自動高速化サインインを無効にする

  • [アーティクル]

ホーム領域検出 (HRD) ポリシーにより、管理者がユーザー認証の方法と場所を制御するための複数の方法が提供されます。 HRD ポリシーの domainHintPolicy セクションを使用すると、フェデレーション ユーザーを常に Microsoft Entra のサインイン ページにアクセスさせ、ドメイン ヒントによってフェデレーション IDP に自動高速化されないようにすることで、FIDO などのクラウドで管理されている資格情報に移行させるのに役立ちます。 HRD ポリシーの詳細については、「ホーム領域検出」を参照してください。

このポリシーは、サインイン中に と管理者がドメイン ヒントを制御または更新できない状況で必要です。 たとえば、outlook.com/contoso.com の場合、ユーザーは &domain_hint=contoso.com パラメーターが追加されたサインイン ページに移動します。これは、ユーザーを contoso.com ドメインのフェデレーション IDP に直接高速化することが目的です。 管理されている資格情報を持つユーザーをフェデレーション IDP に移動させた場合、管理されている資格情報を使用したサインインはできません。その結果、サインイン エクスペリエンスのランダム化によるセキュリティの低下とユーザーの不満が発生します。 管理されている資格情報をロールアウトする管理者は、管理されている資格情報をユーザーが常に使用できるように、このポリシーも設定する必要があります

DomainHintPolicy の詳細

HRD ポリシーの DomainHintPolicy セクションは JSON オブジェクトであり、管理者はこれを使用して、ドメイン ヒントの使用対象から特定のドメインとアプリケーションをオプトアウトできます。 機能的には、これにより Microsoft Entra のサインイン ページが、サインイン要求に domain_hint パラメーターが存在しない場合と同様に動作するようになります。

ポリシーの Respect (優先) と Ignore (無視) のセクション

Section 説明
IgnoreDomainHintForDomains このドメイン ヒントが要求で送信された場合は、無視します。 ドメイン アドレスの配列 (contoso.com など)。 all_domains もサポートされています
RespectDomainHintForDomains 要求でアプリを自動高速化しないことが IgnoreDomainHintForApps によって指示されていても、このドメイン ヒントが要求で送信された場合は、それを優先します。 これは、ネットワーク内で非推奨になるドメイン ヒントのロールアウトを遅くするために使用されます。一部のドメインがまだ高速化の対象であることを指示できます。 ドメイン アドレスの配列 (contoso.com など)。 all_domains もサポートされています
IgnoreDomainHintForApps このアプリケーションからの要求にドメイン ヒントが含まれている場合は、無視します。 アプリケーション ID (GUID) の配列。 all_apps もサポートされています
RespectDomainHintForApps このアプリケーションからの要求にドメイン ヒントが含まれている場合は、IgnoreDomainHintForDomains にそのドメインが含まれていても、それを優先します。 ドメイン ヒントなしで中断されていることを検出した場合に、一部のアプリの動作を維持するために使用します。 アプリケーション ID (GUID) の配列。 all_apps もサポートされています

ポリシーの評価

DomainHintPolicy ロジックは、ドメイン ヒントを含む受信要求ごとに実行され、要求に含まれる 2 つのデータ、つまりドメイン ヒント内のドメインと、クライアント ID (アプリ) に基づいて高速化されます。 要するに、ドメインまたはアプリを "優先" する方が、特定のドメインまたはアプリケーションに関するドメイン ヒントを "無視" する命令よりも優先されます。

  • ドメイン ヒント ポリシーがない場合、あるいは 4 つのセクションのいずれにおいてもアプリまたはドメイン ヒントが参照されていない場合は、HRD ポリシーの残りの部分が評価されます
  • 要求で RespectDomainHintForApps または RespectDomainHintForDomains セクションのどちらか一方 (または両方) にアプリまたはドメイン ヒントが含まれている場合、ユーザーは要求どおりにフェデレーション IDP に自動高速化されます。
  • 要求の IgnoreDomainHintsForApps または IgnoreDomainHintsForDomains のどちらか一方 (または両方) でアプリまたはドメイン ヒントが参照されていて、"Respect" セクションでは参照されていない場合、要求は自動高速化されず、ユーザーは Microsoft Entra のサインイン ページにとどまってユーザー名を指定します。

ユーザーは、サインイン ページでユーザー名を入力すれば、管理されている資格情報を使用できます。 管理されている資格情報を使用しないことを選択した場合、または登録していない場合は、通常どおり、資格情報を入力するためのフェデレーション IDP に移動します。

前提条件

Microsoft Entra ID でアプリケーションの自動高速化サインインを無効にするには、次が必要です。

  • アクティブなサブスクリプションが含まれる Azure アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
  • 次のいずれかのロール: クラウド アプリケーション管理者、アプリケーション管理者、サービス プリンシパルの所有者。

テナント内での推奨される使用方法

フェデレーション ドメインの管理者は、HRD ポリシーのこのセクションを 4 フェーズ計画で設定する必要があります。 この計画の目的は、最終的にテナント内のすべてのユーザーが、ドメインやアプリケーションに関係なく管理されている資格情報を使用できるようにすることです。ただし、domain_hint の使用に対して固定された依存関係を持つアプリは除きます。 この計画は、管理者がこのようなアプリを検出し、新しいポリシーの適用対象から除外し、テナントの残りの部分への変更のロールアウトを続行するのに役立ちます。

  1. この変更を最初にロールアウトするドメインを選択します。 これがテスト ドメインになります。そのため、UX の変更 (たとえば、別のサインイン ページが表示される) を反映しやすいものを選択してください。 これにより、このドメイン名を使用するすべてのアプリケーションからのすべてのドメイン ヒントが無視されます。 テナントの既定の HRD ポリシーで、このポリシーを設定します。
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": [] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": [] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. テスト ドメインのユーザーからフィードバックを収集します。 この変更の結果として中断されたアプリケーションの詳細を収集します。それらはドメイン ヒントの使用に対して依存関係があるため、更新する必要があります。 ここでは、RespectDomainHintForApps セクションに追加します。
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com" ], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`" ], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. 新しいドメインへのポリシーのロールアウトを引き続き拡大し、より多くのフィードバックを収集します。
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "testDomain.com", "otherDomain.com", "anotherDomain.com"], 
    "RespectDomainHintForDomains": [], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"testDomain.com`", "otherDomain.com", "anotherDomain.com"], `"RespectDomainHintForDomains`": [], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy
  1. ロールアウトを完了します。ターゲットは、引き続き高速化する必要があるドメインを除外した、すべてのドメインです。
PATCH /policies/homeRealmDiscoveryPolicies/{id}

"DomainHintPolicy": { 
    "IgnoreDomainHintForDomains": [ "*" ], 
    "RespectDomainHintForDomains": ["guestHandlingDomain.com"], 
    "IgnoreDomainHintForApps": [], 
    "RespectDomainHintForApps": ["app1-clientID-Guid", "app2-clientID-Guid] 
} 

New-AzureADPolicy 
    -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"DomainHintPolicy`": { `"IgnoreDomainHintForDomains`": [ `"*`" ], `"RespectDomainHintForDomains`": [guestHandlingDomain.com], `"IgnoreDomainHintForApps`": [], `"RespectDomainHintForApps`": ["app1-clientID-Guid", "app2-clientID-Guid"] } } }") 
    -DisplayName BasicBlockAccelerationPolicy 
    -Type HomeRealmDiscoveryPolicy

手順 4 を完了すると、guestHandlingDomain.com 以外のすべてのユーザーが、フェデレーション IDP への自動高速化を発生させるドメイン ヒントがあったとしても、Microsoft Entra サインイン ページでサインインできるようになります。 これの例外は、サインインを要求しているアプリが除外対象の 1 つである場合です。そのようなアプリについては、すべてのドメイン ヒントが引き続き受け入れられます。

Graph エクスプローラーを使用したポリシーの構成

Microsoft Graph を使用して、ホーム領域検出ポリシーを管理します。

  1. 前提条件セクションに記載されているロールのいずれかで Microsoft Graph エクスプローラーにサインインします。

  2. Policy.ReadWrite.ApplicationConfiguration アクセス許可を付与します。

  3. ホーム領域検出ポリシーを使用して、新しいポリシーを作成します。

  4. 新しいポリシーを POST するか、既存のポリシーを更新する場合は PATCH します。

    PATCH /policies/homeRealmDiscoveryPolicies/{id}
{
    "displayName":"Home Realm Discovery Domain Hint Exclusion Policy",
    "definition":[
        "{\"HomeRealmDiscoveryPolicy\" : {\"DomainHintPolicy\": { \"IgnoreDomainHintForDomains\": [\"Contoso.com\"], \"RespectDomainHintForDomains\": [], \"IgnoreDomainHintForApps\": [\"sample-guid-483c-9dea-7de4b5d0a54a\"], \"RespectDomainHintForApps\": [] } } }"
    ],
    "isOrganizationDefault":true
}

Graph を使用する場合は、必ずスラッシュを使用して JSON セクション Definition をエスケープしてください。

isOrganizationDefault は true である必要がありますが、displayName と定義は変更できます。

次のステップ