Konfigurieren von Authentifizierungsrichtlinien

In AD FS werden in Windows Server 2012 R2 sowohl Zugriffssteuerung als auch der Authentifizierungsmechanismus mit mehreren Faktoren erweitert, die Benutzer-, Geräte-, Standort- und Authentifizierungsdaten umfassen. Mit diesen Verbesserungen können Sie entweder über die Benutzeroberfläche oder über Windows PowerShell das Risiko verwalten, Zugriffsberechtigungen für AD FS-gesicherte Anwendungen über mehrstufige Zugriffssteuerung und mehrstufige Authentifizierung zu gewähren, die auf Benutzeridentitäten oder Gruppenmitgliedschaft, Netzwerkstandort, Gerätedaten, die am Arbeitsplatz eingebunden sind, und den Authentifizierungszustand beim Ausführen der mehrstufigen Authentifizierung (MFA) durchführen.

Weitere Informationen zu MFA und mehrstufiger Zugriffssteuerung in Active Directory-Verbunddienste (AD FS) (AD FS) in Windows Server 2012 R2 finden Sie in den folgenden Themen:

Konfigurieren von Authentifizierungsrichtlinien über das AD FS-Verwaltungs-Snap-In

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe auf dem lokalen Computer sein, um diese Verfahren ausführen zu können. Überprüfen Sie Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften bei lokalen und Domänenstandardgruppen.

In AD FS können Sie in Windows Server 2012 R2 eine Authentifizierungsrichtlinie in einem globalen Bereich angeben, der für alle Anwendungen und Dienste gilt, die von AD FS gesichert sind. Sie können auch Authentifizierungsrichtlinien für bestimmte Anwendungen und Dienste festlegen, die auf Vertrauensstellungen von Parteien basieren und von AD FS gesichert werden. Wenn Sie eine Authentifizierungsrichtlinie für eine bestimmte Anwendung pro Vertrauensebene angeben, wird die globale Authentifizierungsrichtlinie nicht außer Kraft setzen. Wenn eine globale oder eine Vertrauensstellungsrichtlinie für vertrauende Parteien MFA erfordert, wird MFA ausgelöst, wenn der Benutzer versucht, sich bei dieser vertrauenden Partei zu authentifizieren. Die globale Authentifizierungsrichtlinie ist ein Fallback für Vertrauensebenen für Anwendungen und Dienste, die keine bestimmte konfigurierte Authentifizierungsrichtlinie haben.

So konfigurieren Sie die primäre Authentifizierung global in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie im AD FS-Snap-In auf Authentifizierungsrichtlinien.

  3. Klicken Sie im Abschnitt "Primäre Authentifizierung" auf "Bearbeiten" neben "Globale Einstellungen". Sie können auch mit der rechten Maustaste auf Authentifizierungsrichtlinien klicken, und wählen Sie " Globale Primäre Authentifizierung bearbeiten" aus, oder wählen Sie im Bereich "Aktionen " die Option "Globale Primäre Authentifizierung bearbeiten" aus. Screenshot that highlights Edit Global Primary Authentication option.

  4. Im Fenster "Globale Authentifizierungsrichtlinie bearbeiten " können Sie auf der Registerkarte "Primär " die folgenden Einstellungen als Teil der globalen Authentifizierungsrichtlinie konfigurieren:

So konfigurieren Sie die primäre Authentifizierung pro Vertrauen der vertrauenden Partei

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie im AD FS-Snap-In auf "AuthentifizierungsrichtlinienPer\ Vertrauen der Vertrauenden Partei vertrauen", und klicken Sie dann auf die Vertrauensstellung der vertrauenden Partei, für die Sie Authentifizierungsrichtlinien konfigurieren möchten.

  3. Klicken Sie entweder mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, für die Sie Authentifizierungsrichtlinien konfigurieren möchten, und wählen Sie dann " Benutzerdefinierte Primäre Authentifizierung bearbeiten" aus, oder wählen Sie im Bereich "Aktionen " die Option " Benutzerdefinierte Primäre Authentifizierung bearbeiten" aus. Screenshot that highlights the Edit Custom Primary Authentication menu option.

  4. Im Fenster "Authentifizierungsrichtlinie für <relying_party_trust_name> bearbeiten" können Sie unter der Registerkarte "Primär" die folgende Einstellung als Teil der Authentifizierungsrichtlinie für vertrauende Seiten konfigurieren:

    • Gibt an, ob Benutzer ihre Anmeldeinformationen jedes Mal bei der Anmeldung über die Benutzer angeben müssen, um ihre Anmeldeinformationen jedes Mal bei der Anmeldung anzugeben. Screenshot that shows how to configure settings as part of the Per Relying Party Trust authentication policy.

So konfigurieren Sie die mehrstufige Authentifizierung global

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie im AD FS-Snap-In auf Authentifizierungsrichtlinien.

  3. Klicken Sie im Abschnitt "Mehrstufige Authentifizierung" auf "Bearbeiten" neben "Globale Einstellungen". Sie können auch mit der rechten Maustaste auf Authentifizierungsrichtlinien klicken, und wählen Sie " Globale mehrstufige Authentifizierung bearbeiten" aus, oder wählen Sie im Bereich "Aktionen " die Option "Globale mehrstufige Authentifizierung bearbeiten" aus. Screenshot that highlights the Edit Global Multi-factor Authentication option.

  4. Im Fenster "Globale Authentifizierungsrichtlinie bearbeiten" können Sie unter der Registerkarte "Mehrstufige authentifizierung" die folgenden Einstellungen als Teil der globalen mehrstufigen Authentifizierungsrichtlinie konfigurieren:

    • Einstellungen oder Bedingungen für MFA über verfügbare Optionen unter den Abschnitten "Benutzer/Gruppen", "Geräte" und "Speicherorte".

    • Um MFA für eine dieser Einstellungen zu aktivieren, müssen Sie mindestens eine zusätzliche Authentifizierungsmethode auswählen. Die Zertifikatauthentifizierung ist die standard verfügbare Option. Sie können auch andere benutzerdefinierte zusätzliche Authentifizierungsmethoden konfigurieren, z. B. Windows Azure Active Authentication. Weitere Informationen finden Sie in der exemplarischen Anleitung: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen.

Warnung

Sie können nur zusätzliche Authentifizierungsmethoden global konfigurieren. auth policies

So konfigurieren Sie die mehrstufige Authentifizierung pro vertrauende Seite

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in AD FS-Snap-In auf "AuthentifizierungsrichtlinienPer\Vertrauen der Vertrauenden Partei vertrauen", und klicken Sie dann auf die Vertrauensstellung der vertrauenden Partei, für die Sie MFA konfigurieren möchten.

  3. Klicken Sie entweder mit der rechten Maustaste auf die Vertrauensebene, für die Sie MFA konfigurieren möchten, und wählen Sie dann " Benutzerdefinierte mehrstufige Authentifizierung bearbeiten" aus, oder wählen Sie im Bereich "Aktionen " die Option " Benutzerdefinierte mehrstufige Authentifizierung bearbeiten" aus.

  4. Im Fenster "Authentifizierungsrichtlinie für <relying_party_trust_name> bearbeiten" können Sie unter der Registerkarte "Mehrstufige" die folgenden Einstellungen als Teil der Vertrauensauthentifizierungsrichtlinie für vertrauende Parteien konfigurieren:

    • Einstellungen oder Bedingungen für MFA über verfügbare Optionen unter den Abschnitten "Benutzer/Gruppen", "Geräte" und "Speicherorte".

Konfigurieren von Authentifizierungsrichtlinien über Windows PowerShell

Windows PowerShell ermöglicht eine größere Flexibilität bei der Verwendung verschiedener Faktoren der Zugriffssteuerung und des Authentifizierungsmechanismus, der in AD FS in Windows Server 2012 R2 verfügbar ist, um Authentifizierungsrichtlinien und Autorisierungsregeln zu konfigurieren, die erforderlich sind, um echten bedingten Zugriff für Ihre gesicherten AD FS-Ressourcen zu implementieren.

Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe auf dem lokalen Computer sein, um diese Verfahren ausführen zu können. Überprüfen Sie Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften bei lokalen und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

So konfigurieren Sie eine zusätzliche Authentifizierungsmethode über Windows PowerShell

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

Warnung

Mit dem Befehl Get-AdfsGlobalAuthenticationPolicy können Sie überprüfen, ob der oben angegebene Befehl erfolgreich ausgeführt wurde.

So konfigurieren Sie die MFA-Vertrauensstellung pro vertrauende Partei, die auf den Gruppenmitgliedschaftsdaten eines Benutzers basiert

  1. Öffnen Sie auf dem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Warnung

Stellen Sie sicher, dass sie relying_party_trust> durch den Namen Ihrer Vertrauensebene ersetzen<.

  1. Führen Sie im gleichen Windows PowerShell Befehlsfenster den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

Hinweis

Stellen Sie sicher, dass sie group_SID> durch den Wert des Sicherheitsbezeichners (SID) Ihrer Active Directory -Gruppe (AD) ersetzen<.

So konfigurieren Sie MFA global basierend auf den Gruppenmitgliedschaftsdaten der Benutzer

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Hinweis

Stellen Sie sicher, dass sie group_SID> durch den Wert der SID Ihrer AD-Gruppe ersetzen<.

So konfigurieren Sie MFA global basierend auf dem Standort des Benutzers

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Hinweis

Stellen Sie sicher, dass< true_or_false> durch ein true oder false. Der Wert hängt von Ihrer spezifischen Regelbedingung ab, die darauf basiert, ob die Zugriffsanforderung aus dem Extranet oder dem Intranet stammt.

So konfigurieren Sie MFA global basierend auf den Gerätedaten des Benutzers

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Hinweis

Stellen Sie sicher, dass< true_or_false> durch ein true oder false. Der Wert hängt von Ihrer spezifischen Regelbedingung ab, die darauf basiert, ob das Gerät am Arbeitsplatz eingebunden ist oder nicht.

So konfigurieren Sie MFA global, wenn die Zugriffsanforderung vom Extranet und von einem nicht am Arbeitsplatz verbundenen Gerät stammt

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

Hinweis

Stellen Sie sicher, dass beide Instanzen von <true_or_false> durch eine true oder false, die von Ihren spezifischen Regelbedingungen abhängt, ersetzt werden. Die Regelbedingungen basieren darauf, ob das Gerät am Arbeitsplatz eingebunden ist oder nicht und ob die Zugriffsanforderung vom Extranet oder Intranet stammt.

So konfigurieren Sie MFA global, wenn der Zugriff von einem Extranetbenutzer stammt, der zu einer bestimmten Gruppe gehört

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

Hinweis

Stellen Sie sicher, <dass group_SID> durch den Wert der Gruppen-SID und <true_or_false> durch eine true oder false, die von Ihrer spezifischen Regelbedingung abhängt, die darauf basiert, ob die Zugriffsanforderung vom Extranet oder Intranet stammt.

So gewähren Sie zugriff auf eine Anwendung basierend auf Benutzerdaten über Windows PowerShell

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Hinweis

Stellen Sie sicher, relying_party_trust> durch den Wert Ihrer vertrauenden Partei zu ersetzen<.

  1. Führen Sie im gleichen Windows PowerShell Befehlsfenster den folgenden Befehl aus.

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

Hinweis

Stellen Sie sicher, group_SID> durch den Wert der SID Ihrer AD-Gruppe zu ersetzen<.

So gewähren Sie Zugriff auf eine Anwendung, die von AD FS gesichert ist, nur wenn die Identität dieses Benutzers mit MFA überprüft wurde.

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Hinweis

Stellen Sie sicher, dass sie relying_party_trust> durch den Wert Ihrer vertrauenden Partei ersetzen<.

  1. Führen Sie im gleichen Windows PowerShell Befehlsfenster den folgenden Befehl aus.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

So gewähren Sie Zugriff auf eine Anwendung, die von AD FS gesichert wird, nur wenn die Zugriffsanforderung aus einem arbeitsplatzgefügten Gerät stammt, das für den Benutzer registriert ist

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Hinweis

Stellen Sie sicher, dass sie relying_party_trust> durch den Wert Ihrer vertrauenden Partei ersetzen<.

  1. Führen Sie im gleichen Windows PowerShell Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

So gewähren Sie Zugriff auf eine Anwendung, die von AD FS gesichert wird, nur wenn die Zugriffsanforderung aus einem arbeitsplatzgefügten Gerät stammt, das für einen Benutzer registriert ist, dessen Identität mit MFA überprüft wurde

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Hinweis

Stellen Sie sicher, dass sie relying_party_trust> durch den Wert Ihrer vertrauenden Partei ersetzen<.

  1. Führen Sie im gleichen Windows PowerShell Befehlsfenster den folgenden Befehl aus.

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

So gewähren Sie Extranetzugriff auf eine von AD FS gesicherte Anwendung nur, wenn die Zugriffsanforderung von einem Benutzer stammt, dessen Identität mit MFA überprüft wurde

  1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell Befehlsfenster, und führen Sie den folgenden Befehl aus.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Hinweis

Stellen Sie sicher, dass sie relying_party_trust> durch den Wert Ihrer vertrauenden Partei ersetzen<.

  1. Führen Sie im gleichen Windows PowerShell Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

Weitere Verweise

AD FS-Vorgänge