Novità di Active Directory Federation ServicesWhat's new in Active Directory Federation Services

Che cosa sono le novità di Active Directory Federation Services per Windows Server 2019What's new in Active Directory Federation Services for Windows Server 2019

Account di accesso protettoProtected Logins

Di seguito è riportato un breve riepilogo degli aggiornamenti agli account di accesso protetta disponibili in AD FS 2019:The following is a brief summary of updates to protected logins available in AD FS 2019:

  • Provider di autenticazione esterni come primario -i clienti possono ora usare prodotti di autenticazione di terze parti 3rd come il primo fattore e non esporre le password come il primo fattore.External Auth Providers as Primary - Customers can now use 3rd party authentication products as the first factor and not expose passwords as the first factor. Nei casi in cui un provider di autenticazione esterni può dimostrare 2 fattori possibile attestazione MFA.In the cases where an external auth provider can prove 2 factors it can claim MFA.
  • L'autenticazione della password come metodo di autenticazione aggiuntiva -i clienti hanno un'opzione completamente supportata nella posta in arrivo di usare password solo per fattore aggiuntivo dopo una password meno opzione viene utilizzato come il primo fattore.Password Authentication as additional Authentication - Customers have a fully supported inbox option to use password only for the additional factor after a password less option is used as the first factor. Ciò migliora l'esperienza dei clienti da ad FS 2016 in cui i clienti dovevano scaricare un adattatore di github che è supportato come è.This improves the customer experience from ADFS 2016 where customers had to download a github adapter which is supported as is.
  • Modulo plug-in valutazione dei rischi -i clienti possono ora creare i propri plug-in moduli per bloccare determinati tipi di richieste durante la fase di preautenticazione.Pluggable Risk Assessment Module - Customers can now build their own plug in modules to block certain types of requests during pre-authentication stage. Questo rende più semplice per i clienti a usare l'intelligence per il cloud, ad esempio Identity protection per bloccare l'account di accesso per gli utenti a rischio o transazioni a rischio.This makes it easier for customers to use cloud intelligence such as Identity protection to block logins for risky users or risky transactions. Per altre informazioni vedere creare Plug-in con modello di valutazione del rischio 2019 AD FSFor more information see Build Plug-ins with AD FS 2019 Risk Assessment Model
  • Miglioramenti di ESL -migliora la correzione QFE ESL nel 2016 aggiungendo le funzionalità seguentiESL improvements - Improves on the ESL QFE in 2016 by adding the following capabilities
    • Consente ai clienti di essere in modalità di controllo mentre viene protetto dalla funzionalità di blocco extranet "classici" disponibile a partire da ad FS 2012 R2.Enables customers to be in audit mode while being protected by 'classic' extranet lockout functionality available since ADFS 2012R2. Attualmente i clienti 2016 non avrebbe alcuna protezione in modalità di controllo.Currently 2016 customers would have no protection while in audit mode.
    • Abilita la soglia di blocco indipendenti per posizioni note.Enables independent lockout threshold for familiar locations. Questo rende possibile per più istanze delle App in esecuzione con un account del servizio comune per il rollover delle password con il minimo impatto.This makes it possible for multiple instances of apps running with a common service account to roll over passwords with the least amount of impact.

Miglioramenti della sicurezza aggiuntiveAdditional security improvements

I seguenti miglioramenti di sicurezza aggiuntive sono disponibili in AD FS 2019:The following additional security improvements are available in AD FS 2019:

  • PSH remota usando account di accesso smart card : i clienti possono ora utilizzare smart card in remoto la connessione ad ad FS tramite PSH e Usa che per gestire PSH tutte le funzioni includono cmdlet PSH a nodi multipli.Remote PSH using SmartCard Login - Customers can now use smartcards to remote connect to ADFS via PSH and use that to manage all PSH functions include multi-node PSH cmdlets.
  • Personalizzazione di intestazione HTTP -i clienti possono ora personalizzare le intestazioni HTTP durante le risposte di ad FS.HTTP Header customization - Customers can now customize HTTP headers emitted during ADFS responses. Ciò include le intestazioni seguentiThis includes the following headers
    • HSTS: Ciò indica che gli endpoint ad FS sono utilizzabili solo gli endpoint HTTPS per un browser conforme per imporreHSTS: This conveys that ADFS endpoints can only be used on HTTPS endpoints for a compliant browser to enforce
    • x-frame-options: Consente agli amministratori di ad FS consentire alle relying party specifiche di incorporamento IFrame per le pagine di accesso interattivo di ad FS.x-frame-options: Allows ADFS admins to allow specific relying parties to embed iFrames for ADFS interactive login pages. Deve essere utilizzata con cautela e solo negli host HTTPS.This should be used with care and only on HTTPS hosts.
    • Intestazione futuri: È possibile configurare anche altre intestazioni future.Future header: Additional future headers can be configured as well.

Per altre informazioni vedere intestazioni della risposta HTTP Personalizza sicurezza con AD FS 2019For more information see Customize HTTP security response headers with AD FS 2019

Funzionalità autenticazione/criteriAuthentication/Policy capabilities

Le seguenti funzionalità di autenticazione o criterio sono in AD FS 2019:The following authentication/policy capabilities are in AD FS 2019:

  • Specificare il metodo di autenticazione per l'autenticazione aggiuntiva per ogni applicazione relying Party -i clienti possono ora usare le attestazioni le regole per decidere quale provider di autenticazione aggiuntivo da richiamare per provider di autenticazione aggiuntivo.Specify auth method for additional auth per RP - Customers can now use claims rules to decide which additional authentication provider to invoke for additional authentication provider. Ciò è utile per casi d'uso 2This is useful for 2 use cases
    • I clienti stanno passando dal provider di autenticazione aggiuntivo uno a altro.Customers are transitioning from one additional authentication provider to another. In questo modo, man mano che gli utenti di eseguire l'onboarding a un nuovo provider di autenticazione possono usare i gruppi per controllare quali l'autenticazione aggiuntiva del provider viene chiamato.This way as they onboard users to a newer authentication provider they can use groups to control which additional authentication provider is called.
    • I clienti hanno esigenze per un provider di autenticazione aggiuntivo specifico (ad esempio, il certificato) per determinate applicazioni.Customers have needs for a specific additional authentication provider (e.g. certificate) for certain applications.
  • Limitare l'autenticazione TLS basato su dispositivo solo alle applicazioni che lo richiedono -i clienti ora possono limitare le autenticazioni di dispositivo per basati su TLS, solo le applicazioni che eseguono dispositivi l'accesso condizionale basato su client.Restrict TLS based device auth only to applications that require it - Customers can now restrict client TLS based device authentications to only applications performing device based conditional access. Ciò impedisce che vengano visualizzati messaggi indesiderati per l'autenticazione dispositivo (o errori se l'applicazione client non è possibile gestire) per le applicazioni che non richiedono l'autenticazione TLS basato su dispositivo.This prevents any unwanted prompts for device authentication (or failures if the client application cannot handle) for applications that do not require TLS based device authentication.
  • Supporto MFA freshness -AD FS supporta ora la funzionalità per eseguire nuovamente la validità della credenziale 2nd factor in base 2 ° credenziale di fattore.MFA freshness support - AD FS now supports the ability to re-do 2nd factor credential based on the freshness of the 2nd factor credential. In questo modo agli utenti di eseguire una transazione iniziale con 2 fattori e Richiedi solo 2nd factor su base periodica.This allows customers to do an initial transaction with 2 factors and only prompt for the 2nd factor on a periodic basis. Questo è disponibile solo per le applicazioni che possono fornire un parametro aggiuntivo nella richiesta e non sono un'impostazione configurabile in ad FS.This is only available to applications that can provide an additional parameter in the request and is not a configurable setting in ADFS. Questo parametro è supportato da Azure AD quando sono configurati "Ricordarsi di my MFA per X giorni" e il flag 'supportsMFA' è impostato su true per le impostazioni del trust di dominio federato in Azure AD.This parameter is supported by Azure AD when "Remember my MFA for X days" is configured and the 'supportsMFA' flag is set to true on the federated domain trust settings in Azure AD.

Miglioramenti di accesso SSOSign-in SSO improvements

In AD FS 2019 sono stati apportati i miglioramenti di SSO sign-in seguenti:The following sign-in SSO improvements have been made in AD FS 2019:

  • Impaginato dell'esperienza utente con il tema centrato -ADFS sono ora spostate in un flusso dell'esperienza utente impaginato che consente ad FS convalidare e fornire un'esperienza di accesso più più uniforme.Paginated UX with Centered Theme - ADFS now has moved to a paginated UX flow that allows ADFS to validate and provide a more smoother sign-in experience. Ad FS Usa ora un'interfaccia utente centrata (anziché il lato destro della schermata).ADFS now uses a centered UI (instead of the right side of the screen). Le immagini più recenti di logo e di sfondo per la compatibilità con l'esperienza potrebbe essere necessaria.You may require newer logo and background images to align with this experience. Ciò riflette anche funzionalità disponibile in Azure AD.This also mirrors functionality offered in Azure AD.
  • Correzione di bug: Stato di accesso SSO persistente per i dispositivi Windows 10 quando si esegue l'autenticazione PRT Ciò contribuisce a risolvere un problema in cui lo stato di autenticazione a più fattori non è stato mantenuto quando si usa l'autenticazione PRT per i dispositivi Windows 10.Bug fix: Persistent SSO state for Win10 devices when doing PRT auth This addresses an issue where MFA state was not persisted when using PRT authentication for Windows 10 devices. Il risultato del problema è che gli utenti finali sarebbe venga chiesta 2nd credenziale a fattori (MFA) di frequente.The result of the issue was that end users would get prompted for 2nd factor credential (MFA) frequently. La correzione inoltre rende l'esperienza coerente quando dispositivo autenticazione viene eseguita correttamente tramite il client TLS e tramite il meccanismo di PRT.The fix also makes the experience consistent when device auth is successfully performed via client TLS and via PRT mechanism.

Supporto per la creazione di App line-of-business moderneSuppport for building modern line-of-business apps

Il supporto per la creazione di App LOB moderne seguente è stato aggiunto ad AD FS 2019:The following support for building modern LOB apps has been added to AD FS 2019:

  • Flusso OAuth dispositivo/profilo -AD FS supporta ora il profilo di flusso OAuth dispositivo per eseguire gli account di accesso nei dispositivi che non è una superficie di attacco per il supporto delle esperienze di accesso avanzate dell'interfaccia utente.Oauth Device flow/profile - AD FS now supports the OAuth device flow profile to perform logins on devices that do not have a UI surface area to support rich login experiences. Ciò consente all'utente completare l'esperienza di accesso su un altro dispositivo.This allows the user to complete the login experience on a different device. Questa funzionalità è necessaria per un'esperienza della riga di comando di Azure in Azure Stack e può essere usata in altri casi.This functionality is required for Azure CLI experience in Azure Stack and can be used in other cases.
  • Rimozione del parametro 'Resource' -ADFS ora ha rimosso la necessità di specificare un parametro di risorsa che è in linea con le specifiche di Oauth corrente.Removal of 'Resource' parameter - AD FS has now removed the requirement to specify a resource parameter which is in line with current Oauth specifications. I client possono ora specificare l'identificatore dell'attendibilità della Relying Party come parametro di ambito anche per le autorizzazioni richieste.Clients can now provide the Relying Party trust identifier as the scope parameter in addition to permissions requested.
  • Le intestazioni CORS nelle risposte ADFS -i clienti possono ora creare applicazioni a pagina singola che consentono a client librerie JS lato convalidare la firma dell'id_token eseguendo una query per le chiavi di firma del documento di individuazione OIDC in AD FS.CORS headers in AD FS responses - Customers can now build Single Page Applications that allow client side JS libraries to validate the signature of the id_token by querying for the signing keys from the OIDC discovery document on AD FS.
  • Supporto per PKCE -ADFS aggiunge supporto per PKCE per fornire un flusso del codice di autenticazione sicura all'interno di OAuth.PKCE support - AD FS adds PKCE support to provide a secure auth code flow within OAuth. Si aggiunge un ulteriore livello di sicurezza per questo flusso per impedire Hijack il codice e riproduzione, da un altro client.This adds an additional layer of security to this flow to prevent hijacking the code and replaying it from a different client.
  • Correzione di bug: Attestazione di trasmissione x5t e kid -si tratta di una correzione di bug minore.Bug fix: Send x5t and kid claim - This is a minor bug fix. A questo punto ADFS invia inoltre l'attestazione "kid" per indicare l'hint di id chiave per la verifica della firma.AD FS now additionally sends the 'kid' claim to denote the key id hint for verifying the signature. Inviati in precedenza ADFS solo questo come attestazione "x5t".Previously AD FS only sent this as 'x5t' claim.

Miglioramenti al supportoSupportability improvements

I seguenti miglioramenti al supporto non fanno parte di AD FS 2019:The following supportability improvements are not part of AD FS 2019:

  • Inviare i dettagli dell'errore per gli amministratori di AD FS -consente agli amministratori di configurare gli utenti finali per inviare i log di debug relative a un errore nell'autenticazione degli utenti finali da archiviare come presentata una compresso per la facilità di utilizzo.Send error details to AD FS admins - Allows admins to configure end users to send debug logs relating to a failure in end user authentication to be stored as a zipped filed for easy consumption. Gli amministratori possono anche configurare una connessione SMTP a automail il file compresso in un account di posta elettronica di valutazione o a auto creare un ticket basato sul messaggio di posta elettronica.Admins can also configure an SMTP connection to automail the zipped file to a triage email account or to auto create a ticket based on the email.

Aggiornamenti della distribuzioneDeployment updates

Gli aggiornamenti di distribuzione seguenti sono ora inclusi in AD FS 2019:The following deployment updates are now included in AD FS 2019:

  • 2019 a livello di comportamento farm : come con AD FS 2016, è una nuova versione di livello di comportamento Farm che è necessaria per abilitare nuove funzionalità in precedenza.Farm Behavior Level 2019 - As with AD FS 2016, there is a new Farm Behavior Level version that is required to enable new functionality discussed above. In questo modo, passando da:This allows going from:
    • 2012 R2-> 20192012 R2-> 2019
    • 2016 -> 20192016 -> 2019

Aggiornamenti SAMLSAML updates

È il seguente aggiornamento SAML in AD FS 2019:The following SAML update is in AD FS 2019:

  • Correzione di bug: Correggere i bug di federazione aggregata -sono state apportate numerose correzioni di bug relativi al supporto federazione aggregato (ad esempio InCommon).Bug fix: Fix bugs in aggregated federation - There have been numerous bug fixes around aggregated federation support (e.g. InCommon). Le correzioni sono stati tutto quanto segue:The fixes have been around the following:
    • Migliorata la scalabilità di grandi dimensioni n. di entità nel documento metadati federazione aggregati. In precedenza, questo avrà esito negativo con errore "ADMIN0017".Improved scaling for large # of entities in the aggregated federation metadata doc. Previously, this would fail with "ADMIN0017" error.
    • Eseguire query con parametri 'ScopeGroupID' tramite il cmdlet Get-AdfsRelyingPartyTrustsGroup PSH.Query using 'ScopeGroupID' parameter via Get-AdfsRelyingPartyTrustsGroup PSH cmdlet.
    • La gestione delle condizioni di errore intorno entityID duplicatiHandling error conditions around duplicate entityID

Definizione di risorsa dello stile AD Azure nel parametro di ambitoAzure AD style resource specification in scope parameter

AD FS richiedevano in precedenza, la risorsa desiderata e l'ambito in un parametro separato eventuali richieste di autenticazione.Previously, AD FS required the desired resource and scope to be in a separate parameter in any authentication request. Ad esempio, una richiesta oauth tipica sarà simile di sotto: 7 https://fs.contoso.com/adfs/oauth2/authorize?
valore response_type = codice & client_id = claimsxrayclient & resource = urn: microsoft:
adfs:claimsxray a & mbito = oauth e URI di reindirizzamento = https://adfshelp.microsoft.com/
ClaimsXray / TokenResponse & prompt = login
For example, a typical oauth request would look like below: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Con AD FS 2019 Server, è ora possibile passare il valore della risorsa incorporato nel parametro di ambito.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Ciò è coerenza con la modalità è possibile eseguire l'autenticazione con Azure AD anche.This is consistent with how one can do authentication against Azure AD also.

Il parametro di ambito ora può essere organizzato in un elenco separato da spazi in cui ogni voce è struttura come risorsa/ambito.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Per esempioFor example

< crea una richiesta di esempio valida >< create a valid sample request>

Nota

Solo una risorsa può essere specificata nella richiesta di autenticazione.Only one resource can be specified in the authentication request. Se più di una risorsa è incluso nella richiesta, AD FS restituisce che un errore e l'autenticazione non riuscirà.If more than one resource is included in the request, AD FS will return an error and authentication will not succeed.

Chiave di prova per il supporto di Code Exchange (PKCE) per oAuthProof Key for Code Exchange (PKCE) support for oAuth

I client pubblici OAuth tramite la concessione del codice di autorizzazione sono vulnerabili agli attacchi di intercettazione codice di autorizzazione.OAuth public clients using the Authorization Code Grant are susceptible to the authorization code interception attack. L'attacco viene anche descritto in RFC 7636.The attack is well described in RFC 7636. Per prevenire questo attacco, AD FS nel Server 2019 supporta chiave di prova per Code Exchange (PKCE) per il flusso di concessione del codice di autorizzazione OAuth.To mitigate this attack, AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow.

Per sfruttare il supporto per PKCE, questa specifica aggiunge parametri aggiuntivi per l'autorizzazione di OAuth 2.0 e le richieste di Token di accesso.To leverage the PKCE support, This specification adds additional parameters to the OAuth 2.0 Authorization and Access Token Requests.

Proofkey

A.A. Il client crea e registra un segreto denominato "code_verifier", deriva una versione trasformata "t(code_verifier)" (detto "code_challenge"), che viene inviata in OAuth 2.0 Authorization Request insieme al metodo di trasformazione "t_m".The client creates and records a secret named the "code_verifier" and derives a transformed version "t(code_verifier)" (referred to as the "code_challenge"), which is sent in the OAuth 2.0 Authorization Request along with the transformation method "t_m".

B.B. L'Endpoint di autorizzazione risponde normalmente ma t(code_verifier)"record" e il metodo di trasformazione.The Authorization Endpoint responds as usual but records "t(code_verifier)" and the transformation method.

C.C. Il client quindi invia il codice di autorizzazione in Access Token Request come di consueto, ma include la chiave privata "code_verifier" generata a (A).The client then sends the authorization code in the Access Token Request as usual but includes the "code_verifier" secret generated at (A).

D.D. ADFS trasforma "code_verifier" e lo confronta con "t(code_verifier)" di (B).The AD FS transforms "code_verifier" and compares it to "t(code_verifier)" from (B). Accesso negato se non sono uguali.Access is denied if they are not equal.

Domande frequentiFAQ

Q.Q. È possibile passare il valore di risorsa come parte del valore di ambito, ad esempio come le richieste vengono eseguite da Azure AD?Can I pass resource value as part of the scope value like how requests are done against Azure AD?
A.A. Con AD FS 2019 Server, è ora possibile passare il valore della risorsa incorporato nel parametro di ambito.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Il parametro di ambito ora può essere organizzato in un elenco separato da spazi in cui ogni voce è struttura come risorsa/ambito.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Per esempioFor example
< crea una richiesta di esempio valida >< create a valid sample request>

Q.Q. ADFS supporta estensione PKCE?Does AD FS support PKCE extension?
A.A. AD FS nel Server 2019 supporta chiave di prova per Code Exchange (PKCE) per il flusso di concessione del codice di autorizzazione OAuthAD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow

Novità di Active Directory Federation Services per Windows Server 2016What's new in Active Directory Federation Services for Windows Server 2016

Se si sta cercando informazioni sulle versioni precedenti di ADFS, vedere gli articoli seguenti:If you are looking for information on earlier versions of AD FS, see the following articles:
ADFS in Windows Server 2012 o 2012 R2 e AD FS 2.0ADFS in Windows Server 2012 or 2012 R2 and AD FS 2.0

Active Directory Federation Services fornisce controllo di accesso e single sign-on in un'ampia gamma di applicazioni, tra cui Office 365, cloud basato su applicazioni SaaS e le applicazioni nella rete aziendale.Active Directory Federation Services provides access control and single sign on across a wide variety of applications including Office 365, cloud based SaaS applications, and applications on the corporate network.

  • Per l'organizzazione IT, consente di fornire l'accesso e controllo di accesso alle applicazioni moderne sia legacy, in locale e nel cloud, in base allo stesso set di credenziali e i criteri.For the IT organization, it enables you to provide sign on and access control to both modern and legacy applications, on premises and in the cloud, based on the same set of credentials and policies.
  • Per l'utente fornisce un accesso trasparente utilizzando le credenziali di account familiare.For the user, it provides seamless sign on using the same, familiar account credentials.
  • Per lo sviluppatore fornisce un modo semplice per autenticare gli utenti la cui identità si trovano nelle directory dell'organizzazione in modo che è possibile concentrare l'attenzione su applicazione, non l'autenticazione o identità.For the developer, it provides an easy way to authenticate users whose identities live in the organizational directory so that you can focus your efforts on your application, not authentication or identity.

In questo articolo vengono descritte le nuove in ADFS in Windows Server 2016 (AD FS 2016).This article describes what is new in AD FS in Windows Server 2016 (AD FS 2016).

Eliminare le password dalla rete ExtranetEliminate Passwords from the Extranet

AD FS 2016 consente tre nuove opzioni per l'accesso senza password, consentendo alle organizzazioni di evitare rischi di rete compromettono da phished, password persa o rubata.AD FS 2016 enables three new options for sign on without passwords, enabling organizations to avoid risk of network compromise from phished, leaked or stolen passwords.

Accedere con Azure multi-factor AuthenticationSign in with Azure Multi-factor Authentication

AD FS 2016 si basa l'autenticazione a più fattori funzionalità (MFA) di ADFS in Windows Server 2012 R2, consentendo l'accesso utilizzando solo un codice di autenticazione a più Fattori di Azure, senza prima inserire un nome utente e password.AD FS 2016 builds upon the multi-factor authentication (MFA) capabilities of AD FS in Windows Server 2012 R2 by allowing sign on using only an Azure MFA code, without first entering a username and password.

  • Con Azure multi-factor Authentication come metodo di autenticazione principale, l'utente è richiesto per il proprio nome utente e il codice OTP dall'app Azure Authenticator.With Azure MFA as the primary authentication method, the user is prompted for their username and the OTP code from the Azure Authenticator app.
  • Con Azure multi-factor Authentication come metodo di autenticazione aggiuntivi o secondari, l'utente fornisce l'autenticazione principale credenziali (tramite l'autenticazione integrata di Windows, username e password, smart card o certificato utente o dispositivo), quindi viene visualizzato un prompt dei comandi per il testo, audio o OTP basato su account di accesso di autenticazione a più Fattori di Azure.With Azure MFA as the secondary or additional authentication method, the user provides primary authentication credentials (using Windows Integrated Authentication, username and password, smart card, or user or device certificate), then sees a prompt for text, voice, or OTP based Azure MFA login.
  • Con la nuova scheda Azure MFA incorporata, il programma di installazione e configurazione per Azure MFA con ADFS non è mai stata più semplice.With the new built-in Azure MFA adapter, setup and configuration for Azure MFA with AD FS has never been simpler.
  • Le organizzazioni possono sfruttare Azure MFA senza la necessità di un server Azure multi-factor Authentication locale.Organizations can take advantage of Azure MFA without the need for an on premises Azure MFA server.
  • Autenticazione a più Fattori Azure configurabili per la rete intranet o extranet o come parte di alcun criterio di controllo di accesso.Azure MFA can be configured for intranet or extranet, or as part of any access control policy.

Per ulteriori informazioni su Azure multi-factor Authentication con ADFSFor more information about Azure MFA with AD FS

Password senza accesso da dispositivi compatibiliPassword-less Access from Compliant Devices

AD FS 2016 si basa sulle funzionalità di registrazione dei dispositivi precedenti abilitazione dell'accesso e controllo di accesso in base allo stato di conformità del dispositivo.AD FS 2016 builds on previous device registration capabilities to enable sign on and access control based the device compliance status. Gli utenti possono accedere utilizzando le credenziali di dispositivo e valutazione della conformità è nuovamente quando modificare gli attributi dei dispositivi, in modo che è possibile garantire sempre i criteri vengono applicati.Users can sign on using the device credential, and compliance is re-evaluated when device attributes change, so that you can always ensure policies are being enforced. In questo modo, ad esempio i criteriThis enables policies such as

  • Abilitare l'accesso solo da dispositivi che sono gestiti o conformiEnable Access only from devices that are managed and/or compliant
  • Abilitare l'accesso Extranet solo dai dispositivi che sono gestiti o conformiEnable Extranet Access only from devices that are managed and/or compliant
  • Richiedere l'autenticazione a più fattori per i computer che non sono gestiti o non conformeRequire multi-factor authentication for computers that are not managed or not compliant

ADFS fornisce il componente locale dei criteri di accesso condizionale in uno scenario ibrido.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Quando si registrano i dispositivi con Azure AD per l'accesso condizionale alle risorse cloud, l'identità del dispositivo può essere utilizzata per nonché i criteri di ADFS.When you register devices with Azure AD for conditional access to cloud resources, the device identity can be used for AD FS policies as well.

nuove funzionalità

Per ulteriori informazioni sull'utilizzo di dispositivi basati su accesso condizionale nel cloudFor more information about using device based conditional access in the cloud

Per ulteriori informazioni sull'utilizzo di dispositivi basati su accesso condizionale con AD FSFor more information about using device based conditional access with AD FS

Accedere con Windows Hello for BusinessSign in with Windows Hello for Business

I dispositivi Windows 10 introducono Windows Hello e Windows Hello for Business, sostituendo le password degli utenti con le credenziali utente associate ai dispositivi sicuro protette da movimenti dell'utente (un PIN, un movimento biometrico impronta digitale o il riconoscimento facciale).Windows 10 devices introduce Windows Hello and Windows Hello for Business, replacing user passwords with strong device-bound user credentials protected by a user's gesture (a PIN, a biometric gesture like fingerprint, or facial recognition). AD FS 2016 supporta queste nuove funzionalità di Windows 10 in modo che gli utenti possono accedere alle applicazioni di ADFS dalla intranet o extranet senza la necessità di fornire una password.AD FS 2016 supports these new Windows 10 capabilities so that users can sign in to AD FS applications from the intranet or the extranet without the need to provide a password.

Per ulteriori informazioni sull'utilizzo di Microsoft Windows Hello for Business dell'organizzazioneFor more information about using Microsoft Windows Hello for Business in your organization

Accesso sicuro alle applicazioniSecure Access to Applications

Autenticazione modernaModern Authentication

AD FS 2016 supporta i protocolli moderni più recenti che forniscono una migliore esperienza utente per Windows 10, nonché i più recenti e i dispositivi Android App iOS e.AD FS 2016 supports the latest modern protocols that provide a better user experience for Windows 10 as well as the latest iOS and Android devices and apps.

Per ulteriori informazioni vedere AD FS scenari per gli sviluppatoriFor more information see AD FS Scenarios for Developers

Configurare criteri di controllo di accesso senza conoscere language regole attestazioneConfigure access control policies without having to know claim rules language

Gli amministratori di ADFS era necessario configurare i criteri mediante il linguaggio di regola attestazione AD FS, rendendo difficile configurare e gestire i criteri.Previously, AD FS administrators had to configure policies using the AD FS claim rule language, making it difficult to configure and maintain policies. Con i criteri di controllo di accesso, gli amministratori possono utilizzare i modelli incorporati per applicare i criteri comuni, ad esempioWith access control policies, administrators can use built in templates to apply common policies such as

  • Consentire solo l'accesso intranetPermit intranet access only
  • Consenti tutti gli utenti e richiedere l'autenticazione a più Fattori dalla rete ExtranetPermit everyone and require MFA from Extranet
  • Consenti tutti gli utenti e richiedere l'autenticazione a più Fattori da un gruppo specificoPermit everyone and require MFA from a specific group

I modelli sono facili da personalizzare mediante una procedura guidata basato su processo per aggiungere le eccezioni o le regole di criteri aggiuntive e possono essere applicati a una o più applicazioni per l'applicazione coerente dei criteri.The templates are easy to customize using a wizard driven process to add exceptions or additional policy rules and can be applied to one or many applications for consistent policy enforcement.

Per ulteriori informazioni vedere criteri di controllo di accesso in ADFS.For more information see Access control policies in AD FS.

Abilitazione dell'accesso con le directory LDAP non Active DirectoryEnable sign on with non-AD LDAP directories

Molte organizzazioni utilizzano una combinazione di Active Directory e le directory di terze parti.Many organizations have a combination of Active Directory and third-party directories. Con l'aggiunta del supporto di ADFS per l'autenticazione degli utenti memorizzati nelle directory v3 conforme a LDAP, è ora possibile utilizzare ADFS per:With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, AD FS can now be used for:

  • Utenti di terze parti, directory compatibili LDAP v3Users in third party, LDAP v3 compliant directories
  • Utenti di foreste di Active Directory a cui non è configurato un trust bidirezionale con Active DirectoryUsers in Active Directory forests to which an Active Directory two-way trust is not configured
  • Utenti in Active Directory Lightweight Directory Services (AD LDS)Users in Active Directory Lightweight Directory Services (AD LDS)

Per ulteriori informazioni vedere Configura ADFS per l'autenticazione degli utenti memorizzati nelle directory LDAP.For more information see Configure AD FS to authenticate users stored in LDAP directories.

Migliore esperienza di accessoBetter Sign-in experience

Personalizzare l'esperienza per le applicazioni di ADFS di accessoCustomize sign in experience for AD FS applications

Sono state formulate da parte dell'utente che la possibilità di personalizzare l'esperienza di accesso per ogni applicazione sarebbe un miglioramento di uso, soprattutto per le organizzazioni che fornire l'accesso per le applicazioni che rappresentano più diverse aziende o i marchi.We heard from you that the ability to customize the logon experience for each application would be a great usability improvement, especially for organizations who provide sign on for applications that represent multiple different companies or brands.

In precedenza, ADFS in Windows Server 2012 R2 fornito un'accesso più comune sull'esperienza per tutte le applicazioni relying party, con la possibilità di personalizzare un sottoinsieme del testo basato su contenuto per ogni applicazione.Previously, AD FS in Windows Server 2012 R2 provided a common sign on experience for all relying party applications, with the ability to customize a subset of text based content per application. Con Windows Server 2016, è possibile personalizzare non solo messaggi, ma le immagini, web e logo tema per ogni applicazione.With Windows Server 2016, you can customize not only the messages, but images, logo and web theme per application. Inoltre, è possibile creare nuovi temi web personalizzati e applicarli al relying party.Additionally, you can create new, custom web themes and apply these per relying party.

Per ulteriori informazioni vedere personalizzazione di accesso utente AD FS.For more information see AD FS user sign-in customization.

Facilità di gestione e operativi miglioramentiManageability and Operational Enhancements

Nella sezione seguente descrive gli scenari operativi migliorati introdotte con Active Directory Federation Services in Windows Server 2016.The following section describes the improved operational scenarios that are introduced with Active Directory Federation Services in Windows Server 2016.

Il controllo di semplice gestione amministrativa semplificataStreamlined auditing for easier administrative management

In AD FS per Windows Server 2012 R2 sono stati generati per una singola richiesta e le informazioni relative a un registro in numerosi eventi di controllo o attività di rilascio dei token è assente (in alcune versioni di AD FS) o suddiviso in più eventi di controllo.In AD FS for Windows Server 2012 R2 there were numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Per impostazione predefinita, ADFS gli eventi di controllo sono disattivati per loro natura dettagliato.By default the AD FS audit events are turned off due to their verbose nature.
Con il rilascio di AD FS 2016, il controllo è diventato più semplice e meno dettagliato.With the release of AD FS 2016, auditing has become more streamlined and less verbose.

Per ulteriori informazioni vedere miglioramenti relativi ad ADFS in Windows Server 2016 al controllo.For more information see Auditing enhancements to AD FS in Windows Server 2016.

Migliorare l'interoperabilità con SAML 2.0 per la partecipazione a confederationsImproved interoperability with SAML 2.0 for participation in confederations

AD FS 2016 contiene supporto del protocollo SAML aggiuntivo, incluso il supporto per l'importazione di relazioni di trust in base ai metadati che contiene più entità.AD FS 2016 contains additional SAML protocol support, including support for importing trusts based on metadata that contains multiple entities. Ciò consente di configurare ADFS per partecipare confederations come Federation InCommon e altre implementazioni conformi al eGov 2.0 standard.This enables you to configure AD FS to participate in confederations such as InCommon Federation and other implementations conforming to the eGov 2.0 standard.

Per ulteriori informazioni vedere migliorato l'interoperabilità con SAML 2.0.For more information see Improved interoperability with SAML 2.0.

Gestione delle password semplificata per utenti di Office 365 federatiSimplified password management for federated O365 users

È possibile configurare Active Directory Federation Services (ADFS) per inviare le attestazioni di scadenza password per l'attendibilità della relying party (applicazioni) che sono protetti da ADFS.You can configure Active Directory Federation Services (AD FS) to send password expiry claims to the relying party trusts (applications) that are protected by AD FS. Utilizzo di tali attestazioni dipende dall'applicazione.How these claims are used depends on the application. Ad esempio, con Office 365 come la relying party, gli aggiornamenti sono stati implementati a Exchange e Outlook per notificare agli utenti federati delle password appena-a--scaduto.For example, with Office 365 as your relying party, updates have been implemented to Exchange and Outlook to notify federated users of their soon-to-be-expired passwords.

Per ulteriori informazioni vedere configurare ADFS per l'invio attestazioni scadenza password.For more information see Configure AD FS to send password expiry claims.

Lo spostamento da ADFS in Windows Server 2012 R2 ad ADFS in Windows Server 2016 è più sempliceMoving from AD FS in Windows Server 2012 R2 to AD FS in Windows Server 2016 is easier

In precedenza, la migrazione a una nuova versione di ADFS, è necessario esportazione configurazione dalla farm precedente e l'importazione in una farm completamente nuova e parallelo.Previously, migrating to a new version of AD FS required exporting configuration from the old farm and importing to a brand new, parallel farm.

A questo punto, lo spostamento da ADFS in Windows Server 2012 R2 ad ADFS in Windows Server 2016 è diventato molto più semplice.Now, moving from AD FS on Windows Server 2012 R2 to AD FS on Windows Server 2016 has become much easier. È sufficiente aggiungere un nuovo server di Windows Server 2016 a una farm di Windows Server 2012 R2 e che la farm fungono a livello di comportamento di farm di Windows Server 2012 R2, quindi esegue la ricerca e si comporta come una farm di Windows Server 2012 R2.Simply add a new Windows Server 2016 server to a Windows Server 2012 R2 farm, and the farm will act at the Windows Server 2012 R2 farm behavior level, so it looks and behaves just like a Windows Server 2012 R2 farm.

Quindi, aggiungere nuovi server di Windows Server 2016 alla farm, verificare la funzionalità e rimuovere i server meno recenti dal bilanciamento del carico.Then, add new Windows Server 2016 servers to the farm, verify the functionality and remove the older servers from the load balancer. Quando tutti i nodi della farm sono in esecuzione Windows Server 2016, si è pronti per l'aggiornamento al livello di comportamento farm 2016 e iniziare a utilizzare le nuove funzionalità.Once all farm nodes are running Windows Server 2016, you are ready to upgrade the farm behavior level to 2016 and begin using the new features.

Per ulteriori informazioni vedere l'aggiornamento a AD FS in Windows Server 2016.For more information see Upgrading to AD FS in Windows Server 2016.