Sdílet prostřednictvím

Zabezpečení cloudových prostředků pomocí vícefaktorového ověřování Microsoft Entra a AD FS

  • Článek

Pokud je vaše organizace federovaná s MICROSOFT Entra ID, použijte vícefaktorové ověřování Microsoft Entra nebo službu AD FS (Active Directory Federation Services) k zabezpečení prostředků, ke kterým přistupuje ID Microsoft Entra. Pomocí následujících postupů zabezpečte prostředky Microsoft Entra pomocí vícefaktorového ověřování Microsoftu nebo služby Active Directory Federation Services.

Poznámka

Nastavte nastavení domény federatedIdpMfaBehavior na enforceMfaByFederatedIdp (doporučeno) nebo SupportsMFA na $True. Nastavení federatedIdpMfaBehavior přepíše SupportsMFA, když jsou obě nastaveny.

Zabezpečení prostředků Microsoft Entra pomocí služby AD FS

Pokud chcete zabezpečit cloudový prostředek, nastavte pravidlo deklarací identity tak, aby služba Active Directory Federation Services vygeneruje deklaraci identity s více ověřováními, když uživatel úspěšně provede dvoustupňové ověření. Tato informace je předána společnosti Microsoft Entra ID. Postupujte podle tohoto postupu a projděte si tyto kroky:

  1. Otevřete správu služby AD FS.

  2. Vlevo vyberte důvěryhodné vztahy strany.

  3. Pravým tlačítkem myši vyberte Microsoft Office 365 Identity Platform a vyberte Upravit pravidla deklarací identity.

    ADFS Console – vztahy důvěry spoléhající strany

  4. V pravidlech transformace vydání vyberte Přidat pravidlo.

    Úprava pravidel transformace vydávání

  5. V Průvodci přidáním pravidla transformace nároků vyberte v rozevíracím seznamu Předat nebo filtrovat příchozí nárok a poté zvolte Další.

    Snímek obrazovky zobrazuje průvodce přidáním pravidla transformace nároku, kde vyberete šablonu pravidla nároku.

  6. Pojmenujte pravidlo.

  7. Jako typ příchozího nároku vyberte Odkazy na metody ověřování.

  8. Vyberte Předat všechny hodnoty nároku.

    Snímek obrazovky ukazuje Průvodce pro přidání pravidla transformace deklarací, kde vyberete možnost Předat všechny hodnoty deklarací.

  9. Vyberte Dokončit. Zavřete konzolu pro správu služby AD FS.

Důvěryhodné IP adresy pro federované uživatele

Důvěryhodné IP adresy umožňují správcům obejít dvoustupňové ověřování pro konkrétní IP adresy nebo pro federované uživatele, kteří mají požadavky pocházející ze svého vlastního intranetu. Následující části popisují, jak nakonfigurovat obejití pomocí důvěryhodných IP adres. Toho dosáhnete konfigurací služby AD FS tak, aby používala buď předávací šablonu, nebo filtrovací šablonu příchozí deklarace s typem Uvnitř podnikové sítě.

Tento příklad používá Microsoft 365 pro důvěryhodné strany.

Konfigurace pravidel deklarací identity služby AD FS

První věcí, kterou musíme udělat, je konfigurace nároků služby AD FS. Vytvořte dvě pravidla požadavků, jedno pro typ požadavku pro interní podnikové sítě a další pro zachování přihlášení uživatelů.

  1. Otevřete správu služby AD FS.

  2. Vlevo vyberte Důvěryhodné strany.

  3. Klikněte pravým tlačítkem myši na Microsoft Office 365 Identity Platform a vyberte Upravit pravidla deklarací...

    Konzole ADFS – Úprava Pravidel Nároků

  4. V pravidlech transformace vystavení vyberte Přidat pravidlo.

    Přidání pravidla pro nároky

  5. V Průvodci přidáním pravidla transformace deklarace identity vyberte v rozevíracím seznamu Předat nebo filtrovat příchozí deklaraci identity a zvolte Další.

    Snímek obrazovky ukazuje Průvodce přidáním pravidla pro transformaci deklarace identity, kde zvolíte možnost Propustit nebo Filtrovat příchozí deklaraci identity.

  6. Do pole vedle „Název pravidla“ zadejte vlastní název pravidla. Příklad: InsideCorpNet.

  7. V rozevíracím seznamu u Typu příchozího požadavku vyberte Uvnitř podnikové sítě.

    Přidání nároku uvnitř podnikové sítě

  8. Vyberte Dokončit.

  9. V pravidlech transformace vydání vyberte Přidat pravidlo.

  10. V průvodci přidáním pravidla pro transformaci deklarace identity zvolte z rozevíracího seznamu možnost Odeslat deklarace identity pomocí vlastního pravidla a klikněte na Další.

  11. Do pole pod názvem pravidla deklarace identity: zadejte Ponechat uživatele přihlášeni.

  12. Do pole Vlastní pravidlo zadejte:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Vytvořit vlastní nárok pro zachování přihlášení uživatelů

  13. Vyberte Dokončit.

  14. Vyberte Použít.

  15. Vyberte OK.

  16. Zavřete správu služby AD FS.

Konfigurace důvěryhodných IP adres pro vícefaktorové ověřování Microsoft Entra u federovaných uživatelů.

Teď, když jsou deklarace identity zavedené, můžeme nakonfigurovat důvěryhodné IP adresy.

  1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování.

  2. Přejděte na Podmíněný přístup>Pojmenované umístění.

  3. V okně Podmíněný přístup – Pojmenovaná umístění vyberte možnost Konfigurovat důvěryhodné IP adresy pro MFA

    Názvy umístění pro Podmíněný přístup Microsoft Entra Konfigurujte důvěryhodné IP adresy MFA

  4. Na stránce Nastavení služby v části důvěryhodné IP adresyvyberte možnost Přeskočit vícefaktorové ověřování pro požadavky federovaných uživatelů na mém intranetu.

  5. Vyberte Uložit.

To je to! V tomto okamžiku by federovaní uživatelé Microsoftu 365 měli používat vícefaktorové ověřování jenom v případě, že deklarace identity pochází z externího podnikového intranetu.