Konfigurieren von AuthentifizierungsrichtlinienConfigure Authentication Policies

In AD FS werden in Windows Server 2012 R2 sowohl die Zugriffs Steuerung als auch der Authentifizierungsmechanismus durch mehrere Faktoren erweitert, die Benutzer-, Geräte-, Standort-und Authentifizierungsdaten umfassen.In AD FS, in Windows Server 2012 R2, both access control and the authentication mechanism are enhanced with multiple factors that include user, device, location, and authentication data. Diese Verbesserungen ermöglichen es Ihnen, entweder über die Benutzeroberfläche oder über Windows PowerShell zu verwalten, das Risiko zu gewähren, - dass AD FS gesicherten Anwendungen über die mehrstufige - Zugriffs Steuerung und die mehrstufige Authentifizierung, die - auf der Benutzeridentität oder Gruppenmitgliedschaft, dem Netzwerk Speicherort, den Gerätedaten, die mit dem Arbeitsplatz - verbunden sind, - ( ) Zugriffsberechtigungen gewährt werden.These enhancements enable you, either through the user interface or through Windows PowerShell, to manage the risk of granting access permissions to AD FS-secured applications via multi-factor access control and multi-factor authentication that are based on user identity or group membership, network location, device data that is workplace-joined, and the authentication state when multi-factor authentication (MFA) was performed.

Weitere Informationen zu MFA und zur mehrstufigen - Zugriffs Steuerung in Active Directory-Verbunddienste (AD FS) ( AD FS ) in Windows Server 2012 R2 finden Sie in den folgenden Themen:For more information about MFA and multi-factor access control in Active Directory Federation Services (AD FS) in Windows Server 2012 R2 , see the following topics:

Konfigurieren von Authentifizierungs Richtlinien über das Snap-in "AD FS-Verwaltung" -Configure authentication policies via the AD FS Management snap-in

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe auf dem lokalen Computer sein, um diese Verfahren ausführen zu können.Membership in Administrators, or equivalent, on the local computer is the minimum requirement to complete these procedures. Ausführliche Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter lokale und Domänen Standard Gruppen.Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.

In AD FS können Sie in Windows Server 2012 R2 eine Authentifizierungs Richtlinie in einem globalen Bereich angeben, die für alle von AD FS gesicherten Anwendungen und Dienste gilt.In AD FS, in Windows Server 2012 R2, you can specify an authentication policy at a global scope that is applicable to all applications and services that are secured by AD FS. Sie können auch Authentifizierungs Richtlinien für bestimmte Anwendungen und Dienste festlegen, die auf Vertrauens Stellungen von Vertrauens Stellungen basieren und durch AD FS gesichert werden.You can also set authentication policies for specific applications and services that rely on party trusts and are secured by AD FS. Wenn eine Authentifizierungs Richtlinie für eine bestimmte Anwendung pro Vertrauensstellung der vertrauenden Seite angegeben wird, wird die globale Authentifizierungs Richtlinie nicht überschrieben.Specifying an authentication policy for a particular application per relying party trust does not override the global authentication policy. Wenn die Authentifizierungs Richtlinie für globale oder pro Vertrauensstellung der vertrauenden Seite MFA erfordert, wird MFA ausgelöst, wenn der Benutzer versucht, sich bei dieser Vertrauensstellung der vertrauenden Seite zu authentifizieren.If either global or per relying party trust authentication policy requires MFA, MFA is triggered when the user tries to authenticate to this relying party trust. Die globale Authentifizierungs Richtlinie ist ein Fall Back für die Vertrauens Stellungen der vertrauenden Seite für Anwendungen und Dienste, die nicht über eine bestimmte konfigurierte Authentifizierungs Richtlinie verfügen.The global authentication policy is a fallback for relying party trusts for applications and services that do not have a specific configured authentication policy.

So konfigurieren Sie die primäre Authentifizierung Global in Windows Server 2012 R2To configure primary authentication globally in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.In Server Manager, click Tools, and then select AD FS Management.

  2. Klicken Sie in AD FS Snap - in auf Authentifizierungs Richtlinien.In AD FS snap-in, click Authentication Policies.

  3. Klicken Sie im Abschnitt primäre Authentifizierung neben globale Einstellungen auf Bearbeiten .In the Primary Authentication section, click Edit next to Global Settings. Sie können auch mit der rechten - Maustaste auf Authentifizierungs Richtlinien klicken und globale primäre Authentifizierung bearbeiten auswählen, oder wählen Sie im Bereich Aktionen die Option globale primäre Authentifizierung bearbeiten aus.You can also right-click Authentication Policies, and select Edit Global Primary Authentication, or, under the Actions pane, select Edit Global Primary Authentication. Screenshot, der die Option globale primäre Authentifizierung bearbeiten hervorhebtScreenshot that highlights Edit Global Primary Authentication option.

  4. Im Fenster Globale Authentifizierungs Richtlinie bearbeiten auf der Registerkarte primär können Sie die folgenden Einstellungen als Teil der globalen Authentifizierungs Richtlinie konfigurieren:In the Edit Global Authentication Policy window, on the Primary tab, you can configure the following settings as part of the global authentication policy:

So konfigurieren Sie die primäre Authentifizierung pro Vertrauender SeiteTo configure primary authentication per relying party trust

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.In Server Manager, click Tools, and then select AD FS Management.

  2. Klicken Sie in AD FS Snap- - in auf Authentifizierungs Richtlinien \ pro Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf die Vertrauensstellung der vertrauenden Seite, für die Sie Authentifizierungs Richtlinien konfigurieren möchten.In AD FS snap-in, click Authentication Policies\Per Relying Party Trust, and then click the relying party trust for which you want to configure authentication policies.

  3. Klicken Sie - mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, für die Sie Authentifizierungs Richtlinien konfigurieren möchten, und wählen Sie dann benutzerdefinierte primäre Authentifizierung bearbeiten aus, oder wählen Sie im Bereich Aktionen die Option benutzerdefinierte primäre Authentifizierung bearbeiten aus.Either right-click the relying party trust for which you want to configure authentication policies, and then select Edit Custom Primary Authentication, or, under the Actions pane, select Edit Custom Primary Authentication. Screenshot, der die Menüoption "benutzerdefinierte primäre Authentifizierung bearbeiten" hervorhebtScreenshot that highlights the Edit Custom Primary Authentication menu option.

  4. Im Fenster " Authentifizierungs Richtlinie für <Vertrauensstellung der _ vertrauenden Seite bearbeiten" _ _> auf der Registerkarte " primär " können Sie die folgende Einstellung als Teil der Authentifizierungs Richtlinie für die Vertrauensstellung der vertrauenden Seite konfigurieren:In the Edit Authentication Policy for <relying_party_trust_name> window, under the Primary tab, you can configure the following setting as part of the Per Relying Party Trust authentication policy:

    • Ob Benutzer jedes Mal, wenn Sie sich über die Benutzer anmelden müssen, Ihre Anmelde Informationen angeben müssen - , müssen bei jedem - Anmeldevorgang Ihre Anmelde Informationen eingeben.Whether users are required to provide their credentials each time at sign-in via the Users are required to provide their credentials each time at sign-in check box. Screenshot, der zeigt, wie Sie Einstellungen als Teil der Authentifizierungs Richtlinie für die Vertrauensstellung der vertrauenden Seite konfigurieren.Screenshot that shows how to configure settings as part of the Per Relying Party Trust authentication policy.

So konfigurieren Sie die Multi-Factor Authentication GlobalTo configure multi-factor authentication globally

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.In Server Manager, click Tools, and then select AD FS Management.

  2. Klicken Sie in AD FS Snap - in auf Authentifizierungs Richtlinien.In AD FS snap-in, click Authentication Policies.

  3. Klicken Sie im Abschnitt Multi- - Factor Authentication neben globale Einstellungen auf Bearbeiten .In the Multi-factor Authentication section, click Edit next to Global Settings. Sie können auch mit der rechten - Maustaste auf Authentifizierungs Richtlinien klicken und globale Multi- - Factor Authentication bearbeiten auswählen, oder wählen Sie im Bereich Aktionen die Option globale mehrstufige - Authentifizierung bearbeiten aus.You can also right-click Authentication Policies, and select Edit Global Multi-factor Authentication, or, under the Actions pane, select Edit Global Multi-factor Authentication. Screenshot, der die Option "globale Multi-Factor Authentication bearbeiten" hervorhebt -Screenshot that highlights the Edit Global Multi-factor Authentication option.

  4. Im Fenster Globale Authentifizierungs Richtlinie bearbeiten können Sie die folgenden Einstellungen auf der Registerkarte Multi- - Factor Authentication als Teil der globalen Multi- - Factor Authentication-Richtlinie konfigurieren:In the Edit Global Authentication Policy window, under the Multi-factor tab, you can configure the following settings as part of the global multi-factor authentication policy:

    • Einstellungen oder Bedingungen für MFA über verfügbare Optionen in den Abschnitten Benutzer / Gruppen, Geräte und Standorte .Settings or conditions for MFA via available options under the Users/Groups, Devices, and Locations sections.

    • Wenn Sie MFA für eine dieser Einstellungen aktivieren möchten, müssen Sie mindestens eine zusätzliche Authentifizierungsmethode auswählen.To enable MFA for any of these settings, you must select at least one additional authentication method. Die Standardoption Zertifikat Authentifizierung ist die Standardoption.Certificate Authentication is the default available option. Sie können auch andere benutzerdefinierte zusätzliche Authentifizierungsmethoden konfigurieren, z. b. Windows Azure Active Authentication.You can also configure other custom additional authentication methods, for example, Windows Azure Active Authentication. Weitere Informationen finden Sie unter Exemplarische Vorgehensweise : Verwalten von Risiken mit zusätzlichen Multi-Factor Authentication für sensible Anwendungen.For more information, see Walkthrough Guide: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications.

Warnung

Sie können nur zusätzliche Authentifizierungsmethoden Global konfigurieren.You can only configure additional authentication methods globally. Authentifizierungs Richtlinienauth policies

So konfigurieren Sie die mehrstufige - Authentifizierung pro Vertrauensstellung der vertrauenden SeiteTo configure multi-factor authentication per relying party trust

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.In Server Manager, click Tools, and then select AD FS Management.

  2. Klicken Sie in AD FS Snap- - in auf Authentifizierungs Richtlinien \ pro Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf die Vertrauensstellung der vertrauenden Seite, für die Sie MFA konfigurieren möchten.In AD FS snap-in, click Authentication Policies\Per Relying Party Trust, and then click the relying party trust for which you want to configure MFA.

  3. Klicken Sie entweder - mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, für die Sie die MFA konfigurieren möchten, und wählen Sie dann benutzerdefinierte mehrstufige - Authentifizierung bearbeiten aus, oder wählen Sie im Bereich Aktionen die Option benutzerdefinierte mehrstufige - Authentifizierung bearbeitenEither right-click the relying party trust for which you want to configure MFA, and then select Edit Custom Multi-factor Authentication, or, under the Actions pane, select Edit Custom Multi-factor Authentication.

  4. Im Fenster " Authentifizierungs Richtlinie für <Vertrauensstellung der _ vertrauenden Seite bearbeiten" _ _> auf der Registerkarte " Multi- - Factor " können Sie die folgenden Einstellungen als Teil der Authentifizierungs Richtlinie "pro Vertrauensstellung der - vertrauenden Seite" konfigurieren:In the Edit Authentication Policy for <relying_party_trust_name> window, under the Multi-factor tab, you can configure the following settings as part of the per-relying party trust authentication policy:

    • Einstellungen oder Bedingungen für MFA über verfügbare Optionen in den Abschnitten Benutzer / Gruppen, Geräte und Standorte .Settings or conditions for MFA via available options under the Users/Groups, Devices, and Locations sections.

Konfigurieren von Authentifizierungs Richtlinien über Windows PowerShellConfigure authentication policies via Windows PowerShell

Windows PowerShell ermöglicht mehr Flexibilität bei der Verwendung verschiedener Zugriffs Steuerungs Faktoren und des in AD FS in Windows Server 2012 R2 verfügbaren Authentifizierungsmechanismus zum Konfigurieren von Authentifizierungs Richtlinien und Autorisierungs Regeln, die für die Implementierung des echten bedingten Zugriffs für Ihre AD FS - gesicherten Ressourcen erforderlich sind.Windows PowerShell enables greater flexibility in using various factors of access control and the authentication mechanism that are available in AD FS in Windows Server 2012 R2 to configure authentication policies and authorization rules that are necessary to implement true conditional access for your AD FS -secured resources.

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe auf dem lokalen Computer sein, um diese Verfahren ausführen zu können.Membership in Administrators, or equivalent, on the local computer is the minimum requirement to complete these procedures. Ausführliche Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter lokale und Domänen Standard Gruppen ( http: / / go.Microsoft.com / swlink / ? LinkId = 83477 ) .Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups (http://go.microsoft.com/fwlink/?LinkId=83477).

So konfigurieren Sie eine zusätzliche Authentifizierungsmethode über Windows PowerShellTo configure an additional authentication method via Windows PowerShell

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

Warnung

Mit dem Befehl Get-AdfsGlobalAuthenticationPolicy können Sie überprüfen, ob der oben angegebene Befehl erfolgreich ausgeführt wurde.To verify that this command ran successfully, you can run the Get-AdfsGlobalAuthenticationPolicy command.

So konfigurieren Sie die MFA pro - Vertrauensstellung der vertrauenden Seite, die auf den Gruppen Mitgliedschafts Daten eines Benutzers basiertTo configure MFA per-relying party trust that is based on a user's group membership data

  1. Öffnen Sie auf dem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus:On your federation server, open the Windows PowerShell command window and run the following command:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Warnung

Ersetzen Sie <_>Vertrauensstellung der _ vertrauenden Seite durch den Namen Ihrer Vertrauensstellung der vertrauenden Seite.Ensure to replace <relying_party_trust> with the name of your relying party trust.

  1. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.In the same Windows PowerShell command window, run the following command.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

Hinweis

Stellen Sie sicher, dass Sie <Gruppen- _ sid-> durch den Wert der sicherheitsbezeichnersid ( ) der Active Directory ( AD-Gruppe ersetzen ) .Ensure to replace <group_SID> with the value of the security identifier (SID) of your Active Directory (AD) group.

So konfigurieren Sie die MFA Global basierend auf den Gruppen Mitgliedschafts Daten der BenutzerTo configure MFA globally based on users' group membership data

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Hinweis

Stellen Sie sicher, dass <Gruppen- _ sid-> durch den Wert der SID der Ad-Gruppe ersetzt wird.Ensure to replace <group_SID> with the value of the SID of your AD group.

So konfigurieren Sie die MFA Global basierend auf dem Speicherort des BenutzersTo configure MFA globally based on user's location

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Hinweis

Stellen Sie sicher, dass Sie <true- _ oder _ false-> entweder durch oder ersetzen true false .Ensure to replace <true_or_false> with either true or false. Der Wert hängt von ihrer speziellen Regel Bedingung ab, die darauf basiert, ob die Zugriffs Anforderung aus dem Extranet oder dem Intranet stammt.The value depends on your specific rule condition that is based on whether the access request comes from the extranet or the intranet.

So konfigurieren Sie die MFA Global basierend auf den Gerätedaten des BenutzersTo configure MFA globally based on user's device data

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Hinweis

Stellen Sie sicher, dass Sie <true- _ oder _ false-> entweder durch oder ersetzen true false .Ensure to replace <true_or_false> with either true or false. Der Wert hängt von ihrer speziellen Regel Bedingung ab, die darauf basiert, ob das Gerät dem Arbeitsplatz - beigetreten ist oder nicht.The value depends on your specific rule condition that is based on whether the device is workplace-joined or not.

So konfigurieren Sie die MFA Global, wenn die Zugriffs Anforderung aus dem Extranet und einem nicht mit dem - Arbeitsplatz - verbundenen Gerät stammtTo configure MFA globally if the access request comes from the extranet and from a non-workplace-joined device

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

Hinweis

Stellen Sie sicher, dass beide Instanzen von <"true" oder "false" _ _> entweder durch true oder ersetzt false werden. Dies hängt von den jeweiligen Regel Bedingungen ab.Ensure to replace both instances of <true_or_false> with either true or false, which depends on your specific rule conditions. Die Regel Bedingungen basieren darauf, ob das Gerät dem Arbeitsplatz - beigetreten ist oder nicht, und ob die Zugriffs Anforderung aus dem Extranet oder Intranet stammt.The rule conditions are based on whether the device is workplace-joined or not and whether the access request comes from the extranet or intranet.

So konfigurieren Sie die MFA Global, wenn der Zugriff von einem Extranet-Benutzer stammt, der zu einer bestimmten Gruppe gehörtTo configure MFA globally if access comes from an extranet user that belongs to a certain group

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

Hinweis

Stellen Sie sicher, dass <Gruppen- _ sid-> durch den Wert der Gruppen-SID und <true _ oder _ false> entweder durch true oder ersetzt false wird. Dies hängt von der jeweiligen Regel Bedingung ab, die darauf basiert, ob die Zugriffs Anforderung aus dem Extranet oder Intranet stammt.Ensure to replace <group_SID> with the value of the group SID and <true_or_false> with either true or false, which depends on your specific rule condition that is based on whether the access request comes from the extranet or intranet.

So gewähren Sie Zugriff auf eine Anwendung auf der Grundlage von Benutzerdaten über Windows PowerShellTo grant access to an application based on user data via Windows PowerShell

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Hinweis

Stellen Sie sicher, dass Sie <Vertrauensstellung der _ _>vertrauenden Seite durch den Wert ihrer Vertrauensstellung der vertrauenden Seite ersetzenEnsure to replace <relying_party_trust> with the value of your relying party trust.

  1. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.In the same Windows PowerShell command window, run the following command.

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

Hinweis

Stellen Sie sicher, dass <Gruppen- _ sid-> durch den Wert der SID der Ad-Gruppe ersetzt wird.Ensure to replace <group_SID> with the value of the SID of your AD group.

So gewähren Sie Zugriff auf eine Anwendung, die durch AD FS geschützt ist, wenn die Identität dieses Benutzers mit MFA überprüft wurdeTo grant access to an application that is secured by AD FS only if this user's identity was validated with MFA

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Hinweis

Stellen Sie sicher, dass Sie <Vertrauensstellung der _ _>vertrauenden Seite durch den Wert ihrer Vertrauensstellung der vertrauenden Seite ersetzenEnsure to replace <relying_party_trust> with the value of your relying party trust.

  1. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.In the same Windows PowerShell command window, run the following command.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

Um Zugriff auf eine Anwendung zu gewähren, die durch AD FS geschützt ist, wenn die Zugriffs Anforderung von einem - mit dem Arbeitsplatz verbundenen Gerät stammt, das für den Benutzer registriert ist.To grant access to an application that is secured by AD FS only if the access request comes from a workplace-joined device that is registered to the user

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Hinweis

Stellen Sie sicher, dass Sie <Vertrauensstellung der _ _>vertrauenden Seite durch den Wert ihrer Vertrauensstellung der vertrauenden Seite ersetzenEnsure to replace <relying_party_trust> with the value of your relying party trust.

  1. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.In the same Windows PowerShell command window, run the following command.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

Um Zugriff auf eine Anwendung zu gewähren, die durch AD FS geschützt ist, wenn die Zugriffs Anforderung von einem mit dem Arbeitsplatz - verbundenen Gerät stammt, das für einen Benutzer registriert ist, dessen Identität mit der MFA bestätigt wurde.To grant access to an application that is secured by AD FS only if the access request comes from a workplace-joined device that is registered to a user whose identity has been validated with MFA

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Hinweis

Stellen Sie sicher, dass Sie <Vertrauensstellung der _ _>vertrauenden Seite durch den Wert ihrer Vertrauensstellung der vertrauenden Seite ersetzenEnsure to replace <relying_party_trust> with the value of your relying party trust.

  1. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.In the same Windows PowerShell command window, run the following command.

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

Zum Gewähren von Extranetzugriff auf eine durch AD FS gesicherte Anwendung nur dann, wenn die Zugriffs Anforderung von einem Benutzer stammt, dessen Identität mit der MFA bestätigt wurde.To grant extranet access to an application secured by AD FS only if the access request comes from a user whose identity has been validated with MFA

  1. Öffnen Sie auf dem Verbund Server das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.On your federation server, open the Windows PowerShell command window and run the following command.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Hinweis

Stellen Sie sicher, dass Sie <Vertrauensstellung der _ _>vertrauenden Seite durch den Wert ihrer Vertrauensstellung der vertrauenden Seite ersetzenEnsure to replace <relying_party_trust> with the value of your relying party trust.

  1. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus.In the same Windows PowerShell command window, run the following command.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

Weitere VerweiseAdditional references

AD FS-VorgängeAD FS Operations