Stratégies de contrôle d’accès dans AD FS Windows Server 2016Access Control Policies in Windows Server 2016 AD FS

Modèles de stratégie de contrôle de l’accès dans AD FSAccess Control Policy Templates in AD FS

Active Directory Federation Services prend désormais en charge l’utilisation des modèles de stratégie de contrôle de l’accès.Active Directory Federation Services now supports the use of access control policy templates. À l’aide de modèles de stratégie de contrôle de l’accès, un administrateur peut appliquer des paramètres de stratégie en assignant le modèle de stratégie à un groupe des parties de confiance (RPs).By using access control policy templates, an administrator can enforce policy settings by assigning the policy template to a group of relying parties (RPs). Administrateur peut également mettre à jour le modèle de stratégie et les modifications s’appliqueront aux parties de confiance automatiquement s’il n’existe aucune interaction utilisateur nécessitée.Administrator can also make updates to the policy template and the changes will be applied to the relying parties automatically if there is no user interaction needed.

Quels sont les modèles de stratégie de contrôle d’accès ?What are Access Control Policy Templates?

Le pipeline de core AD FS pour le traitement de la stratégie comprend trois phases : émission de l’authentification, autorisation et de revendication.The AD FS core pipeline for policy processing has three phases: authentication, authorization and claim issuance. Actuellement, les administrateurs AD FS ont de configurer une stratégie pour chacune de ces phases séparément.Currently, AD FS administrators have to configure a policy for each of these phases separately. Cela implique également de comprendre les implications de ces stratégies et si ces stratégies ont une inter dépendance.This also involves understanding the implications of these policies and if these policies have inter-dependency. En outre, les administrateurs doivent comprendre les revendication règle langage et l’auteur des règles personnalisées pour activer une stratégie simple/common (par ex.Also, administrators have to understand the claim rule language and author custom rules to enable some simple/common policy (ex. bloquer l’accès externe).block external access).

Quelle stratégie de contrôle d’accès modèles faire est de remplacer cet ancien modèle où les administrateurs doivent configurer des règles d’autorisation d’émission de revendications de langage.What access control policy templates do is replace this old model where administrators have to configure Issuance Authorization Rules using claims language. Les applets de commande PowerShell ancien de règles d’autorisation d’émission s’appliquent toujours, mais il est mutuellement exclusif le nouveau modèle.The old PowerShell cmdlets of issuance authorization rules still apply but it is mutually exclusive of the new model. Les administrateurs peuvent choisir d’utiliser le nouveau modèle ou l’ancien modèle.Administrators can choose either to use the new model or the old model. Le nouveau modèle permet aux administrateurs de contrôler quand accorder l’accès, y compris faire appliquer l’authentification multifacteur.The new model allows administrators to control when to grant access, including enforcing multi-factor authentication.

Modèles de stratégie de contrôle de l’accès utilisent un modèle d’autorisation.Access control policy templates use a permit model. Par défaut, aucune autre n’a accès et que l’accès doit être accordé explicitement.This means by default, no one has access and that access must be explicitly granted. Toutefois, il s’agit pas simplement un tout ou rien autoriser.However, this is not just an all or nothing permit. Les administrateurs peuvent ajouter des exceptions à la règle d’autorisation.Administrators can add exceptions to the permit rule. Par exemple, un administrateur peut souhaiter accorder l’accès basé sur un réseau spécifique en sélectionnant cette option et en spécifiant la plage d’adresses IP.For example, an administrator may wish to grant access based on a specific network by selecting this option and specifying the IP address range. Toutefois, l’administrateur peut ajouter et d’exception, par exemple, l’administrateur peut ajouter une exception à partir d’un réseau spécifique et spécifiez la plage d’adresses IP.But the administrator may add and exception, for instance, the administrator may add an exception from a specific network and specify that IP address range.

stratégies de contrôle d’accès

Modèles de stratégie contrôle les modèles Visual Studio accès personnalisé accès intégré contrôle stratégieBuilt-in access control policy templates vs custom access control policy templates

AD FS comprend plusieurs modèles de stratégie de contrôle d’accès intégré.AD FS includes several built-in access control policy templates. Cibles des scénarios courants qui ont le même ensemble d’exigences de stratégie, par exemple les stratégie d’accès client pour Office 365.These target some common scenarios which have the same set of policy requirements, for example client access policy for Office 365. Ces modèles ne peut pas être modifiés.These templates cannot be modified.

stratégies de contrôle d’accès

Pour fournir une flexibilité accrue pour répondre aux besoins de votre entreprise, les administrateurs peuvent créer leur propre accès modèles de stratégie.To provide increased flexibility to address your business needs, administrators can create their own access policy templates. Elles peuvent être modifiées après la création et modifications apportées au modèle de stratégie personnalisée seront applique à tous les fournisseurs de ressources qui sont contrôlées par les modèles de stratégie.These can be modified after creation and changes to custom policy template will apply to all the RPs which are controlled by those policy templates. Pour ajouter un modèle de stratégie personnalisé cliquez simplement ajouter une stratégie contrôle l’accès à partir de dans Gestion AD FS.To add a custom policy template simply click Add Access Control Policy from within AD FS management.

Pour créer un modèle de stratégie, un administrateur doit tout d’abord spécifier quelles conditions une demande sera autorisée pour d’émission de jeton et/ou de délégation.To create a policy template, an administrator needs to first specify under which conditions a request will be authorized for token issuance and/or delegation. Options de condition et une action s’affichent dans le tableau ci-dessous.Condition and action options are shown in the table below. Conditions en gras peuvent être affinées par l’administrateur avec des valeurs différentes ou nouveau.Conditions in bold can be further configured by the administrator with different or new values. Administrateur peut également spécifier des exceptions cas échéant.Admin can also specify exceptions if there is any. Lorsqu’une condition est remplie, une action d’autorisation ne sera pas déclenchée si une exception spécifiée et la demande entrante correspond à la condition spécifiée dans l’exception.When a condition is met, a permit action will not be triggered if there is an exception specified and the incoming request matches the condition specified in the exception.

Autoriser les utilisateursPermit Users À l’exceptionExcept
À partir de spécifique réseauFrom specific network À partir de spécifique réseauFrom specific network

À partir de spécifique groupesFrom specific groups

À partir d’appareils avec spécifique niveaux de confianceFrom devices with specific trust levels

Avec spécifique revendications dans la demandeWith specific claims in the request
À partir de spécifique groupesFrom specific groups À partir de spécifique réseauFrom specific network

À partir de spécifique groupesFrom specific groups

À partir d’appareils avec spécifique niveaux de confianceFrom devices with specific trust levels

Avec spécifique revendications dans la demandeWith specific claims in the request
À partir d’appareils avec spécifique niveaux de confianceFrom devices with specific trust levels À partir de spécifique réseauFrom specific network

À partir de spécifique groupesFrom specific groups

À partir d’appareils avec spécifique niveaux de confianceFrom devices with specific trust levels

Avec spécifique revendications dans la demandeWith specific claims in the request
Avec spécifique revendications dans la demandeWith specific claims in the request À partir de spécifique réseauFrom specific network

À partir de spécifique groupesFrom specific groups

À partir d’appareils avec spécifique niveaux de confianceFrom devices with specific trust levels

Avec spécifique revendications dans la demandeWith specific claims in the request
Et exiger une authentification multifacteurAnd require multi-factor authentication À partir de spécifique réseauFrom specific network

À partir de spécifique groupesFrom specific groups

À partir d’appareils avec spécifique niveaux de confianceFrom devices with specific trust levels

Avec spécifique revendications dans la demandeWith specific claims in the request

Si un administrateur sélectionne plusieurs conditions, elles sont de AND relation.If an administrator selects multiple conditions, they are of AND relationship. Les actions sont mutuellement exclusifs et de règle d’une stratégie, vous pouvez uniquement choisir une action.Actions are mutually exclusive and for one policy rule you can only choose one action. Si l’administrateur sélectionne plusieurs exceptions, ils sont d’un ou relation.If admin selects multiple exceptions, they are of an OR relationship. Voici quelques exemples de règle de stratégie :A couple of policy rule examples are shown below:

RèglementPolicy Règles de stratégiePolicy rules
MFA obligatoire pour l’accès extranetExtranet access requires MFA

Tous les utilisateurs sont autorisés.All users are permitted
Règle #1Rule #1

à partir de extranetfrom extranet

et avec l’authentification Multifacteurand with MFA

AutoriserPermit

Rule#2Rule#2

from intranetfrom intranet

AutoriserPermit
Accès externe ne sont pas autorisées à l’exception non FTEExternal access are not permitted except non-FTE

Accès à l’intranet pour FTE sur un appareil joint à un espace de travail sont autorisés.Intranet access for FTE on workplace joined device are permitted
Règle #1Rule #1

à partir de extranetFrom extranet

et à partir de non FTE groupeand from non-FTE group

AutoriserPermit

Règle #2Rule #2

from intranetfrom intranet

et à partir de rattaché appareiland from workplace joined device

et à partir de FTE groupeand from FTE group

AutoriserPermit
MFA obligatoire pour l’accès extranet à l’exception de « service admin »Extranet access requires MFA except "service admin"

Tous les utilisateurs sont autorisés à accéderAll users are permitted to access
Règle #1Rule #1

à partir de extranetfrom extranet

et avec l’authentification Multifacteurand with MFA

AutoriserPermit

À l’exception groupe d’administration de serviceExcept service admin group

Règle #2Rule #2

Toujoursalways

AutoriserPermit
APPAREIL joint à un lieu de travail non - accès à partir d’extranet exige l’authentification Multifacteurnon-work place joined device accessing from extranet requires MFA

Autoriser l’infrastructure AD pour l’accès intranet et extranetPermit AD fabric for intranet and extranet access
Règle #1Rule #1

from intranetfrom intranet

Et à partir de AD Fabric groupeAnd from AD Fabric group

AutoriserPermit

Règle #2Rule #2

à partir de extranetfrom extranet

et à partir de non-rattaché appareiland from non-workplace joined device

Et à partir de AD Fabric groupeand from AD Fabric group

et avec l’authentification Multifacteurand with MFA

AutoriserPermit

Règle #3Rule #3

à partir de extranetfrom extranet

et à partir de rattaché appareiland from workplace joined device

Et à partir de AD Fabric groupeand from AD Fabric group

AutoriserPermit

Modèle de stratégie non paramétrées stratégie paramétrable modèle vsParameterized policy template vs non-parameterized policy template

Stratégies de contrôle d’accès peuvent êtreAccess control policies can be

Un modèle de stratégie paramétrable est un modèle de stratégie comportant des paramètres.A parameterized policy template is a policy template that has parameters. Un administrateur a besoin d’entrer la valeur de ces paramètres lors de l’attribution de ce modèle à RPs.An administrateur ne peut pas apporter des modifications au modèle de stratégie paramétrable après que qu’il a été créé.An Administrator needs to input the value for those parameters when assigning this template to RPs.An administrator cannot make changes to parameterized policy template after it has been created. Un exemple d’une stratégie paramétrable est la stratégie intégrée, un groupe spécifique d’autoriser.An example of a parameterized policy is the built-in policy, Permit specific group. Chaque fois que cette stratégie est appliquée à une partie de confiance, ce paramètre doit être spécifié.Whenever this policy is applied to an RP, this parameter needs to be specified.

stratégies de contrôle d’accès

Un modèle de stratégie non paramétrable est un modèle de stratégie qui n’a pas de paramètres.A non-parameterized policy template is a policy template that does not have parameters. Un administrateur peut affecter ce modèle RPs sans aucune entrée nécessitée et peut apporter des modifications à un modèle de stratégie non paramétrées après que qu’il a été créé.An administrator can assign this template to RPs without any input needed and can make changes to a non-parameterized policy template after it has been created. Un exemple de ceci est la stratégie intégrée, autoriser tout le monde et exiger une authentification Multifacteur.An example of this is the built-in policy, Permit everyone and require MFA.

stratégies de contrôle d’accès

Comment créer une stratégie de contrôle d’accès non paramétréesHow to create a non-parameterized access control policy

Pour créer un accès non paramétrée, stratégie de contrôle d’utiliser la procédure suivanteTo create a non-parameterized access control policy use the following procedure

Pour créer une stratégie de contrôle d’accès non paramétréesTo create a non-parameterized access control policy

  1. À partir de gestion AD FS sur la gauche, sélectionnez Stratégies de contrôle d’accès et sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. Entrez un nom et une description.Enter a name and a description. Exemple : Autoriser les utilisateurs avec des appareils authentifiés.For example: Permit users with authenticated devices.

  3. Sous autoriser l’accès si une des règles suivantes est remplie, cliquez sur ajouter.Under Permit access if any of the following rules are met, click Add.

  4. Sous Autoriser, cochez la case dans la zone à côté à partir d’appareils avec le niveau de confiance spécifiqueUnder permit, place a check in the box next to from devices with specific trust level

  5. En bas, sélectionnez le texte souligné spécifiqueAt the bottom, select the underlined specific

  6. Dans la fenêtre pop-up autrement, sélectionnez authentifié à partir de la liste déroulante.From the window that pops-up, select authenticated from the drop-down. Cliquez sur OK.Click Ok.

    stratégies de contrôle d’accès

  7. Cliquez sur OK.Click Ok. Cliquez sur OK.Click Ok.

    stratégies de contrôle d’accès

Comment créer une stratégie de contrôle d’accès paramétrableHow to create a parameterized access control policy

Pour créer un contrôle d’accès paramétrable stratégie procédez comme suitTo create a parameterized access control policy use the following procedure

Pour créer une stratégie de contrôle d’accès paramétrableTo create a parameterized access control policy

  1. À partir de gestion AD FS sur la gauche, sélectionnez Stratégies de contrôle d’accès et sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. Entrez un nom et une description.Enter a name and a description. Exemple : Autoriser les utilisateurs avec une revendication spécifique.For example: Permit users with a specific claim.

  3. Sous autoriser l’accès si une des règles suivantes est remplie, cliquez sur ajouter.Under Permit access if any of the following rules are met, click Add.

  4. Sous Autoriser, cochez la case dans la zone à côté avec des revendications spécifiques dans la demandeUnder permit, place a check in the box next to with specific claims in the request

  5. En bas, sélectionnez le texte souligné spécifiqueAt the bottom, select the underlined specific

  6. Dans la fenêtre pop-up autrement, sélectionnez paramètre spécifié lorsque la stratégie de contrôle d’accès est attribuée.From the window that pops-up, select Parameter specified when the access control policy is assigned. Cliquez sur OK.Click Ok.

    stratégies de contrôle d’accès

  7. Cliquez sur OK.Click Ok. Cliquez sur OK.Click Ok.

    stratégies de contrôle d’accès

Comment créer une stratégie de contrôle d’accès personnalisé avec une exceptionHow to create a custom access control policy with an exception

Pour créer un contrôle d’accès stratégie avec une exception utiliser la procédure suivante.To create a access control policy with an exception use the following procedure.

Pour créer une stratégie de contrôle d’accès personnalisé avec une exceptionTo create a custom access control policy with an exception

  1. À partir de gestion AD FS sur la gauche, sélectionnez Stratégies de contrôle d’accès et sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. Entrez un nom et une description.Enter a name and a description. Exemple : Autoriser les utilisateurs avec authentifié des appareils, mais pas géré.For example: Permit users with authenticated devices but not managed.

  3. Sous autoriser l’accès si une des règles suivantes est remplie, cliquez sur ajouter.Under Permit access if any of the following rules are met, click Add.

  4. Sous Autoriser, cochez la case dans la zone à côté à partir d’appareils avec le niveau de confiance spécifiqueUnder permit, place a check in the box next to from devices with specific trust level

  5. En bas, sélectionnez le texte souligné spécifiqueAt the bottom, select the underlined specific

  6. Dans la fenêtre pop-up autrement, sélectionnez authentifié à partir de la liste déroulante.From the window that pops-up, select authenticated from the drop-down. Cliquez sur OK.Click Ok.

  7. Sous sauf, cochez la case à côté dans la zone à partir d’appareils avec le niveau de confiance spécifiqueUnder except, place a check in the box next to from devices with specific trust level

  8. En bas, sauf sous, sélectionnez le texte souligné spécifiqueAt the bottom under except, select the underlined specific

  9. Dans la fenêtre pop-up autrement, sélectionnez gérés à partir de la liste déroulante.From the window that pops-up, select managed from the drop-down. Cliquez sur OK.Click Ok.

  10. Cliquez sur OK.Click Ok. Cliquez sur OK.Click Ok.

    stratégies de contrôle d’accès

Comment créer une stratégie de contrôle d’accès personnalisé avec plusieurs conditions de l’autorisationHow to create a custom access control policy with multiple permit conditions

Pour créer une stratégie de contrôle d’accès avec autorisation de plusieurs conditions procédez comme suitTo create a access control policy with multiple permit conditions use the following procedure

Pour créer une stratégie de contrôle d’accès paramétrableTo create a parameterized access control policy

  1. À partir de gestion AD FS sur la gauche, sélectionnez Stratégies de contrôle d’accès et sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. Entrez un nom et une description.Enter a name and a description. Exemple : Autoriser les utilisateurs avec une revendication spécifique et à partir de groupe spécifique.For example: Permit users with a specific claim and from specific group.

  3. Sous autoriser l’accès si une des règles suivantes est remplie, cliquez sur ajouter.Under Permit access if any of the following rules are met, click Add.

  4. Sous Autoriser, cochez la case dans la zone à côté à partir d’un groupe spécifique et avec des revendications spécifiques dans la demandeUnder permit, place a check in the box next to from a specific group and with specific claims in the request

  5. En bas, sélectionnez le texte souligné spécifique pour la première condition, en regard des groupesAt the bottom, select the underlined specific for the first condition, next to groups

  6. Dans la fenêtre pop-up autrement, sélectionnez paramètre spécifié lorsque la stratégie est affectée.From the window that pops-up, select Parameter specified when the policy is assigned. Cliquez sur OK.Click Ok.

  7. En bas, sélectionnez le texte souligné spécifique pour la deuxième condition, en regard de revendicationsAt the bottom, select the underlined specific for the second condition, next to claims

  8. Dans la fenêtre pop-up autrement, sélectionnez paramètre spécifié lorsque la stratégie de contrôle d’accès est attribuée.From the window that pops-up, select Parameter specified when the access control policy is assigned. Cliquez sur OK.Click Ok.

  9. Cliquez sur OK.Click Ok. Cliquez sur OK.Click Ok.

stratégies de contrôle d’accès

Comment attribuer une stratégie de contrôle d’accès à une nouvelle applicationHow to assign an access control policy to a new application

Affectation d’une stratégie de contrôle d’accès à une nouvelle application est relativement simple et a maintenant été intégrée dans l’Assistant pour l’ajout d’un fournisseur de ressources.Assigning an access control policy to a new application is pretty straight forward and has now been integrated into the wizard for adding an RP. À partir de l’Assistant d’approbation de partie de confiance de confiance, vous pouvez sélectionner la stratégie de contrôle d’accès que vous souhaitez affecter.From the Relying Party Trust Wizard you can select the access control policy that you wish to assign. Il s’agit d’une exigence lors de la création d’une nouvelle partie de confiance.This is a requirement when creating a new relying party trust.

stratégies de contrôle d’accès

Guide pratique pour attribuer une stratégie de contrôle d’accès à une application existanteHow to assign an access control policy to an existing application

Affectation d’une stratégie de contrôle d’accès à une application existante Sélectionnez simplement l’application à partir de la partie de confiance et sur le bouton droit sur modifier une stratégie de contrôle d’accès.Assigning an access control policy to a existing application simply select the application from Relying Party Trusts and on the right click Edit Access Control Policy.

stratégies de contrôle d’accès

À ce stade, vous pouvez sélectionner la stratégie de contrôle d’accès et s’appliquent à l’application.From here you can select the access control policy and apply it to the application.

stratégies de contrôle d’accès

Voir aussiSee Also

Opérations d’AD FSAD FS Operations