Настройка политик проверки подлинности

в AD FS, в Windows Server 2012 R2 улучшена поддержка контроля доступа и механизма проверки подлинности с несколькими факторами, включающими пользователя, устройство, расположение и данные проверки подлинности. эти улучшения позволяют вам, используя пользовательский интерфейс или Windows PowerShell, управлять риском предоставления разрешений на доступ к AD FSным приложениям через многофакторную проверку подлинности и многофакторную идентификацию на основе удостоверения пользователя или членства в группе, сетевого расположения, данных устройства, присоединенных к рабочему месту, и состояния проверки подлинности при выполнении многофакторной проверки подлинности (MFA).

дополнительные сведения о MFA и многофакторном контроле доступа в службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 см. в следующих разделах:

Настройка политик проверки подлинности с помощью оснастки "Управление AD FS"

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы на локальном компьютере либо наличие эквивалентных прав. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию.

в AD FS в Windows Server 2012 R2 можно указать политику проверки подлинности в глобальной области, применимую ко всем приложениям и службам, защищенным AD FS. Можно также задать политики проверки подлинности для конкретных приложений и служб, которые используют отношения доверия сторон и защищены с помощью AD FS. Указание политики проверки подлинности для конкретного приложения на отношение доверия с проверяющей стороной не переопределяет глобальную политику проверки подлинности. Если для глобальной или для каждой политики проверки подлинности доверия с проверяющей стороной требуется MFA, MFA активируется, когда пользователь пытается пройти проверку подлинности для этого отношения доверия с проверяющей стороной. Глобальная политика проверки подлинности — это резервная стратегия для отношений доверия проверяющей стороны для приложений и служб, которые не имеют определенной настроенной политики аутентификации.

настройка основной проверки подлинности глобально в Windows Server 2012 R2

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В AD FS оснастке щелкните политики проверки подлинности.

  3. в разделе основная проверка подлинности щелкните изменить рядом с параметром глобальный Параметры. Можно также щелкнуть правой кнопкой мыши политики проверки подлинностии выбрать пункт изменить глобальную основную проверку подлинностиили в области действия выберите изменить глобальную основную проверку подлинности. Screenshot that highlights Edit Global Primary Authentication option.

  4. В окне изменение политики глобальной проверки подлинности на главной вкладке можно настроить следующие параметры в рамках глобальной политики проверки подлинности.

    • Методы проверки подлинности, используемые для основной проверки подлинности. В экстрасети и интрасетиможно выбрать доступные методы проверки подлинности.

    • Проверка подлинности устройства с помощью флажка включить проверку подлинности устройства . Дополнительные сведения см. в разделе Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications. Screenshot that shows how to configure settings as part of the global authentication policy.

Настройка основной проверки подлинности для отношения доверия с проверяющей стороной

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В оснастке AD FS щелкните политики проверки подлинностидля отношения доверия с проверяющей стороной, а затем выберите отношение доверия с проверяющей стороной, для которого необходимо настроить политики проверки подлинности.

  3. Либо щелкните правой кнопкой мыши отношение доверия с проверяющей стороной, для которого требуется настроить политики проверки подлинности, а затем выберите изменить пользовательскую основную проверку подлинностиили в области действия выберите изменить настраиваемую основную проверку подлинности. Screenshot that highlights the Edit Custom Primary Authentication menu option.

  4. В окне изменение политики проверки подлинности для > Relying_party_trust_name в разделе > вкладка можно настроить следующий параметр в рамках политики проверки подлинности с отношением доверия с проверяющей стороной :

    • Должны ли пользователи предоставлять свои учетные данные каждый раз при входе через пользователей, необходимо предоставлять учетные данные при каждом входе. Screenshot that shows how to configure settings as part of the Per Relying Party Trust authentication policy.

Настройка многофакторной проверки подлинности на глобальном уровне

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В AD FS оснастке щелкните политики проверки подлинности.

  3. в разделе многофакторная проверка подлинности щелкните изменить рядом с параметром глобальный Параметры. Можно также щелкнуть правой кнопкой мыши политики проверки подлинностии выбрать пункт изменить глобальную многофакторную проверку подлинностиили в области действия выберите изменить глобальную многофакторную проверку подлинности. Screenshot that highlights the Edit Global Multi-factor Authentication option.

  4. В окне изменение политики глобальной проверки подлинности на вкладке многофакторная идентификация можно настроить следующие параметры в рамках глобальной политики многофакторной проверки подлинности:

Предупреждение

Дополнительные методы проверки подлинности можно настраивать только глобально. auth policies

Настройка многофакторной проверки подлинности для отношения доверия с проверяющей стороной

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В оснастке AD FS щелкните политики проверки подлинностидля отношения доверия с проверяющей стороной, а затем выберите отношение доверия с проверяющей стороной, для которого требуется настроить mfa.

  3. Либо щелкните правой кнопкой мыши отношение доверия с проверяющей стороной, для которого требуется настроить MFA, а затем выберите изменить пользовательскую многофакторную проверку подлинностиили в области действия выберите изменить пользовательскую многофакторную проверку подлинности.

  4. В окне изменение политики проверки подлинности для relying_party_trust_name > в разделе > вкладка можно настроить следующие параметры в рамках политики проверки подлинности для отношения доверия с проверяющей стороной.

    • Параметры или условия для MFA через доступные параметры в разделах пользователи, группы, устройстваи расположения .

Настройка политик проверки подлинности с помощью Windows PowerShell

Windows PowerShell обеспечивает большую гибкость в использовании различных факторов контроля доступа и механизма проверки подлинности, доступных в AD FS в Windows Server 2012 R2 для настройки политик проверки подлинности и правил авторизации, необходимых для реализации истинного условного доступа к ресурсам, защищенным AD FS.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы на локальном компьютере либо наличие эквивалентных прав. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной группе и группах домена по умолчанию (

Настройка дополнительного метода проверки подлинности с помощью Windows PowerShell

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

Предупреждение

Чтобы убедиться в успешном выполнении этой команды, можно выполнить команду Get-AdfsGlobalAuthenticationPolicy .

Настройка отношения доверия с проверяющей стороной MFA в зависимости от данных членства пользователя в группах

  1. На сервере федерации откройте окно команд Windows PowerShell и выполните следующую команду:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Предупреждение

Обязательно замените relying_party_trust > именем отношения доверия с проверяющей стороной.

  1. в том же командном окне Windows PowerShell выполните следующую команду.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

Примечание

Обязательно замените < group_SID > значением идентификатора безопасности (SID) группы Active Directory (AD).

Настройка MFA на глобальном уровне на основе данных членства пользователей в группах

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Примечание

Обязательно замените group_SID > ЗНАЧЕНИЕМ идентификатора безопасности группы AD.

Настройка MFA на основе расположения пользователя на глобальном уровне

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Примечание

Обязательно замените true_or_false > на либо truefalse . Это значение зависит от конкретного условия правила, основанного на том, поступает ли запрос на доступ из экстрасети или из интрасети.

Настройка MFA на глобальном уровне на основе данных устройства пользователя

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Примечание

Обязательно замените true_or_false > на либо truefalse . Это значение зависит от условия вашего правила в зависимости от того, присоединено ли устройство к рабочей области или нет.

Настройка MFA глобально, если запрос на доступ поступает из экстрасети и с устройства, не присоединенного к рабочему месту

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

Примечание

Обязательно замените оба экземпляра > true_or_false на true или false , что зависит от условий конкретного правила. Условия правила основаны на том, присоединено ли устройство к рабочей области, а также от того, поступает ли запрос на доступ из экстрасети или интрасети.

Настройка MFA глобально, если доступ осуществляется от пользователя экстрасети, принадлежащего определенной группе

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

Примечание

Обязательно замените group_SID > значением идентификатора безопасности группы и > с помощью true или false , что зависит от конкретного условия правила, основанного на том, поступает ли запрос на доступ из экстрасети или интрасети.

Предоставление доступа к приложению на основе данных пользователя с помощью Windows PowerShell

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Примечание

Обязательно замените relying_party_trust > значением отношения доверия с проверяющей стороной.

  1. в том же командном окне Windows PowerShell выполните следующую команду.

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

Примечание

Обязательно замените group_SID > ЗНАЧЕНИЕМ идентификатора безопасности группы AD.

Предоставление доступа к приложению, защищенному AD FS только в том случае, если удостоверение этого пользователя было проверено с помощью MFA

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Примечание

Обязательно замените relying_party_trust > значением отношения доверия с проверяющей стороной.

  1. в том же командном окне Windows PowerShell выполните следующую команду.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

Предоставление доступа к приложению, защищенному AD FS только в том случае, если запрос на доступ поступает с устройства, присоединенного к рабочему месту, зарегистрированного для пользователя

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Примечание

Обязательно замените relying_party_trust > значением отношения доверия с проверяющей стороной.

  1. в том же командном окне Windows PowerShell выполните следующую команду.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

Предоставление доступа к приложению, защищенному AD FS только в том случае, если запрос на доступ поступает с устройства, присоединенного к рабочему месту, зарегистрированного для пользователя, удостоверение которого проверено с помощью MFA.

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Примечание

Обязательно замените relying_party_trust > значением отношения доверия с проверяющей стороной.

  1. в том же командном окне Windows PowerShell выполните следующую команду.

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

Предоставление доступа к экстрасети приложению, защищенному AD FS, только если запрос на доступ поступает от пользователя, удостоверение которого проверено с помощью MFA

  1. на сервере федерации откройте окно командной строки Windows PowerShell и выполните следующую команду.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Примечание

Обязательно замените relying_party_trust > значением отношения доверия с проверяющей стороной.

  1. в том же командном окне Windows PowerShell выполните следующую команду.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

Дополнительная справка

Операции AD FS