Configurer des stratégies d’authentification

dans AD FS, dans Windows Server 2012 R2, le contrôle d’accès et le mécanisme d’authentification sont améliorés avec plusieurs facteurs qui incluent des données d’utilisateur, de périphérique, d’emplacement et d’authentification. ces améliorations vous permettent, par le biais de l’interface utilisateur ou de Windows PowerShell, de gérer le risque d’accorder des autorisations d’accès à des applications sécurisées par AD FS via le contrôle d’accès multifacteur et l’authentification multifacteur, en fonction de l’identité de l’utilisateur ou de l’appartenance à un groupe, de l’emplacement réseau, des données d’appareil qui sont jointes à un espace de travail

pour plus d’informations sur l’authentification MFA et le contrôle d’accès multifacteur dans services de fédération Active Directory (AD FS) (AD FS) dans Windows Server 2012 R2, consultez les rubriques suivantes :

Configurer des stratégies d’authentification via le composant logiciel enfichable de gestion AD FS

Pour effectuer ces procédures, il est nécessaire d’appartenir au minimum au groupe Administrateurs ou à un groupe équivalent sur l’ordinateur local. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

dans AD FS, dans Windows Server 2012 R2, vous pouvez spécifier une stratégie d’authentification au niveau d’une étendue globale applicable à l’ensemble des applications et services sécurisés par AD FS. Vous pouvez également définir des stratégies d’authentification pour des applications et des services spécifiques qui reposent sur des approbations de tiers et qui sont sécurisés par AD FS. La spécification d’une stratégie d’authentification pour une application particulière par approbation de partie de confiance ne remplace pas la stratégie d’authentification globale. Si la stratégie d’authentification globale ou par approbation de partie de confiance requiert l’authentification MFA, l’authentification MFA est déclenchée lorsque l’utilisateur tente de s’authentifier auprès de cette approbation de partie de confiance. La stratégie d’authentification globale est une solution de secours pour les approbations de partie de confiance pour les applications et les services qui n’ont pas de stratégie d’authentification configurée spécifique.

pour configurer globalement l’authentification principale dans Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans AD FS composant logiciel enfichable, cliquez sur stratégies d’authentification.

  3. dans la section authentification principale , cliquez sur modifier en regard de Paramètres Global. Vous pouvez également cliquer avec le bouton droit sur stratégies d’authentification, sélectionner modifier l’authentification principale globale, ou, dans le volet actions , sélectionner modifier l’authentification principale globale. Screenshot that highlights Edit Global Primary Authentication option.

  4. Dans la fenêtre modifier la stratégie d’authentification globale , sous l’onglet principal , vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification globale :

Pour configurer l’authentification principale par approbation de partie de confiance

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans AD FS composant logiciel enfichable, cliquez sur stratégies d’authentificationpar approbation de partie de confiance, puis cliquez sur l’approbation de la partie de confiance pour laquelle vous souhaitez configurer des stratégies d’authentification.

  3. Cliquez avec le bouton droit sur l’approbation de la partie de confiance pour laquelle vous souhaitez configurer des stratégies d’authentification, puis sélectionnez modifier l’authentification principale personnalisée. ou bien, dans le volet actions , sélectionnez modifier l’authentification principale personnalisée. Screenshot that highlights the Edit Custom Primary Authentication menu option.

  4. Dans la fenêtre modifier la stratégie d’authentification pour relying_party_trust_name > , sous l’onglet > , vous pouvez configurer le paramètre suivant dans le cadre de la stratégie d’authentification par approbation de partie de confiance :

    • Si les utilisateurs doivent fournir leurs informations d’identification chaque fois qu’ils se connectent via la connexion, les utilisateurs doivent fournir leurs informations d’identification chaque fois que la case à cocher se connecter. Screenshot that shows how to configure settings as part of the Per Relying Party Trust authentication policy.

Pour configurer l’authentification multifacteur globalement

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans AD FS composant logiciel enfichable, cliquez sur stratégies d’authentification.

  3. dans la section Multi-factor authentication , cliquez sur modifier en regard de Paramètres Global. Vous pouvez également cliquer avec le bouton droit sur stratégies d’authentification, sélectionner modifier l’authentification multifacteur globale, ou, dans le volet actions , sélectionner modifier l’authentification multifacteur globale. Screenshot that highlights the Edit Global Multi-factor Authentication option.

  4. Dans la fenêtre modifier la stratégie d’authentification globale , sous l’onglet Multi-Factor , vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification multifacteur globale :

Avertissement

Vous pouvez uniquement configurer des méthodes d’authentification supplémentaires de manière globale. auth policies

Pour configurer Multi-Factor Authentication par approbation de partie de confiance

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans AD FS composant logiciel enfichable, cliquez sur stratégies d’authentificationpar approbation de partie de confiance, puis cliquez sur l’approbation de la partie de confiance pour laquelle vous souhaitez configurer l’authentification multifacteur.

  3. Cliquez avec le bouton droit sur l’approbation de la partie de confiance pour laquelle vous souhaitez configurer l’authentification multifacteur, puis sélectionnez Modifier l’authentification multifacteur personnalisée, ou, dans le volet actions , sélectionnez modifier l’authentification multifacteur personnalisée.

  4. Dans la fenêtre modifier la stratégie d’authentification pour relying_party_trust_name > , sous l’onglet > , vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification par approbation de partie de confiance :

    • Paramètres ou conditions pour MFA via les options disponibles dans les sections utilisateurs/groupes, appareilset emplacements .

Configurer des stratégies d’authentification via Windows PowerShell

Windows PowerShell permet une plus grande flexibilité dans l’utilisation de différents facteurs de contrôle d’accès et le mécanisme d’authentification disponible dans AD FS dans Windows Server 2012 R2 pour configurer les stratégies d’authentification et les règles d’autorisation nécessaires pour implémenter un accès conditionnel réel pour vos ressources sécurisées par le AD FS.

Pour effectuer ces procédures, il est nécessaire d’appartenir au minimum au groupe Administrateurs ou à un groupe équivalent sur l’ordinateur local. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans les groupes locaux et de domaine par défaut (

Pour configurer une méthode d’authentification supplémentaire via Windows PowerShell

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

Avertissement

Pour vérifier que cette commande s’est correctement exécutée, vous pouvez exécuter la commande Get-AdfsGlobalAuthenticationPolicy .

Pour configurer l’approbation par partie de confiance de l’authentification MFA basée sur les données d’appartenance aux groupes d’un utilisateur

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante :
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Avertissement

Veillez à remplacer relying_party_trust > par le nom de votre approbation de partie de confiance.

  1. dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

Notes

Veillez à remplacer < group_SID > par la valeur de l’identificateur de sécurité (SID) de votre groupe de Active Directory (AD).

Pour configurer l’authentification MFA à l’échelle mondiale en fonction des données d’appartenance au groupe des utilisateurs

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Notes

Veillez à remplacer group_SID > par la valeur du SID de votre groupe Active Directory.

Pour configurer l’authentification MFA à l’échelle mondiale en fonction de l’emplacement de l’utilisateur

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Notes

Veillez à remplacer true_or_false > par true ou false . La valeur dépend de votre condition de règle spécifique qui est basée sur le fait que la demande d’accès provient de l’extranet ou de l’intranet.

Pour configurer l’authentification MFA à l’échelle mondiale en fonction des données de l’appareil de l’utilisateur

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Notes

Veillez à remplacer true_or_false > par true ou false . La valeur dépend de votre condition de règle spécifique qui est basée sur le fait que l’appareil est joint à un espace de travail ou non.

Pour configurer l’authentification multifacteur globalement si la demande d’accès provient de l’extranet et d’un appareil non joint à un espace de travail

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

Notes

Veillez à remplacer les deux instances de true_or_false > par true ou false , ce qui dépend de vos conditions de règle spécifiques. Les conditions de règle sont basées sur le fait que l’appareil est joint à un espace de travail ou non et que la demande d’accès provient de l’extranet ou de l’intranet.

Pour configurer l’authentification MFA de manière globale si l’accès provient d’un utilisateur extranet appartenant à un certain groupe

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

Notes

Veillez à remplacer group_SID > par la valeur du SID du groupe et > par true ou false , ce qui dépend de votre condition de règle spécifique, selon que la demande d’accès provient de l’extranet ou de l’intranet.

Pour accorder l’accès à une application en fonction des données utilisateur via Windows PowerShell

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Notes

Veillez à remplacer relying_party_trust > par la valeur de votre approbation de partie de confiance.

  1. dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

Notes

Veillez à remplacer group_SID > par la valeur du SID de votre groupe Active Directory.

Pour accorder l’accès à une application sécurisée par AD FS uniquement si l’identité de cet utilisateur a été validée avec MFA

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Notes

Veillez à remplacer relying_party_trust > par la valeur de votre approbation de partie de confiance.

  1. dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

Pour accorder l’accès à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un appareil joint à un espace de travail qui est inscrit auprès de l’utilisateur

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Notes

Veillez à remplacer relying_party_trust > par la valeur de votre approbation de partie de confiance.

  1. dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

Pour accorder l’accès à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un appareil joint à un espace de travail qui est inscrit auprès d’un utilisateur dont l’identité a été validée avec MFA

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Notes

Veillez à remplacer relying_party_trust > par la valeur de votre approbation de partie de confiance.

  1. dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

Pour accorder l’accès extranet à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un utilisateur dont l’identité a été validée avec MFA

  1. sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Notes

Veillez à remplacer relying_party_trust > par la valeur de votre approbation de partie de confiance.

  1. dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

Références supplémentaires

Opérations d’AD FS