Planifier l’accès conditionnel local basé sur un périphérique

ce document décrit les stratégies d’accès conditionnel basées sur les appareils dans un scénario hybride dans lequel les annuaires locaux sont connectés à Azure AD à l’aide de Azure AD Connecter.

AD FS et accès conditionnel hybride

AD FS fournit le composant local des stratégies d’accès conditionnel dans un scénario hybride. lorsque vous inscrivez des appareils avec Azure AD pour l’accès conditionnel aux ressources du cloud, la fonctionnalité de réécriture de l’appareil Azure AD Connecter rend les informations d’inscription de l’appareil disponibles localement pour les stratégies de AD FS à consommer et à appliquer. De cette façon, vous disposez d’une approche cohérente pour accéder aux stratégies de contrôle des ressources locales et du Cloud.

accès conditionnel

Types d’appareils inscrits

il existe trois types d’appareils inscrits, qui sont tous représentés en tant qu’objets de périphérique dans Azure AD et peuvent être utilisés pour l’accès conditionnel avec AD FS également sur site.

Description Ajouter un compte professionnel ou scolaire Azure AD Join jonction de domaine Windows 10
Description Les utilisateurs ajoutent leur compte professionnel ou scolaire à leur appareil BYOD de manière interactive. Remarque : ajouter un compte professionnel ou scolaire est le remplacement de Workplace Join dans Windows 8/8,1 les utilisateurs joignent leur appareil de travail Windows 10 à Azure AD. Windows 10 des appareils joints à un domaine s’inscrivent automatiquement auprès d’Azure AD.
Comment les utilisateurs se connectent à l’appareil aucune connexion à Windows en tant que compte professionnel ou scolaire. Connectez-vous à l’aide d’un compte Microsoft. connectez-vous à Windows en tant que compte (professionnel ou scolaire) qui a inscrit l’appareil. Connectez-vous à l’aide du compte Active Directory.
Gestion des appareils Stratégies MDM (avec inscription Intune supplémentaire) Stratégies MDM (avec inscription Intune supplémentaire) Stratégie de groupe, Configuration Manager
type d’approbation Azure AD Espace de travail joint Appareil joints Azure AD Client appartenant à un domaine
W10 Paramètres emplacement >comptes Paramètres > votre compte > ajoutez un compte professionnel ou scolaire >système Paramètres > à propos de la > jointure Azure AD >système Paramètres > sur > la jonction à un domaine
Également disponible pour les appareils iOS et Android ? Oui Non Non

Pour plus d’informations sur les différentes façons d’inscrire des appareils, consultez également :

comment Windows 10 l’authentification des utilisateurs et des appareils diffèrent de celles des versions précédentes

pour Windows 10 et AD FS 2016, vous devez connaître les nouveaux aspects de l’inscription et de l’authentification des appareils (surtout si vous êtes familiarisé avec l’inscription des appareils et la « jonction d’espace de travail » dans les versions précédentes).

tout d’abord, dans Windows 10 et AD FS dans Windows Server 2016, l’inscription et l’authentification de l’appareil ne sont plus basées uniquement sur un certificat d’utilisateur X509. Il existe un nouveau protocole plus robuste qui offre une meilleure sécurité et une expérience utilisateur plus transparente. les principales différences résident dans le fait que, pour la jonction Windows 10 de domaine et la jointure Azure AD, il existe un certificat d’ordinateur X509 et une nouvelle information d’identification appelée PRT. Vous pouvez le lire ici et ici.

deuxièmement, Windows 10 et AD FS 2016 prennent en charge l’authentification utilisateur à l’aide de Microsoft Passport for Work, que vous pouvez consulter ici et ici.

AD FS 2016 fournit une authentification unique des appareils et des utilisateurs en fonction des informations d’identification PRT et Passport. À l’aide des étapes décrites dans ce document, vous pouvez activer ces fonctionnalités et les voir fonctionner.

Stratégies de Access Control des appareils

Les appareils peuvent être utilisés dans des règles de contrôle d’accès AD FS simples telles que :

  • autoriser l’accès uniquement à partir d’un appareil inscrit
  • exiger l’authentification multifacteur lorsqu’un appareil n’est pas inscrit

Ces règles peuvent ensuite être combinées avec d’autres facteurs tels que l’emplacement d’accès réseau et l’authentification multifacteur, créant ainsi des stratégies d’accès conditionnel riches, telles que :

  • exiger l’authentification multifacteur pour les appareils non inscrits qui accèdent à l’extérieur du réseau d’entreprise, à l’exception des membres d’un groupe ou de groupes particuliers

Avec AD FS 2016, ces stratégies peuvent être configurées spécifiquement pour exiger un niveau de confiance d’appareil particulier : authentifié, géréou conforme.

Pour plus d’informations sur la configuration des stratégies de contrôle d’accès AD FS, consultez stratégies de contrôle d’accès dans AD FS.

Appareils authentifiés

les appareils authentifiés sont des appareils inscrits qui ne sont pas inscrits dans MDM (intune et MDMs tiers pour Windows 10, intune uniquement pour iOS et Android).

Les appareils authentifiés auront la revendication isManaged AD FS avec la valeur false. (Alors que les appareils qui ne sont pas inscrits sur le tout n’auront pas cette revendication.) Les appareils authentifiés (et tous les appareils inscrits) comporteront la revendication isKnown AD FS avec la valeur true.

Appareils gérés :

Les appareils gérés sont des appareils inscrits inscrits auprès de MDM.

Les appareils gérés comporteront la revendication isManaged AD FS avec la valeur true.

Appareils conformes (avec MDM ou stratégies de groupe)

Les appareils conformes sont des appareils inscrits non seulement inscrits avec MDM, mais conformes aux stratégies MDM. (Les informations de conformité proviennent de MDM et sont écrites dans Azure AD.)

Les appareils conformes comporteront la revendication isCompliant AD FS avec la valeur true.

Pour obtenir la liste complète des revendications de l’appareil AD FS 2016 et de l’accès conditionnel, consultez référence.

Référence

Liste complète des nouvelles AD FS 2016 et des revendications de périphérique