Adresses IP interdites et AD FS
AD FS sur Windows Server 2016 a introduit des IP interdites dans le cadre de la mise à jour AD FS de juin 2018. Cette mise à jour vous permet de configurer un ensemble d’adresse IP de manière globale dans AD FS pour que les demandes venant de ces adresses IP soient bloquées. Les demandes qui ont des adresses IP dans les en-têtes x-forwarded-for ou x-ms-forwarded-client-ip sont également bloquées par AD FS.
Ajout d’adresses IP interdites
Pour ajouter des IP interdites à la liste globale, utilisez l’applet de commande PowerShell ci-dessous :
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
Les formats autorisés sont les suivants :
- IPv4
- IPv6
- Format CIDR avec IPv4 ou v6
Il y a une limite de 300 entrées pour les adresses IP interdites. Vous pouvez utiliser CIDR ou le format de plage pour refuser un grand bloc d’entrées avec une seule entrée.
Suppression d’adresses IP interdites
Pour supprimer des IP interdites de la liste globale, utilisez l’applet de commande PowerShell suivante :
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
Lecture d’IP interdites
Pour lire l’ensemble actuel d’adresses IP interdites, utilisez l’applet de commande PowerShell suivante :
PS C:\ >Get-AdfsProperties
Exemple de sortie :
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}
Liens connexes
Meilleures pratiques en matière de services de fédération Active Directory (AD FS)