共用方式為

規劃裝置型條件式存取內部部署

  • 發行項

本文件說明基於混合式案例中裝置的條件式存取原則,其中內部部署目錄使用 Microsoft Entra Connect 連接到 Microsoft Entra ID。

AD FS 和混合式條件式存取

AD FS 在混合式案例中提供條件式存取原則的內部部署元件。 使用 Microsoft Entra ID 註冊裝置,以透過條件式存取方式存取雲端資源時,Microsoft Entra Connect 裝置回寫功能會在內部部署提供裝置註冊資訊,以供 AD FS 原則使用和強制執行。 如此一來,您即可針對內部部署和雲端資源使用一致的存取控制原則。

conditional access

已註冊裝置的類型

已註冊裝置可分為三種,都表示為 Microsoft Entra ID 中的裝置物件,也可用於進行內部部署 AD FS 的條件式存取。

描述 新增公司或學校帳戶 Microsoft Entra 加入 Windows 10 網域加入
描述 使用者以互動方式將公司或學校帳戶新增至其 BYOD 裝置。 注意:新增公司或學校帳戶是 Windows 8/8.1 中加入工作場所網路的替代方式 使用者將其 Windows 10 工作裝置加入 Microsoft Entra ID。 已加入 Windows 10 網域的裝置會自動註冊 Microsoft Entra ID。
使用者如何登入裝置 不使用公司或學校帳戶登入 Windows。 使用 Microsoft 帳戶登入。 以註冊裝置的 (工作或學校) 帳戶登入 Windows。 使用 AD 帳戶登入。
裝置的管理方式 MDM 原則 (含其他 Intune 註冊) MDM 原則 (含其他 Intune 註冊) 群組原則、設定管理員
Microsoft Entra ID 信任類型 加入工作場所網路 已加入 Microsoft Entra 已加入網域
W10 設定位置 [設定] > [帳戶] > [您的帳戶] > [新增公司或學校帳戶] [設定] > [系統] > [關於] > [加入 Microsoft Entra ID] [設定] > [系統] > [關於] > [加入網域]
是否也適用於 iOS 和 Android 裝置? No

如需註冊裝置之不同方式的詳細資訊,請參閱:

Windows 10 使用者和裝置登入與舊版的方式不同

針對 Windows 10 和 AD FS 2016,有一些您應該了解的裝置註冊和驗證新層面 (特別是如果您比較熟悉先前版本的裝置註冊和「加入工作場所網路」)。

首先,在 Windows 10 和 Windows Server 2016 的和 AD FS 中,裝置註冊和驗證不再只以 X509 使用者憑證為基礎。 有一種全新且更健全的通訊協定,可提供更佳的安全性和更順暢的使用者體驗。 主要區別在於加入 Windows 10 網域和 Microsoft Entra 時,會有 X509 電腦憑證和名為 PRT 的新認證。 您可以在這裡這裡閱讀所有相關資訊。

其次,Windows 10 和 AD FS 2016 支援使用 Windows Hello 企業版的使用者驗證,您可以在這裡這裡閱讀相關資訊。

AD FS 2016 會根據 PRT 和 Passport 認證,提供順暢的裝置和使用者 SSO。 使用本文件中的步驟,您可以啟用這些功能並查看其運作方式。

裝置存取控制原則

裝置可用於簡單的 AD FS 存取控制規則,例如:

  • 僅允許從已註冊的裝置存取
  • 未註冊裝置時需要多重要素驗證

這些規則接著可以結合其他因素,例如網路存取位置和多重要素驗證,以建立如下豐富的條件式存取原則:

  • 從公司網路外部存取的未註冊裝置需要多重要素驗證,但特定群組的成員或群組除外

透過 AD FS 2016,可以將這些原則特別設定為需要特定裝置信任層級:已驗證受管理相容

如需設定 AD FS 存取控制原則的詳細資訊,請參閱 AD FS 中的存取控制原則

已驗證的裝置

已驗證的裝置是未在 MDM 中註冊的註冊裝置 (適用於 Windows 10 的 Intune 和協力廠商 MDM,僅限 iOS 和 Android 版 Intune)。

已驗證的裝置將具有值為 FALSEisManaged AD FS 宣告。 (雖然完全未註冊的裝置則沒有這種宣告。)已驗證的裝置 (以及所有已註冊的裝置) 將具有值為 TRUE 的 isKnown AD FS 宣告。

受管理的裝置:

受管理裝置是向 MDM 註冊的註冊裝置。

受管理的裝置將具有值為 TRUE 的 isManaged AD FS 宣告。

符合規範的裝置 (MDM 或群組原則)

符合規範的裝置不僅是向 MDM 註冊,還是符合 MDM 原則的註冊裝置。 (合規性資訊源於 MDM,會寫入 Microsoft Entra ID。)

符合規範的裝置會有值為 TRUEisCompliant AD FS 宣告。

如需 AD FS 2016 裝置和條件式存取宣告的完整清單,請參閱參考

參考

更新和重大變更 - Microsoft 身分識別平台 | Microsoft Docs

新 AD FS 2016 和裝置宣告的完整清單

  • https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtype
  • https://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdf
  • https://schemas.microsoft.com/2014/03/psso
  • https://schemas.microsoft.com/2015/09/prt
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • https://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdf
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid
  • /dotnet/api/system.security.claims.claimtypes.windowsdeviceclaim
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/identifier
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/ostype
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/osversion
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
  • /dotnet/api/system.security.claims.claimtypes.windowsdeviceclaim
  • https://schemas.microsoft.com/2014/02/deviceusagetime
  • https://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • https://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype
  • https://schemas.microsoft.com/claims/authnmethodsreferences
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
  • https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip
  • https://schemas.microsoft.com/2014/09/requestcontext/claims/userip
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod