Delen via

Cloudresources beveiligen met Meervoudige Verificatie van Microsoft Entra en AD FS

  • Artikel

Als uw organisatie is gefedereerd met Microsoft Entra ID, gebruikt u Microsoft Entra multifactor authentication of Active Directory Federation Services (AD FS) om resources te beveiligen die worden geopend door Microsoft Entra ID. Gebruik de volgende procedures om Microsoft Entra-resources te beveiligen met meervoudige verificatie van Microsoft Entra of Active Directory Federation Services.

Notitie

Stel de domeininstelling federatedIdpMfaBehavior- in op enforceMfaByFederatedIdp (aanbevolen) of SupportsMFA- op $True. De federatedIdpMfaBehavior-instelling overschrijft SupportsMFA- wanneer beide zijn ingesteld.

Microsoft Entra-resources beveiligen met AD FS

Als u uw cloudresource wilt beveiligen, stelt u een claimregel in zodat Active Directory Federation Services de claim multipleauthn verzendt wanneer een gebruiker verificatie in twee stappen uitvoert. Deze claim wordt doorgegeven aan Microsoft Entra-id. Volg deze procedure om de stappen te doorlopen:

  1. Open AD FS-beheerconsole.

  2. Selecteer aan de linkerkant Relying Party Trusts.

  3. Selecteer met de rechtermuisknop Microsoft Office 365 Identity Platform en selecteer Claimregels bewerken.

    ADFS-console - Vertrouwenspaden voor Vertrouwende Partij

  4. Bij de transformatieregels voor uitgifte selecteert u Regel toevoegen.

    Uitgiftetransformatie regels bewerken

  5. Selecteer in de wizard Claimregel voor transformatie toevoegen de optie Een binnenkomende claim doorgeven of filteren in de vervolgkeuzelijst en selecteer vervolgens Volgende.

    Schermopname toont de wizard voor het toevoegen van een claimtransformatieregel waarin u een claimregelsjabloon selecteert.

  6. Geef uw regel een naam.

  7. Selecteer Authenticatiemethodenreferenties als het binnenkomende claimtype.

  8. Selecteer Alle claimwaarden doorgeven.

    Schermafbeelding toont de wizard Claimregel voor transformatie toevoegen, waarin u de optie

  9. Selecteer Voltooien. Sluit de AD FS-beheerconsole.

Vertrouwde IP-adressen voor federatieve gebruikers

Met vertrouwde IP-adressen kunnen beheerders verificatie in twee stappen omzeilen voor specifieke IP-adressen of voor federatieve gebruikers die aanvragen hebben die afkomstig zijn van hun eigen intranet. In de volgende secties wordt beschreven hoe u de bypass configureert met behulp van vertrouwde IP-adressen. Dit wordt bereikt door AD FS te configureren voor het gebruik van een pass-through of het filteren van een binnenkomende claimsjabloon met het claimtype Binnen het bedrijfsnetwerk.

In dit voorbeeld wordt Microsoft 365 gebruikt voor onze Relying Party Trusts.

De AD FS-claimregels configureren

Het eerste wat we moeten doen, is om de AD FS-claims te configureren. Maak twee claimregels, één voor het claimtype Inside Corporate Network en een extra regels om onze gebruikers aangemeld te houden.

  1. Open AD FS-beheer.

  2. Selecteer aan de linkerkant Relying Party Trusts.

  3. Klik met de rechtermuisknop op Microsoft Office 365 Identity Platform en kies Edit Claim Rules...

    ADFS-console - Claimregels bewerken

  4. Bij uitgiftetransformatieregels selecteert u Regel toevoegen.

    een claimregel toevoegen

  5. Selecteer in de wizard Claimregel voor transformatie toevoegen de optie Een binnenkomende claim doorgeven of filteren in de vervolgkeuzelijst en selecteer vervolgens Volgende.

    Schermafbeelding toont de Wizard voor het toevoegen van een transformatie claimregel waar u Pass Through of een binnenkomende claim filtert selecteert.

  6. Geef in het vak naast claimregelnaam een naam op voor de regel. Bijvoorbeeld: InsideCorpNet.

  7. Selecteer in de vervolgkeuzelijst naast het binnenkomende claimtype de optie binnen het bedrijfsnetwerk.

    Claim voor intern bedrijfsnetwerk toevoegen

  8. Selecteer Voltooien.

  9. Bij de transformatieregels voor uitgifte selecteert u Regel toevoegen.

  10. Selecteer in de Wizard voor het toevoegen van de claimregel voor transformatie Claims verzenden met behulp van een aangepaste regel in de vervolgkeuzelijst en selecteer Volgende.

  11. Voer in het vak onder de claimregelnaam: Gebruikers aangemeld houdenin.

  12. Voer in het vak Aangepaste regel het volgende in:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Aangepaste claim maken om gebruikers aangemeld te houden

  13. Selecteer voltooien.

  14. Selecteer Toepassen.

  15. Selecteer OK.

  16. Sluit AD FS-beheer.

Microsoft Entra configureren om vertrouwde IP-adressen in te stellen voor gefedereerde gebruikers

Nu de claims zijn ingesteld, kunnen we vertrouwde IP-adressen configureren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Authentication Policy Administrator.

  2. Blader naar Voorwaardelijke Toegang>Benoemde Locaties.

  3. Klik op de blade Voorwaardelijke toegang - Benoemde locaties en selecteer MFA-vertrouwde IP-adressen configureren

    Microsoft Entra Voorwaardelijke Toegang: benoemde locaties en MFA-vertrouwde IP's configureren

  4. Selecteer op de pagina Service-instellingen onder vertrouwde IP-adressenMeervoudige verificatie overslaan voor aanvragen van federatieve gebruikers op mijn intranet.

  5. Selecteer opslaan.

Dat is het! Op dit moment moeten federatieve Microsoft 365-gebruikers alleen MFA gebruiken wanneer een claim afkomstig is van buiten het bedrijfsintranet.