Planifier l’accès conditionnel local basé sur un périphériquePlan Device-based Conditional Access on-Premises

Ce document décrit les stratégies d’accès conditionnel basés sur des appareils dans un scénario hybride où les répertoires locaux sont connectés à Azure AD à l’aide d’Azure AD Connect.This document describes conditional access policies based on devices in a hybrid scenario where the on-premises directories are connected to Azure AD using Azure AD Connect.

Accès conditionnel AD FS et hybridesAD FS and Hybrid conditional access

AD FS fournit le composant de site sur des stratégies d’accès conditionnel dans un scénario hybride.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Lorsque vous inscrivez des appareils avec Azure AD pour l’accès conditionnel aux ressources du cloud, l’appareil Azure AD Connect réécrit fonctionnalité rend des informations d’inscription de périphérique disponibles en local pour consommer et d’appliquer des stratégies AD FS.When you register devices with Azure AD for conditional access to cloud resources, the Azure AD Connect device write back capability makes device registration information available on premises for AD FS policies to consume and enforce. De cette façon, vous avez une approche cohérente pour les stratégies de contrôle d’accès pour les deux en local et de ressources de cloud.This way, you have a consistent approach to access control policies for both on premises and cloud resources.

Accès conditionnel

Types d’appareils inscritsTypes of registered devices

Il existe trois types d’appareils inscrits, tous sont représentés en tant qu’objets d’appareil dans Azure AD et peuvent être utilisées pour l’accès conditionnel avec AD FS en local également.There are three kinds of registered devices, all of which are represented as Device objects in Azure AD and can be used for conditional access with AD FS on premises as well.

Ajouter un travail ou scolaireAdd Work or School Account Joindre Azure ADAzure AD Join Jonction de domaine 10 de WindowsWindows 10 Domain Join
DescriptionDescription Les utilisateurs d’ajouter leur travail compte scolaire ou pour leur appareil BYOD interactivement.Users add their work or school account to their BYOD device interactively. Remarque : Ajouter le compte professionnel ou scolaire est le remplacement pour la jonction dans Windows 8/8.1Note: Add Work or School Account is the replacement for Workplace Join in Windows 8/8.1 Les utilisateurs joindre leurs appareils de travail de Windows 10 à Azure AD.Users join their Windows 10 work device to Azure AD. Les appareils Windows 10 joints à un domaine s’inscrivent automatiquement auprès d’Azure AD.Windows 10 domain joined devices automatically register with Azure AD.
Comment les utilisateurs se connecter à l’appareilHow users log in to the device Aucun compte de connexion à Windows en tant que le compte professionnel ou scolaire.No login to Windows as the work or school account. Connexion à l’aide d’un compte Microsoft.Login using a Microsoft account. Connectez-vous à Windows en tant que le compte (Professionnel ou scolaire) qui inscrit l’appareil.Login to Windows as the (work or school) account that registered the device. Connexion à l’aide de compte Active Directory.Login using AD account.
La gestion des appareilsHow devices are managed Stratégies de gestion des appareils mobiles (avec l’inscription à Intune supplémentaire)MDM Policies (with additional Intune enrollment) Stratégies de gestion des appareils mobiles (avec l’inscription à Intune supplémentaire)MDM Policies (with additional Intune enrollment) Stratégie de groupe, System Center Configuration Manager (SCCM)Group Policy, System Center Configuration Manager (SCCM)
Type d’approbation AD AzureAzure AD Trust type Espace de travail jointWorkplace joined Joint à Azure ADAzure AD joined Client appartenant à un domaineDomain joined
Emplacement des paramètres de W10W10 Settings location Paramètres > comptes > votre compte > Ajouter un compte professionnel ou scolaireSettings > Accounts > Your account > Add a work or school account Paramètres > système > sur > joindre Azure ADSettings > System > About > Join Azure AD Paramètres > système > sur > joindre un domaineSettings > System > About > Join a domain
Également disponible pour les appareils iOS et Android ?Also available for iOS and Android Devices? OuiYes NonNo NonNo

Pour plus d’informations sur les différentes façons d’inscrire des appareils, consultez également :For more information on the different ways to register devices, see also:

Comment Windows 10 utilisateur et appareil de l’authentification est différent des versions précédentesHow Windows 10 User and Device Sign on is different from previous versions

Pour Windows 10 et AD FS 2016, il existe certains nouveaux aspects de l’inscription et d’authentification que vous devez connaître (surtout si vous êtes familiarisé avec l’inscription et « jonction » dans les versions précédentes).For Windows 10 and AD FS 2016 there are some new aspects of device registration and authentication you should know about (especially if you are very familiar with device registration and "workplace join" in previous releases).

Tout d’abord, dans Windows 10 et AD FS dans Windows Server 2016, l’inscription et l’authentification n’est plus repose uniquement sur un X509 certificat utilisateur.First, in Windows 10 and AD FS in Windows Server 2016, device registration and authentication is no longer based solely on an X509 user certificate. Il existe un protocole de nouveaux et plus robuste qui fournit une meilleure sécurité et une expérience utilisateur plus transparente.There is a new and more robust protocol that provides better security and a more seamless user experience. Les principales différences sont que, pour la jonction de domaine Windows 10 et Azure AD Join, est un X509 certificat d’ordinateur et une information d’identification appelé un PRT.The key differences are that, for Windows 10 Domain Join and Azure AD Join, there is an X509 computer certificate and a new credential called a PRT. Vous pouvez lire tous les il ici et ici.You can read all about it here and here.

En second lieu, Windows 10 et AD FS 2016 prennent en charge l’authentification des utilisateurs à l’aide de Microsoft Passport for Work, vous pouvez en savoir plus sur ici et ici.Second, Windows 10 and AD FS 2016 support user authentication using Microsoft Passport for Work, which you can read about here and here.

AD FS 2016 fournit l’appareil en toute transparence et utilisateur SSO avec les informations d’identification PRT et Passport.AD FS 2016 provides seamless device and user SSO based on both PRT and Passport credentials. Suivant les étapes de ce document, vous pouvez activer ces fonctionnalités et les afficher à fonctionner.Using the steps in this document, you can enable these capabilities and see them work.

Stratégies de contrôle d’accès aux appareilsDevice Access Control Policies

Appareils peuvent être utilisés dans les règles de contrôle d’accès AD FS simples tel que :Devices can be used in simple AD FS access control rules such as:

  • Autoriser l’accès uniquement à partir d’un appareil enregistréallow access only from a registered device
  • exiger l’authentification multifacteur lorsqu’un appareil n’est pas inscrit.require multi factor authentication when a device is not registered

Ces règles peuvent ensuite être combinées avec d’autres facteurs tels que l’emplacement d’accès réseau et l’authentification multifacteur, création de stratégies d’accès conditionnel riches, telles que :These rules can then be combined with other factors such as network access location and multi factor authentication, creating rich conditional access policies such as:

  • Exigez l’authentification multifacteur pour les appareils non enregistrés accéder à partir en dehors du réseau d’entreprise, sauf pour les membres d’un groupe particulier ou de groupesrequire multi factor authentication for unregistered devices accessing from outside the corporate network, except for members of a particular group or groups

Avec AD FS 2016, ces stratégies peuvent être configurées en particulier pour nécessitent également un niveau de confiance périphérique particulier : soit authentifié, gérés, ou conformes.With AD FS 2016, these policies can be configured specifically to require a particular device trust level as well: either authenticated, managed, or compliant.

Pour plus d’informations sur la configuration AD FS stratégies de contrôle d’accès, consultez stratégies de contrôle d’accès dans AD FS.For more information on configuring AD FS access control policies, see Access control policies in AD FS.

Appareils authentifiésAuthenticated devices

Appareils authentifiés sont les appareils inscrits ne sont pas inscrits dans MDM (Intune et 3e partie MDMs pour Windows 10, Intune uniquement pour iOS et Android).Authenticated devices are registered devices that are not enrolled in MDM (Intune and 3rd party MDMs for Windows 10, Intune only for iOS and Android).

Appareils authentifiés auront le isManaged avec la valeur de revendication AD FS FALSE.Authenticated devices will have the isManaged AD FS claim with value FALSE. (Tandis que les appareils non enregistrés ne disposera pas de cette revendication.) Appareils authentifiés (et tous les appareils inscrits) auront l’isKnown AD FS revendication avec la valeur TRUE.(Whereas devices that are not registered at all will lack this claim.) Authenticated devices (and all registered devices) will have the isKnown AD FS claim with value TRUE.

Appareils gérés :Managed Devices:

Périphériques gérés se trouvent les appareils inscrits qui sont inscrits avec des appareils mobiles.Managed devices are registered devices that are enrolled with MDM.

Les appareils gérés auront l’isManaged AD FS revendication avec la valeur TRUE.Managed devices will have the isManaged AD FS claim with value TRUE.

Appareils conformes (avec gestion des appareils mobiles ou des stratégies de groupe)Devices compliant (with MDM or Group Policies)

Les appareils conformes sont les appareils inscrits ne sont pas uniquement inscrits avec la gestion des appareils mobiles, mais il est conforme aux stratégies de gestion des appareils mobiles.Compliant devices are registered devices that are not only enrolled with MDM but compliant with the MDM policies. (Informations de conformité est associée à la gestion des appareils mobiles et sont écrite dans Azure AD).(Compliance information originates with the MDM and is written to Azure AD.)

Les appareils conformes aura le isCompliant avec la valeur de revendication AD FS TRUE.Compliant devices will have the isCompliant AD FS claim with value TRUE.

Pour obtenir une liste complète de l’appareil d’AD FS 2016 et les revendications de l’accès conditionnel, consultez référence.For complete list of AD FS 2016 device and conditional access claims, see Reference.

RéférenceReference

Liste complète des nouvelles des AD FS 2016 et les appareils des revendicationsComplete list of new AD FS 2016 and device claims