除を確認するStep 3: Check removal by listing the service principals to which the policy is assigned

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

次の手順Next steps