stratégies de Access Control dans Windows Server 2016 AD FS

Autoriser les utilisateurs Except
À partir d’un réseau spécifique À partir d’un réseau spécifique

À partir de groupes spécifiques

À partir d’appareils avec des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la demande

À partir de groupes spécifiques À partir d’un réseau spécifique

À partir de groupes spécifiques

À partir d’appareils avec des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la demande

À partir d’appareils avec des niveaux de confiance spécifiques À partir d’un réseau spécifique

À partir de groupes spécifiques

À partir d’appareils avec des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la demande

Avec des revendications spécifiques dans la demande À partir d’un réseau spécifique

À partir de groupes spécifiques

À partir d’appareils avec des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la demande

Et requièrent l’authentification multifacteur À partir d’un réseau spécifique

À partir de groupes spécifiques

À partir d’appareils avec des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la demande

Si un administrateur sélectionne plusieurs conditions, il s’agit d’une relation de et de. Les actions s’excluent mutuellement et, pour une règle de stratégie, vous ne pouvez choisir qu’une seule action. Si l’administrateur sélectionne plusieurs exceptions, il s’agit d’une relation ou . Quelques exemples de règles de stratégie sont affichés ci-dessous :

Stratégie Règles de stratégie
L’accès extranet requiert MFA

Tous les utilisateurs sont autorisés

#1 de la règle

à partir de l' extranet

et avec MFA

Permit

Règle n ° 2

à partir de l' Intranet

Permit

L’accès externe n’est pas autorisé sauf le non-ETP

L’accès intranet pour ETP sur un appareil joint à un espace de travail est autorisé

#1 de la règle

À partir de l' extranet

et à partir d' un groupe non-ETP

Permit

#2 de la règle

à partir de l' Intranet

et à partir d’un appareil joint à l' espace de travail

et à partir du groupe ETP

Permit

L’accès extranet requiert MFA, à l’exception de « service admin »

Tous les utilisateurs sont autorisés à accéder à

#1 de la règle

à partir de l' extranet

et avec MFA

Permit

Sauf le groupe d’administration de service

#2 de la règle

toujours

Permit

l’accès d’un appareil non lié à un emplacement de travail à partir d’un extranet requiert l’authentification MFA

Autoriser l’accès intranet et extranet pour l’infrastructure AD

#1 de la règle

à partir de l' Intranet

Et à partir d’un groupe ad Fabric

Permit

#2 de la règle

à partir de l' extranet

et à partir d' un appareil non joint à un espace de travail

et à partir d’un groupe ad Fabric

et avec MFA

Permit

#3 de la règle

à partir de l' extranet

et à partir d’un appareil joint à l' espace de travail

et à partir d’un groupe ad Fabric

Permit

Modèle de stratégie paramétré et modèle de stratégie non paramétrable

Les stratégies de contrôle d’accès peuvent être

Un modèle de stratégie paramétré est un modèle de stratégie qui possède des paramètres. Un administrateur doit entrer la valeur de ces paramètres lors de l’affectation de ce modèle à RPs. un administrateur ne peut pas apporter de modifications au modèle de stratégie paramétré une fois qu’il a été créé. Un exemple de stratégie paramétrable est la stratégie intégrée, autoriser un groupe spécifique. Chaque fois que cette stratégie est appliquée à un RP, ce paramètre doit être spécifié.

Capture d’écran montrant un exemple de modèle de stratégie paramétrable.

Un modèle de stratégie non paramétrable est un modèle de stratégie qui n’a pas de paramètres. Un administrateur peut attribuer ce modèle à RPs sans aucune entrée nécessaire et peut apporter des modifications à un modèle de stratégie non paramétrable une fois qu’il a été créé. Par exemple, la stratégie intégrée, autoriser tout le monde et demander l’authentification MFA.

Capture d’écran montrant un exemple de modèle de stratégie non paramétrable.

Comment créer une stratégie de contrôle d’accès non paramétrable

Pour créer une stratégie de contrôle d’accès non paramétrable, utilisez la procédure suivante :

Pour créer une stratégie de contrôle d’accès non paramétrable

  1. Dans AD FS gestion sur la gauche, sélectionnez Access Control stratégies, puis cliquez avec le bouton droit sur Ajouter une stratégie de Access Control.

  2. Entrez un nom et une description. Par exemple : autoriser les utilisateurs avec des appareils authentifiés.

  3. Sous autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.

  4. Sous autoriser, activez la case à cocher en regard de appareils avec un niveau de confiance spécifique .

  5. En bas, sélectionnez la ligne spécifique soulignée.

  6. Dans la fenêtre qui s’affiche, sélectionnez authentifié dans la liste déroulante. Cliquez sur OK.

    Capture d’écran montrant comment sélectionner le niveau de confiance de l’appareil.

  7. Cliquez sur OK. Cliquez sur OK.

    Capture d’écran montrant comment accepter la modification de la stratégie.

Comment créer une stratégie de contrôle d’accès paramétrable

Pour créer une stratégie de contrôle d’accès paramétrable, utilisez la procédure suivante :

Pour créer une stratégie de contrôle d’accès paramétrable

  1. Dans AD FS gestion sur la gauche, sélectionnez Access Control stratégies, puis cliquez avec le bouton droit sur Ajouter une stratégie de Access Control.

  2. Entrez un nom et une description. Par exemple : autoriser les utilisateurs avec une revendication spécifique.

  3. Sous autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.

  4. Sous autoriser, activez la case à cocher en regard de avec des revendications spécifiques dans la demande .

  5. En bas, sélectionnez la ligne spécifique soulignée.

  6. Dans la fenêtre qui s’affiche, sélectionnez le paramètre spécifié lorsque la stratégie de contrôle d’accès est assignée. Cliquez sur OK.

    Capture d’écran montrant le paramètre spécifié lorsque l’option stratégie de contrôle d’accès est attribuée.

  7. Cliquez sur OK. Cliquez sur OK.

    Capture d’écran montrant comment accepter l’option sélectionnée.

Comment créer une stratégie de contrôle d’accès personnalisée à l’aide d’une exception

Pour créer une stratégie de contrôle d’accès avec une exception, utilisez la procédure suivante.

Pour créer une stratégie de contrôle d’accès personnalisée à l’aide d’une exception

  1. Dans AD FS gestion sur la gauche, sélectionnez Access Control stratégies, puis cliquez avec le bouton droit sur Ajouter une stratégie de Access Control.

  2. Entrez un nom et une description. Par exemple : autoriser les utilisateurs avec des appareils authentifiés mais non gérés.

  3. Sous autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.

  4. Sous autoriser, activez la case à cocher en regard de appareils avec un niveau de confiance spécifique .

  5. En bas, sélectionnez la ligne spécifique soulignée.

  6. Dans la fenêtre qui s’affiche, sélectionnez authentifié dans la liste déroulante. Cliquez sur OK.

  7. Sous sauf, activez la case à cocher en regard de appareils avec un niveau de confiance spécifique .

  8. En bas sous sauf, sélectionnez la ligne spécifique soulignée.

  9. Dans la fenêtre qui s’affiche, sélectionnez géré dans la liste déroulante. Cliquez sur OK.

  10. Cliquez sur OK. Cliquez sur OK.

    Capture d’écran qui affiche la boîte de dialogue Éditeur d’écran.

Comment créer une stratégie de contrôle d’accès personnalisée avec plusieurs conditions d’autorisation

Pour créer une stratégie de contrôle d’accès avec plusieurs conditions d’autorisation, utilisez la procédure suivante :

Pour créer une stratégie de contrôle d’accès paramétrable

  1. Dans AD FS gestion sur la gauche, sélectionnez Access Control stratégies, puis cliquez avec le bouton droit sur Ajouter une stratégie de Access Control.

  2. Entrez un nom et une description. Par exemple : autoriser les utilisateurs avec une revendication spécifique et à partir d’un groupe spécifique.

  3. Sous autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.

  4. Sous autoriser, activez la case à cocher en regard de à partir d’un groupe spécifique et avec des revendications spécifiques dans la demande .

  5. En bas, sélectionnez la ligne spécifique soulignée pour la première condition, en regard de groupes

  6. Dans la fenêtre qui s’affiche, sélectionnez le paramètre spécifié lorsque la stratégie est affectée. Cliquez sur OK.

  7. En bas, sélectionnez la ligne spécifique soulignée pour la deuxième condition, en regard de revendications.

  8. Dans la fenêtre qui s’affiche, sélectionnez le paramètre spécifié lorsque la stratégie de contrôle d’accès est assignée. Cliquez sur OK.

  9. Cliquez sur OK. Cliquez sur OK.

stratégies de contrôle d’accès

Comment attribuer une stratégie de contrôle d’accès à une nouvelle application

L’attribution d’une stratégie de contrôle d’accès à une nouvelle application est relativement simple et est désormais intégrée à l’Assistant pour l’ajout d’un RP. À partir de l’Assistant approbation de partie de confiance, vous pouvez sélectionner la stratégie de contrôle d’accès que vous souhaitez affecter. Il s’agit d’une condition requise lors de la création d’une approbation de partie de confiance.

Capture d’écran montrant l’écran choisir une stratégie de Access Control.

Comment attribuer une stratégie de contrôle d’accès à une application existante

L’attribution d’une stratégie de contrôle d’accès à une application existante consiste simplement à sélectionner l’application auprès des approbations de partie de confiance, puis à cliquer avec le bouton droit sur modifier la stratégie de Access Control.

Capture d’écran qui montre l’application de nouvelle tentative pour les approbations de la partie.

À partir de là, vous pouvez sélectionner la stratégie de contrôle d’accès et l’appliquer à l’application.

Capture d’écran montrant comment modifier la stratégie de Access Control.

Voir aussi

Opérations d’AD FS

Access Control des modèles de stratégie dans AD FS

Services de fédération Active Directory (AD FS) prend désormais en charge l’utilisation de modèles de stratégie de contrôle d’accès. Grâce aux modèles de stratégie de contrôle d’accès, un administrateur peut appliquer des paramètres de stratégie en affectant le modèle de stratégie à un groupe de parties de confiance (RPs). L’administrateur peut également effectuer des mises à jour du modèle de stratégie et les modifications sont appliquées automatiquement aux parties de confiance si aucune intervention de l’utilisateur n’est nécessaire.

Que sont les modèles de stratégie Access Control ?

Le pipeline de base AD FS pour le traitement de stratégie comporte trois phases : l’authentification, l’autorisation et l’émission de revendications. Actuellement, AD FS administrateurs doivent configurer une stratégie pour chacune de ces phases séparément. Cela implique également de comprendre les implications de ces stratégies et si ces stratégies ont une interdépendance. En outre, les administrateurs doivent comprendre le langage de règle de revendication et créer des règles personnalisées pour activer une stratégie simple/courante (par exemple, bloquer l’accès externe).

Les modèles de stratégie de contrôle d’accès remplacent cet ancien modèle dans lequel les administrateurs doivent configurer des règles d’autorisation d’émission à l’aide du langage de revendications. Les anciennes applets de commande PowerShell des règles d’autorisation d’émission s’appliquent toujours, mais elles s’excluent mutuellement du nouveau modèle. Les administrateurs peuvent choisir d’utiliser le nouveau modèle ou l’ancien modèle. Le nouveau modèle permet aux administrateurs de contrôler le moment auquel accorder l’accès, y compris l’application de l’authentification multifacteur.

Les modèles de stratégie de contrôle d’accès utilisent un modèle d’autorisation. Cela signifie par défaut que personne n’a accès et que l’accès doit être accordé explicitement. Toutefois, il ne s’agit pas simplement d’un permis de tout ou rien. Les administrateurs peuvent ajouter des exceptions à la règle d’autorisation. Par exemple, un administrateur peut souhaiter accorder l’accès en fonction d’un réseau spécifique en sélectionnant cette option et en spécifiant la plage d’adresses IP. Toutefois, l’administrateur peut ajouter une exception, par exemple, l’administrateur peut ajouter une exception à partir d’un réseau spécifique et spécifier cette plage d’adresses IP.

Capture d’écran montrant où afficher les stratégies de Access Control.

Modèles de stratégie de contrôle d’accès intégrés et modèles de stratégie de contrôle d’accès personnalisés

AD FS comprend plusieurs modèles de stratégie de contrôle d’accès intégrés. Ils ciblent des scénarios courants qui présentent le même ensemble de spécifications de stratégie, par exemple la stratégie d’accès client pour Office 365. Ces modèles ne peuvent pas être modifiés.

Capture d’écran qui montre les stratégies de Access Control intégrées.

Pour offrir une plus grande flexibilité pour répondre aux besoins de votre entreprise, les administrateurs peuvent créer leurs propres modèles de stratégie d’accès. Celles-ci peuvent être modifiées après la création et les modifications apportées au modèle de stratégie personnalisé s’appliqueront à tous les RPs contrôlés par ces modèles de stratégie. Pour ajouter un modèle de stratégie personnalisée, il vous suffit de cliquer sur Ajouter une stratégie de Access Control dans AD FS Management.

Pour créer un modèle de stratégie, un administrateur doit d’abord spécifier dans quelles conditions une demande sera autorisée pour l’émission et/ou la délégation de jetons. Les options de condition et d’action sont indiquées dans le tableau ci-dessous. Les conditions en gras peuvent être configurées par l’administrateur avec des valeurs différentes ou nouvelles. L’administrateur peut également spécifier des exceptions, le cas échéant. Lorsqu’une condition est remplie, une action d’autorisation n’est pas déclenchée si une exception est spécifiée et que la demande entrante correspond à la condition spécifiée dans l’exception.