Mengonfigurasi autentikasi multifaktor Microsoft Entra sebagai penyedia autentikasi menggunakan LAYANAN Federasi Direktori Aktif

Informasi dalam artikel ini berlaku untuk Windows 2016 dan yang lebih baru.

Jika organisasi Anda digabungkan dengan ID Microsoft Entra, Anda dapat menggunakan autentikasi multifaktor Microsoft Entra untuk mengamankan sumber daya Active Directory Federation Services (AD FS), baik lokal maupun di cloud. Autentikasi multifaktor Microsoft Entra memungkinkan Anda menghilangkan kata sandi dan menyediakan cara yang lebih aman untuk mengautentikasi. Dengan Layanan Federasi Direktori Aktif, Anda dapat mengonfigurasi autentikasi multifaktor Microsoft Entra untuk autentikasi utama atau menggunakannya sebagai penyedia autentikasi tambahan.

Tidak seperti LAYANAN Federasi Direktori Aktif di Windows Server 2012 R2, adaptor autentikasi multifaktor Ad FS 2016 Microsoft Entra terintegrasi langsung dengan ID Microsoft Entra dan tidak memerlukan Server Autentikasi Multifaktor Azure lokal. Adaptor autentikasi multifaktor Microsoft Entra dibangun ke dalam Windows Server 2016. Tidak diperlukan penginstalan lain.

Mendaftarkan pengguna untuk autentikasi multifaktor Microsoft Entra dengan menggunakan LAYANAN Federasi Direktori Aktif

Layanan Federasi Direktori Aktif tidak mendukung pendaftaran "proofup" sebaris informasi verifikasi keamanan autentikasi multifaktor Microsoft Entra, seperti di nomor telepon atau aplikasi seluler. Tanpa dukungan untuk bukti sebaris, pengguna harus mendapatkan bukti dengan mengunjungi https://account.activedirectory.windowsazure.com/Proofup.aspx sebelum mereka menggunakan autentikasi multifaktor Microsoft Entra untuk mengautentikasi ke aplikasi LAYANAN Federasi Direktori Aktif. Ketika pengguna yang belum dibuktikan di ID Microsoft Entra mencoba mengautentikasi dengan autentikasi multifaktor Microsoft Entra di LAYANAN Federasi Direktori Aktif, mereka mendapatkan kesalahan LAYANAN Federasi Direktori Aktif. Sebagai administrator Layanan Federasi Direktori Aktif, Anda dapat menyesuaikan pengalaman kesalahan ini untuk memandu pengguna ke halaman proofup sebagai gantinya. Anda dapat membuat pesan ini dengan menggunakan kustomisasi onload.js untuk mendeteksi string pesan kesalahan dalam halaman Layanan Federasi Direktori Aktif. Kemudian Anda dapat menampilkan pesan baru untuk mengarahkan pengguna https://aka.ms/mfasetup sehingga mereka dapat memasang ulang autentikasi. Untuk informasi selengkapnya, lihat Mengkustomisasi halaman web Layanan Federasi Direktori Aktif untuk memandu pengguna mendaftarkan metode verifikasi MFA.

Catatan

Sebelum pembaruan ini, pengguna harus mengautentikasi dengan menggunakan autentikasi multifaktor Microsoft Entra untuk pendaftaran dengan mengunjungi https://account.activedirectory.windowsazure.com/Proofup.aspx. Dengan pembaruan ini, pengguna Layanan Federasi Direktori Aktif yang belum mendaftarkan informasi verifikasi autentikasi multifaktor Microsoft Entra dapat mengakses halaman pemeriksaan Azure dengan menggunakan pintasan https://aka.ms/mfasetup hanya dengan autentikasi utama, seperti Autentikasi Terintegrasi Windows atau nama pengguna dan kata sandi di halaman web AD FS. Jika pengguna tidak memiliki metode verifikasi yang dikonfigurasi, MICROSOFT Entra ID melakukan pendaftaran sebaris. Pengguna melihat pesan, "Admin Anda telah mengharuskan Anda menyiapkan akun ini untuk verifikasi keamanan tambahan." Kemudian pengguna memilih Siapkan sekarang. Pengguna yang sudah memiliki setidaknya satu metode verifikasi yang dikonfigurasi masih akan diminta untuk menyediakan autentikasi multifaktor (MFA) saat mengunjungi halaman proofup.

Topologi penyebaran yang direkomendasikan

Bagian ini mencakup penggunaan autentikasi multifaktor Microsoft Entra sebagai metode autentikasi utama dengan AD FS dan autentikasi multifaktor Microsoft Entra untuk Office 365.

Autentikasi multifaktor Microsoft Entra sebagai autentikasi utama

Ada beberapa alasan besar untuk menggunakan autentikasi multifaktor Microsoft Entra sebagai Autentikasi Utama dengan LAYANAN Federasi Direktori Aktif:

• Ini menghindari kata sandi untuk masuk ke MICROSOFT Entra ID, Office 365, dan aplikasi LAYANAN Federasi Direktori Aktif lainnya.
• Ini melindungi masuk berbasis kata sandi dengan memerlukan faktor lain, seperti kode verifikasi sebelum kata sandi.

Anda juga mungkin ingin menggunakan autentikasi multifaktor Microsoft Entra sebagai metode autentikasi utama dan Microsoft Entra Conditional Access, termasuk MFA sejati dengan meminta faktor tambahan. Untuk menggunakan autentikasi multifaktor Microsoft Entra lokal, Anda dapat mengonfigurasi pengaturan domain Microsoft Entra dengan mengatur SupportsMfa ke $true. Dalam konfigurasi ini, MICROSOFT Entra ID dapat meminta LAYANAN Federasi Direktori Aktif untuk melakukan autentikasi tambahan atau "true MFA" untuk skenario akses bersyarat yang memerlukannya.

Setiap pengguna Layanan Federasi Direktori Aktif yang belum terdaftar (belum mengonfigurasi informasi verifikasi MFA), harus diminta untuk mengonfigurasi informasi verifikasi. Untuk meminta pengguna yang tidak terdaftar, Anda dapat menggunakan halaman kesalahan Layanan Federasi Direktori Aktif yang disesuaikan untuk mengarahkan pengguna ke https://aka.ms/mfasetup dan mengonfigurasi informasi verifikasi. Setelah konfigurasi, pengguna dapat memasang ulang masuk LAYANAN Federasi Direktori Aktif mereka.

Autentikasi multifaktor Microsoft Entra sebagai autentikasi utama dianggap sebagai faktor tunggal. Setelah konfigurasi awal, pengguna perlu memberikan faktor lain untuk mengelola atau memperbarui informasi verifikasi mereka di ID Microsoft Entra, atau untuk mengakses sumber daya lain yang memerlukan MFA.

Catatan

Dengan Layanan Federasi Direktori Aktif 2019, Anda diharuskan untuk melakukan modifikasi pada jenis klaim jangkar untuk kepercayaan Penyedia Klaim Direktori Aktif dan memodifikasinya dari windowsaccountname ke Nama Prinsipal Pengguna (UPN). Jalankan cmdlet PowerShell berikut. Ini tidak berpengaruh pada fungsi internal farm Layanan Federasi Direktori Aktif. Ada kemungkinan beberapa pengguna mungkin diminta kembali untuk kredensial setelah perubahan ini dilakukan. Setelah masuk lagi, pengguna akhir tidak akan melihat perbedaan.

Set-AdfsClaimsProviderTrust -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -TargetName "Active Directory"

Autentikasi multifaktor Microsoft Entra sebagai autentikasi tambahan ke Office 365

Adaptor autentikasi multifaktor Microsoft Entra untuk LAYANAN Federasi Direktori Aktif memungkinkan pengguna Anda melakukan MFA di LAYANAN Federasi Direktori Aktif. Untuk mengamankan sumber daya Microsoft Entra, Anda harus mewajibkan MFA melalui kebijakan Akses Bersyarat. Anda juga harus mengatur pengaturan SupportsMfa domain ke $true dan memancarkan klaim multipleauthn saat pengguna berhasil melakukan verifikasi dua langkah.

Seperti yang dijelaskan sebelumnya, setiap pengguna LAYANAN Federasi Direktori Aktif yang belum terdaftar (belum mengonfigurasi informasi verifikasi MFA) harus diminta untuk mengonfigurasi informasi verifikasi. Untuk meminta pengguna yang tidak terdaftar, Anda dapat menggunakan halaman kesalahan Layanan Federasi Direktori Aktif yang disesuaikan untuk mengarahkan pengguna ke https://aka.ms/mfasetup dan mengonfigurasi informasi verifikasi. Setelah konfigurasi, pengguna dapat memasang ulang masuk LAYANAN Federasi Direktori Aktif mereka.

Prasyarat

Prasyarat berikut diperlukan saat Anda menggunakan autentikasi multifaktor Microsoft Entra untuk autentikasi dengan LAYANAN Federasi Direktori Aktif:

• Langganan Azure dengan ID Microsoft Entra.
• Autentikasi multifaktor Microsoft Entra.

Catatan

ID Microsoft Entra dan autentikasi multifaktor Microsoft Entra disertakan dalam Microsoft Entra ID P1 atau P2 dan Enterprise Mobility Suite (EMS). Anda tidak memerlukan langganan individual jika Anda memiliki salah satu aplikasi ini yang terinstal.

• Lingkungan lokal Layanan Federasi Direktori Aktif Windows Server 2016.
  • Server harus dapat berkomunikasi dengan URL berikut melalui port 443.
    • https://adnotifications.windowsazure.com
      • https://login.microsoftonline.com
• Lingkungan lokal Anda harus digabungkan dengan ID Microsoft Entra.
• Modul Microsoft Azure Active Directory untuk Windows PowerShell.
• Izin administrator global pada instans ID Microsoft Entra Anda untuk mengonfigurasinya dengan menggunakan Azure AD PowerShell.
• Info masuk administrator perusahaan untuk mengonfigurasi farm LAYANAN Federasi Direktori Aktif untuk autentikasi multifaktor Microsoft Entra.

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Mengonfigurasi Server AD FS

Untuk menyelesaikan konfigurasi untuk autentikasi multifaktor Microsoft Entra untuk LAYANAN Federasi Direktori Aktif, Anda perlu mengonfigurasi setiap server LAYANAN Federasi Direktori Aktif dengan menggunakan langkah-langkah yang dijelaskan di sini.

Catatan

Pastikan bahwa langkah-langkah ini dilakukan di semua server Layanan Federasi Direktori Aktif di farm Anda. Jika Anda memiliki beberapa server Layanan Federasi Direktori Aktif di farm, Anda dapat melakukan konfigurasi yang diperlukan dari jarak jauh dengan menggunakan Azure AD PowerShell.

Langkah 1: Buat sertifikat untuk autentikasi multifaktor Microsoft Entra di setiap server LAYANAN Federasi Direktori Aktif

Hal pertama yang perlu Anda lakukan adalah menggunakan New-AdfsAzureMfaTenantCertificate perintah PowerShell untuk menghasilkan sertifikat untuk digunakan autentikasi multifaktor Microsoft Entra. Setelah Anda membuat sertifikat, temukan di penyimpanan sertifikat komputer lokal. Sertifikat ditandai dengan nama subjek yang berisi TenantID untuk direktori Microsoft Entra Anda.

TenantID adalah nama direktori Anda di ID Microsoft Entra. Gunakan cmdlet PowerShell berikut untuk menghasilkan sertifikat baru:

$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID <tenantID>

Langkah 2: Tambahkan kredensial baru ke Perwakilan Layanan Klien autentikasi multifaktor Azure

Untuk mengaktifkan server Layanan Federasi Direktori Aktif untuk berkomunikasi dengan Klien autentikasi multifaktor Azure, Anda perlu menambahkan kredensial ke Perwakilan Layanan untuk Klien autentikasi multifaktor Azure. Sertifikat yang dihasilkan dengan menggunakan cmdlet New-AdfsAzureMFaTenantCertificate berfungsi sebagai kredensial ini. Buka PowerShell, dan lakukan langkah-langkah berikut untuk menambahkan kredensial baru ke Perwakilan Layanan Klien autentikasi multifaktor Azure.

Langkah 3: Atur sertifikat sebagai kredensial baru terhadap Klien autentikasi multifaktor Azure

Catatan

Untuk menyelesaikan langkah ini, Anda perlu menyambungkan ke instans ID Microsoft Entra anda dengan Microsoft Graph PowerShell dengan menggunakan Connect-MgGraph. Langkah-langkah ini mengasumsikan Anda telah tersambung melalui PowerShell.

Connect-MgGraph -Scopes 'Application.ReadWrite.All'
$servicePrincipalId = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").Id
$keyCredentials = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").KeyCredentials
$certX509 = [System.Security.Cryptography.X509Certificates.X509Certificate2]([System.Convert]::FromBase64String($certBase64))
$newKey = @(@{
    CustomKeyIdentifier = $null
    DisplayName = $certX509.Subject
    EndDateTime = $null
    Key = $certX509.GetRawCertData()
    KeyId = [guid]::NewGuid()
    StartDateTime = $null
    Type = "AsymmetricX509Cert"
    Usage = "Verify"
    AdditionalProperties = $null
})
$keyCredentials += $newKey
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId -KeyCredentials $keyCredentials

Penting

Perintah ini perlu dijalankan di semua server Layanan Federasi Direktori Aktif di farm Anda. Autentikasi multifaktor Microsoft Entra akan gagal di server yang belum memiliki sertifikat yang ditetapkan sebagai kredensial baru terhadap Klien autentikasi multifaktor Azure.

Catatan

981f26a1-7f43-403b-a875-f8b09b8cd720 adalah GUID untuk Klien autentikasi multifaktor Azure.

Mengonfigurasi Layanan Federasi Direktori Aktif Farm

Setelah Anda menyelesaikan langkah-langkah di bagian sebelumnya untuk setiap server LAYANAN Federasi Direktori Aktif, atur informasi penyewa Azure dengan menggunakan cmdlet Set-AdfsAzureMfaTenant . Cmdlet ini perlu dijalankan hanya sekali untuk farm Layanan Federasi Direktori Aktif.

Buka PowerShell, dan masukkan tenantId Anda sendiri dengan Set-AdfsAzureMfaTenant cmdlet . Untuk pelanggan yang menggunakan cloud Microsoft Azure Government, tambahkan -Environment USGov parameter :

Catatan

Anda perlu memulai ulang layanan Layanan Federasi Direktori Aktif di setiap server di farm Anda sebelum perubahan ini berlaku. Untuk dampak minimal, keluarkan setiap server Layanan Federasi Direktori Aktif dari rotasi NLB satu per satu dan tunggu semua koneksi terkuras.

Set-AdfsAzureMfaTenant -TenantId <tenant ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

Windows Server tanpa paket layanan terbaru tidak mendukung -Environment parameter untuk Set-AdfsAzureMfaTenant cmdlet. Jika Anda menggunakan cloud Azure Government dan langkah-langkah sebelumnya gagal mengonfigurasi penyewa Azure Anda karena parameter yang hilang -Environment , selesaikan langkah-langkah berikut untuk membuat entri registri secara manual. Lewati langkah-langkah ini jika cmdlet sebelumnya mendaftarkan informasi penyewa Anda dengan benar atau jika Anda tidak berada di cloud Azure Government:

1. Buka Editor Registri di server Layanan Federasi Direktori Aktif.

2. Navigasi ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS. Buat nilai kunci registri berikut:

   Kunci Registri	Nilai
   SasUrl	https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector
   StsUrl	https://login.microsoftonline.us
   ResourceUri	https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector

3. Mulai ulang layanan Layanan Federasi Direktori Aktif di setiap server di farm sebelum perubahan ini berlaku. Untuk mengurangi efek pada sistem Anda, keluarkan setiap server Layanan Federasi Direktori Aktif dari rotasi NLB satu per satu dan tunggu semua koneksi terkuras.

Setelah langkah ini, Anda akan melihat bahwa autentikasi multifaktor Microsoft Entra tersedia sebagai metode autentikasi utama untuk penggunaan intranet dan ekstranet.

Jika Anda ingin menggunakan autentikasi multifaktor Microsoft Entra sebagai metode autentikasi sekunder, pada kotak Edit Metode Autentikasi, pilih tab multifaktor (tab Tambahan di AD FS 2019) dan pastikan bahwa metode tersebut diaktifkan. Jika tidak, Anda mungkin menerima pesan kesalahan, seperti, "Tidak ada metode autentikasi kuat yang valid yang ditemukan. Hubungi administrator Anda untuk mengonfigurasi dan mengaktifkan penyedia autentikasi yang kuat yang sesuai."

Memperbarui dan Mengelola Sertifikat autentikasi multifaktor Microsoft Entra Ad FS

Panduan berikut dirancang untuk membantu Anda mengelola sertifikat autentikasi multifaktor Microsoft Entra di server LAYANAN Federasi Direktori Aktif Anda.

Secara default, saat Anda mengonfigurasi LAYANAN Federasi Direktori Aktif dengan autentikasi multifaktor Microsoft Entra, sertifikat yang dihasilkan melalui New-AdfsAzureMfaTenantCertificate cmdlet PowerShell berlaku selama dua tahun. Untuk menentukan seberapa dekat dengan kedaluwarsa sertifikat Anda, dan untuk memperbarui dan menginstal sertifikat baru, gunakan prosedur berikut.

1. Menilai tanggal kedaluwarsa sertifikat autentikasi multifaktor Microsoft Entra Ad FS.

   Di setiap server Layanan Federasi Direktori Aktif, di komputer lokal Penyimpanan saya, ada sertifikat yang ditandatangani sendiri dengan "Autentikasi multifaktor Microsoft Microsoft Ad FS Microsoft Entra" di area Penerbit dan Subjek. Sertifikat ini adalah sertifikat autentikasi multifaktor Microsoft Entra. Periksa masa berlaku sertifikat ini pada setiap server AD FS untuk menentukan tanggal kedaluwarsa.

2. Buat Sertifikat autentikasi multifaktor Ad FS Microsoft Entra baru di setiap server AD FS.

   Jika periode validitas sertifikat Anda mendekati akhir, mulai proses perpanjangan dengan membuat sertifikat autentikasi multifaktor Microsoft Entra baru di setiap server LAYANAN Federasi Direktori Aktif. Di PowerShell, buat sertifikat baru di setiap server Layanan Federasi Direktori Aktif dengan menggunakan cmdlet berikut:

   Perhatian

   Jika sertifikat Anda telah kedaluwarsa, jangan tambahkan -Renew $true parameter ke perintah berikut. Dalam skenario ini, sertifikat yang sudah kedaluwarsa yang ada diganti dengan sertifikat baru alih-alih dibiarkan di tempat dan sertifikat tambahan yang dibuat.

   $newcert = New-AdfsAzureMfaTenantCertificate -TenantId <tenant id such as contoso.onmicrosoft.com> -Renew $true
   

   Jika sertifikat belum kedaluwarsa, perintah menghasilkan sertifikat baru yang berlaku dari dua hari setelah hari ini hingga dua tahun ditambah dua hari di masa mendatang. Operasi autentikasi multifaktor Ad FS dan Microsoft Entra tidak terpengaruh saat menjalankan cmdlet atau memperbarui sertifikat. Penundaan dua hari disengaja dan menyediakan waktu untuk mengikuti langkah-langkah berikutnya untuk mengonfigurasi sertifikat baru di penyewa sebelum LAYANAN Federasi Direktori Aktif dimulai dengan menggunakannya untuk autentikasi multifaktor Microsoft Entra.

3. Konfigurasikan setiap sertifikat autentikasi multifaktor Ad FS Microsoft Entra baru di penyewa Microsoft Entra.

   Catatan

   Untuk menyelesaikan langkah ini, Anda perlu menyambungkan ke instans ID Microsoft Entra anda dengan Microsoft Graph PowerShell dengan menggunakan Connect-MgGraph. Langkah-langkah ini mengasumsikan Anda telah tersambung melalui PowerShell.

   Connect-MgGraph -Scopes 'Application.ReadWrite.All'
   $servicePrincipalId = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").Id
   $keyCredentials = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").KeyCredentials
   $certX509 = [System.Security.Cryptography.X509Certificates.X509Certificate2]([System.Convert]::FromBase64String($newcert))
   $newKey = @(@{
       CustomKeyIdentifier = $null
       DisplayName = $certX509.Subject
       EndDateTime = $null
       Key = $certX509.GetRawCertData()
       KeyId = [guid]::NewGuid()
       StartDateTime = $null
       Type = "AsymmetricX509Cert"
       Usage = "Verify"
       AdditionalProperties = $null
   })
   $keyCredentials += $newKey
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId -KeyCredentials $keyCredentials
   

   Jika sertifikat Anda sebelumnya kedaluwarsa, mulai ulang layanan Layanan Federasi Direktori Aktif untuk mengambil sertifikat baru. Anda tidak perlu memulai ulang layanan Layanan Federasi Direktori Aktif jika Anda memperbarui sertifikat sebelum kedaluwarsa.

4. Verifikasi bahwa sertifikat baru digunakan untuk autentikasi multifaktor Microsoft Entra.

Setelah sertifikat baru valid, Layanan Federasi Direktori Aktif akan mengambilnya dan menggunakan setiap sertifikat masing-masing untuk autentikasi multifaktor Microsoft Entra dalam beberapa jam hingga satu hari. Setelah Layanan Federasi Direktori Aktif menggunakan sertifikat baru, di setiap server Anda akan melihat peristiwa yang dicatat di log peristiwa Admin Layanan Federasi Direktori Aktif dengan informasi berikut:

Log Name:      AD FS/Admin
Source:        AD FS
Date:          2/27/2018 7:33:31 PM
Event ID:      547
Task Category: None
Level:         Information
Keywords:      AD FS
User:          DOMAIN\adfssvc
Computer:      ADFS.domain.contoso.com
Description:
The tenant certificate for Azure MFA has been renewed.

TenantId: contoso.onmicrosoft.com.
Old thumbprint: 7CC103D60967318A11D8C51C289EF85214D9FC63.
Old expiration date: 9/15/2019 9:43:17 PM.
New thumbprint: 8110D7415744C9D4D5A4A6309499F7B48B5F3CCF.
New expiration date: 2/27/2020 2:16:07 AM.

Mengkustomisasi halaman web Layanan Federasi Direktori Aktif untuk memandu pengguna mendaftarkan metode verifikasi MFA

Gunakan contoh berikut untuk mengkustomisasi halaman web LAYANAN Federasi Direktori Aktif Anda untuk pengguna yang belum melakukan pemeriksaan (informasi verifikasi MFA yang dikonfigurasi).

Temukan kesalahan

Pertama, Layanan Federasi Direktori Aktif mengembalikan beberapa pesan kesalahan yang berbeda ketika pengguna tidak memiliki informasi verifikasi. Jika Anda menggunakan autentikasi multifaktor Microsoft Entra sebagai autentikasi utama, pengguna yang tidak tahan melihat halaman kesalahan LAYANAN Federasi Direktori Aktif yang berisi pesan berikut:

    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            Authentication attempt failed. Select a different sign in option or close the web browser and sign in again. Contact your administrator for more information.
        </div>

Saat ID Microsoft Entra sebagai autentikasi tambahan sedang dicoba, pengguna yang tidak tahan melihat halaman kesalahan Layanan Federasi Direktori Aktif yang berisi pesan berikut:

<div id='mfaGreetingDescription' class='groupMargin'>For security reasons, we require additional information to verify your account (mahesh@jenfield.net)</div>
    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            The selected authentication method is not available for &#39;username@contoso.com&#39;. Choose another authentication method or contact your system administrator for details.
        </div>

Menangkap kesalahan dan memperbarui teks halaman

Untuk menangkap kesalahan dan menampilkan panduan kustom pengguna, tambahkan JavaScript ke akhir onload.js file yang merupakan bagian dari tema web Layanan Federasi Direktori Aktif. Melakukannya memungkinkan Anda untuk:

• Cari string kesalahan identifikasi.
• Sediakan konten web kustom.

Catatan

Untuk panduan umum tentang cara mengkustomisasi file onload.js, lihat Kustomisasi Tingkat Lanjut Halaman Masuk Ad FS.

Langkah-langkah berikut menunjukkan contoh sederhana:

1. Buka Windows PowerShell di server LAYANAN Federasi Direktori Aktif utama Anda, dan buat Tema Web LAYANAN Federasi Direktori Aktif baru dengan menjalankan perintah berikut.

       New-AdfsWebTheme –Name ProofUp –SourceName default
   

2. Buat folder , dan ekspor Tema Web LAYANAN Federasi Direktori Aktif default.

      New-Item -Path 'C:\Theme' -ItemType Directory;Export-AdfsWebTheme –Name default –DirectoryPath C:\Theme
   

3. Buka file C:\Theme\script\onload.js di editor teks.

4. Tambahkan kode berikut ke akhir file onload.js:

   //Custom Code
   //Customize MFA exception
   //Begin
   
   var domain_hint = "<YOUR_DOMAIN_NAME_HERE>";
   var mfaSecondFactorErr = "The selected authentication method is not available for";
   var mfaProofupMessage = "You will be automatically redirected in 5 seconds to set up your account for additional security verification. After you've completed the setup, please return to the application you are attempting to access.<br><br>If you are not redirected automatically, please click <a href='{0}'>here</a>."
   var authArea = document.getElementById("authArea");
   if (authArea) {
       var errorMessage = document.getElementById("errorMessage");
       if (errorMessage) {
           if (errorMessage.innerHTML.indexOf(mfaSecondFactorErr) >= 0) {
   
               //Hide the error message
               var openingMessage = document.getElementById("openingMessage");
               if (openingMessage) {
                   openingMessage.style.display = 'none'
               }
               var errorDetailsLink = document.getElementById("errorDetailsLink");
               if (errorDetailsLink) {
                   errorDetailsLink.style.display = 'none'
               }
   
               //Provide a message and redirect to Azure AD MFA Registration Url
               var mfaRegisterUrl = "https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1&whr=" + domain_hint;
               errorMessage.innerHTML = "<br>" + mfaProofupMessage.replace("{0}", mfaRegisterUrl);
               window.setTimeout(function () { window.location.href = mfaRegisterUrl; }, 5000);
           }
       }
   }
   
   //End Customize MFA Exception
   //End Custom Code
   

   Penting

   Anda perlu mengubah "<YOUR_DOMAIN_NAME_HERE>"; untuk menggunakan nama domain Anda. Misalnya: var domain_hint = "contoso.com";.

5. Simpan file onload.js.

6. Impor file onload.js ke dalam tema kustom Anda dengan memasukkan perintah Windows PowerShell berikut ini:

   Set-AdfsWebTheme -TargetName ProofUp -AdditionalFileResource @{Uri='/adfs/portal/script/onload.js';path="c:\theme\script\onload.js"}
   

7. Terapkan Tema Web Layanan Federasi Direktori Aktif kustom dengan memasukkan perintah Windows PowerShell berikut ini:

   Set-AdfsWebConfig -ActiveThemeName "ProofUp"
   

Tautan terkait

• Mengelola protokol SSL/TLS dan cipher suite untuk Layanan Federasi Direktori Aktif