Zabezpečení cloudových prostředků pomocí vícefaktorového ověřování Microsoft Entra a AD FS

  • Článek

Pokud je vaše organizace federovaná s Microsoft Entra ID, použijte vícefaktorové ověřování Microsoft Entra nebo Active Directory Federation Services (AD FS) (AD FS) k zabezpečení prostředků, ke kterým přistupuje Microsoft Entra ID. Pomocí následujících postupů můžete zabezpečit prostředky Microsoft Entra pomocí vícefaktorového ověřování Microsoftu nebo Active Directory Federation Services (AD FS).

Poznámka:

Nastavte nastavení domény federedIdpMfaBehavior na enforceMfaByFederatedIdp (doporučeno) nebo PodporujeMFA na $True. Nastavení federatedIdpMfaBehavior přepíše podporuMFA, pokud jsou obě nastavené.

Zabezpečení prostředků Microsoft Entra pomocí služby AD FS

K zabezpečení cloudových prostředků nastavte pravidlo deklarace identity tak, aby služba Active Directory Federation Services vyslala deklaraci identity multipleauthn, když uživatel úspěšně provede dvoustupňové ověření. Tato deklarace identity se předává do MICROSOFT Entra ID. Postupujte takto:

  1. Otevřete správu služby AD FS.

  2. Na levé straně vyberte Vztahy důvěryhodnosti předávající strany.

  3. Klikněte pravým tlačítkem na Platforma identit Microsoft Office 365 a vyberte Upravit pravidla deklarací identity.

    ADFS Console - Relying Party Trusts

  4. V pravidlech transformace vystavení klikněte na Přidat pravidlo.

    Editing Issuance Transform Rules

  5. V Průvodci přidáním pravidla – deklarace identity transformace vyberte v rozevíracím seznamu Předávat nebo filtrovat příchozí deklarace a klikněte na Další.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Pojmenujte pravidlo.

  7. Jako typ příchozí deklarace identity vyberte Odkazy na metody ověřování.

  8. Vyberte Předat všechny hodnoty deklarace identity.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Klikněte na Finish (Dokončit). Uzavřete konzolu pro správu služby AD FS.

Důvěryhodné IP adresy pro federované uživatele

Důvěryhodné IP adresy umožňují správcům obejít dvoustupňové ověřování pro konkrétní IP adresy nebo pro federované uživatele, kteří mají požadavky pocházející ze svého vlastního intranetu. Následující části popisují, jak nakonfigurovat obejití pomocí důvěryhodných IP adres. Toho dosáhnete pomocí konfigurace služby AD FS pro používání průchodu nebo filtru příchozí šablony deklarace identity pomocí typu deklarace identity uvnitř podnikové sítě.

Tento příklad používá Microsoft 365 pro vztahy důvěryhodnosti předávající strany.

Konfigurace pravidel deklarací identity služby AD FS

První věc, kterou je potřeba udělat, je konfigurace deklarací identity služby AD FS. Vytvořte dvě pravidla deklarace identity: jedno pro typ deklarace identity uvnitř podnikové sítě a druhé pro zachování přihlášení uživatelů.

  1. Otevřete správu služby AD FS.

  2. Na levé straně vyberte Vztahy důvěryhodnosti předávající strany.

  3. Klikněte pravým tlačítkem na Platforma identit Microsoft Office 365 a vyberte Upravit pravidla deklarací identity.

    ADFS Console - Edit Claim Rules

  4. V pravidlech transformace vystavení klikněte na Přidat pravidlo.

    Adding a Claim Rule

  5. V Průvodci přidáním pravidla – deklarace identity transformace vyberte v rozevíracím seznamu Předávat nebo filtrovat příchozí deklarace a klikněte na Další.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. Do pole vedle názvu pravidla deklarace identity zadejte název pravidla. Příklad: InsideCorpNet.

  7. V rozevíracím seznamu vedle Typ příchozí deklarace vyberte Uvnitř podnikové sítě.

    Adding Inside Corporate Network claim

  8. Klikněte na Finish (Dokončit).

  9. V pravidlech transformace vystavení klikněte na Přidat pravidlo.

  10. V Průvodci přidáním pravidla – deklarace identity transformace vyberte Odesílat deklarace pomocí vlastního pravidla v rozevíracím seznamu a klikněte na Další.

  11. Do pole pod Název pravidla deklarace napište Nechat uživatele přihlášené.

  12. Do pole Vlastní pravidlo zadejte:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Klikněte na Finish (Dokončit).

  14. Klikněte na tlačítko Použit.

  15. Klikněte na OK.

  16. Zavřete správu služby AD FS.

Konfigurace vícefaktorového ověřování Microsoft Entra důvěryhodných IP adres s federovanými uživateli

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Teď, když máme vytvořené deklarace identity, můžeme nakonfigurovat důvěryhodné IP adresy.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte do pojmenovaných umístění podmíněného přístupu>.

  3. V okně Podmíněný přístup – Pojmenovaná umístění vyberte Konfigurovat důvěryhodné IP adresy MFA.

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. Na stránce Service Nastavení vyberte v části důvěryhodné IP adresy možnost Přeskočit vícefaktorové ověřování pro žádosti od federovaných uživatelů v mém intranetu.

  5. Klikněte na Uložit.

A je to! V tomto okamžiku by federovaní uživatelé Microsoftu 365 měli používat vícefaktorové ověřování jenom v případě, že deklarace identity pochází z externího podnikového intranetu.