Delen via

Vertegenwoordigen AD FS-beveiligingsbeleid in Microsoft Entra-id: toewijzingen en voorbeelden

  • Artikel

In dit artikel leert u hoe u autorisatie- en meervoudige verificatieregels van AD FS toe te wijzen aan Microsoft Entra ID bij het verplaatsen van uw app-verificatie. Ontdek hoe u voldoet aan de beveiligingsvereisten van uw app-eigenaar terwijl u het app-migratieproces eenvoudiger maakt met toewijzingen voor elke regel.

Wanneer u uw app-verificatie naar Microsoft Entra-id verplaatst, maakt u toewijzingen van bestaand beveiligingsbeleid aan hun equivalente of alternatieve varianten die beschikbaar zijn in Microsoft Entra-id. Door ervoor te zorgen dat deze toewijzingen kunnen worden uitgevoerd terwijl u voldoet aan de beveiligingsstandaarden die door uw app-eigenaren zijn vereist, is de rest van de app-migratie eenvoudiger.

Voor elk regelvoorbeeld laten we zien hoe de regel eruitziet in AD FS, de equivalente code van de AD FS-regeltaal en hoe deze wordt toegewezen aan Microsoft Entra-id.

Autorisatieregels toewijzen

Hieronder vindt u voorbeelden van verschillende typen autorisatieregels in AD FS en hoe u deze toe te wijzen aan Microsoft Entra ID.

Voorbeeld 1: toegang voor alle gebruikers toestaan

Toegang voor alle gebruikers in AD FS toestaan:

Schermopname van het bewerken van toegang tot alle gebruikers.

Dit wordt op een van de volgende manieren toegewezen aan Microsoft Entra-id:

  1. Stel de toewijzing in opNee.

    Notitie

    Als u toewijzing instelt opJa , moeten gebruikers worden toegewezen aan de toepassing om toegang te krijgen. Als deze optie is ingesteld op Nee, hebben alle gebruikers toegang. Deze schakeloptie bepaalt niet wat gebruikers zien krijgen in Mijn apps.

  2. Wijs op het tabblad Gebruikers en groepen uw toepassing toe aan de automatische groep Alle gebruikers. U moet dynamische groepen inschakelen in uw Microsoft Entra-tenant zodat de standaardgroep Alle gebruikers beschikbaar is.

    Schermopname van Mijn SaaS-apps in Microsoft Entra ID.

Voorbeeld 2: een groep expliciet toestaan

Expliciete groepsautorisatie in AD FS:

Schermopname van het dialoogvenster Regel bewerken voor de claimregel Domeinadministratoren toestaan.

Ga als volgt te werk om deze regel toe te wijzen aan Microsoft Entra-id:

  1. Maak in het Microsoft Entra-beheercentrum een gebruikersgroep die overeenkomt met de groep gebruikers van AD FS.

  2. Wijs app-machtigingen toe aan de groep:

    Schermopname van het toevoegen van een opdracht aan de app.

Voorbeeld 3: een specifieke gebruiker autoriseren

Expliciete gebruikersautorisatie in AD FS:

Schermopname met het dialoogvenster Regel bewerken voor de claimregel Een specifieke gebruiker toestaan met inkomend claimtype Primaire SID.

Ga als volgt te werk om deze regel toe te wijzen aan Microsoft Entra-id:

  • Voeg in het Microsoft Entra-beheercentrum een gebruiker toe aan de app via het tabblad Toewijzing toevoegen van de app, zoals hieronder wordt weergegeven:

    Schermopname van Mijn SaaS-apps in Azure.

Meervoudige verificatieregels toewijzen

Een on-premises implementatie van Meervoudige verificatie (MFA) en AD FS werkt nog steeds na de migratie omdat u bent gefedereerd met AD FS. Overweeg echter om te migreren naar de ingebouwde MFA-mogelijkheden van Azure die zijn gekoppeld aan het Beleid voor voorwaardelijke toegang van Microsoft Entra.

Hieronder vindt u voorbeelden van typen MFA-regels in AD FS en hoe u ze kunt toewijzen aan Microsoft Entra ID op basis van verschillende voorwaarden.

Instellingen voor MFA-regels in AD FS:

Schermopname van Voorwaarden voor Microsoft Entra-id in het Microsoft Entra-beheercentrum.

Voorbeeld 1: MFA afdwingen op basis van gebruikers/groepen

De selector voor gebruikers/groepen is een regel waarmee u MFA per groep (groeps-SID) of per gebruiker (primaire SID) kunt afdwingen. Naast de toewijzingen van gebruikers/groepen worden alle andere selectievakjes in de gebruikersinterface van de AD FS MFA-configuratie gebruikt als extra regels die worden geëvalueerd nadat de regel voor gebruikers/groepen is afgedwongen.

Algemeen beleid voor voorwaardelijke toegang: MFA vereisen voor alle gebruikers

Voorbeeld 2: MFA afdwingen voor niet-geregistreerde apparaten

Geef MFA-regels op voor niet-geregistreerde apparaten in Microsoft Entra:

Algemeen beleid voor voorwaardelijke toegang: vereisen dat een compatibel apparaat, een hybride apparaat van Microsoft Entra of meervoudige verificatie voor alle gebruikers is vereist

Regel Kenmerken verzenden als claims toewijzen

Regel Kenmerken verzenden als claims in AD FS:

Schermopname met het dialoogvenster Regel bewerken voor Kenmerken uitzenden als claims.

De regel toewijzen aan Microsoft Entra-id:

  1. In het Microsoft Entra-beheercentrum selecteert u Bedrijfstoepassingen en vervolgens eenmalige aanmelding om de aanmeldingsconfiguratie op basis van SAML weer te geven:

    Schermopname met de pagina Eenmalige aanmelding voor uw ondernemingstoepassing.

  2. Selecteer Bewerken (gemarkeerd) om de kenmerken te wijzigen:

    Schermopname van de pagina voor het bewerken van gebruikerskenmerken en claims.

Ingebouwde beleidsregels voor toegangsbeheer toewijzen

Ingebouwde beleidsregels voor toegangsbeheer in AD FS 2016:

Schermopname van de ingebouwde Microsoft Entra-id voor toegangsbeheer.

Als u ingebouwde beleidsregels in Microsoft Entra ID wilt implementeren, gebruikt u een nieuw beleid voor voorwaardelijke toegang en configureert u de toegangsbeheeropties of gebruikt u de aangepaste beleidsontwerper in AD FS 2016 om toegangsbeheerbeleid te configureren. De regeleditor bevat een uitgebreide lijst met opties voor toestaan en uitsluiten waarmee u allerlei soorten permutaties kunt maken.

Schermopname van de Ingebouwde Microsoft Entra-id van het toegangsbeheerbeleid.

In deze tabel hebben we enkele handige opties voor Toestaan en Behalve vermeld en hoe deze worden toegewezen aan Microsoft Entra-id.

Optie De optie Toestaan configureren in Microsoft Entra-id De optie Behalve configureren in Microsoft Entra-id
Van specifieke netwerk Wordt toegewezen aan benoemde locatie in Microsoft Entra Gebruik de optie Uitsluiten voor vertrouwde locaties
Van specifieke groepen Een toewijzing voor gebruikers/groepen instellen Gebruik de optie Uitsluiten in Gebruikers en groepen
Vanaf apparaten met een specifiek vertrouwensniveau Stel dit in via het besturingselement Apparaatstatus onder Toewijzingen en voorwaarden Gebruik de optie Uitsluiten onder Apparaatstatusvoorwaarde en neem Alle apparaten op
Met specifieke claims in de aanvraag Deze instelling kan niet worden gemigreerd Deze instelling kan niet worden gemigreerd

Hier volgt een voorbeeld van het configureren van de optie Uitsluiten voor vertrouwde locaties in het Microsoft Entra-beheercentrum:

Schermopname van het toewijzen van toegangsbeheerbeleid.

Gebruikers overzetten van AD FS naar Microsoft Entra-id

AD FS-groepen synchroniseren in Microsoft Entra-id

Wanneer u autorisatieregels toewijst, kunnen apps die worden geverifieerd met AD FS, Active Directory-groepen gebruiken voor machtigingen. In dat geval gebruikt u Microsoft Entra Connect om deze groepen te synchroniseren met Microsoft Entra ID voordat u de toepassingen migreert. Verifieer deze groepen en het lidmaatschap vóór de migratie, zodat u toegang kunt verlenen aan dezelfde gebruikers wanneer de toepassing wordt gemigreerd.

Zie Vereisten voor het gebruik van groepskenmerken die vanuit Active Directory zijn gesynchroniseerd voor meer informatie.

Zelfstandig inrichten van gebruikers instellen

Sommige SaaS-toepassingen ondersteunen de mogelijkheid om Just-In-Time (JIT) gebruikers in te richten wanneer ze zich voor het eerst aanmelden bij de toepassing. In Microsoft Entra ID verwijst het inrichten van apps naar het automatisch maken van gebruikersidentiteiten en -rollen in de cloudtoepassingen (SaaS) waartoe gebruikers toegang moeten hebben. Gebruikers die zijn gemigreerd, hebben al een account in de SaaS-toepassing. Nieuwe gebruikers die na de migratie zijn toegevoegd, moeten worden ingericht. Test de inrichting van SaaS-apps zodra de toepassing is gemigreerd.

Externe gebruikers synchroniseren in Microsoft Entra-id

Uw bestaande externe gebruikers kunnen op deze twee manieren worden ingesteld in AD FS:

  • Externe gebruikers met een lokaal account binnen uw organisatie: u blijft deze accounts op dezelfde manier gebruiken als uw interne gebruikersaccounts. Deze externe gebruikersaccounts hebben een principalnaam binnen uw organisatie, hoewel het e-mailadres van het account naar buiten kan verwijzen.

Wanneer u verder gaat met uw migratie, kunt u profiteren van de voordelen die Microsoft Entra B2B biedt door deze gebruikers te migreren om hun eigen bedrijfsidentiteit te gebruiken wanneer een dergelijke identiteit beschikbaar is. Dit stroomlijnt het aanmeldingsproces voor die gebruikers, omdat ze vaak zijn aangemeld met hun eigen zakelijke aanmelding. Het beheer van uw organisatie is ook eenvoudiger, doordat accounts voor externe gebruikers niet hoeven te worden beheerd.

Ongeacht de manier waarop uw bestaande externe gebruikers zijn geconfigureerd, hebben ze waarschijnlijk machtigingen die zijn gekoppeld aan hun account, hetzij dankzij een groepslidmaatschap of dankzij specifieke machtigingen. Evalueer of deze machtigingen moeten worden gemigreerd of opgeschoond.

Accounts binnen uw organisatie die een externe gebruiker vertegenwoordigen, moeten worden uitgeschakeld zodra de gebruiker is gemigreerd naar een externe identiteit. Het migratieproces moet worden besproken met uw zakelijke partners, omdat zich een onderbreking kan voordoen bij het verbinding maken met uw resources.

Volgende stappen