認証ポリシーを構成する

AD FS の Windows Server 2012 R2 では、アクセス制御と認証メカニズムの両方が、ユーザー、デバイス、場所、認証データを含む複数の要因によって強化されています。 これらの拡張機能により、ユーザーインターフェイスまたは Windows PowerShell を通じて、 - - - ユーザー id またはグループメンバーシップ、ネットワークの場所、社内参加しているデバイスデータ、 - および multi-factor authentication の MFA が実行されたときの認証の状態に基づいて、セキュリティで保護されたアプリケーション - AD FS ( にアクセス許可を付与するリスクを管理でき ) ます。

-Windows Server 2012 R2 の Active Directory フェデレーションサービス (AD FS) AD FS での MFA と multi-factor access control の詳細については ( ) 、次のトピックを参照してください。

AD FS 管理スナップインを使用して認証ポリシーを構成する -

これらの手順を実行するには、ローカル コンピューターの Administrators グループのメンバーシップか、それと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループメンバーシップの使用方法の詳細については、「 ローカルおよびドメインの既定のグループ」を参照してください。

AD FS の Windows Server 2012 R2 では、AD FS によって保護されているすべてのアプリケーションとサービスに適用されるグローバルスコープで認証ポリシーを指定できます。 パーティの信頼に依存し、AD FS によって保護されている特定のアプリケーションとサービスに対して、認証ポリシーを設定することもできます。 証明書利用者信頼ごとに特定のアプリケーションの認証ポリシーを指定しても、グローバル認証ポリシーは上書きされません。 グローバルまたは証明書利用者信頼ごとの認証ポリシーに MFA が必要な場合、ユーザーがこの証明書利用者信頼に対して認証を試みると、MFA がトリガーされます。 グローバル認証ポリシーは、特定の認証ポリシーが構成されていないアプリケーションやサービスに対する証明書利用者信頼のフォールバックです。

Windows Server 2012 R2 でプライマリ認証をグローバルに構成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. AD FS スナップイン] で - 、[ 認証ポリシー] をクリックします。

  3. [プライマリ認証] セクションで、[グローバル設定 の横にある [編集] をクリックします。 また、 - [ 認証ポリシー] を右クリックし、[ グローバルプライマリ認証の編集] を選択するか、[ 操作 ] ウィンドウで [ グローバルプライマリ認証の編集] を選択します。 [グローバルプライマリ認証の編集] オプションを強調表示したスクリーンショット。

  4. [ グローバル認証ポリシーの編集 ] ウィンドウの [ プライマリ ] タブで、グローバル認証ポリシーの一部として次の設定を構成できます。

証明書利用者信頼ごとにプライマリ認証を構成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. AD FS スナップイン] で - 、[証明書利用者信頼ごとの 認証ポリシー] をクリックし、 \ 認証ポリシーを構成する証明書利用者信頼をクリックします。

  3. -認証ポリシーを構成する証明書利用者信頼を右クリックし、[カスタムプライマリ認証の編集] を選択するか、[操作] ウィンドウで [カスタムプライマリ認証の編集] を選択します。 [カスタムプライマリ認証の編集] メニューオプションを強調表示したスクリーンショット。

  4. [ <証明書利用者 _ _ 信頼 _ 名>の認証ポリシーの編集 ] ウィンドウの [ プライマリ ] タブで、[ 証明書利用者信頼ごと の認証ポリシー] の一部として次の設定を構成できます。

    • ユーザーがサインインするたびに資格情報を入力するようにユーザーに要求するかどうかを指定 - します。 - 証明書利用者信頼ごとの認証ポリシーの一部として設定を構成する方法を示すスクリーンショット。

Multi-factor authentication をグローバルに構成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. AD FS スナップイン] で - 、[ 認証ポリシー] をクリックします。

  3. [多 - 要素認証] セクションで、[グローバル設定] の横にある [編集] をクリックします。 また、 - [ 認証ポリシー] を右クリックし、[ グローバル multi-factor - authentication の編集] を選択するか、[ 操作 ] ウィンドウで [ グローバル multi-factor - authentication の編集] を選択します。 [グローバルな Multi-factor Authentication の編集] オプションが強調表示されているスクリーンショット - 。

  4. [ グローバル認証ポリシーの編集 ] ウィンドウの [ 多 - 要素 ] タブで、グローバル多要素認証ポリシーの一部として次の設定を構成でき - ます。

    • [ユーザー / グループ]、[デバイス]、および [場所] セクションで利用可能なオプションを使用して、MFA の設定または条件を設定します。

    • これらの設定のいずれかに対して MFA を有効にするには、追加の認証方法を少なくとも1つ選択する必要があります。 証明書認証 は、既定で使用可能なオプションです。 また、Azure Active authentication Windows など、その他のカスタムの認証方法を構成することもできます。 詳細については、「 チュートリアルガイド: 追加の Multi-Factor Authentication による機密アプリケーションのリスク管理」を参照してください。

警告

追加の認証方法はグローバルにのみ構成できます。 認証ポリシー

-証明書利用者信頼ごとに多要素認証を構成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. AD FS スナップイン] で - 、[証明書利用者信頼ごとの 認証ポリシー] をクリックし、 \ MFA を構成する証明書利用者の信頼をクリックします。

  3. -MFA を構成する証明書利用者の信頼を右クリックし、[カスタム多 - 要素認証の編集] を選択するか、[操作] ウィンドウで [カスタム multi-factor - authentication の編集] を選択します。

  4. [ <証明書利用者 _ _ 信頼 _ 名>の認証ポリシーの編集 ] ウィンドウの [ 多 - 要素 ] タブで、 - 証明書利用者信頼ごとの認証ポリシーの一部として次の設定を構成できます。

    • [ユーザー / グループ]、[デバイス]、および [場所] セクションで利用可能なオプションを使用して、MFA の設定または条件を設定します。

Windows PowerShell を使用した認証ポリシーの構成

Windows PowerShell により、アクセス制御のさまざまな要素と Windows Server 2012 R2 の AD FS で使用できる認証メカニズムを柔軟に使用できるため、セキュリティで保護されたリソース AD FS に対する真の条件付きアクセスを実装するために必要な認証ポリシーと承認規則を構成でき - ます。

これらの手順を実行するには、ローカル コンピューターの Administrators グループのメンバーシップか、それと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループメンバーシップの使用に関する詳細については、「ローカルおよびドメインの既定のグループ ( http: / / go.microsoft.com fwlink?」を参照して / / ください。LinkId = 83477 ) 。

Windows PowerShell を使用して追加の認証方法を構成するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

警告

このコマンドが正常に実行されたことを確認するには、 Get-AdfsGlobalAuthenticationPolicy コマンドを実行できます。

-ユーザーのグループメンバーシップデータに基づく証明書利用者信頼ごとに MFA を構成するには

  1. フェデレーション サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを実行します。
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

警告

<証明書利用者 _ 信頼の _> を、証明書利用者信頼の名前に置き換えるようにしてください。

  1. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

注意

<グループ _ SID> を ( ) Active Directory AD グループのセキュリティ識別子 SID の値に置き換えてください ( ) 。

ユーザーのグループメンバーシップデータに基づいて MFA をグローバルに構成するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

注意

<グループ _ sid> を AD グループの sid の値に置き換えてください。

ユーザーの場所に基づいて MFA をグローバルに構成するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

注意

<true _ または _ false> をまたはのどちらかに置き換えるようにしてください true false 。 この値は、アクセス要求がエクストラネットまたはイントラネットのどちらからのものであるかに基づいて、特定の規則条件によって異なります。

ユーザーのデバイスデータに基づいて MFA をグローバルに構成するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

注意

<true _ または _ false> をまたはのどちらかに置き換えるようにしてください true false 。 値は、デバイスが社内参加しているかどうかに基づいて、特定のルール条件によって異なり - ます。

アクセス要求がエクストラネットと職場に参加していないデバイスからのものである場合に、MFA をグローバルに構成するには - -

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

注意

<true _ または _ false> の両方のインスタンスを、 true 特定の false 規則条件に応じてまたはのどちらかに置き換えるようにしてください。 ルール条件は、デバイスが社内参加しているかどうか - 、およびアクセス要求がエクストラネットまたはイントラネットのどちらであるかに基づいています。

特定のグループに属するエクストラネットユーザーからのアクセスがある場合に MFA をグローバルに構成するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

注意

<グループ _ sid> をグループ sid の値に、 <true _ または _ false> をまたはで置き換えてください true false 。これは、アクセス要求がエクストラネットまたはイントラネットのどちらからのものであるかに基づいて、特定のルール条件によって異なります。

Windows PowerShell 経由でユーザーデータに基づいてアプリケーションへのアクセスを許可するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

注意

<証明書利用者 _ 信頼の _> を、証明書利用者信頼の値に置き換えてください。

  1. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

注意

<グループ _ sid> を AD グループの sid の値に置き換えてください。

このユーザーの id が MFA で検証された場合にのみ AD FS によって保護されているアプリケーションへのアクセスを許可するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

注意

<証明書利用者 _ 信頼の _> を、証明書利用者信頼の値に置き換えてください。

  1. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

AD FS によって保護されているアプリケーションへのアクセスを許可するには、 - ユーザーに登録されている社内参加デバイスからアクセス要求が送られた場合にのみ

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

注意

<証明書利用者 _ 信頼の _> を、証明書利用者信頼の値に置き換えてください。

  1. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

-Id が MFA で検証済みのユーザーに登録されている社内参加デバイスからアクセス要求が送られた場合にのみ AD FS によって保護されているアプリケーションへのアクセスを許可するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

注意

<証明書利用者 _ 信頼の _> を、証明書利用者信頼の値に置き換えてください。

  1. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

Id が MFA で検証済みのユーザーからアクセス要求が送られた場合にのみ、AD FS によって保護されたアプリケーションへのエクストラネットアクセスを許可するには

  1. フェデレーションサーバーで、Windows PowerShell コマンドウィンドウを開き、次のコマンドを実行します。
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

注意

<証明書利用者 _ 信頼の _> を、証明書利用者信頼の値に置き換えてください。

  1. 同じ Windows PowerShell コマンドウィンドウで、次のコマンドを実行します。
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

その他の参照情報

AD FS の運用