Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I AD FS i Windows Server 2012 R2 förbättras både åtkomstkontroll och autentiseringsmekanismen med flera faktorer som användare, enhet, plats och autentiseringsdata. Med de här förbättringarna kan du, antingen via användargränssnittet eller via Windows PowerShell, hantera risken för att bevilja åtkomstbehörigheter till AD FS-skyddade program via multifaktoråtkomstkontroll och multifaktorautentisering som baseras på användaridentitet eller gruppmedlemskap, nätverksplats, enhetsdata som är arbetsplatsanslutna och autentiseringstillståndet när multifaktorautentisering (MFA) utfördes.
Mer information om MFA och multifaktoråtkomstkontroll i Active Directory Federation Services (AD FS) i Windows Server 2012 R2 finns i följande avsnitt:
Hantera risker med för villkorlig åtkomstkontroll
Hantera risker med ytterligare multifaktorautentisering för känsliga program
Konfigurera autentiseringsprinciper via hanteringskonsolen för AD FS
Medlemskap i administratörer, eller motsvarande, på den lokala datorn är minimikravet för att slutföra dessa procedurer. Granska information om hur du använder lämpliga konton och gruppmedlemskaper i Local and Domain Default Groups.
I AD FS i Windows Server 2012 R2 kan du ange en autentiseringsprincip i ett globalt omfång som gäller för alla program och tjänster som skyddas av AD FS. Du kan också ange autentiseringsprinciper för specifika program och tjänster som är beroende av partförtroenden och skyddas av AD FS. Att ange en autentiseringsprincip för ett visst program per förlitande parts förtroende åsidosätter inte den globala autentiseringsprincipen. Om antingen en global eller en specifik autentiseringsprincip för den förlitande parten kräver MFA, utlöses MFA när användaren försöker autentisera sig mot denna förlitande part. Den globala autentiseringsprincipen är en reserv för förlitande partsförtroenden för program och tjänster som inte har någon specifik konfigurerad autentiseringsprincip.
Konfigurera primär autentisering globalt i Windows Server 2012 R2
I Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
Klicka på Autentiseringsprinciper i AD FS-snapin-modulen.
I avsnittet Primär autentisering klickar du på Redigera bredvid Globala inställningar. Du kan också högerklicka på Autentiseringsprinciper och välja Redigera global primär autentisering, eller, under fönstret Åtgärder , välja Redigera global primär autentisering.
I fönstret Redigera global autentiseringsprincip på fliken Primär kan du konfigurera följande inställningar som en del av den globala autentiseringsprincipen:
Autentiseringsmetoder som ska användas för primär autentisering. Du kan välja tillgängliga autentiseringsmetoder under extranätet och intranätet.
Enhetsautentisering via kryssrutan Aktivera enhetsautentisering . Mer information finns i Anslut till arbetsplatsen från valfri enhet för enkel inloggning och sömlös tvåfaktorsautentisering i företagsprogram.
Konfigurera primär autentisering för varje förlitande part
I Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
I AD FS-snapin-modulen klickar du på Autentiseringsprinciper\per förlitande partsförtroende och klickar sedan på det förlitande partförtroende som du vill konfigurera autentiseringsprinciper för.
Högerklicka antingen på det förlitande partförtroendet som du vill konfigurera autentiseringsprinciper för och välj sedan Redigera anpassad primär autentisering, eller under fönstret Åtgärder väljer du Redigera anpassad primär autentisering.
I fönstret Redigera autentiseringsprincipen för <relying_party_trust_name> under fliken Primär kan du konfigurera följande inställning som en del av autentiseringsprincipen för förlitande parts tillit:
- Huruvida användarna behöver ange sina autentiseringsuppgifter varje gång de loggar in via användarna måste ange sina autentiseringsuppgifter varje gång de loggar in.
- Huruvida användarna behöver ange sina autentiseringsuppgifter varje gång de loggar in via användarna måste ange sina autentiseringsuppgifter varje gång de loggar in.
Konfigurera multifaktorautentisering globalt
I Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
Klicka på Autentiseringsprinciper i AD FS-snapin-modulen.
I avsnittet Multi-Factor Authentication (Multi-Factor Authentication ) klickar du på Redigera bredvid Globala inställningar. Du kan också högerklicka på Autentiseringsprinciper och välja Redigera global multifaktorautentisering, eller under fönstret Åtgärder väljer du Redigera global multifaktorautentisering.
I fönstret Redigera global autentiseringsprincip under fliken Multifaktor kan du konfigurera följande inställningar som en del av den globala principen för multifaktorautentisering:
Inställningar eller villkor för MFA via tillgängliga alternativ under avsnitten Användare/grupper, Enheter och Platser .
Om du vill aktivera MFA för någon av dessa inställningar måste du välja minst en ytterligare autentiseringsmetod. Certifikatautentisering är det tillgängliga standardalternativet. Du kan också konfigurera andra anpassade ytterligare autentiseringsmetoder, till exempel Windows Azure Active Authentication. Mer information finns i Genomgångsguide: Hantera risker med ytterligare multifaktorautentisering för känsliga program.
Warning
Du kan bara konfigurera ytterligare autentiseringsmetoder globalt.
Så här konfigurerar du multifaktorautentisering per förlitande part
I Serverhanteraren klickar du på Verktyg och sedan på AD FS-hantering.
I AD FS-snapin-modulen klickar du på Autentiseringsprinciper\per förlitande partsförtroende och klickar sedan på det förlitande partförtroende som du vill konfigurera MFA för.
Högerklicka på det förlitande partförtroendet som du vill konfigurera MFA för och välj sedan Redigera anpassad multifaktorautentisering, eller under fönstret Åtgärder väljer du Redigera anpassad multifaktorautentisering.
I fönstret Redigera autentiseringspolicy för <relying_party_trust_name>, under fliken Multifaktor, kan du konfigurera följande inställningar som en del av autentiseringspolicyn för den förlitande parten:
- Inställningar eller villkor för MFA via tillgängliga alternativ under avsnitten Användare/grupper, Enheter och Platser .
Konfigurera autentiseringsprinciper via Windows PowerShell
Windows PowerShell ger större flexibilitet när det gäller att använda olika faktorer för åtkomstkontroll och autentiseringsmekanismen som är tillgängliga i AD FS i Windows Server 2012 R2 för att konfigurera autentiseringsprinciper och auktoriseringsregler som är nödvändiga för att implementera sann villkorlig åtkomst för AD FS--secured resurser.
Medlemskap i administratörer, eller motsvarande, på den lokala datorn är minimikravet för att slutföra dessa procedurer. Granska information om hur du använder lämpliga konton och gruppmedlemskap i lokala och domänstandardgrupper (http://go.microsoft.com/fwlink/?LinkId=83477).
Så här konfigurerar du ytterligare en autentiseringsmetod via Windows PowerShell
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication `
Warning
Om du vill kontrollera att kommandot har körts kan du köra Get-AdfsGlobalAuthenticationPolicy kommandot.
Så här konfigurerar du MFA per betroende part baserat på en användares gruppmedlemskapsdata
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Warning
Se till att byta ut <relying_party_trust> mot namnet på din förlitandepartstillit.
- Kör följande kommando i samma Windows PowerShell-kommandofönster.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule
Note
Se till att ersätta <group_SID> med värdet för säkerhetsidentifieraren (SID) för din Active Directory-grupp (AD).
Så här konfigurerar du MFA globalt baserat på användarnas gruppmedlemskapsdata
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Se till att ersätta <group_SID> med värdet för SID för din AD-grupp.
Konfigurera MFA globalt baserat på användarens plats
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Se till att ersätta <true_or_false> med antingen true eller false. Värdet beror på ditt specifika regelvillkor som baseras på om åtkomstbegäran kommer från extranätet eller intranätet.
Konfigurera MFA globalt baserat på användarens enhetsdata
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Se till att ersätta <true_or_false> med antingen true eller false. Värdet beror på ditt specifika regelvillkor som baseras på om enheten är arbetsplats-ansluten eller inte.
Konfigurera MFA globalt om åtkomstbegäran kommer från extranätet och från en icke-arbetsplats ansluten enhet
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `
Note
Se till att ersätta båda instanserna av <true_or_false> med antingen true eller false, vilket beror på dina specifika regelvillkor. Regelvillkoren baseras på om enheten är arbetsplats-ansluten eller inte och om åtkomstbegäran kommer från extranätet eller intranätet.
Så här konfigurerar du MFA globalt om åtkomsten kommer från en extranätsanvändare som tillhör en viss grupp
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/
Note
Se till att ersätta <group_SID> med värdet för grupp-SID och <true_or_false> med antingen true eller false, vilket beror på ditt specifika regelvillkor som baseras på om åtkomstbegäran kommer från extranätet eller intranätet.
Bevilja åtkomst till ett program baserat på användardata via Windows PowerShell
Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Note
Se till att ersätta <relying_party_trust> med värdet för din relying party trust.
Kör följande kommando i samma Windows PowerShell-kommandofönster.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");" Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
Note
Se till att ersätta <group_SID> med värdet för SID för din AD-grupp.
Bevilja åtkomst till ett program som skyddas av AD FS endast om användarens identitet har verifierats med MFA
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Note
Se till att ersätta <relying_party_trust> med värdet för din relying party trust.
Kör följande kommando i samma Windows PowerShell-kommandofönster.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"PermitAccessWithMFA`" c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
Bevilja åtkomst till ett program som skyddas av AD FS endast om åtkomstbegäran kommer från en arbetsplatsansluten enhet som är registrerad på användaren
Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Note
Se till att ersätta <relying_party_trust> med värdet för din relying party trust.
- Kör följande kommando i samma Windows PowerShell-kommandofönster.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");
Bevilja åtkomst till ett program som skyddas av AD FS endast om åtkomstbegäran kommer från en arbetsplatsansluten enhet som är registrerad på en användare vars identitet har verifierats med MFA
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Note
Se till att ersätta <relying_party_trust> med värdet för din relying party trust.
Kör följande kommando i samma Windows PowerShell-kommandofönster.
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] && c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
Bevilja extranätsåtkomst till ett program som skyddas av AD FS endast om åtkomstbegäran kommer från en användare vars identitet har verifierats med MFA
- Öppna Windows PowerShell-kommandofönstret på federationsservern och kör följande kommando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Note
Se till att ersätta <relying_party_trust> med värdet för din relying party trust.
- Kör följande kommando i samma Windows PowerShell-kommandofönster.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"