Oturum açma davranışını yapılandırma

bu makalede, giriş bölgesi bulma (hrd) ilkesi kullanan federasyon kullanıcıları için Azure Active Directory (Azure AD) kimlik doğrulama davranışını yapılandırmaya bir giriş sunulmaktadır. Kullanıcı adı giriş ekranını atlamak ve kullanıcıları otomatik olarak Federasyon oturum açma uç noktalarına iletmek için otomatik hızlandırmayı kullanma konusunu ele alır. Microsoft, Ilk kimlik çevrimiçi (FIDO) ve hinders işbirliği gibi daha güçlü kimlik doğrulama yöntemlerinin kullanımını engelleyebilen için otomatik hızlandırmayı daha uzun bir süre önce yapılandırmanızı önermez.

Önkoşullar

Azure AD 'de bir uygulama için HRD ilkesini yapılandırmak için şunlar gerekir:

  • Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
  • Aşağıdaki rollerden biri: genel yönetici, bulut uygulaması Yöneticisi, uygulama Yöneticisi veya hizmet sorumlusu sahibi.
  • En son Azure AD PowerShell cmdlet önizlemesi.

Uygulama üzerinde bir HRD ilkesi ayarlama

Azure AD PowerShell cmdlet 'lerini aşağıdakiler de dahil olmak üzere birkaç senaryoya göre izlenecek şekilde kullanacağız:

  • Tek bir Federasyon etki alanı olan Kiracıdaki bir uygulama için otomatik hızlandırma yapmak üzere HRD ilkesini ayarlama.

  • Kiracı için doğrulanan birkaç etki alanından birine bir uygulama için otomatik hızlandırma yapmak üzere HRD ilkesini ayarlama.

  • Eski bir uygulamanın, bir Federasyon kullanıcısı için Azure AD 'ye doğrudan Kullanıcı adı/parola kimlik doğrulaması kurmasını sağlamak için HRD ilkesini ayarlama.

  • Bir ilkenin yapılandırıldığı uygulamaları listeleme.

Aşağıdaki örneklerde, Azure AD 'de uygulama hizmeti sorumluları üzerinde ilkeler oluşturur, güncelleştirir, bağlar ve silebilirsiniz.

  1. başlamadan önce, yönetici hesabınızla Azure AD 'de oturum açmak için Bağlan komutunu çalıştırın:

    Connect-AzureAD -Confirm
    
  2. Kuruluşunuzdaki tüm ilkeleri görmek için aşağıdaki komutu çalıştırın:

    Get-AzureADPolicy
    

Hiçbir şey döndürülmezse, kiracınızda hiçbir ilke oluşturulmamış demektir.

Bu örnekte, bir uygulamaya atandığı bir ilke oluşturursunuz:

  • Kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açtıklarında kullanıcıları AD FS oturum açma ekranına otomatik olarak hızlandırır.
  • Kiracınızda birden fazla Federasyon etki alanı varsa, kullanıcıları AD FS oturum açma ekranına otomatik olarak hızlandırır.
  • İlke atandığı uygulamalara yönelik Federasyon kullanıcıları için doğrudan Azure AD 'de etkileşimli olmayan Kullanıcı adı/parola oturum açma imkanı sağlar.

Bir HRD ilkesi oluşturma

Aşağıdaki ilke, kiracınızda tek bir etki alanı olduğunda bir uygulamada oturum açtıklarında kullanıcıları AD FS oturum açma ekranına otomatik olarak hızlandırır.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true}}") -DisplayName BasicAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Aşağıdaki ilke, kiracınızda birden fazla Federasyon etki alanı olduğunda kullanıcıları AD FS oturum açma ekranına otomatik olarak hızlandırır. Uygulamalar için kullanıcıların kimliğini doğrulayan birden fazla Federasyon etki alanınız varsa, otomatik olarak hızlandırmak için etki alanını belirtmeniz gerekir.

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AccelerateToFederatedDomain`":true, `"PreferredDomain`":`"federated.example.edu`"}}") -DisplayName MultiDomainAutoAccelerationPolicy -Type HomeRealmDiscoveryPolicy

Belirli uygulamalar için doğrudan Azure AD ile Federasyon kullanıcıları için Kullanıcı adı/parola kimlik doğrulamasını etkinleştirmek üzere bir ilke oluşturmak için aşağıdaki komutu çalıştırın:

New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") -DisplayName EnableDirectAuthPolicy -Type HomeRealmDiscoveryPolicy

Yeni ilkenizi görmek ve ObjectID'yi almak için aşağıdaki komutu çalıştırın:

Get-AzureADPolicy

Bunu oluşturduktan sonra HRD ilkesini uygulamak için, birden çok uygulama hizmeti sorumlularına atayabilirsiniz.

İlkenin atanacağı hizmet sorumlusunu bulun

İlkeyi atamak istediğiniz hizmet sorumlularının ObjectID 'ye ihtiyacınız vardır. Hizmet sorumluları ObjectID 'yi bulmanın birkaç yolu vardır.

Azure Portalkullanabilir veya Microsoft Graphsorgulayabilirsiniz. ayrıca, tüm kuruluşunuzun hizmet sorumlularını görmek için Graph gezgin aracına gidebilir ve Azure AD hesabınızda oturum açabilirsiniz.

PowerShell 'i kullandığınız için, hizmet sorumlularını ve kimliklerini listelemek üzere aşağıdaki cmdlet 'i kullanabilirsiniz.

Get-AzureADServicePrincipal

İlkeyi hizmet sorumlusuna atama

Otomatik hızlandırmayı yapılandırmak istediğiniz uygulamanın hizmet sorumlusu ObjectID olduktan sonra aşağıdaki komutu çalıştırın. Bu komut, adım 1 ' de oluşturduğunuz HRD ilkesini adım 2 ' de bulduğunuz hizmet sorumlusu ile ilişkilendirir.

Add-AzureADServicePrincipalPolicy -Id <ObjectID of the Service Principal> -RefObjectId <ObjectId of the Policy>

İlkeyi eklemek istediğiniz her hizmet sorumlusu için bu komutu tekrarlayabilirsiniz.

Bir uygulamanın zaten bir HomeRealmDiscovery ilkesi atanmış olması durumunda ikinci bir tane ekleyemeyeceksiniz. Bu durumda, ek parametreler eklemek için uygulamaya atanan giriş bölgesi bulma ilkesinin tanımını değiştirin.

HRD ilkenizin hangi uygulama hizmeti ilkelerine atandığını denetleyin

HRD ilkesinin hangi uygulamalarda yapılandırıldığını denetlemek için Get-AzureADPolicyAppliedObject cmdlet 'ini kullanın. İade etmek istediğiniz ilkenin ObjectID değerini geçirin.

Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Try the application to check that the new policy is working.

### List the applications for which HRD policy is configured

1. List all policies that were created in your organization

```powershell
Get-AzureADPolicy

Atamalarını listelemek istediğiniz ilkenin ObjectID değerini unutmayın.

  1. İlkenin atandığı hizmet sorumlularını listeleyin
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Bir HRD ilkesini uygulamadan kaldırma

  1. ObjectID 'yi al

İlke ObjectID 'yi ve kaldırmak istediğiniz uygulama hizmeti sorumlusunu almak için önceki örneği kullanın.

  1. Uygulama hizmeti sorumlusundan ilke atamasını kaldırma
Remove-AzureADServicePrincipalPolicy -id <ObjectId of the Service Principal>  -PolicyId <ObjectId of the policy>
  1. İlkenin atandığı hizmet sorumlularını listeleyerek kaldırma işlemini denetleyin
Get-AzureADPolicyAppliedObject -id <ObjectId of the Policy>

Sonraki adımlar