Windows Server 2016 の AD FS のアクセス制御ポリシーAccess Control Policies in Windows Server 2016 AD FS

Windows Server 2016 の適用対象:Applies To: Windows Server 2016

AD FS でのアクセス制御ポリシー テンプレートAccess Control Policy Templates in AD FS

Active Directory フェデレーション サービスでは、アクセス制御ポリシー テンプレートを使用できるようになりました。Active Directory Federation Services now supports the use of access control policy templates. アクセス制御ポリシー テンプレートを使用すると、管理者は (RPs) 証明書利用者のグループ ポリシー テンプレートを割り当てることにより、ポリシー設定を適用できます。By using access control policy templates, an administrator can enforce policy settings by assigning the policy template to a group of relying parties (RPs). 管理者に、ポリシー テンプレートを更新することもし、変更が適用されます証明書利用者のパーティに自動的に必要なユーザー操作がない場合します。Administrator can also make updates to the policy template and the changes will be applied to the relying parties automatically if there is no user interaction needed.

アクセス制御ポリシー テンプレートとは何ですか。What are Access Control Policy Templates?

ポリシーの処理の AD FS コア パイプラインが 3 つのフェーズ: 認証、承認およびクレームの発行します。The AD FS core pipeline for policy processing has three phases: authentication, authorization and claim issuance. 現時点では、AD FS 管理者は、これらの段階ごとのポリシーを個別に構成する必要があります。Currently, AD FS administrators have to configure a policy for each of these phases separately. または、これらのポリシーの影響を理解して、これらのポリシーがの相互依存関係があるかどうか。This also involves understanding the implications of these policies and if these policies have inter-dependency. また、管理者は、規則を理解する要求規則言語と作成者カスタム (ex いくつかの単純な/一般的なポリシーを有効にする必要がある。。Also, administrators have to understand the claim rule language and author custom rules to enable some simple/common policy (ex. 外部アクセスのブロック)。block external access).

テンプレートはどのようなアクセス制御ポリシーは、置換を使用して発行承認規則を構成する管理者のある古いこのモデルは、言語を要求します。What access control policy templates do is replace this old model where administrators have to configure Issuance Authorization Rules using claims language. 発行承認規則の以前の PowerShell コマンドレットが引き続き適用が相互に新しいモデルなど。The old PowerShell cmdlets of issuance authorization rules still apply but it is mutually exclusive of the new model. 管理者は、新しいモデルまたは以前のモデルを使用するいずれかを選択できます。Administrators can choose either to use the new model or the old model. 新しいモデルでは、多要素認証の施行を含む、アクセスを許可するタイミングを制御することができます。The new model allows administrators to control when to grant access, including enforcing multi-factor authentication.

アクセス制御ポリシー テンプレートは、許可モデルを使用します。Access control policy templates use a permit model. つまり既定ではアクセスおよびアクセスを明示的に付与する必要があります。This means by default, no one has access and that access must be explicitly granted. ただし、これは、すべてだけではないまたは何も許可します。However, this is not just an all or nothing permit. 管理者は、許可規則の例外を追加できます。Administrators can add exceptions to the permit rule. たとえば、管理者は、このオプションを選択して、IP アドレスの範囲を指定することにより、特定のネットワークに基づいたアクセスを許可する必要があります。For example, an administrator may wish to grant access based on a specific network by selecting this option and specifying the IP address range. 管理者を追加して例外、たとえば、管理者は、可能性があります、特定のネットワークからの例外を追加およびその IP アドレスの範囲を指定します。But the administrator may add and exception, for instance, the administrator may add an exception from a specific network and specify that IP address range.

アクセス制御ポリシー

組み込みのアクセス制御ポリシー テンプレートとカスタムのアクセス制御ポリシー テンプレートBuilt-in access control policy templates vs custom access control policy templates

AD FS には、いくつかの組み込みのアクセス制御ポリシー テンプレートが含まれています。AD FS includes several built-in access control policy templates. これらはターゲットを同じセットのポリシーの要件、たとえばクライアントのアクセス ポリシーを Office 365 を持つ一般的なシナリオです。These target some common scenarios which have the same set of policy requirements, for example client access policy for Office 365. これらのテンプレートを変更することはできません。These templates cannot be modified.

アクセス制御ポリシー

ビジネス ニーズに対応する柔軟性の向上を提供するには、管理者ことができます、自分のアクセス ポリシー テンプレートを作成します。To provide increased flexibility to address your business needs, administrators can create their own access policy templates. これらは、作成後に変更でき、カスタム ポリシー テンプレートに変更は、これらのポリシー テンプレートによって制御されるすべての RPs に適用されます。These can be modified after creation and changes to custom policy template will apply to all the RPs which are controlled by those policy templates. 追加するには、カスタム ポリシー テンプレートは単に内での AD FS 管理からのアクセス制御ポリシーの追加をクリックします。To add a custom policy template simply click Add Access Control Policy from within AD FS management.

ポリシー テンプレートを作成するには、管理者は、最初のトークンの発行または委任、要求を承認する条件を指定する必要があります。To create a policy template, an administrator needs to first specify under which conditions a request will be authorized for token issuance and/or delegation. オプションの条件とアクションは、次の表に表示されます。Condition and action options are shown in the table below. 太字の条件は、さまざまなまたは新しい値を持つ管理者がさらに構成できます。Conditions in bold can be further configured by the administrator with different or new values. 管理者は、いずれかを使用する必要がある場合、例外も指定できます。Admin can also specify exceptions if there is any. 条件が満たされたときに指定された例外がある場合、許可操作はトリガーされませんし、入力方向の要求は例外で指定された条件に一致すます。When a condition is met, a permit action will not be triggered if there is an exception specified and the incoming request matches the condition specified in the exception.

ユーザーを許可します。Permit Users 除くExcept
特定ネットワークFrom specific network 特定ネットワークFrom specific network

特定グループFrom specific groups

デバイスから特定信頼レベルFrom devices with specific trust levels

特定要求内のクレームWith specific claims in the request
特定グループFrom specific groups 特定ネットワークFrom specific network

特定グループFrom specific groups

デバイスから特定信頼レベルFrom devices with specific trust levels

特定要求内のクレームWith specific claims in the request
デバイスから特定信頼レベルFrom devices with specific trust levels 特定ネットワークFrom specific network

特定グループFrom specific groups

デバイスから特定信頼レベルFrom devices with specific trust levels

特定要求内のクレームWith specific claims in the request
特定要求内のクレームWith specific claims in the request 特定ネットワークFrom specific network

特定グループFrom specific groups

デバイスから特定信頼レベルFrom devices with specific trust levels

特定要求内のクレームWith specific claims in the request
多要素認証を必要とAnd require multi-factor authentication 特定ネットワークFrom specific network

特定グループFrom specific groups

デバイスから特定信頼レベルFrom devices with specific trust levels

特定要求内のクレームWith specific claims in the request

管理者が複数の条件を選択する場合はAND関係します。If an administrator selects multiple conditions, they are of AND relationship. 操作は相互に排他的と 1 つのポリシーの規則は、1 つの操作のみ選択できます。Actions are mutually exclusive and for one policy rule you can only choose one action. 管理者は、複数の例外を選択する場合は、または関係します。If admin selects multiple exceptions, they are of an OR relationship. いくつかのポリシー規則の例を次に示します。A couple of policy rule examples are shown below:

ポリシーPolicy ポリシーの規則Policy rules
エクストラネット アクセスには、MFA が必要です。Extranet access requires MFA

すべてのユーザーが許可されています。All users are permitted
規則 1Rule #1

エクストラネットfrom extranet

MFAand with MFA

許可Permit

ルール 2Rule#2

イントラネットfrom intranet

許可Permit
非 FTE 以外の外部アクセスは許可されません。External access are not permitted except non-FTE

社内参加しているデバイスで FTE のイントラネット アクセスが許可されています。Intranet access for FTE on workplace joined device are permitted
規則 1Rule #1

エクストラネットFrom extranet

およびから非 FTEグループand from non-FTE group

許可Permit

ルール 2Rule #2

イントラネットfrom intranet

およびから職場未参加デバイスand from workplace joined device

およびからFTEグループand from FTE group

許可Permit
エクストラネット アクセス"サービス admin"を除く MFA が必要です。Extranet access requires MFA except "service admin"

すべてのユーザーがアクセスを許可します。All users are permitted to access
規則 1Rule #1

エクストラネットfrom extranet

MFAand with MFA

許可Permit

除くサービス管理者のグループExcept service admin group

ルール 2Rule #2

いつもalways

許可Permit
作業以外の場所に参加しているデバイスがエクストラネットからへのアクセスには、MFA が必要です。non-work place joined device accessing from extranet requires MFA

AD ファブリック イントラネットとエクストラネット アクセスを許可します。Permit AD fabric for intranet and extranet access
規則 1Rule #1

イントラネットfrom intranet

およびからAD ファブリックグループAnd from AD Fabric group

許可Permit

ルール 2Rule #2

エクストラネットfrom extranet

およびから職場に参加しているデバイスand from non-workplace joined device

およびからAD ファブリックグループand from AD Fabric group

MFAand with MFA

許可Permit

ルール 3Rule #3

エクストラネットfrom extranet

およびから職場未参加デバイスand from workplace joined device

およびからAD ファブリックグループand from AD Fabric group

許可Permit

パラメーター化されたポリシー テンプレート vs パラメーターのないポリシー テンプレートParameterized policy template vs non-parameterized policy template

アクセス制御ポリシーことができます。Access control policies can be

パラメーター化されたポリシー テンプレートは、パラメーターを持つポリシー テンプレートです。A parameterized policy template is a policy template that has parameters. 管理者は、RPs.An 管理者に、このテンプレートを割り当てるときに、これらのパラメーターの値は、変更できませんパラメーター化されたポリシー テンプレートが作成された後に入力する必要があります。An Administrator needs to input the value for those parameters when assigning this template to RPs.An administrator cannot make changes to parameterized policy template after it has been created. パラメーター化ポリシーの例は、組み込みのポリシー、特定のグループを許可します。An example of a parameterized policy is the built-in policy, Permit specific group. RP にこのポリシーが適用されるたびにこのパラメーターを指定する必要があります。Whenever this policy is applied to an RP, this parameter needs to be specified.

アクセス制御ポリシー

パラメーターのないポリシー テンプレートは、パラメーターがないポリシー テンプレートです。A non-parameterized policy template is a policy template that does not have parameters. 管理者は、RPs に必要なの入力なしでこのテンプレートを割り当てることができ、作成した後、パラメーターのないポリシー テンプレートに変更を加えることができます。An administrator can assign this template to RPs without any input needed and can make changes to a non-parameterized policy template after it has been created. この例は、組み込みのポリシー、すべてのユーザーを許可し、MFA を必要とします。An example of this is the built-in policy, Permit everyone and require MFA.

アクセス制御ポリシー

パラメーターのないアクセス制御ポリシーを作成する方法How to create a non-parameterized access control policy

制御ポリシーを非パラメーター化のアクセスを作成するには、次の手順を使用してください。To create a non-parameterized access control policy use the following procedure

パラメーターのないアクセス制御ポリシーを作成するにはTo create a non-parameterized access control policy

  1. 左側の AD FS 管理からのアクセス制御ポリシーを選択し、右側の [アクセス制御ポリシーの追加] をクリックします。From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. 名前と説明を入力します。Enter a name and a description. 例: 認証済みのデバイスでのユーザーを許可します。For example: Permit users with authenticated devices.

  3. [次の規則のいずれかが満たされる場合へのアクセスを許可、] をクリックして追加します。Under Permit access if any of the following rules are met, click Add.

  4. 許可、下にあるチェック ボックス内に置き] の横に特定の信頼レベルを持つデバイスからUnder permit, place a check in the box next to from devices with specific trust level

  5. 下部で、選択、下線付き特定At the bottom, select the underlined specific

  6. その pop アップ ウィンドウで、選択認証ドロップダウン リストからです。From the window that pops-up, select authenticated from the drop-down. をクリックしてOKします。Click Ok.

    アクセス制御ポリシー

  7. をクリックしてOKします。Click Ok. をクリックしてOKします。Click Ok.

    アクセス制御ポリシー

パラメーター化されたアクセス制御ポリシーを作成する方法How to create a parameterized access control policy

パラメーター化されたアクセス コントロールを作成するには、ポリシーは、次の手順を使用してください。To create a parameterized access control policy use the following procedure

パラメーター化されたアクセス制御ポリシーを作成するにはTo create a parameterized access control policy

  1. 左側の AD FS 管理からのアクセス制御ポリシーを選択し、右側の [アクセス制御ポリシーの追加] をクリックします。From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. 名前と説明を入力します。Enter a name and a description. 例: 特定のクレームを持つユーザーを許可します。For example: Permit users with a specific claim.

  3. [次の規則のいずれかが満たされる場合へのアクセスを許可、] をクリックして追加します。Under Permit access if any of the following rules are met, click Add.

  4. 許可、下にあるチェック ボックス内に置き] の横に要求で特定のクレームを含むUnder permit, place a check in the box next to with specific claims in the request

  5. 下部で、選択、下線付き特定At the bottom, select the underlined specific

  6. その pop アップ ウィンドウで、選択パラメーターを指定すると、アクセス制御ポリシーが割り当てられているします。From the window that pops-up, select Parameter specified when the access control policy is assigned. をクリックしてOKします。Click Ok.

    アクセス制御ポリシー

  7. をクリックしてOKします。Click Ok. をクリックしてOKします。Click Ok.

    アクセス制御ポリシー

例外をカスタムのアクセス制御ポリシーを作成する方法How to create a custom access control policy with an exception

アクセス制御を作成するのには、例外とポリシーは、次の手順を使用します。To create a access control policy with an exception use the following procedure.

例外にカスタムのアクセス制御ポリシーを作成するにはTo create a custom access control policy with an exception

  1. 左側の AD FS 管理からのアクセス制御ポリシーを選択し、右側の [アクセス制御ポリシーの追加] をクリックします。From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. 名前と説明を入力します。Enter a name and a description. 例: を持つユーザーの許可はデバイスの認証が、管理されていません。For example: Permit users with authenticated devices but not managed.

  3. [次の規則のいずれかが満たされる場合へのアクセスを許可、] をクリックして追加します。Under Permit access if any of the following rules are met, click Add.

  4. 許可、下にあるチェック ボックス内に置き] の横に特定の信頼レベルを持つデバイスからUnder permit, place a check in the box next to from devices with specific trust level

  5. 下部で、選択、下線付き特定At the bottom, select the underlined specific

  6. その pop アップ ウィンドウで、選択認証ドロップダウン リストからです。From the window that pops-up, select authenticated from the drop-down. をクリックしてOKします。Click Ok.

  7. 下にある場合を除き、[ボックス] の横にチェックを配置特定の信頼レベルを持つデバイスからUnder except, place a check in the box next to from devices with specific trust level

  8. 下部の下にある場合を除き、選択、下線付き特定At the bottom under except, select the underlined specific

  9. その pop アップ ウィンドウで、選択管理ドロップダウン リストからです。From the window that pops-up, select managed from the drop-down. をクリックしてOKします。Click Ok.

  10. をクリックしてOKします。Click Ok. をクリックしてOKします。Click Ok.

    アクセス制御ポリシー

複数の許可の条件を持つカスタムのアクセス制御ポリシーを作成する方法How to create a custom access control policy with multiple permit conditions

条件が、次の手順を使用して複数の許可とアクセス制御ポリシーを作成するにはTo create a access control policy with multiple permit conditions use the following procedure

パラメーター化されたアクセス制御ポリシーを作成するにはTo create a parameterized access control policy

  1. 左側の AD FS 管理からのアクセス制御ポリシーを選択し、右側の [アクセス制御ポリシーの追加] をクリックします。From AD FS Management on the left select Access Control Policies and on the right click Add Access Control Policy.

  2. 名前と説明を入力します。Enter a name and a description. 例: 特定の要求と特定のグループからユーザーを許可します。For example: Permit users with a specific claim and from specific group.

  3. [次の規則のいずれかが満たされる場合へのアクセスを許可、] をクリックして追加します。Under Permit access if any of the following rules are met, click Add.

  4. 許可、下にあるチェック ボックス内に置き] の横に特定グループから要求で特定のクレームを含むUnder permit, place a check in the box next to from a specific group and with specific claims in the request

  5. 下部で、選択、下線付き特定のグループの横にある、最初の条件At the bottom, select the underlined specific for the first condition, next to groups

  6. その pop アップ ウィンドウで、選択パラメーターを指定すると、ポリシーが割り当てられているします。From the window that pops-up, select Parameter specified when the policy is assigned. をクリックしてOKします。Click Ok.

  7. 下部で、選択、下線付き特定の信頼性情報の横にある、2 番目の条件At the bottom, select the underlined specific for the second condition, next to claims

  8. その pop アップ ウィンドウで、選択パラメーターを指定すると、アクセス制御ポリシーが割り当てられているします。From the window that pops-up, select Parameter specified when the access control policy is assigned. をクリックしてOKします。Click Ok.

  9. をクリックしてOKします。Click Ok. をクリックしてOKします。Click Ok.

アクセス制御ポリシー

新しいアプリケーションにアクセス制御ポリシーを割り当てる方法How to assign an access control policy to a new application

新しいアプリケーションにアクセス制御ポリシーを割り当てると、とても単純ですが、RP を追加するため、ウィザードに統合されたようになりました。Assigning an access control policy to a new application is pretty straight forward and has now been integrated into the wizard for adding an RP. 証明書利用者信頼のウィザードには、アクセス制御ポリシーを割り当てることを選択できます。From the Relying Party Trust Wizard you can select the access control policy that you wish to assign. これは、パーティーの新しい証明書利用者信頼を作成するときの要件です。This is a requirement when creating a new relying party trust.

アクセス制御ポリシー

既存のアプリケーションにアクセス制御ポリシーを割り当てる方法How to assign an access control policy to an existing application

アクセス制御ポリシーを割り当てるには、[既存のアプリケーション、アプリケーションから証明書利用者信頼と右クリックでアクセス制御ポリシーの編集します。Assigning an access control policy to a existing application simply select the application from Relying Party Trusts and on the right click Edit Access Control Policy.

アクセス制御ポリシー

ここでは、アクセス制御ポリシーを選択し、アプリケーションに適用します。From here you can select the access control policy and apply it to the application.

アクセス制御ポリシー

参照してください。See Also

AD FS の操作AD FS Operations