Udostępnij za pośrednictwem

Zabezpieczanie zasobów w chmurze przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft i usług AD FS

  • Artykuł

Jeśli Twoja organizacja jest sfederowana z identyfikatorem Firmy Microsoft Entra, użyj uwierzytelniania wieloskładnikowego firmy Microsoft lub usług Active Directory Federation Services (AD FS), aby zabezpieczyć zasoby, do których uzyskuje się dostęp za pomocą identyfikatora Entra firmy Microsoft. Użyj poniższych procedur, aby zabezpieczyć zasoby firmy Microsoft Entra przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft lub usług Active Directory Federation Services.

Notatka

Ustaw ustawienie domeny federacyjneIdpMfaBehavior na enforceMfaByFederatedIdp (zalecane) lub SupportsMFA na wartość $True. Ustawienie federatedIdpMfaBehavior zastępuje SupportsMFA, gdy oba są ustawione.

Zabezpieczanie zasobów firmy Microsoft Entra przy użyciu usług AD FS

Aby zabezpieczyć zasób w chmurze, skonfiguruj odpowiednią regułę oświadczeń, aby usługa Active Directory Federation Services emituje oświadczenie multipleauthn, gdy użytkownik pomyślnie wykona weryfikację dwuetapową. To oświadczenie jest przekazywane do Microsoft Entra ID. Wykonaj tę procedurę, aby przejść przez kroki:

  1. Otwórz Zarządzanie AD FS.

  2. Po lewej stronie wybierz pozycję zaufania jednostki uzależnionej.

  3. Wybierz prawym przyciskiem myszy platformy tożsamości usługi Microsoft Office 365 i wybierz pozycję Edytuj reguły oświadczeń.

    Konsola AD FS – relacje zaufania zewnętrznego dostawcy

  4. W obszarze Reguły przekształcania wystawiania wybierz pozycję Dodaj regułę.

    edytowanie reguł transformacji wydawania

  5. W Kreatorze dodawania reguły przekształcania oświadczeń wybierz pozycję przekaż lub filtruj przychodzące oświadczenie z listy rozwijanej i kliknij Dalej.

    Zrzut ekranu przedstawia Kreatora dodawania reguły przekształcania oświadczenia, w którym wybierasz szablon reguły oświadczenia.

  6. Nadaj regule nazwę.

  7. Wybierz Odwołania do metod uwierzytelniania jako typ roszczenia przychodzącego.

  8. Wybierz Przekaż wszystkie wartości roszczeń.

    Zrzut ekranu przedstawia kreatora dodawania reguły przekształcania twierdzenia, gdzie wybierasz opcję Przekaż wszystkie wartości twierdzeń.

  9. Wybierz pozycję Zakończ. Zamknij konsolę zarządzania usługAMI AD FS.

Zaufane adresy IP dla użytkowników federacyjnych

Zaufane adresy IP umożliwiają administratorom obejście weryfikacji dwuetapowej dla określonych adresów IP lub dla użytkowników federacyjnych, którzy mają żądania pochodzące z własnego intranetu. W poniższych sekcjach opisano sposób konfigurowania obejścia przy użyciu zaufanych adresów IP. Jest to osiągane przez skonfigurowanie usług AD FS do używania przekazywania lub filtrowania szablonu oświadczenia przychodzącego z typem oświadczenia wewnątrz sieci firmowej.

W tym przykładzie użyto platformy Microsoft 365 dla relacji zaufania jednostki uzależnionej.

Konfiguruj reguły oświadczeń AD FS

Pierwszą rzeczą, którą musimy zrobić, jest skonfigurowanie oświadczeń usług AD FS. Utwórz dwie reguły oświadczeń— jedną dla typu oświadczenia Inside Corporate Network i dodatkową regułę do przechowywania zalogowanych użytkowników.

  1. Otwórz Zarządzanie AD FS.

  2. Po lewej stronie wybierz opcję zaufane strony.

  3. Wybierz prawym przyciskiem myszy platformy tożsamości usługi Microsoft Office 365 i wybierz pozycję Edytuj reguły oświadczeń...

    Konsoli usług AD FS — Edytuj reguły roszczeń

  4. W obszarze Reguły przekształcania wystawiania wybierz pozycję Dodaj regułę.

    Dodawanie reguły roszczenia

  5. W Kreatorze dodawania reguły przekształcania oświadczeń wybierz z listy rozwijanej opcję Przekazanie lub filtrowanie przychodzącego oświadczenia i kliknij Dalej.

    Zrzut ekranu przedstawia Kreatora dodawania reguły dotyczącej przekształcania oświadczenia, gdzie wybierasz opcję Przekaż lub Filtruj dla oświadczenia przychodzącego.

  6. W polu obok pozycji Nazwa reguły oświadczenia nadaj regule nazwę. Na przykład: InsideCorpNet.

  7. Z listy rozwijanej obok pozycji Typ oświadczenia przychodzącego wybierz pozycję Inside Corporate Network.

    Dodawanie roszczenia wewnętrznej sieci korporacyjnej

  8. Wybierz Zakończ.

  9. W sekcji Reguły przekształcania wystawiania wybierz pozycję Dodaj Regułę.

  10. W Kreatorze dodawania reguły przekształcania roszczeń wybierz Wyślij roszczenia przy użyciu reguły niestandardowej z listy rozwijanej i kliknij Dalej.

  11. W polu "Nazwa reguły oświadczenia" wprowadź "Utrzymaj użytkowników zalogowanych".

  12. W polu Reguła niestandardowa wprowadź:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Tworzenie oświadczenia niestandardowego w celu zachowania logowania użytkowników

  13. Wybierz Zakończ.

  14. Naciśnij Zastosuj.

  15. Wybierz pozycję Ok.

  16. Zamknij Zarządzanie usługami AD FS.

Konfigurowanie zaufanych adresów IP uwierzytelniania wieloskładnikowego Microsoft Entra przy użyciu użytkowników federowanych

Teraz, gdy oświadczenia są dostępne, możemy skonfigurować zaufane adresy IP.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej administrator zasad uwierzytelniania.

  2. Przejdź do >nazwanych lokalizacji dostępu warunkowego.

  3. W bloku dostęp warunkowy — lokalizacje nazwane wybierz pozycję Skonfiguruj zaufane adresy IP usługi MFA

    dostęp warunkowy firmy Microsoft Entra o nazwach lokalizacji Konfiguruj zaufane adresy IP usługi MFA

  4. Na stronie Ustawienia usługi w sekcji Zaufane adresy IPwybierz opcję Pomiń uwierzytelnianie wieloskładnikowe dla żądań od federacyjnych użytkowników intranetu.

  5. Wybierz zapisz.

To wszystko! W tym momencie federacyjni użytkownicy platformy Microsoft 365 powinni używać usługi MFA tylko wtedy, gdy oświadczenie pochodzi spoza firmowego intranetu.