Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Konfigurowanie zasad uwierzytelniania

Bill Mathers|Ostatnia aktualizacja: 10.03.2017
|
1 Współautor

Dotyczy: Windows Server 2012 R2

W usługach AD FS w systemie Windows Server 2012 R2 zarówno kontroli dostępu i mechanizmu uwierzytelniania są rozszerzone o wiele czynników, które zawierają dane użytkownika, urządzenia, lokalizacji i uwierzytelniania. Rozszerzenia te pozwalają, za pomocą interfejsu użytkownika lub za pomocą środowiska Windows PowerShell do zarządzania ryzyko udzielanie uprawnień dostępu do usług AD FS-zabezpieczone aplikacje za pomocą wielu-współczynnika kontroli dostępu i wiele-MFA, które są oparte na użytkownika tożsamości lub członkostwo w grupie, lokalizacji sieciowej, danych urządzenia, który jest w miejscu pracy-przyłączony, i uwierzytelnianie stan, kiedy multi-MFA (MFA) została wykonana.

Aby uzyskać więcej informacji o MFA i wiele-współczynnika kontroli dostępu w Active Directory Federation Services (usług AD FS) w systemie Windows Server 2012 R2, zobacz następujące tematy:

Konfigurowanie zasad uwierzytelniania za pomocą przystawki usługi AD FS zarządzania-w

Członkostwo w grupie Administratorzy, lub równoważnej na komputerze lokalnym jest minimalnym wymaganiem do wykonania tych procedur. Szczegółowe informacje na temat używania odpowiednich kont i członkostwa w grupach grupy domyślne w domenie i lokalne.

W usługach AD FS w systemie Windows Server 2012 R2 można określić zasady uwierzytelniania w zakresie globalnym, który ma zastosowanie do wszystkich aplikacji i usług, które są zabezpieczone przez usługi AD FS. Można także ustawić zasady uwierzytelniania dla określonych aplikacji i usług, które polegają na relacjami zaufania jednostek zależnych i są zabezpieczane przez usługi AD FS. Określenie zasad uwierzytelniania dla konkretnej aplikacji na jednostki uzależnionej zaufania nie powoduje zastąpienia globalnych zasad uwierzytelniania. Jeśli globalnego lub na jednostki uzależnionej zaufanie zasady uwierzytelniania wymagają MFA, uwierzytelnianie Wieloskładnikowe jest wyzwalane, gdy użytkownik próbuje uwierzytelnić tego zaufania jednostki uzależnionej. Globalne zasady uwierzytelniania jest rezerwowych dla jednostki uzależnionej zaufania strony dla aplikacji i usług, które nie mają określonego uwierzytelniania skonfigurowanego zasad.

Aby skonfigurować uwierzytelniania podstawowego globalnie w systemie Windows Server 2012 R2

  1. W Menedżerze serwera kliknij narzędzia, a następnie wybierz pozycję usługi AD FS zarządzania.

  2. W usługach AD FS przyciąganie-, kliknij przycisk zasady uwierzytelniania.

  3. W uwierzytelniania podstawowego kliknij pozycję edytować obok pozycji ustawienia globalne. Również prawym przyciskiem myszy-kliknij zasady uwierzytelnianiai wybierz Edytuj globalne uwierzytelniania podstawowego, lub w obszarze akcje wybierz opcję Edytuj globalne uwierzytelniania podstawowego.
    Zasady autoryzacji

  4. W Edytuj globalne zasady uwierzytelniania okno na podstawowego kartę, w ramach globalnych zasad uwierzytelniania można skonfigurować następujące ustawienia:

Aby skonfigurować uwierzytelniania podstawowego na jednostki uzależnionej zaufania

  1. W Menedżerze serwera kliknij narzędzia, a następnie wybierz pozycję usługi AD FS zarządzania.

  2. W usługach AD FS przyciąganie-, kliknij przycisk zasady uwierzytelniania\na polegania zaufanie, a następnie kliknij przycisk zaufania jednostki uzależnionej dla której chcesz skonfigurować zasady uwierzytelniania.

  3. Albo prawo-kliknij przycisk zaufania jednostki uzależnionej dla której chcesz skonfigurować zasady uwierzytelniania, a następnie wybierz Edytowanie niestandardowego uwierzytelniania podstawowego, lub w obszarze akcje wybierz opcję Edytowanie niestandardowego uwierzytelniania podstawowego.
    Zasady autoryzacji

  4. W Edytuj zasady uwierzytelniania dla < jednostki uzależnionej_strona_zaufania_nazwa > okna, w obszarze podstawowego karcie, można skonfigurować następujące ustawienia jako część na polegania zaufanie zasady uwierzytelniania:

    • Czy użytkownicy muszą podawać swoich poświadczeń każdorazowo podczas logowania-w za pośrednictwem użytkownicy muszą podawać swoich poświadczeń każdorazowo podczas logowania-w pole wyboru.
      Zasady autoryzacji

Aby skonfigurować uwierzytelnianie wieloskładnikowe globalny

  1. W Menedżerze serwera kliknij narzędzia, a następnie wybierz pozycję usługi AD FS zarządzania.

  2. W usługach AD FS przyciąganie-, kliknij przycisk zasady uwierzytelniania.

  3. W Multi-uwierzytelniania dwuskładnikowego kliknij pozycję edytować obok pozycji ustawienia globalne. Również prawym przyciskiem myszy-kliknij zasady uwierzytelnianiai wybierz Edytuj globalne Multi-uwierzytelniania dwuskładnikowego, lub w obszarze akcje wybierz opcję Edytuj globalne Multi-uwierzytelniania dwuskładnikowego.
    Zasady autoryzacji

  4. W Edytuj globalne zasady uwierzytelniania okna, w obszarze Multi-współczynnik karcie, można skonfigurować następujące ustawienia w ramach globalnych multi-zasady uwierzytelniania dwuetapowego:

Ostrzeżenie

Można skonfigurować tylko dodatkowych metod uwierzytelniania w globalnie.
Zasady autoryzacji

Aby skonfigurować multi-uwierzytelniania na jednostki uzależnionej zaufania

  1. W Menedżerze serwera kliknij narzędzia, a następnie wybierz pozycję usługi AD FS zarządzania.

  2. W usługach AD FS przyciąganie-, kliknij przycisk zasady uwierzytelniania\na polegania zaufanie, a następnie kliknij przycisk zaufania jednostki uzależnionej dla której chcesz skonfigurować uwierzytelnianie Wieloskładnikowe.

  3. Albo prawo-kliknij przycisk zaufania jednostki uzależnionej dla której chcesz skonfigurować uwierzytelnianie Wieloskładnikowe, a następnie wybierz edytować wiele niestandardowych-uwierzytelniania dwuskładnikowego, lub w obszarze akcje wybierz opcję edytować wiele niestandardowych-uwierzytelniania dwuskładnikowego.

  4. W Edytuj zasady uwierzytelniania dla < jednostki uzależnionej_strona_zaufania_nazwa > okna, w obszarze Multi-współczynnik karcie, można skonfigurować następujące ustawienia jako część na-jednostki uzależnionej zasady uwierzytelniania zaufania firmy:

    • Ustawienia lub warunki MFA za pomocą opcji dostępnych w obszarze użytkowników\/grup, urządzenia, i lokalizacje sekcje.

Konfigurowanie zasad uwierzytelniania za pomocą środowiska Windows PowerShell

Windows PowerShell umożliwia większą elastyczność przy użyciu różnych czynników kontroli dostępu i zasady mechanizmu uwierzytelniania, które są dostępne w usługach AD FS w systemie Windows Server 2012 R2 skonfigurować zasady uwierzytelniania i autoryzacji, które są potrzebne do zaimplementowania true dostępu warunkowego dla programu AD FS -zabezpieczone zasoby.

Członkostwo w grupie Administratorzy lub równoważnej na komputerze lokalnym jest minimalnym wymaganiem do wykonania tych procedur. Szczegółowe informacje na temat używania odpowiednich kont i członkostwa w grupach grupy domyślne w domenie i lokalne(http:\/\/go.microsoft.com\/fwlink\/? LinkId=83477).

Aby skonfigurować dodatkową metodę uwierzytelniania za pomocą środowiska Windows PowerShell

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `
Ostrzeżenie

Aby sprawdzić, czy to polecenie zadziałało poprawnie, można uruchomić Get-AdfsGlobalAuthenticationPolicypolecenia.

Aby skonfigurować uwierzytelnianie Wieloskładnikowe na-zaufania jednostki uzależnionej opartego na danych członkostwa grupy użytkownika

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`  
Ostrzeżenie

Upewnij się, aby zastąpić < jednostki uzależnionej_strona_zaufania > z nazwą użytkownika zaufania jednostki uzależnionej.

  1. W tym samym oknie poleceń programu Windows PowerShell uruchom następujące polecenie.
$MfaClaimRule = "c: [typu ==" "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid" ", wartość = ~" "$^(?i) < group_SID >" "] = > problem (typ =" "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod" ", wartość" "http://schemas.microsoft.com/claims/multipleauthn" ");" 

Set-AdfsRelyingPartyTrust — TargetRelyingParty $rp — AdditionalAuthenticationRules $MfaClaimRule
Uwaga

Upewnij się, aby zastąpić < grupy_identyfikatora SID > z wartością identyfikatora zabezpieczeń (identyfikatora SID) usługi Active Directory (AD) grupy.

Aby skonfigurować uwierzytelnianie Wieloskładnikowe globalny oparte na danych członkostwa grupy użytkowników

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
$MfaClaimRule = "c: [typu ==" "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid" ", wartość ==" "group_SID" "]  
 = > problem (typ = "" http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod "", wartość = "" http://schemas.microsoft.com/claims/multipleauthn ""); "  

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule  
Uwaga

Upewnij się, aby zastąpić < grupy_identyfikatora SID > z wartością identyfikatora SID grupy AD.

Aby skonfigurować uwierzytelnianie Wieloskładnikowe globalny na podstawie lokalizacji użytkownika

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
$MfaClaimRule = "c: [typu ==" "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork" ", wartość ==" "true_or_false" "]  
 = > problem (typ = "" http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod "", wartość = "" http://schemas.microsoft.com/claims/multipleauthn ""); "  

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule  
Uwaga

Upewnij się, aby zastąpić < true_lub_false > z albo truelubfalse. Wartość zależy od określonej reguły warunku opartego na czy żądanie dostępu pochodzi z ekstranetu lub intranetu.

Aby skonfigurować uwierzytelnianie Wieloskładnikowe globalny oparte na danych urządzenia użytkownika

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
$MfaClaimRule = "c: [typu ==" "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser" ", wartość =="true_or_false""]  
 = > problem (typ = "" http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod "", wartość = "" http://schemas.microsoft.com/claims/multipleauthn ""); "  

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule  
Uwaga

Upewnij się, aby zastąpić < true_lub_false > z albo truelubfalse. Wartość zależy od określonej reguły warunku opartego na czy urządzenie jest obszar roboczy-sprzężone lub nie.

Aby skonfigurować uwierzytelnianie Wieloskładnikowe globalnie, jeśli żądanie dostępu pochodzi z ekstranetu z bez-pracy-dołączonym do urządzenia

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"http://schemas.microsoft.com/claims/multipleauthn'");" ` 
Uwaga

Upewnij się, aby zastąpić oba wystąpienia < true_lub_false > z albo truelub false, która jest zależna od warunki określonej reguły. Warunki reguły zależą od tego, czy urządzenie jest obszar roboczy-przyłączony lub nie oraz tego, czy żądanie dostępu pochodzi z ekstranetu lub w sieci intranet.

Aby skonfigurować uwierzytelnianie Wieloskładnikowe globalnie, jeśli dostępu pochodzi z ekstranetu użytkownika, który należy do określonej grupy

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
Set-AdfsAdditionalAuthenticationRule "c: [typu == `"http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", wartość == `"group_SID`"] & & c2: [typu == `"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", wartość == `"true_or_false`"] = > problem (typ = `"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", wartość = "" http://schemas.microsoft.com/claims/
Uwaga

Upewnij się, aby zastąpić < grupy_identyfikatora SID > z wartością identyfikatora SID grupy i < true_lub_false > z albo truelub false, która jest zależna od określonej reguły warunku opartego na czy żądanie dostępu pochodzi z ekstranetu lub w sieci intranet.

Aby udzielić dostępu do aplikacji opartej na danych użytkownika za pomocą środowiska Windows PowerShell

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust  
    
Uwaga

Upewnij się, aby zastąpić < jednostki uzależnionej_strona_zaufania > z wartością Twojego zaufania jednostki uzależnionej.

  1. W tym samym oknie poleceń programu Windows PowerShell uruchom następujące polecenie.

    
      $GroupAuthzRule = "@RuleTemplate = `“Authorization`” @RuleName = `"Foo`" c:[Type == `"http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"http://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"  
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule  
    
Uwaga

Upewnij się, aby zastąpić < grupy_identyfikatora SID > z wartością identyfikatora SID grupy AD.

Aby udzielić dostępu do aplikacji, która jest zabezpieczony przez usługi AD FS tylko wtedy, gdy tożsamość użytkownika został zweryfikowany MFA

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust ` 
Uwaga

Upewnij się, aby zastąpić < jednostki uzależnionej_strona_zaufania > z wartością Twojego zaufania jednostki uzależnionej.

  1. W tym samym oknie poleceń programu Windows PowerShell uruchom następujące polecenie.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"  
    @RuleName = `"PermitAccessWithMFA`"  
    c:[Type == `"http://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = ‘“PermitUsersWithClaim’");"  
    

Aby udzielić dostępu do aplikacji, która jest zabezpieczony przez usługi AD FS tylko wtedy, gdy dostęp żądanie pochodzi z pracy-dołączonym do urządzenia, które jest zarejestrowany użytkownik

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust  
    
Uwaga

Upewnij się, aby zastąpić < jednostki uzależnionej_strona_zaufania > z wartością Twojego zaufania jednostki uzależnionej.

  1. W tym samym oknie poleceń programu Windows PowerShell uruchom następujące polecenie.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"  
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"  
c: [typu == `"http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", wartość = ~ `"^(?i)true$`"] = > problem (typ = `"http://schemas.microsoft.com/authorization/claims/permit`", wartość = `"PermitUsersWithClaim`");  

Aby udzielić dostępu do aplikacji, która jest zabezpieczony przez usługi AD FS tylko wtedy, gdy dostęp żądanie pochodzi z pracy-dołączonym do urządzenia, która jest zarejestrowana dla użytkownika, którego tożsamość została zweryfikowana za pomocą usługi MFA

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust ` 
Uwaga

Upewnij się, aby zastąpić < jednostki uzależnionej_strona_zaufania > z wartością Twojego zaufania jednostki uzależnionej.

  1. W tym samym oknie poleceń programu Windows PowerShell uruchom następujące polecenie.

    $GroupAuthzRule = ‘@RuleTemplate = “Authorization”  
    @RuleName = “RequireMFAOnRegisteredWorkplaceJoinedDevice”  
    c1:[Type == `"http://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&  
    c2:[Type == `"http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$”] => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"  
    

Aby przyznać dostęp do aplikacji zabezpieczonej przez usługi AD FS tylko wtedy, gdy żądanie dostępu pochodzi od użytkownika, którego tożsamość została zweryfikowana za pomocą usługi MFA ekstranetu

  1. Na serwerze federacyjnym Otwórz okno poleceń programu Windows PowerShell i uruchom następujące polecenie.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`  
Uwaga

Upewnij się, aby zastąpić < jednostki uzależnionej_strona_zaufania > z wartością Twojego zaufania jednostki uzależnionej.

  1. W tym samym oknie poleceń programu Windows PowerShell uruchom następujące polecenie.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"  
@RuleName = `"RequireMFAForExtranetAccess`"  
C1: [typu == `"http://schemas.microsoft.com/claims/authnmethodsreferences`", wartość = ~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] & &  
C2: [typu == `"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", wartość = ~ `"^(?i)false$`"] = > problem (typ = `"http://schemas.microsoft.com/authorization/claims/permit`", wartość = `"PermitUsersWithClaim`"); "  

Dodatkowe informacje

Operacje w usługach AD FS

© 2017 Microsoft