Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här dokumentet beskriver principer för villkorlig åtkomst baserat på enheter i ett hybridscenario där de lokala katalogerna är anslutna till Microsoft Entra ID med hjälp av Microsoft Entra Connect.
Villkorlig åtkomst för AD FS och Hybrid
AD FS tillhandahåller den lokala komponenten för principer för villkorlig åtkomst i ett hybridscenario. När du registrerar enheter med Microsoft Entra-ID för villkorlig åtkomst till molnresurser, gör microsoft Entra Connect-enhetens tillbakaskrivningskapacitet enhetsinformation tillgänglig lokalt för AD FS-principer att använda och framtvinga. På så sätt har du en konsekvent metod för åtkomstkontrollprinciper för både lokala och molnbaserade resurser.
Typer av registrerade enheter
Det finns tre typer av registrerade enheter, som alla representeras som enhetsobjekt i Microsoft Entra-ID och kan användas för villkorlig åtkomst med AD FS lokalt också.
| Description | Lägga till arbets- eller skolkonto | Microsoft Entra-gå med | Windows 10 domänanslutning |
|---|---|---|---|
| Description | Användare lägger till sitt arbets- eller skolkonto till sin BYOD-enhet interaktivt. Obs!: Lägg till arbets- eller skolkonto är ersättningen för Workplace Join i Windows 8/8.1 | Användare ansluter sin Windows 10-arbetsenhet till Microsoft Entra-ID. | Windows 10-domänanslutna enheter registreras automatiskt med Microsoft Entra-ID. |
| Så här loggar användarna in på enheten | Ingen inloggning till Windows som arbets- eller skolkonto. Logga in med ett Microsoft-konto. | Logga in på Windows som det (arbets- eller skolkonto) som registrerade enheten. | Logga in med AD-konto. |
| Så här hanteras enheter | MDM-regler (med ytterligare registrering i Intune) | MDM-regler (med ytterligare registrering i Intune) | Gruppolicy, Configuration Manager |
| Microsoft Entra ID Förtroendetyp | Arbetsplats ansluten | Microsoft Entra gick med | Domänansluten |
| Plats för W10-inställningar | Inställningar > Konton > Ditt konto Lägg till ett arbets- > eller skolkonto | Inställningar > System > Om > Gå med i Microsoft Entra ID | Inställningar > System > Om > Anslut till en domän |
| Är du även tillgänglig för iOS- och Android-enheter? | Yes | No | No |
Mer information om de olika sätten att registrera enheter finns också:
- Använda Windows-enheter på din arbetsplats
- Microsoft Entra-registrerade enheter
- Microsoft Entra-anslutna enheter
Hur windows 10-användare och enhetsinloggning skiljer sig från tidigare versioner
För Windows 10 och AD FS 2016 finns det några nya aspekter av enhetsregistrering och autentisering som du bör känna till (särskilt om du är bekant med enhetsregistrering och "arbetsplatsanslutning" i tidigare versioner).
För det första baseras enhetsregistrering och autentisering i Windows 10 och AD FS i Windows Server 2016 inte längre enbart på ett X509-användarcertifikat. Det finns ett nytt och mer robust protokoll som ger bättre säkerhet och en smidigare användarupplevelse. De viktigaste skillnaderna är att för Windows 10-domänanslutning och Microsoft Entra-anslutning finns det ett X509-datorcertifikat och en ny autentiseringsuppgift som kallas PRT. Du kan läsa allt om det här och här.
För det andra stöder Windows 10 och AD FS 2016 användarautentisering med Windows Hello för företag, som du kan läsa om här och här.
AD FS 2016 tillhandahåller sömlös enhets- och användar-SSO baserat på både PRT- och Passport-autentiseringsuppgifter. Med hjälp av stegen i det här dokumentet kan du aktivera de här funktionerna och se hur de fungerar.
Principer för enhetsåtkomstkontroll
Enheter kan användas i enkla AD FS-åtkomstkontrollregler, till exempel:
- Tillåt endast åtkomst från en registrerad enhet
- Kräv multifaktorautentisering när en enhet inte är registrerad
Dessa regler kan sedan kombineras med andra faktorer som nätverksåtkomstplats och multifaktorautentisering, vilket skapar omfattande principer för villkorlig åtkomst, till exempel:
- Kräv multifaktorautentisering för oregistrerade enheter som kommer åt utanför företagsnätverket, förutom medlemmar i en viss grupp eller grupper
Med AD FS 2016 kan dessa principer konfigureras specifikt för att kräva en viss nivå av enhetsförtroende: antingen autentiserad, hanterad eller kompatibel.
Mer information om hur du konfigurerar AD FS-åtkomstkontrollprinciper finns i Åtkomstkontrollprinciper i AD FS.
Autentiserade enheter
Autentiserade enheter är registrerade enheter som inte har registrerats i MDM (Intune och MDM från tredje part för Windows 10, Endast Intune för iOS och Android).
Autentiserade enheter har AD FS-anspråket isManaged med värdet FALSE. (Enheter som inte är registrerade alls saknar detta anspråk.) Autentiserade enheter (och alla registrerade enheter) har isKnown AD FS-anspråket med värdet TRUE.
Hanterade enheter:
Hanterade enheter är registrerade enheter som har registrerats med MDM.
Hanterade enheter kommer att ha AD FS-anspråket isManaged med värdet TRUE.
Enheter som är kompatibla med MDM- eller gruppolicyer
Kompatibla enheter är registrerade enheter som inte bara har registrerats med MDM utan är kompatibla med MDM-principerna. (Efterlevnadsinformationen kommer från MDM och skrivs till Microsoft Entra-ID.)
Kompatibla enheter kommer att ha AD FS-anspråket isCompliant med värdet TRUE.
Fullständig lista över AD FS 2016-enheter och anspråk för villkorlig åtkomst finns i Referens.
Reference
Uppdateringar och störande ändringar – Microsofts identitetsplattform | Microsoft Docs
Fullständig lista över nya AD FS 2016- och enhetspåståenden
https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtypehttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdfhttps://schemas.microsoft.com/2014/03/pssohttps://schemas.microsoft.com/2015/09/prthttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdfhttps://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttps://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttps://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2012/01/devicecontext/claims/identifierhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ostypehttps://schemas.microsoft.com/2012/01/devicecontext/claims/osversionhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttps://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2014/02/deviceusagetimehttps://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttps://schemas.microsoft.com/2014/09/devicecontext/claims/trusttypehttps://schemas.microsoft.com/claims/authnmethodsreferenceshttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agenthttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-pathhttps://schemas.microsoft.com/ws/2012/01/insidecorporatenetworkhttps://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-idhttps://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustidhttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-iphttps://schemas.microsoft.com/2014/09/requestcontext/claims/useriphttps://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod