Zarządzanie relacjami zaufania usług AD FS za pomocą identyfikatora Entra firmy Microsoft przy użyciu Połączenie firmy Microsoft
Omówienie
Podczas federacji środowiska lokalnego za pomocą identyfikatora Entra firmy Microsoft ustanawiasz relację zaufania między lokalnym dostawcą tożsamości a identyfikatorem Entra firmy Microsoft. Firma Microsoft Entra Połączenie może zarządzać federacją między usługą federacyjną lokalna usługa Active Directory (AD FS) i identyfikatorem entra firmy Microsoft. Ten artykuł zawiera omówienie następujących elementów:
- Różne ustawienia skonfigurowane w relacji zaufania przez firmę Microsoft Entra Połączenie.
- Reguły przekształcania wystawiania (reguły oświadczeń) ustawione przez firmę Microsoft Entra Połączenie.
- Jak tworzyć kopie zapasowe i przywracać reguły oświadczeń między uaktualnieniami i aktualizacjami konfiguracji.
- Najlepsze rozwiązanie dotyczące zabezpieczania i monitorowania zaufania usług AD FS za pomocą identyfikatora Entra firmy Microsoft.
Ustawienia kontrolowane przez firmę Microsoft Entra Połączenie
Firma Microsoft Entra Połączenie zarządza tylko ustawieniami związanymi z relacją zaufania identyfikatora Entra firmy Microsoft. Firma Microsoft Entra Połączenie nie modyfikuje żadnych ustawień innych relacji zaufania jednostki uzależnionej w usługach AD FS. W poniższej tabeli przedstawiono ustawienia, które są kontrolowane przez firmę Microsoft Entra Połączenie.
| Ustawienie | opis |
|---|---|
| Certyfikat podpisywania tokenu | Microsoft Entra Połączenie może służyć do resetowania i ponownego tworzenia zaufania za pomocą identyfikatora Entra firmy Microsoft. Microsoft Entra Połączenie wykonuje jednorazowe natychmiastowe przerzucanie certyfikatów podpisywania tokenu dla usług AD FS i aktualizuje ustawienia federacji domeny firmy Microsoft. |
| Algorytm podpisywania tokenu | Firma Microsoft zaleca używanie algorytmu SHA-256 jako algorytmu podpisywania tokenu. Firma Microsoft Entra Połączenie może wykryć, czy algorytm podpisywania tokenu jest ustawiony na wartość mniej bezpieczną niż SHA-256. Spowoduje to zaktualizowanie ustawienia na SHA-256 w następnej możliwej operacji konfiguracji. Aby można było używać nowego certyfikatu podpisywania tokenu, należy zaktualizować inne relacje zaufania jednostki uzależnionej. |
| Identyfikator zaufania identyfikatora entra firmy Microsoft | Firma Microsoft Entra Połączenie ustawia poprawną wartość identyfikatora dla zaufania identyfikatora Entra firmy Microsoft. Usługi AD FS jednoznacznie identyfikują zaufanie identyfikatora entra firmy Microsoft przy użyciu wartości identyfikatora. |
| Punkty końcowe usługi Microsoft Entra | Firma Microsoft Entra Połączenie zapewnia, że punkty końcowe skonfigurowane dla zaufania identyfikatora Entra firmy Microsoft są zawsze zgodnie z najnowszymi zalecanymi wartościami odporności i wydajności. |
| Reguły przekształcania wystawiania | Istnieje wiele reguł oświadczeń, które są potrzebne do optymalnej wydajności funkcji identyfikatora Entra firmy Microsoft w ustawieniu federacyjnym. Firma Microsoft Entra Połączenie zapewnia, że zaufanie microsoft Entra ID jest zawsze skonfigurowane z odpowiednim zestawem zalecanych reguł oświadczeń. |
| Identyfikator alternatywny | Jeśli synchronizacja jest skonfigurowana do używania alternatywnego identyfikatora, firma Microsoft Entra Połączenie konfiguruje usługi AD FS do przeprowadzania uwierzytelniania przy użyciu alternatywnego identyfikatora. |
| Automatyczna aktualizacja metadanych | Zaufanie za pomocą identyfikatora Entra firmy Microsoft jest skonfigurowane do automatycznej aktualizacji metadanych. Usługi AD FS okresowo sprawdzają metadane zaufania identyfikatora entra firmy Microsoft i utrzymują je na bieżąco w przypadku zmiany po stronie identyfikatora Entra firmy Microsoft. |
| Zintegrowane uwierzytelnianie systemu Windows (IWA) | Podczas operacji dołączania hybrydowego firmy Microsoft usługa IWA jest włączona na potrzeby rejestracji urządzeń w celu ułatwienia dołączania hybrydowego firmy Microsoft Entra dla urządzeń o niższych poziomach |
Przepływy wykonywania i ustawienia federacji skonfigurowane przez firmę Microsoft Entra Połączenie
Firma Microsoft Entra Połączenie nie aktualizuje wszystkich ustawień zaufania identyfikatora Entra firmy Microsoft podczas przepływów konfiguracji. Zmodyfikowane ustawienia zależą od tego, które zadanie lub przepływ wykonywania jest wykonywany. W poniższej tabeli wymieniono ustawienia, których dotyczy różne przepływy wykonywania.
| Przepływ wykonania | Ustawienia, których to dotyczy |
|---|---|
| Instalacja z pierwszym przekazywaniem (ekspresowa) | Brak |
| Instalacja z pierwszym przekazywaniem (nowa farma usług AD FS) | Zostanie utworzona nowa farma usług AD FS i zostanie utworzona relacja zaufania z identyfikatorem Entra firmy Microsoft od podstaw. |
| Instalacja z pierwszym przekazywaniem (istniejąca farma usług AD FS, istniejąca relacja zaufania identyfikatora entra firmy Microsoft) | Identyfikator zaufania identyfikatora entra firmy Microsoft, reguły przekształcania wystawiania, punkty końcowe firmy Microsoft Entra, identyfikator alternatywny (w razie potrzeby), automatyczna aktualizacja metadanych |
| Resetowanie zaufania identyfikatora entra firmy Microsoft | Certyfikat podpisywania tokenu, algorytm podpisywania tokenu, identyfikator zaufania identyfikatora entra firmy Microsoft, reguły przekształcania wystawiania, punkty końcowe firmy Microsoft Entra, identyfikator alternatywny (w razie potrzeby), automatyczna aktualizacja metadanych |
| Dodawanie serwera federacyjnego | Brak |
| Dodawanie serwera WAP | Brak |
| Opcje urządzenia | Reguły przekształcania wystawiania, IWA na potrzeby rejestracji urządzeń |
| Dodawanie domeny federacyjnej | Jeśli domena jest dodawana po raz pierwszy, oznacza to, że konfiguracja zmienia się z federacji pojedynczej domeny na federację wielodomenową — Microsoft Entra Połączenie utworzy ponownie zaufanie od podstaw. Jeśli zaufanie z identyfikatorem Entra firmy Microsoft jest już skonfigurowane dla wielu domen, tylko reguły przekształcania wystawiania są modyfikowane |
| Aktualizowanie protokołu TLS | Brak |
Podczas wszystkich operacji, w których dowolne ustawienie jest modyfikowane, firma Microsoft Entra Połączenie tworzy kopię zapasową bieżących ustawień zaufania w lokalizacji %ProgramData%\AAD Połączenie\ADFS
Uwaga
Przed wersją 1.1.873.0 kopia zapasowa składała się tylko z reguł przekształcania wystawiania i kopii zapasowej w pliku dziennika śledzenia kreatora.
Reguły przekształcania wystawiania ustawione przez firmę Microsoft Entra Połączenie
Firma Microsoft Entra Połączenie zapewnia, że zaufanie microsoft Entra ID jest zawsze skonfigurowane z odpowiednim zestawem zalecanych reguł oświadczeń. Firma Microsoft zaleca korzystanie z usługi Microsoft Entra Połączenie do zarządzania zaufaniem identyfikatora Entra firmy Microsoft. W tej sekcji wymieniono zestaw reguł przekształcania wystawiania i ich opis.
| Nazwa reguły | opis |
|---|---|
| Numer UPN problemu | Ta reguła wykonuje zapytanie o wartość userprincipalname zgodnie z atrybutem skonfigurowanym w ustawieniach synchronizacji dla userprincipalname. |
| Zapytanie objectguid i msdsconsistencyguid dla niestandardowego oświadczenia ImmutableId | Ta reguła dodaje wartość tymczasową w potoku dla wartości objectguid i msdsconsistencyguid, jeśli istnieje |
| Sprawdzanie istnienia identyfikatora msdsconsistencyguid | W zależności od tego, czy wartość msdsconsistencyguid istnieje, czy nie, ustawiamy flagę tymczasową, aby kierować to, co ma być używane jako ImmutableId |
| Problem z identyfikatorem msdsconsistencyguid jako niezmiennym identyfikatorem, jeśli istnieje | Problem z identyfikatorem msdsconsistencyguid jako ImmutableId, jeśli wartość istnieje |
| Problem objectGuidRule, jeśli reguła msdsConsistencyGuid nie istnieje | Jeśli wartość msdsconsistencyguid nie istnieje, wartość objectguid zostanie wystawiona jako ImmutableId |
| Identyfikator problemu | Ta reguła wystawia wartość oświadczenia nameidentifier. |
| Problem z typem konta dla komputerów przyłączonych do domeny | Jeśli uwierzytelniona jednostka jest urządzeniem przyłączonym do domeny, ta reguła wystawia typ konta jako DJ oznaczający urządzenie przyłączone do domeny |
| Wydaj wartość AccountType z wartością USER, gdy nie jest to konto komputera | Jeśli uwierzytelniona jednostka jest użytkownikiem, ta reguła wystawia typ konta jako użytkownik |
| Problem z problemami, gdy nie jest to konto komputera | Ta reguła wystawia wartość issuerId, gdy uwierzytelnianie jednostki nie jest urządzeniem. Wartość jest tworzona za pomocą wyrażenia regularnego skonfigurowanego przez firmę Microsoft Entra Połączenie. Wyrażenie regularne jest tworzone po uwzględnieniu wszystkich domen federacyjnych przy użyciu Połączenie firmy Microsoft. |
| Problem z uwierzytelnianiem komputera DJ | Ta reguła wystawia wartość issuerId, gdy jednostka uwierzytelniania jest urządzeniem |
| Problem onpremobjectguid dla komputerów przyłączonych do domeny | Jeśli uwierzytelniona jednostka jest urządzeniem przyłączonym do domeny, ta reguła wystawia identyfikator objectguid lokalnego urządzenia |
| Przekazywanie podstawowego identyfikatora SID | Ta reguła wystawia podstawowy identyfikator SID uwierzytelniania jednostki |
| Przekazywanie oświadczenia — wewnątrzKorporateNetwork | Ta reguła wystawia oświadczenie, które pomaga identyfikatorowi entra firmy Microsoft wiedzieć, czy uwierzytelnianie pochodzi z sieci firmowej lub zewnętrznie |
| Przekazywanie oświadczenia — Psso | |
| Wystawianie oświadczeń wygaśnięcia hasła | Ta reguła wystawia trzy oświadczenia dotyczące czasu wygaśnięcia hasła, liczbę dni wygaśnięcia hasła uwierzytelnionego jednostki i adres URL, gdzie należy kierować trasę do zmiany hasła. |
| Przekazywanie oświadczenia — authnmethodsreferences | Wartość oświadczenia wystawionego w ramach tej reguły wskazuje typ uwierzytelniania wykonanego dla jednostki |
| Przekazywanie oświadczenia — multifactorauthenticationinstant | Wartość tego oświadczenia określa godzinę w formacie UTC, kiedy użytkownik ostatnio wykonał uwierzytelnianie wieloskładnikowe. |
| Przekazywanie oświadczenia — AlternateLoginID | Ta reguła wystawia oświadczenie AlternateLoginID, jeśli uwierzytelnianie zostało wykonane przy użyciu alternatywnego identyfikatora logowania. |
Uwaga
Reguły oświadczeń dotyczące numerów UPN i ImmutableId będą się różnić w przypadku używania opcji innej niż domyślna podczas konfigurowania Połączenie firmy Microsoft
Przywracanie reguł przekształcania wystawiania
Program Microsoft Entra Połączenie w wersji 1.1.873.0 lub nowszej tworzy kopię zapasową ustawień zaufania identyfikatora Entra firmy Microsoft przy każdej aktualizacji ustawień zaufania identyfikatora Entra firmy Microsoft. Ustawienia zaufania identyfikatora entra firmy Microsoft są tworzone w folderze %ProgramData%\AAD Połączenie\ADFS. Nazwa pliku ma następujący format: AadTrust-date-time.txt<><>, na przykład — AadTrust-20180710-150216.txt
Reguły przekształcania wystawiania można przywrócić, wykonując sugerowane kroki poniżej
- Otwórz interfejs użytkownika zarządzania usługAMI AD FS w Menedżer serwera
- Otwórz właściwości zaufania identyfikatora entra firmy Microsoft, przechodząc do pozycji USŁUGI AD FS > jednostki uzależnionej zaufania > platformy > tożsamości Microsoft Office 365 Edytowanie zasad wystawiania oświadczeń
- Kliknij pozycję Dodaj regułę
- W szablonie reguły oświadczenia wybierz pozycję Wyślij oświadczenia przy użyciu reguły niestandardowej, a następnie kliknij przycisk Dalej
- Skopiuj nazwę reguły oświadczenia z pliku kopii zapasowej i wklej ją w polu Nazwa reguły oświadczenia
- Skopiuj regułę oświadczenia z pliku kopii zapasowej do pola tekstowego dla reguły niestandardowej i kliknij przycisk Zakończ
Uwaga
Upewnij się, że dodatkowe reguły nie powodują konfliktu z regułami skonfigurowanymi przez firmę Microsoft Entra Połączenie.
Najlepsze rozwiązanie dotyczące zabezpieczania i monitorowania zaufania usług AD FS za pomocą identyfikatora Entra firmy Microsoft
Podczas federacji usług AD FS za pomocą identyfikatora Entra firmy Microsoft ważne jest, aby konfiguracja federacji (relacja zaufania skonfigurowana między usługami AD FS i Identyfikator entra firmy Microsoft) była ściśle monitorowana, a wszelkie nietypowe lub podejrzane działania są przechwytywane. W tym celu zalecamy skonfigurowanie alertów i otrzymywanie powiadomień za każdym razem, gdy wszelkie zmiany zostaną wprowadzone w konfiguracji federacji. Aby dowiedzieć się, jak skonfigurować alerty, zobacz Monitorowanie zmian w konfiguracji federacji.
Jeśli używasz usługi Azure MFA w chmurze na potrzeby uwierzytelniania wieloskładnikowego z użytkownikami federacyjnymi, zdecydowanie zalecamy włączenie dodatkowej ochrony zabezpieczeń. Ta ochrona zabezpieczeń uniemożliwia pomijanie usługi Azure MFA w chmurze podczas federacyjnej z identyfikatorem Entra firmy Microsoft. Po włączeniu dla domeny federacyjnej w dzierżawie firmy Microsoft Entra gwarantuje, że nieprawidłowy aktor nie może pominąć usługi Azure MFA, imitując, że uwierzytelnianie wieloskładnikowe zostało już wykonane przez dostawcę tożsamości. Ochronę można włączyć za pomocą nowego ustawienia zabezpieczeń, federatedIdpMfaBehavior. Aby uzyskać dodatkowe informacje, zobacz Najlepsze rozwiązania dotyczące zabezpieczania usług Active Directory Federation Services
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla