Eine weit verbreitete Methode für die vereinfachte Anmeldung in Entra ID ist die Verwendung von Entra ID Connect SSO. Mit dieser Funktion müssen User nicht mehr das Kennwort eingeben, sobald Sie sich im Browser anmelden und eine Line-of-Sight zu einem DC besteht. Die Authentifizierung erfolgt automatisch über den ominösen AZUREADSSOACC-Computeraccount im AD.
Es gibt jedoch noch eine weitere Funktion die deutlich weniger bekannt ist oder verwendet wird. Was wenn ich sage, das es sogar eine Möglichkeit gibt sich komplett ohne Eingabe des Benutzernamens anzumelden? Einfach so?
Der Trick liegt in der Anmelde-URL vom Microsoft Login-Server. Normalerweise sieht diese ungefähr so aus:
https://login.microsoftonline.com/Mit etwas Wissen lässt sich diese URL anpassen und verschiedene Parameter mitgeben wo wir eigentlich hinwollen und was genau wir machen wollen. Im oben genannten Beispiel z.B. mit Login ohne Benutzername kann die URL so gestaltet werden:
https://login.microsoftonline.com/login.srf?wa=wsignin1.0&whr=iqunit.com&wreply=https://m365.cloud.microsoftWichtig sind hier die beiden URL-Parameter whr und wreply:
whr: Hierbei handelt es sich um den Domain-Hint den wir dem Anmeldeserver mitgeben. Dies ist immer der Domain-Part der hinter dem @-Symbol steht.
Entra ID führt bei Eingabe des Benutzernamens eine sogenannte Home Realm Discovery durch um zu bestimmen auf welchem Anmeldesystem die Domain beheimatet ist und damit bestimmen zu können, welche Anmeldeseite Entra ID jetzt anzeigen soll. Handelt es sich um eine Managed-Domain verbleibt der User auf der MS-Anmeldeseite, ist die Domain aber Federated, leitet MS den User auf den eingestellten Federation-Service um.
wreply: Hier soll der User hingeleitet werden nachdem die Authentifizierung erfolgt ist, in diesem Fall die M365-Startseite (M365.cloud.microsoft), lässt sich aber beliebig anpassen.
Wie kann ich das sinnvoll verwenden?
Eine einfache Möglichkeit wäre z.B die Verteilung der URL-Verknüpfung über eine GPO an den Desktop mit Namen und Logo.
Eine andere Möglichkeit auch im Sinne von Corporate Branding wäre ein Domain (z.B. M365.iqunit.com, Office.iqunit.com oder so) mit entsprechendem Webserver dahinter der die URL-Parameter einfach erweitert und weiterleitet.
Natürlich sollte der Domain-Hint zu dem Usernamen passen den der User auch wirklich als UPN hat. Im Falle von Managed Domains, die im selben Tenant liegen, ist dies allerdings tatsächlich nicht zwangsweise nötig, da alle Managed Domains ja im selben „Realm“ rauskommen (Managed Microsoft Auth).