Desativar o início de sessão de aceleração automática

  • Artigo

Home Realm Discovery Policy (HRD) oferece aos administradores várias maneiras de controlar como e onde seus usuários se autenticam. A domainHintPolicy seção da política de DRH é usada para ajudar a migrar usuários federados para credenciais gerenciadas na nuvem, como FIDO, garantindo que eles sempre visitem a página de entrada do Microsoft Entra e não sejam acelerados automaticamente para um IDP federado devido a dicas de domínio. Para saber mais sobre a política de DRH, consulte Home Realm Discovery.

Esta política é necessária em situações em que os administradores não conseguem controlar ou atualizar as dicas de domínio durante o início de sessão. Por exemplo, envia o usuário para uma página de entrada com o parâmetro acrescentado, outlook.com/contoso.com para acelerar automaticamente o usuário diretamente para o &domain_hint=contoso.com IDP federado do contoso.com domínio. Os usuários com credenciais gerenciadas enviadas a um IDP federado não podem entrar usando suas credenciais gerenciadas, reduzindo a segurança e frustrando os usuários com experiências de entrada aleatórias. Os administradores que implementam credenciais gerenciadas também devem configurar essa política para garantir que os usuários sempre possam usar suas credenciais gerenciadas.

DomainHintPolicy detalhes

A seção DomainHintPolicy da política HRD é um objeto JSON que permite que um administrador exclua determinados domínios e aplicativos do uso de dicas de domínio. Funcionalmente, isso diz à página de entrada do Microsoft Entra para se comportar como se um domain_hint parâmetro na solicitação de entrada não estivesse presente.

As seções de política Respeitar e Ignorar

Secção Significado Valores
IgnoreDomainHintForDomains Se essa dica de domínio for enviada na solicitação, ignore-a. Matriz de endereços de domínio (por exemplo contoso.com). Também suporta all_domains
RespectDomainHintForDomains Se essa dica de domínio for enviada na solicitação, respeite-a IgnoreDomainHintForApps , mesmo que indique que o aplicativo na solicitação não deve acelerar automaticamente. Isso é usado para retardar a implantação de dicas de domínio preteridas em sua rede – você pode indicar que alguns domínios ainda devem ser acelerados. Matriz de endereços de domínio (por exemplo contoso.com). Também suporta all_domains
IgnoreDomainHintForApps Se uma solicitação deste aplicativo vier com uma dica de domínio, ignore-a. Matriz de IDs de aplicativo (GUIDs). Também suporta all_apps
RespectDomainHintForApps Se uma solicitação deste aplicativo vier com uma dica de domínio, respeite-a IgnoreDomainHintForDomains , mesmo que inclua esse domínio. Usado para garantir que alguns aplicativos continuem funcionando se você descobrir que eles quebram sem dicas de domínio. Matriz de IDs de aplicativo (GUIDs). Também suporta all_apps

Avaliação do Policy

A lógica DomainHintPolicy é executada em cada solicitação de entrada que contém uma dica de domínio e acelera com base em duas partes de dados na solicitação – o domínio na dica de domínio e a ID do cliente (o aplicativo). Em resumo: "Respeito" por um domínio ou aplicativo tem precedência sobre uma instrução para "Ignorar" uma dica de domínio para um determinado domínio ou aplicativo.

  • Na ausência de qualquer política de dica de domínio, ou se nenhuma das quatro seções fizer referência ao aplicativo ou dica de domínio mencionada, o restante da política de DRH será avaliado.
  • Se uma (ou ambas) das seções incluir RespectDomainHintForDomains a dica de RespectDomainHintForApps aplicativo ou domínio na solicitação, o usuário será acelerado automaticamente para o IDP federado, conforme solicitado.
  • Se um (ou ambos) ou fizer referência ao aplicativo ou à dica de domínio na solicitação e não forem referenciados pelas seções "Respeito", a solicitação não será acelerada automaticamente e o usuário permanecerá na página de entrada do Microsoft Entra para fornecer um nome de IgnoreDomainHintsForAppsIgnoreDomainHintsForDomains usuário.

Depois que um usuário inserir um nome de usuário na página de entrada, ele poderá usar suas credenciais gerenciadas. Se eles optarem por não usar uma credencial gerenciada, ou se não tiverem nenhuma registrada, serão levados ao IDP federado para entrada de credencial como de costume.

Pré-requisitos

Para desativar a entrada de aceleração automática para um aplicativo no Microsoft Entra ID, você precisa:

  • Uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
  • Uma das seguintes funções: Administrador Global ou proprietário da entidade de serviço.

Uso sugerido dentro de um locatário

Os administradores de domínios federados devem configurar esta seção da política de DRH em um plano de quatro fases. O objetivo desse plano é, eventualmente, fazer com que todos os usuários em um locatário usem suas credenciais gerenciadas, independentemente do domínio ou aplicativo, salve os aplicativos que têm dependências rígidas de domain_hint uso. Este plano ajuda os administradores a encontrar essas aplicações, a isentá-las da nova política e a continuar a implementar a alteração para o resto do inquilino.

  1. Escolha um domínio para implementar inicialmente essa alteração. Este é o seu domínio de teste, portanto, escolha um que possa ser mais recetivo a alterações na experiência do usuário (por exemplo, ver uma página de login diferente). Isso ignora todas as dicas de domínio de todos os aplicativos que usam esse nome de domínio. Defina esta política na sua política de DRH padrão do locatário:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Reúna comentários dos usuários do domínio de teste. Colete detalhes para aplicativos que quebraram como resultado dessa alteração - eles têm uma dependência do uso de dicas de domínio e devem ser atualizados. Por enquanto, adicione-os à RespectDomainHintForApps seção:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Continue expandindo a implementação da política para novos domínios, coletando mais feedback.
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. Conclua sua distribuição - segmente todos os domínios, isentando aqueles que devem continuar a ser acelerados:
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

Após a conclusão da etapa 4, todos os usuários, exceto aqueles no guestHandlingDomain.com, podem entrar na página de entrada do Microsoft Entra, mesmo quando as dicas de domínio causariam uma aceleração automática para um IDP federado. A exceção é se o aplicativo que solicita o login for um dos isentos - para esses aplicativos, todas as dicas de domínio ainda são aceitas.

Configurando a política por meio do Graph Explorer

Gerencie a política Home Realm Discovery usando o Microsoft Graph.

  1. Entre no Microsoft Graph explorer com uma das funções listadas na seção de pré-requisitos.

  2. Conceda a Policy.ReadWrite.ApplicationConfiguration permissão.

  3. Use a política de descoberta de território Home para criar uma nova política .

  4. POST a nova política, ou PATCH para atualizar uma política existente.

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Certifique-se de usar barras para escapar da seção JSON ao usar o Definition Graph.

isOrganizationDefault deve ser true, mas o displayName e a definição podem mudar.

Próximos passos