Azure Active Directory aanmeldings gedrag configureren voor een toepassing met behulp van een beleid voor het detecteren van een thuis domeinConfigure Azure Active Directory sign in behavior for an application by using a Home Realm Discovery policy

Dit artikel bevat een inleiding tot het configureren van Azure Active Directory verificatie gedrag voor federatieve gebruikers.This article provides an introduction to configuring Azure Active Directory authentication behavior for federated users. Het behandelt de configuratie van beperkingen voor automatische versnelling en verificatie voor gebruikers in federatieve domeinen.It covers configuration of auto-acceleration and authentication restrictions for users in federated domains.

Home Realm DiscoveryHome Realm Discovery

Home realm Discovery (HRD) is het proces waarmee Azure Active Directory (Azure AD) kunt bepalen waar een gebruiker zich moet verifiëren tijdens de aanmeldings tijd.Home Realm Discovery (HRD) is the process that allows Azure Active Directory (Azure AD) to determine where a user needs to authenticate at sign-in time. Wanneer een gebruiker zich aanmeldt bij een Azure AD-Tenant om toegang te krijgen tot een resource, of naar de aanmeldings pagina van de Azure AD-aanmelding, typt u een gebruikers naam (UPN).When a user signs in to an Azure AD tenant to access a resource, or to the Azure AD common sign-in page, they type a user name (UPN). Azure AD gebruikt om te ontdekken waar de gebruiker zich moet aanmelden.Azure AD uses that to discover where the user needs to sign in.

De gebruiker moet mogelijk worden uitgevoerd op een van de volgende locaties om te worden geverifieerd:The user might need to be taken to one of the following locations to be authenticated:

  • De thuis Tenant van de gebruiker (kan dezelfde Tenant zijn als de bron waartoe de gebruiker toegang probeert te krijgen).The home tenant of the user (might be the same tenant as the resource that the user is attempting to access).

  • Microsoft-account.Microsoft account. De gebruiker is een gast in de resource-Tenant.The user is a guest in the resource tenant.

  • Een on-premises ID-provider, zoals Active Directory Federation Services (AD FS).An on-premises identity provider such as Active Directory Federation Services (AD FS).

  • Een andere ID-provider die federatief is voor de Azure AD-Tenant.Another identity provider that's federated with the Azure AD tenant.

Automatische versnellingAuto-acceleration

Sommige organisaties configureren domeinen in hun Azure Active Directory Tenant om te communiceren met een andere IdP, zoals AD FS voor gebruikers verificatie.Some organizations configure domains in their Azure Active Directory tenant to federate with another IdP, such as AD FS for user authentication.

Wanneer een gebruiker zich aanmeldt bij een toepassing, worden ze eerst weer gegeven met een aanmeldings pagina voor Azure AD.When a user signs into an application, they are first presented with an Azure AD sign-in page. Nadat ze hun UPN hebben getypt, worden ze in een federatief domein geplaatst op de aanmeldings pagina van de IdP voor dat domein.After they have typed their UPN, if they are in a federated domain they are then taken to the sign-in page of the IdP serving that domain. Onder bepaalde omstandigheden kunnen beheerders gebruikers willen omleiden naar de aanmeldings pagina wanneer ze zich aanmelden bij specifieke toepassingen.Under certain circumstances, administrators might want to direct users to the sign-in page when they're signing in to specific applications.

Als gevolg hiervan kunnen gebruikers de eerste Azure Active Directory-pagina overs Laan.As a result users can skip the initial Azure Active Directory page. Dit proces wordt ' automatische versnelling ' genoemd.This process is referred to as “sign-in auto-acceleration.”

In gevallen waarbij de Tenant federatief is voor een andere IdP om zich aan te melden, maakt automatische versnelling gebruikers meer gestroomlijnd.In cases where the tenant is federated to another IdP for sign-in, auto-acceleration makes user sign-in more streamlined. U kunt automatische versnelling voor afzonderlijke toepassingen configureren.You can configure auto-acceleration for individual applications.

Notitie

Als u een toepassing configureert voor automatische versnelling, kunnen gast gebruikers zich niet aanmelden.If you configure an application for auto-acceleration, guest users cannot sign in. Als u een gebruiker recht hebt op een federatieve IdP voor authenticatie, is er geen manier om deze te openen om terug te gaan naar de aanmeldings pagina van Azure Active Directory.If you take a user straight to a federated IdP for authentication, there is no way to for them to get back to the Azure Active Directory sign-in page. Gast gebruikers, die mogelijk moeten worden omgeleid naar andere tenants of een externe IdP, zoals een Microsoft-account, kunnen zich niet aanmelden bij die toepassing omdat ze de stap voor het detecteren van de Home-realm overs Laan.Guest users, who might need to be directed to other tenants or an external IdP such as a Microsoft account, can't sign in to that application because they're skipping the Home Realm Discovery step.

Er zijn twee manieren om automatische versnelling naar een federatieve IdP te beheren:There are two ways to control auto-acceleration to a federated IdP:

  • Gebruik een domein hint op verificatie aanvragen voor een toepassing.Use a domain hint on authentication requests for an application.
  • Configureer een beleid voor het detecteren van basis-Realms om automatische versnelling in te scha kelen.Configure a Home Realm Discovery policy to enable auto-acceleration.

Domein hintsDomain hints

Domein hints zijn richt lijnen die zijn opgenomen in de verificatie aanvraag van een toepassing.Domain hints are directives that are included in the authentication request from an application. Ze kunnen worden gebruikt om de gebruiker te versnellen tot hun federatieve IdP-aanmeldings pagina.They can be used to accelerate the user to their federated IdP sign-in page. Of ze kunnen worden gebruikt door een toepassing met meerdere tenants om de gebruiker rechtstreeks naar de aanmeldings pagina van Azure AD te versnellen voor hun Tenant.Or they can be used by a multi-tenant application to accelerate the user straight to the branded Azure AD sign-in page for their tenant.

De toepassing ' largeapp.com ' kan bijvoorbeeld de klanten in staat stellen om toegang te krijgen tot de toepassing op een aangepaste URL ' contoso.largeapp.com '.For example, the application "largeapp.com" might enable their customers to access the application at a custom URL "contoso.largeapp.com." De app kan ook een domein Hint bevatten voor contoso.com in de verificatie aanvraag.The app might also include a domain hint to contoso.com in the authentication request.

De syntaxis van de domein Hint is afhankelijk van het gebruikte protocol en is doorgaans geconfigureerd in de toepassing.Domain hint syntax varies depending on the protocol that's used, and it's typically configured in the application.

WS-Federation: w/h = contoso. com in de query teken reeks.WS-Federation: whr=contoso.com in the query string.

SAML: Een SAML-verificatie aanvraag die een domein Hint bevat of een query reeks w/of contoso. com.SAML: Either a SAML authentication request that contains a domain hint or a query string whr=contoso.com.

Open ID-verbinding: Een query reeks domain_hint = contoso. com.Open ID Connect: A query string domain_hint=contoso.com.

Als een domein Hint is opgenomen in de verificatie aanvraag van de toepassing en de Tenant federatief is met dat domein, probeert Azure AD de aanmelding te omleiden naar de IdP die voor dat domein is geconfigureerd.If a domain hint is included in the authentication request from the application, and the tenant is federated with that domain, Azure AD attempts to redirect sign-in to the IdP that's configured for that domain.

Als de domein Hint niet verwijst naar een geverifieerd federatief domein, wordt dit genegeerd en wordt de normale detectie van de start realm geactiveerd.If the domain hint doesn’t refer to a verified federated domain, it is ignored and normal Home Realm Discovery is invoked.

Zie de Enterprise Mobility + Security Blogvoor meer informatie over automatische versnelling met behulp van de domein hints die door Azure Active Directory worden ondersteund.For more information about auto-acceleration using the domain hints that are supported by Azure Active Directory, see the Enterprise Mobility + Security blog.

Notitie

Als een domein Hint is opgenomen in een verificatie aanvraag, overschrijft de aanwezigheid een automatische versnelling die is ingesteld voor de toepassing in HRD-beleid.If a domain hint is included in an authentication request, its presence overrides auto-acceleration that is set for the application in HRD policy.

Beleid voor het detecteren van basis-Realms voor automatische versnellingHome Realm Discovery policy for auto-acceleration

Sommige toepassingen bieden geen manier om de verificatie aanvraag te configureren die ze verzenden.Some applications do not provide a way to configure the authentication request they emit. In dergelijke gevallen is het niet mogelijk domein hints te gebruiken voor het beheren van automatische versnelling.In these cases, it’s not possible to use domain hints to control auto-acceleration. Automatische versnelling kan via het beleid worden geconfigureerd om hetzelfde gedrag te krijgen.Auto-acceleration can be configured via policy to achieve the same behavior.

Directe verificatie inschakelen voor oudere toepassingenEnable direct authentication for legacy applications

De aanbevolen procedure is voor toepassingen om AAD-bibliotheken en interactieve aanmelding te gebruiken om gebruikers te verifiëren.Best practice is for applications to use AAD libraries and interactive sign-in to authenticate users. De bibliotheken zorgen voor de federatieve gebruikers stromen.The libraries take care of the federated user flows. Soms worden verouderde toepassingen niet geschreven om de Federatie te begrijpen.Sometimes legacy applications aren't written to understand federation. Ze voeren geen Home realm-detectie uit en werken niet met het juiste federatieve eind punt om een gebruiker te verifiëren.They don't perform home realm discovery and do not interact with the correct federated endpoint to authenticate a user. Als u wilt, kunt u HRD-beleid gebruiken om specifieke verouderde toepassingen in te scha kelen waarmee gebruikers naam/wacht woord referenties worden ingediend om rechtstreeks met Azure Active Directory te verifiëren.If you choose to, you can use HRD Policy to enable specific legacy applications that submit username/password credentials to authenticate directly with Azure Active Directory. Wachtwoord hash-synchronisatie moet zijn ingeschakeld.Password Hash Sync must be enabled.

Belangrijk

Schakel directe verificatie alleen in als wachtwoord-hash-synchronisatie is ingeschakeld en u weet dat u deze toepassing kunt verifiëren zonder dat er beleids regels worden geïmplementeerd door uw on-premises IdP.Only enable direct authentication if you have Password Hash Sync turned on and you know it's okay to authenticate this application without any policies implemented by your on-premises IdP. Als u wacht woord-hash synchronisatie uitschakelt of Directory synchronisatie met AD Connect uit te scha kelen om welke reden dan ook, moet u dit beleid verwijderen om te voor komen dat u direct verificatie kunt gebruiken met behulp van een verouderde hash van het wacht woord.If you turn off Password Hash Sync, or turn off Directory Synchronization with AD Connect for any reason, you should remove this policy to prevent the possibility of direct authentication using a stale password hash.

HRD-beleid instellenSet HRD policy

Er zijn drie stappen voor het instellen van HRD-beleid voor een toepassing voor federatieve aanmelding voor automatische versnelling of directe Cloud toepassingen:There are three steps to setting HRD policy on an application for federated sign-in auto-acceleration or direct cloud-based applications:

  1. Maak een HRD-beleid.Create an HRD policy.

  2. Zoek de service-principal waaraan het beleid moet worden gekoppeld.Locate the service principal to which to attach the policy.

  3. Koppel het beleid aan de Service-Principal.Attach the policy to the service principal.

Beleids regels worden alleen van kracht voor een specifieke toepassing wanneer ze zijn gekoppeld aan een service-principal.Policies only take effect for a specific application when they are attached to a service principal.

Er kan slechts één HRD-beleid tegelijk actief zijn op een service-principal.Only one HRD policy can be active on a service principal at any one time.

U kunt de Microsoft Azure Active Directory Graph-API rechtstreeks of de Azure Active Directory Power shell-cmdlets gebruiken om HRD-beleid te maken en te beheren.You can use either the Microsoft Azure Active Directory Graph API directly, or the Azure Active Directory PowerShell cmdlets to create and manage HRD policy.

De Graph API die het beleid manipuleert, wordt beschreven in het artikel bewerkingen op het beleid op MSDN.The Graph API that manipulates policy is described in the Operations on policy article on MSDN.

Hier volgt een voor beeld van een HRD-beleids definitie:Following is an example HRD policy definition:

  {  
   "HomeRealmDiscoveryPolicy":
   {  
   "AccelerateToFederatedDomain":true,
   "PreferredDomain":"federated.example.edu",
   "AllowCloudPasswordValidation":true
   }
  }

Het beleids type is ' HomeRealmDiscoveryPolicy '.The policy type is "HomeRealmDiscoveryPolicy."

AccelerateToFederatedDomain is optioneel.AccelerateToFederatedDomain is optional. Als AccelerateToFederatedDomain False is, heeft het beleid geen effect op automatische versnelling.If AccelerateToFederatedDomain is false, the policy has no effect on auto-acceleration. Als AccelerateToFederatedDomain is ingesteld op True en er slechts één geverifieerd en federatief domein is in de Tenant, worden gebruikers direct naar de federatieve IDP geleid om zich aan te melden.If AccelerateToFederatedDomain is true and there is only one verified and federated domain in the tenant, then users will be taken straight to the federated IdP for sign in. Als dit het geval is en er meer dan één geverifieerd domein in de Tenant is, moet PreferredDomain worden opgegeven.If it is true and there is more than one verified domain in the tenant, PreferredDomain must be specified.

PreferredDomain is optioneel.PreferredDomain is optional. PreferredDomain moet een domein aangeven dat moet worden versneld.PreferredDomain should indicate a domain to which to accelerate. Deze kan worden wegge laten als de Tenant slechts één federatief domein heeft.It can be omitted if the tenant has only one federated domain. Als de para meter wordt wegge laten en er meer dan één geverifieerd Federatie domein is, heeft het beleid geen effect.If it is omitted, and there is more than one verified federated domain, the policy has no effect.

Als PreferredDomain is opgegeven, moet deze overeenkomen met een geverifieerd, federatief domein voor de Tenant.If PreferredDomain is specified, it must match a verified, federated domain for the tenant. Alle gebruikers van de toepassing moeten zich kunnen aanmelden bij dat domein.All users of the application must be able to sign in to that domain.

AllowCloudPasswordValidation is optioneel.AllowCloudPasswordValidation is optional. Als AllowCloudPasswordValidation is ingesteld op True, kan de toepassing een federatieve gebruiker verifiëren door referenties voor gebruikers naam/wacht woord rechtstreeks te presen teren aan het eind punt van het Azure Active Directory-token.If AllowCloudPasswordValidation is true then the application is allowed to authenticate a federated user by presenting username/password credentials directly to the Azure Active Directory token endpoint. Dit werkt alleen als wachtwoord-hash-synchronisatie is ingeschakeld.This only works if Password Hash Sync is enabled.

Prioriteit en evaluatie van HRD-beleidPriority and evaluation of HRD policies

HRD-beleid kan worden gemaakt en vervolgens worden toegewezen aan specifieke organisaties en service-principals.HRD policies can be created and then assigned to specific organizations and service principals. Dit betekent dat het mogelijk is dat meerdere beleids regels worden toegepast op een bepaalde toepassing.This means that it is possible for multiple policies to apply to a specific application. Het HRD-beleid dat van kracht wordt, volgt deze regels:The HRD policy that takes effect follows these rules:

  • Als de verificatie aanvraag een domein Hint bevat, wordt het HRD-beleid voor automatische versnelling genegeerd.If a domain hint is present in the authentication request, then any HRD policy is ignored for auto-acceleration. Het gedrag dat door de domein Hint wordt opgegeven, wordt gebruikt.The behavior that's specified by the domain hint is used.

  • Als een beleid expliciet is toegewezen aan de Service-Principal, wordt dit afgedwongen.Otherwise, if a policy is explicitly assigned to the service principal, it is enforced.

  • Als er geen domein Hint is en er geen beleid expliciet is toegewezen aan de Service-Principal, wordt een beleid afgedwongen dat expliciet is toegewezen aan de bovenliggende organisatie van de Service-Principal.If there is no domain hint, and no policy is explicitly assigned to the service principal, a policy that's explicitly assigned to the parent organization of the service principal is enforced.

  • Als er geen domein Hint is en er geen beleid is toegewezen aan de service-principal of de organisatie, wordt het standaard HRD-gedrag gebruikt.If there is no domain hint, and no policy has been assigned to the service principal or the organization, the default HRD behavior is used.

Zelf studie voor het instellen van HRD-beleid voor een toepassingTutorial for setting HRD policy on an application

We gebruiken Azure AD Power shell-cmdlets om enkele scenario's uit te voeren, waaronder:We'll use Azure AD PowerShell cmdlets to walk through a few scenarios, including:

  • Instellen van HRD-beleid voor het automatisch versnellen van een toepassing in een Tenant met één federatief domein.Setting up HRD policy to do auto-acceleration for an application in a tenant with a single federated domain.

  • Instellen van HRD-beleid voor het automatisch versnellen van een toepassing naar een van de domeinen die worden gecontroleerd voor uw Tenant.Setting up HRD policy to do auto-acceleration for an application to one of several domains that are verified for your tenant.

  • Instellen van HRD-beleid om ervoor te zorgen dat een verouderde toepassing direct gebruikers naam/wacht woord verificatie kan Azure Active Directory voor een federatieve gebruiker.Setting up HRD policy to enable a legacy application to do direct username/password authentication to Azure Active Directory for a federated user.

  • De toepassingen weer geven waarvoor een beleid is geconfigureerd.Listing the applications for which a policy is configured.

VereistenPrerequisites

In de volgende voor beelden maakt, bijwerkt, koppelt en verwijdert u beleids regels op Application Service-principals in azure AD.In the following examples, you create, update, link, and delete policies on application service principals in Azure AD.

  1. Down load de nieuwste preview van Azure AD Power shell-cmdlet om te beginnen.To begin, download the latest Azure AD PowerShell cmdlet preview.

  2. Nadat u de Azure AD Power shell-cmdlets hebt gedownload, voert u de opdracht Connect uit om u aan te melden bij Azure AD met uw beheerders account:After you have downloaded the Azure AD PowerShell cmdlets, run the Connect command to sign in to Azure AD with your admin account:

    Connect-AzureAD -Confirm
    
  3. Voer de volgende opdracht uit om alle beleids regels in uw organisatie weer te geven:Run the following command to see all the policies in your organization:

    Get-AzureADPolicy
    

Als er niets wordt geretourneerd, betekent dit dat er geen beleid is gemaakt in uw Tenant.If nothing is returned, it means you have no policies created in your tenant.

Voorbeeld: HRD-beleid instellen voor een toepassingExample: Set HRD policy for an application

In dit voor beeld maakt u een beleid dat wanneer het wordt toegewezen aan een toepassing, hetzij:In this example, you create a policy that when it is assigned to an application either:

  • Gebruikers worden automatisch naar een AD FS aanmeld scherm versneld wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw Tenant is.Auto-accelerates users to an AD FS sign-in screen when they are signing in to an application when there is a single domain in your tenant.
  • Gebruikers worden automatisch naar een AD FS-aanmeld scherm versneld. er is meer dan een federatief domein in uw Tenant.Auto-accelerates users to an AD FS sign-in screen there is more than one federated domain in your tenant.
  • Hiermee kunnen niet-interactieve gebruikers naam/wacht woord worden aangemeld bij Azure Active Directory voor federatieve gebruikers voor de toepassingen waaraan het beleid is toegewezen.Enables non-interactive username/password sign in directly to Azure Active Directory for federated users for the applications the policy is assigned to.

Stap 1: Een HRD-beleid makenStep 1: Create an HRD policy

Het volgende beleid versnelt gebruikers automatisch naar een AD FS aanmeld scherm wanneer ze zich aanmelden bij een toepassing wanneer er één domein in uw Tenant is.The following policy auto-accelerates users to an AD FS sign-in screen when they are signing in to an application when there is a single domain in your tenant.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Het volgende beleid versnelt gebruikers automatisch naar een AD FS aanmeld scherm. er is meer dan een federatief domein in uw Tenant.The following policy auto-accelerates users to an AD FS sign-in screen there is more than one federated domain in your tenant. Als u meer dan één federatief domein hebt dat gebruikers verifieert voor toepassingen, moet u het domein opgeven om automatisch te versnellen.If you have more than one federated domain that authenticates users for applications, you need specify the domain to auto-accelerate.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") -DisplayName MultiDomainAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Voer de volgende opdracht uit om een beleid te maken om gebruikers naam/wacht woord voor federatieve gebruikers rechtstreeks met Azure Active Directory voor specifieke toepassingen in te scha kelen:To create a policy to enable username/password authentication for federated users directly with Azure Active Directory for specific applications, run the following command:

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") -DisplayName EnableDirectAuthPolicy -Type HomeRealmDiscoveryPolicy

Voer de volgende opdracht uit om het nieuwe beleid weer te geven en de ObjectIDte verkrijgen:To see your new policy and get its ObjectID, run the following command:

Get-AzureADPolicy

Als u het HRD-beleid wilt Toep assen nadat u het hebt gemaakt, kunt u dit toewijzen aan meerdere Application Service-principals.To apply the HRD policy after you have created it, you can assign it to multiple application service principals.

Stap 2: Zoek de service-principal waaraan u het beleid wilt toewijzenStep 2: Locate the service principal to which to assign the policy

U hebt de ObjectID nodig van de service-principals waaraan u het beleid wilt toewijzen.You need the ObjectID of the service principals to which you want to assign the policy. Er zijn verschillende manieren om de ObjectID van service-principals te vinden.There are several ways to find the ObjectID of service principals.

U kunt de portal gebruiken of u kunt een query uitvoeren op Microsoft Graph.You can use the portal, or you can query Microsoft Graph. U kunt ook naar het hulp programma Graph Explorer gaan en u aanmelden bij uw Azure ad-account om alle service-principals van uw organisatie weer te geven.You can also go to the Graph Explorer Tool and sign in to your Azure AD account to see all your organization's service principals.

Omdat u Power shell gebruikt, kunt u de volgende cmdlet gebruiken om de service-principals en hun Id's weer te geven.Because you are using PowerShell, you can use the following cmdlet to list the service principals and their IDs.

Get-AzureADServicePrincipal

Stap 3: Wijs het beleid toe aan uw Service-PrincipalStep 3: Assign the policy to your service principal

Nadat u het ObjectID hebt van de service-principal van de toepassing waarvoor u automatische versnelling wilt configureren, voert u de volgende opdracht uit.After you have the ObjectID of the service principal of the application for which you want to configure auto-acceleration, run the following command. Met deze opdracht wordt het HRD-beleid dat u in stap 1 hebt gemaakt, gekoppeld aan de service-principal die u in stap 2 hebt gevonden.This command associates the HRD policy that you created in step 1 with the service principal that you located in step 2.

Add-AzureADServicePrincipalPolicy -Id <ObjectID of the Service Principal> -RefObjectId <ObjectId of the Policy>

U kunt deze opdracht herhalen voor elke service-principal waaraan u het beleid wilt toevoegen.You can repeat this command for each service principal to which you want to add the policy.

In het geval dat er al een HomeRealmDiscovery-beleid aan een toepassing is toegewezen, kunt u geen tweede toevoegen.In the case where an application already has a HomeRealmDiscovery policy assigned, you won’t be able to add a second one. In dat geval wijzigt u de definitie van het beleid voor thuis-realm-detectie dat is toegewezen aan de toepassing om aanvullende para meters toe te voegen.In that case, change the definition of the Home Realm Discovery policy that is assigned to the application to add additional parameters.

Stap 4: Controleren aan welke Application Service-principals uw HRD-beleid is toegewezenStep 4: Check which application service principals your HRD policy is assigned to

Gebruik de cmdlet Get-AzureADPolicyAppliedObject om te controleren voor welke toepassingen hrd-beleid is geconfigureerd.To check which applications have HRD policy configured, use the Get-AzureADPolicyAppliedObject cmdlet. Geef de ObjectID door aan het beleid dat u wilt controleren.Pass it the ObjectID of the policy that you want to check on.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Stap 5: U bent klaar.Step 5: You're done!

Voer de toepassing uit om te controleren of het nieuwe beleid werkt.Try the application to check that the new policy is working.

Voorbeeld: De toepassingen weer geven waarvoor HRD-beleid is geconfigureerdExample: List the applications for which HRD policy is configured

Stap 1: Alle beleids regels weer geven die in uw organisatie zijn gemaaktStep 1: List all policies that were created in your organization

Get-AzureADPolicy

Let op de ObjectID van het beleid waarvan u de toewijzingen wilt weer geven.Note the ObjectID of the policy that you want to list assignments for.

Stap 2: De service-principals weer geven waaraan het beleid is toegewezenStep 2: List the service principals to which the policy is assigned

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Voorbeeld: Een HRD-beleid voor een toepassing verwijderenExample: Remove an HRD policy for an application

Stap 1: De ObjectID ophalenStep 1: Get the ObjectID

Gebruik het vorige voor beeld om de ObjectID van het beleid op te halen en van de toepassing Service-Principal waaruit u wilt verwijderen.Use the previous example to get the ObjectID of the policy, and that of the application service principal from which you want to remove it.

Stap 2: De beleids toewijzing verwijderen uit de service-principal van de toepassingStep 2: Remove the policy assignment from the application service principal

Remove-AzureADApplicationPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>

Stap 3: Controleer het verwijderen door de service-principals weer te geven waaraan het beleid is toegewezenStep 3: Check removal by listing the service principals to which the policy is assigned

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Volgende stappenNext steps