Delen via

Meervoudige verificatie van Microsoft Entra configureren als verificatieprovider met AD FS

De informatie in dit artikel is van toepassing op Windows 2016 en hoger.

Als uw organisatie is gefedereerd met Microsoft Entra-id, kunt u Multifactor Authentication van Microsoft Entra gebruiken om AD FS-resources (Active Directory Federation Services) te beveiligen, zowel on-premises als in de cloud. Met Meervoudige Verificatie van Microsoft Entra kunt u wachtwoorden elimineren en een veiligere manier bieden om te verifiëren. Met AD FS kunt u Meervoudige Verificatie van Microsoft Entra configureren voor primaire verificatie of deze gebruiken als extra verificatieprovider.

In tegenstelling tot AD FS in Windows Server 2012 R2, wordt de AD FS 2016 Microsoft Entra multifactor authentication adapter rechtstreeks geïntegreerd met Microsoft Entra ID en is geen on-premises Azure Multifactor Authentication-server vereist. De Microsoft Entra-adapter voor meervoudige verificatie is ingebouwd in Windows Server 2016. Er is geen andere installatie vereist.

Gebruikers registreren voor Meervoudige Verificatie van Microsoft Entra met AD FS

AD FS biedt geen ondersteuning voor directe registratie van veiligheidscontrole-informatie voor meervoudige verificatie van Microsoft Entra, zoals op een telefoonnummer of in een mobiele app. Zonder ondersteuning voor inline-verificatie moeten gebruikers zich laten controleren door naar https://account.activedirectory.windowsazure.com/Proofup.aspx te gaan voordat ze Microsoft Entra meervoudige verificatie gebruiken zodat ze kunnen inloggen op AD FS-toepassingen. Wanneer een gebruiker die nog niet is geverifieerd in Microsoft Entra ID probeert te verifiëren met Microsoft Entra multifactor authenticatie via AD FS, krijgen ze een AD FS-fout. Als AD FS-beheerder kunt u deze foutervaring aanpassen om de gebruiker in plaats daarvan naar de controlepagina te leiden. U kunt dit bericht maken met behulp van onload.js personalisering om de foutberichttekenreeks binnen de AD FS-pagina te detecteren. Vervolgens kunt u een nieuw bericht weergeven om de gebruiker naar https://aka.ms/mfasetup te leiden, zodat deze verificatie opnieuw kan uitvoeren. Zie De AD FS-webpagina aanpassen om gebruikers te begeleiden bij het registreren van MFA-verificatiemethodenvoor meer informatie.

Note

Vóór deze update moesten gebruikers zich verifiëren met behulp van Microsoft Entra-meervoudige verificatie voor registratie door naar https://account.activedirectory.windowsazure.com/Proofup.aspxte gaan. Met deze update heeft een AD FS-gebruiker die Microsoft Entra-verificatiegegevens nog niet heeft geregistreerd, toegang tot de controlepagina van Azure met behulp van de snelkoppeling https://aka.ms/mfasetup met alleen primaire verificatie, zoals geïntegreerde Windows-verificatie of gebruikersnaam en wachtwoord op de AD FS-webpagina's. Als de gebruiker geen verificatiemethoden heeft geconfigureerd, voert De Microsoft Entra-id inlineregistratie uit. De gebruiker ziet het bericht 'Uw beheerder heeft vereist dat u dit account instelt voor aanvullende beveiligingsverificatie'. Vervolgens selecteert de gebruiker Deze nu instellen. Gebruikers die al ten minste één verificatiemethode hebben geconfigureerd, worden nog steeds gevraagd om meervoudige verificatie (MFA) te bieden bij het bezoeken van de controlepagina.

In deze sectie wordt het gebruik van Meervoudige Verificatie van Microsoft Entra behandeld als de primaire verificatiemethode met AD FS en Microsoft Entra-meervoudige verificatie voor Office 365.

Meervoudige verificatie van Microsoft Entra als primaire verificatie

Er zijn een aantal goede redenen om Microsoft Entra multifactor-verificatie te gebruiken als primaire verificatie met AD FS:

  • Het voorkomt wachtwoorden voor aanmelding bij Microsoft Entra ID, Office 365 en andere AD FS-apps.
  • Het beveiligt aanmelding op basis van wachtwoorden door een andere factor te vereisen, zoals verificatiecode vóór het wachtwoord.

Mogelijk wilt u ook Meervoudige Verificatie van Microsoft Entra gebruiken als de primaire verificatiemethode en voorwaardelijke toegang van Microsoft Entra, inclusief echte MFA door te vragen om extra factoren. Als u on-premises Microsoft Entra-meervoudige verificatie wilt gebruiken, kunt u de domeininstelling Microsoft Entra configureren door SupportsMfa in te stellen op $true. In deze configuratie kan Microsoft Entra-id AD FS vragen om extra verificatie of 'true MFA' uit te voeren voor scenario's voor voorwaardelijke toegang waarvoor dit is vereist.

Elke AD FS-gebruiker die niet is geregistreerd (heeft nog geen MFA-verificatiegegevens geconfigureerd), moet worden gevraagd om verificatiegegevens te configureren. Om niet-geregistreerde gebruikers aan te spreken, kunt u een aangepaste AD FS-foutpagina gebruiken om gebruikers door te verwijzen naar https://aka.ms/mfasetup en de verificatiegegevens te configureren. Na de configuratie kan de gebruiker hun AD FS-aanmelding opnieuw opgeven.

Meervoudige verificatie van Microsoft Entra als primaire verificatie wordt beschouwd als één factor. Na de eerste configuratie moeten gebruikers een andere factor opgeven om hun verificatiegegevens in Microsoft Entra-id te beheren of bij te werken, of om toegang te krijgen tot andere resources waarvoor MFA is vereist.

Note

Met AD FS 2019 moet u een wijziging aanbrengen in het ankerclaimtype voor de vertrouwensrelatie van de Active Directory-claimsprovider en dit wijzigen van de windowsaccountname naar User Principal Name (UPN). Voer de volgende PowerShell-cmdlet uit. Dit heeft geen invloed op de interne werking van de AD FS-farm. Het is mogelijk dat een paar gebruikers na deze wijziging opnieuw om referenties worden gevraagd. Nadat eindgebruikers zich opnieuw hebben aangemeld, zien ze geen verschil.

Set-AdfsClaimsProviderTrust -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -TargetName "Active Directory"

Meervoudige verificatie van Microsoft Entra als extra verificatie voor Office 365

Met Microsoft Entra multifactor authentication adapter voor AD FS kunnen uw gebruikers MFA uitvoeren op AD FS. Als u uw Microsoft Entra-resource wilt beveiligen, moet u MFA vereisen via een beleid voor voorwaardelijke toegang. U moet ook de domeininstelling SupportsMfa instellen op $true en de claim multipleauthn verzenden wanneer een gebruiker succesvol een twee-stapsverificatie uitvoert.

Zoals eerder beschreven, moet elke AD FS-gebruiker die niet is geregistreerd (nog niet geconfigureerde MFA-verificatiegegevens) worden gevraagd om verificatiegegevens te configureren. Om niet-geregistreerde gebruikers aan te spreken, kunt u een aangepaste AD FS-foutpagina gebruiken om gebruikers door te verwijzen naar https://aka.ms/mfasetup en de verificatiegegevens te configureren. Na de configuratie kan de gebruiker hun AD FS-aanmelding opnieuw opgeven.

Prerequisites

De volgende vereisten zijn vereist wanneer u Microsoft Entra multifactor-verificatie gebruikt voor verificatie met AD FS:

Note

Microsoft Entra ID en Microsoft Entra multifactor authentication zijn opgenomen in Microsoft Entra ID P1 of P2 en de Enterprise Mobility Suite (EMS). U hebt geen afzonderlijke abonnementen nodig als u een van deze toepassingen hebt geïnstalleerd.

  • Een on-premises Windows Server 2016 AD FS-omgeving.
    • De server moet kunnen communiceren met de volgende URL's via poort 443.
      • https://adnotifications.windowsazure.com
        • https://login.microsoftonline.com
  • Uw on-premises omgeving moet worden gefedereerd met Microsoft Entra ID.
  • Microsoft Azure Active Directory-module voor Windows PowerShell.
  • Beheerdersreferenties voor ondernemingen om de AD FS-farm te configureren voor multifactorauthenticatie van Microsoft Entra.
  • U hebt een account met de rol Toepassingsbeheerder op uw exemplaar van Microsoft Entra ID nodig om dit te configureren met behulp van PowerShell.

Note

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell- om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Notitie: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

De AD FS-servers configureren

Als u de configuratie voor Microsoft Entra-meervoudige verificatie voor AD FS wilt voltooien, moet u elke AD FS-server configureren met behulp van de stappen die hier worden beschreven.

Note

Zorg ervoor dat deze stappen worden uitgevoerd op alle AD FS-servers in uw farm. Als u meerdere AD FS-servers in uw farm hebt, kunt u de benodigde configuratie op afstand uitvoeren met behulp van Azure AD PowerShell.

Stap 1: Een certificaat genereren voor Meervoudige Verificatie van Microsoft Entra op elke AD FS-server

Het eerste wat u moet doen, is het gebruik van de New-AdfsAzureMfaTenantCertificate PowerShell-opdracht om een certificaat te genereren voor Meervoudige Verificatie van Microsoft Entra voor gebruik. Nadat u het certificaat hebt gegenereerd, zoekt u het in het certificaatarchief van de lokale machines. Het certificaat is gemarkeerd met een onderwerpnaam die de TenantID voor uw Microsoft Entra-map bevat.

Schermopname van het certificaatarchief van een lokale computer met het gegenereerde certificaat.

De TenantID is de naam van uw map in Microsoft Entra-id. Gebruik de volgende PowerShell-cmdlet om het nieuwe certificaat te genereren:

$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID <tenantID>

Schermopname van het PowerShell-venster met de uitvoer van New-AdfsAzureMfaTenantCertificate.

Stap 2: Voeg de nieuwe inloggegevens toe aan de Azure Multifactor Authentication Client Service Principal

Als u wilt dat de AD FS-servers kunnen communiceren met de Azure-client voor multifactor authenticatie, moet u de referenties toevoegen aan de service-principal voor de Azure-client voor multifactor authenticatie. De certificaten die worden gegenereerd met behulp van de cmdlet New-AdfsAzureMFaTenantCertificate fungeren als deze referenties. Open PowerShell en volg de volgende stappen om de nieuwe inloggegevens toe te voegen aan de Service Principal van de Client voor Azure multifactor-authenticatie.

Stap 3: Het certificaat instellen als de nieuwe referentie voor de Azure-client voor meervoudige verificatie

Note

Als u deze stap wilt voltooien, moet u verbinding maken met uw exemplaar van Microsoft Entra ID met Microsoft Graph PowerShell met behulp van Connect-MgGraph. Bij deze stappen wordt ervan uitgegaan dat u al verbinding hebt gemaakt via PowerShell.

Connect-MgGraph -Scopes 'Application.ReadWrite.All'
$servicePrincipalId = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").Id
$keyCredentials = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").KeyCredentials
$certX509 = [System.Security.Cryptography.X509Certificates.X509Certificate2]([System.Convert]::FromBase64String($certBase64))
$newKey = @(@{
    CustomKeyIdentifier = $null
    DisplayName = $certX509.Subject
    EndDateTime = $null
    Key = $certX509.GetRawCertData()
    KeyId = [guid]::NewGuid()
    StartDateTime = $null
    Type = "AsymmetricX509Cert"
    Usage = "Verify"
    AdditionalProperties = $null
})
$keyCredentials += $newKey
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId -KeyCredentials $keyCredentials

Important

Deze opdracht moet worden uitgevoerd op alle AD FS-servers in uw farm. Microsoft Entra-meervoudige verificatie mislukt op servers waarop het certificaat niet is ingesteld als de nieuwe referentie voor de Azure-client voor meervoudige verificatie.

Note

981f26a1-7f43-403b-a875-f8b09b8cd720 is de GUID voor de Multifactor Authentication-client van Azure.

De AD FS-farm configureren

Nadat u de stappen in de vorige sectie voor elke AD FS-server hebt voltooid, stelt u de Azure-tenantgegevens in met behulp van de cmdlet Set-AdfsAzureMfaTenant . Deze cmdlet moet slechts één keer worden uitgevoerd voor een AD FS-farm.

Open PowerShell en voer uw eigen tenantId in met de Set-AdfsAzureMfaTenant cmdlet. Voeg de parameter -Environment USGov toe voor klanten die gebruikmaken van de Microsoft Azure Government-cloud:

Note

U moet de AD FS-service opnieuw opstarten op elke server in uw farm voordat deze wijzigingen van kracht worden. Voor minimale impact neemt u elke AD FS-server één voor één uit de NLB-rotatie en wacht u tot alle verbindingen leeg zijn.

Set-AdfsAzureMfaTenant -TenantId <tenant ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

Schermopname van het PowerShell-venster met het waarschuwingsbericht dat is ontvangen na het uitvoeren van de Set-AdfsAzureMfaTenant-cmdlet.

Windows Server zonder het nieuwste servicepack biedt geen ondersteuning voor de parameter -Environment voor de Set-AdfsAzureMfaTenant-cmdlet. Als u de Azure Government-cloud gebruikt en de vorige stappen uw Azure-tenant niet konden configureren vanwege de ontbrekende -Environment parameter, voert u de volgende stappen uit om de registervermeldingen handmatig te maken. Sla deze stappen over als de vorige cmdlet uw tenantgegevens correct heeft geregistreerd of als u zich niet in de Azure Government-cloud bevindt:

  1. Open de Register-editor op de AD FS-server.

  2. Navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS. Maak de volgende registersleutelwaarden:

    Registersleutel Value
    SasUrl https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector
    StsUrl https://login.microsoftonline.us
    ResourceUri https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector

  3. Start de AD FS-service opnieuw op elke server in de farm voordat deze wijzigingen van kracht worden. Als u het effect op uw systemen wilt verminderen, neemt u elke AD FS-server één voor één uit de NLB-rotatie en wacht u tot alle verbindingen leeg zijn.

Na deze stap ziet u dat Meervoudige Verificatie van Microsoft Entra beschikbaar is als een primaire verificatiemethode voor intranet- en extranetgebruik.

Schermopname van het dialoogvenster Verificatiemethoden bewerken met de optie Meervoudige verificatie van Microsoft Entra gemarkeerd in de secties Extranet en Intranet.

Als u Microsoft Entra-meervoudige verificatie wilt gebruiken als secundaire verificatiemethode, selecteert u in het vak Verificatiemethoden bewerken het tabblad multifactor (het tabblad Extra in AD FS 2019) en controleert u of deze is ingeschakeld. Anders ontvangt u mogelijk foutberichten, zoals 'Er is geen geldige sterke verificatiemethode gevonden. Neem contact op met uw beheerder om een geschikte sterke verificatieprovider te configureren en in te schakelen."

AD FS Microsoft Entra multifactor authentication Certificates vernieuwen en beheren

De volgende richtlijnen zijn ontworpen om u te helpen bij het beheren van de Microsoft Entra-meervoudige verificatiecertificaten op uw AD FS-servers.

Wanneer u AD FS configureert met meervoudige verificatie van Microsoft Entra, zijn de certificaten die worden gegenereerd via de New-AdfsAzureMfaTenantCertificate PowerShell-cmdlet, standaard twee jaar geldig. Gebruik de volgende procedure om te bepalen hoe dicht bij de vervaldatum uw certificaten liggen en om nieuwe certificaten te vernieuwen en te installeren.

  1. Evalueer de vervaldatum van ad FS Microsoft Entra-verificatiecertificaat met meerdere factoren.

    Op elke AD FS-server, in de lokale computer Mijn opslag, is er een zelfondertekend certificaat met 'Microsoft AD FS Microsoft Entra multifactor authentication' in de velden Issuer en Subject. Dit certificaat is het Microsoft Entra-certificaat voor meervoudige verificatie. Controleer de geldigheidsperiode van dit certificaat op elke AD FS-server om de vervaldatum te bepalen.

  2. Maak een nieuw AD FS Microsoft Entra multifactor authentication Certificate op elke AD FS-server.

    Als de geldigheidsperiode van uw certificaten het einde nadert, start u het verlengingsproces door een nieuw Microsoft Entra multifactor-verificatiecertificaat op elke AD FS-server te genereren. Genereer in PowerShell een nieuw certificaat op elke AD FS-server met behulp van de volgende cmdlet:

    Caution

    Als uw certificaat al is verlopen, voegt u de parameter -Renew $true niet toe aan de volgende opdracht. In dit scenario wordt het bestaande verlopen certificaat vervangen door een nieuw certificaat in plaats van dat er nog een certificaat wordt gemaakt.

    $newcert = New-AdfsAzureMfaTenantCertificate -TenantId <tenant id such as contoso.onmicrosoft.com> -Renew $true

    Als het certificaat nog niet is verlopen, genereert de opdracht een nieuw certificaat dat geldig is van twee dagen na de huidige dag tot twee jaar plus twee dagen in de toekomst. AD FS- en Microsoft Entra-meervoudige verificatiebewerkingen worden niet beïnvloed bij het uitvoeren van de cmdlet of het vernieuwen van het certificaat. De vertraging van twee dagen is opzettelijk en biedt tijd om de volgende stappen uit te voeren om het nieuwe certificaat in de tenant te configureren voordat AD FS begint met het gebruik ervan voor Meervoudige Verificatie van Microsoft Entra.

  3. Configureer elk nieuw AD FS Microsoft Entra-certificaat voor meervoudige verificatie in de Microsoft Entra-tenant.

    Note

    Als u deze stap wilt voltooien, moet u verbinding maken met uw exemplaar van Microsoft Entra ID met Microsoft Graph PowerShell met behulp van Connect-MgGraph. Bij deze stappen wordt ervan uitgegaan dat u al verbinding hebt gemaakt via PowerShell.

    Connect-MgGraph -Scopes 'Application.ReadWrite.All'
$servicePrincipalId = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").Id
$keyCredentials = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").KeyCredentials
$certX509 = [System.Security.Cryptography.X509Certificates.X509Certificate2]([System.Convert]::FromBase64String($newcert))
$newKey = @(@{
    CustomKeyIdentifier = $null
    DisplayName = $certX509.Subject
    EndDateTime = $null
    Key = $certX509.GetRawCertData()
    KeyId = [guid]::NewGuid()
    StartDateTime = $null
    Type = "AsymmetricX509Cert"
    Usage = "Verify"
    AdditionalProperties = $null
})
$keyCredentials += $newKey
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId -KeyCredentials $keyCredentials

    Als uw vorige certificaat is verlopen, start u de AD FS-service opnieuw om het nieuwe certificaat op te halen. U hoeft de AD FS-service niet opnieuw op te starten als u een certificaat hebt vernieuwd voordat het is verlopen.

  4. Controleer of de nieuwe certificaten worden gebruikt voor meervoudige verificatie van Microsoft Entra.

Nadat de nieuwe certificaten geldig zijn geworden, haalt AD FS ze op en gebruikt elk respectieve certificaat voor Meervoudige Verificatie van Microsoft Entra binnen een paar uur tot één dag. Nadat AD FS de nieuwe certificaten gebruikt, ziet u op elke server een gebeurtenis die is vastgelegd in het gebeurtenislogboek van ad FS-beheerder met de volgende informatie:

Log Name:      AD FS/Admin
Source:        AD FS
Date:          2/27/2018 7:33:31 PM
Event ID:      547
Task Category: None
Level:         Information
Keywords:      AD FS
User:          DOMAIN\adfssvc
Computer:      ADFS.domain.contoso.com
Description:
The tenant certificate for Azure MFA has been renewed.

TenantId: contoso.onmicrosoft.com.
Old thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00.
Old expiration date: 9/15/2019 9:43:17 PM.
New thumbprint: BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11.
New expiration date: 2/27/2020 2:16:07 AM.

De AD FS-webpagina aanpassen om gebruikers te begeleiden bij het registreren van MFA-verificatiemethoden

Gebruik de volgende voorbeelden om uw AD FS-webpagina's aan te passen voor gebruikers die nog geen controle hebben uitgevoerd (geconfigureerde MFA-verificatiegegevens).

De fout zoeken

Ten eerste retourneert AD FS een aantal verschillende foutberichten wanneer de gebruiker geen verificatiegegevens heeft. Als u Microsoft Entra-meervoudige verificatie als primaire verificatie gebruikt, ziet de niet-geverifieerde gebruiker een AD FS-foutpagina met de volgende berichten:

    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            Authentication attempt failed. Select a different sign in option or close the web browser and sign in again. Contact your administrator for more information.
        </div>

Wanneer Microsoft Entra ID als extra verificatie wordt gebruikt, ziet de ongeverifieerde gebruiker een AD FS-foutpagina met de volgende berichten.

<div id='mfaGreetingDescription' class='groupMargin'>For security reasons, we require additional information to verify your account (mahesh@jenfield.net)</div>
    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            The selected authentication method is not available for &#39;username@contoso.com&#39;. Choose another authentication method or contact your system administrator for details.
        </div>

De fout ondervangen en de paginatekst bijwerken

Als u de fout wilt ondervangen en de aangepaste richtlijnen van de gebruiker wilt weergeven, voegt u het JavaScript toe aan het einde van het onload.js-bestand dat deel uitmaakt van het AD FS-webthema. Als u dit doet, kunt u het volgende doen:

  • Zoek naar de identificerende fouttekenreeks(en).
  • Geef aangepaste webinhoud op.

Note

Zie Geavanceerde aanpassing van AD FS-aanmeldingspagina'svoor richtlijnen in het algemeen over het aanpassen van het onload.js-bestand.

In de volgende stappen ziet u een eenvoudig voorbeeld:

  1. Open Windows PowerShell op uw primaire AD FS-server en maak een nieuw AD FS-webthema door de volgende opdracht uit te voeren.

        New-AdfsWebTheme –Name ProofUp –SourceName default

  2. Maak de map en exporteer het standaard AD FS-webthema.

       New-Item -Path 'C:\Theme' -ItemType Directory;Export-AdfsWebTheme –Name default –DirectoryPath C:\Theme

  3. Open het C:\Theme\script\onload.js-bestand in een teksteditor.

  4. Voeg de volgende code toe aan het einde van het onload.js-bestand:

    //Custom Code
//Customize MFA exception
//Begin

var domain_hint = "<YOUR_DOMAIN_NAME_HERE>";
var mfaSecondFactorErr = "The selected authentication method is not available for";
var mfaProofupMessage = "You will be automatically redirected in 5 seconds to set up your account for additional security verification. After you've completed the setup, please return to the application you are attempting to access.<br><br>If you are not redirected automatically, please click <a href='{0}'>here</a>."
var authArea = document.getElementById("authArea");
if (authArea) {
    var errorMessage = document.getElementById("errorMessage");
    if (errorMessage) {
        if (errorMessage.innerHTML.indexOf(mfaSecondFactorErr) >= 0) {

            //Hide the error message
            var openingMessage = document.getElementById("openingMessage");
            if (openingMessage) {
                openingMessage.style.display = 'none'
            }
            var errorDetailsLink = document.getElementById("errorDetailsLink");
            if (errorDetailsLink) {
                errorDetailsLink.style.display = 'none'
            }

            //Provide a message and redirect to Azure AD MFA Registration Url
            var mfaRegisterUrl = "https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1&whr=" + domain_hint;
            errorMessage.innerHTML = "<br>" + mfaProofupMessage.replace("{0}", mfaRegisterUrl);
            window.setTimeout(function () { window.location.href = mfaRegisterUrl; }, 5000);
        }
    }
}

//End Customize MFA Exception
//End Custom Code

    Important

    U moet "<YOUR_DOMAIN_NAME_HERE>" veranderen zodat uw domeinnaam wordt gebruikt. Bijvoorbeeld: var domain_hint = "contoso.com";.

  5. Sla het onload.js bestand op.

  6. Importeer het onload.js bestand in uw aangepaste thema door de volgende Windows PowerShell-opdracht in te voeren:

    Set-AdfsWebTheme -TargetName ProofUp -AdditionalFileResource @{Uri='/adfs/portal/script/onload.js';path="c:\theme\script\onload.js"}

  7. Pas het aangepaste AD FS-webthema toe door de volgende Windows PowerShell-opdracht in te voeren:

    Set-AdfsWebConfig -ActiveThemeName "ProofUp"