Zarządzanie ryzykiem przy użyciu dodatkowego uwierzytelniania wieloskładnikowego dla aplikacji poufnych

Artykuł
2025-04-08
Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Konfigurowanie środowiska laboratoryjnego usług AD FS w systemie Windows Server 2012 R2
Przewodnik: Zarządzanie ryzykiem z dodatkowym uwierzytelnianiem wieloskładnikowym dla aplikacji poufnych
konfigurowanie dodatkowych metod uwierzytelniania dla usług AD FS

W tym przewodniku

Ten przewodnik zawiera następujące informacje:

Mechanizmy uwierzytelniania w usługach AD FS — opis mechanizmów uwierzytelniania dostępnych w usługach Active Directory Federation Services (AD FS) w systemie Windows Server 2012 R2
Omówienie scenariusza — opis scenariusza, w którym używasz usług Active Directory Federation Services (AD FS) do włączania uwierzytelniania wieloskładnikowego (MFA) na podstawie członkostwa w grupie użytkownika.

Uwaga

W usługach AD FS w systemie Windows Server 2012 R2 można włączyć uwierzytelnianie wieloskładnikowe na podstawie lokalizacji sieciowej, tożsamości urządzenia i tożsamości użytkownika lub członkostwa w grupie.

Aby uzyskać szczegółowe instrukcje krok po kroku dotyczące konfigurowania i weryfikowania tego scenariusza, zobacz Przewodnik po przewodniku: zarządzanie ryzykiem przy użyciu dodatkowego uwierzytelniania wieloskładnikowego dla aplikacji poufnych.

Kluczowe pojęcia — mechanizmy uwierzytelniania w usługach AD FS

Zalety mechanizmów uwierzytelniania w usługach AD FS

Usługi Active Directory Federation Services (AD FS) w systemie Windows Server 2012 R2 zapewniają administratorom IT bogatszy, bardziej elastyczny zestaw narzędzi do uwierzytelniania użytkowników, którzy chcą uzyskać dostęp do zasobów firmy. Umożliwia administratorom elastyczną kontrolę nad podstawowymi i dodatkowymi metodami uwierzytelniania, zapewnia zaawansowane środowisko zarządzania do konfigurowania zasad uwierzytelniania (zarówno za pośrednictwem interfejsu użytkownika, jak i środowiska Windows PowerShell) oraz usprawnia środowisko dla użytkowników końcowych, którzy uzyskują dostęp do aplikacji i usług zabezpieczonych przez usługi AD FS. Poniżej przedstawiono niektóre zalety zabezpieczania aplikacji i usług za pomocą usług AD FS w systemie Windows Server 2012 R2:

Globalne zasady uwierzytelniania — centralne możliwości zarządzania, z których administrator IT może wybrać metody uwierzytelniania używane do uwierzytelniania użytkowników na podstawie lokalizacji sieciowej, z której uzyskują dostęp do chronionych zasobów. Dzięki temu administratorzy mogą wykonywać następujące czynności:
- Stosowanie bezpieczniejszych metod uwierzytelniania dla żądań dostępu z ekstranetu.
- Włącz uwierzytelnianie urządzeń na potrzeby bezproblemowego uwierzytelniania dwuskładnikowego. Wiąże to tożsamość użytkownika z zarejestrowanym urządzeniem, które jest używane do uzyskiwania dostępu do zasobu, dzięki czemu zapewnia większą bezpieczeństwo weryfikacji tożsamości złożonej przed uzyskaniem dostępu do chronionych zasobów.
  
  Uwaga
  
  Aby uzyskać więcej informacji na temat obiektu urządzenia, usługi rejestracji urządzeń, dołączania w miejscu pracy oraz urządzenia jako bezproblemowego elementu do uwierzytelniania dwuskładnikowego i jednokrotnego logowania, zobacz Dołączanie do miejsca pracy z dowolnego urządzenia na potrzeby jednokrotnego logowania i bezproblemowego uwierzytelniania dwuskładnikowego w aplikacjach firmowych.
- Ustaw wymaganie uwierzytelniania wieloskładnikowego dla całego dostępu ekstranetu lub warunkowo na podstawie tożsamości użytkownika, lokalizacji sieciowej lub urządzenia używanego do uzyskiwania dostępu do chronionych zasobów.
Większa elastyczność konfigurowania zasad uwierzytelniania: można skonfigurować niestandardowe zasady uwierzytelniania dla zasobów zabezpieczonych przez usługi AD FS o różnych wartościach biznesowych. Na przykład możesz wymagać uwierzytelniania wieloskładnikowego dla aplikacji o dużym wpływie biznesowym.
Łatwość użycia: proste i intuicyjne narzędzia do zarządzania, takie jak przystawka MMC zarządzania usługami AD FS oparte na graficznym interfejsie użytkownika i polecenia cmdlet programu Windows PowerShell umożliwiają administratorom IT konfigurowanie zasad uwierzytelniania z względną łatwością. Za pomocą programu Windows PowerShell można tworzyć skrypty rozwiązań do użycia na dużą skalę i automatyzować przyziemne zadania administracyjne.
Większa kontrola nad zasobami firmowymi: ponieważ jako administrator możesz użyć usług AD FS do skonfigurowania zasad uwierzytelniania, które mają zastosowanie do określonego zasobu, masz większą kontrolę nad sposobem zabezpieczania zasobów firmy. Aplikacje nie mogą zastąpić zasad uwierzytelniania określonych przez administratorów IT. W przypadku poufnych aplikacji i usług można włączyć wymaganie uwierzytelniania wieloskładnikowego, uwierzytelnianie urządzeń i opcjonalnie świeże uwierzytelnianie za każdym razem, gdy zasób jest uzyskiwany.
Obsługa niestandardowych dostawców zewnętrznych uwierzytelniania wieloskładnikowego: dla organizacji korzystających z zewnętrznych metod uwierzytelniania wieloskładnikowego AD FS oferuje możliwość bezproblemowego dołączenia i używania tych metod uwierzytelniania.

Zakres uwierzytelniania

W usługach AD FS w systemie Windows Server 2012 R2 można określić zasady uwierzytelniania w zakresie globalnym, który ma zastosowanie do wszystkich aplikacji i usług, które są zabezpieczone przez usługi AD FS. Można również ustawić zasady uwierzytelniania dla określonych aplikacji i usług (strony ufające), które są zabezpieczone przez Usługi ADFS. Określanie zasad uwierzytelniania dla określonej aplikacji (na zaufanie strony polegającej) nie zastępuje globalnych zasad uwierzytelniania. Jeśli globalne lub na jednostki uzależnionej zasady uwierzytelniania zaufania wymagają uwierzytelniania wieloskładnikowego, uwierzytelnianie wieloskładnikowe zostanie wyzwolone, gdy użytkownik spróbuje uwierzytelnić się w tym zaufaniu jednostki uzależnionej. Globalne zasady uwierzytelniania są rezerwą dla zaufania jednostek uzależnionych (aplikacji i usług), które nie mają skonfigurowanych określonych zasad uwierzytelniania.

Globalne zasady uwierzytelniania dotyczą wszystkich jednostek uzależnionych, które są zabezpieczone przez usługi AD FS. Następujące ustawienia można skonfigurować w ramach globalnych zasad uwierzytelniania:

Metody uwierzytelniania używane do uwierzytelniania podstawowego
Ustawienia i metody uwierzytelniania wieloskładnikowego
Określa, czy jest włączone uwierzytelnianie urządzenia. Aby uzyskać więcej informacji, zobacz Dołączanie do miejsca pracy z dowolnego urządzenia na potrzeby logowania jednokrotnego i bezproblemowe uwierzytelnianie dwuskładnikowe w aplikacjach firmowych.

Zasady uwierzytelniania zaufania jednostki uzależnionej mają zastosowanie w szczególności do prób uzyskania dostępu do tego zaufania jednostki uzależnionej (aplikacji lub usługi). Można skonfigurować następujące ustawienia w ramach zasad uwierzytelniania zaufania strony trzeciej:

Czy użytkownicy muszą podać swoje poświadczenia za każdym razem podczas logowania
Ustawienia uwierzytelniania wieloskładnikowego oparte na użytkownikach/grupie, rejestracji urządzeń i danych lokalizacji żądania dostępu

Podstawowe i dodatkowe metody uwierzytelniania

Z AD FS w Windows Server 2012 R2, oprócz podstawowego mechanizmu uwierzytelniania, administratorzy mogą skonfigurować dodatkowe metody uwierzytelniania. Podstawowe metody uwierzytelniania są wbudowane i mają na celu zweryfikowanie tożsamości użytkowników. Możesz skonfigurować dodatkowe czynniki uwierzytelniania, aby zażądać dodatkowych informacji o tożsamości użytkownika i w związku z tym zapewnić silniejsze uwierzytelnianie.

W przypadku uwierzytelniania podstawowego w usługach AD FS w systemie Windows Server 2012 R2 dostępne są następujące opcje:

W przypadku zasobów opublikowanych do uzyskania dostępu spoza sieci firmowej domyślnie wybierane jest uwierzytelnianie formularzy. Ponadto można również włączyć uwierzytelnianie certyfikatu (innymi słowy, uwierzytelnianie oparte na karcie inteligentnej lub uwierzytelnianie certyfikatu klienta użytkownika, które działa z usługami AD DS).
W przypadku zasobów intranetowych uwierzytelnianie systemu Windows jest domyślnie zaznaczone. Ponadto można również włączyć formularze i/lub uwierzytelnianie certyfikatu.

Wybierając więcej niż jedną metodę uwierzytelniania, możesz zezwolić użytkownikom na wybór metody uwierzytelniania na stronie logowania dla aplikacji lub usługi.

Możesz również włączyć uwierzytelnianie urządzenia na potrzeby bezproblemowego uwierzytelniania dwuskładnikowego. Wiąże to tożsamość użytkownika z zarejestrowanym urządzeniem, które jest używane do uzyskiwania dostępu do zasobu, dzięki czemu zapewnia większą bezpieczeństwo weryfikacji tożsamości złożonej przed uzyskaniem dostępu do chronionych zasobów.

Uwaga

Aby uzyskać więcej informacji na temat obiektu urządzenia, usługi rejestracji urządzeń, dołączania w miejscu pracy i urządzenia jako bezproblemowego uwierzytelniania dwuskładnikowego i logowania jednokrotnego, zobacz Dołączanie do miejsca pracy z dowolnego urządzenia na potrzeby logowania jednokrotnego i bezproblemowego uwierzytelniania dwuskładnikowego w aplikacjach firmowych.

Jeśli określisz metodę uwierzytelniania systemu Windows (domyślną opcję) dla zasobów intranetowych, żądania uwierzytelniania przechodzą tę metodę bezproblemowo w przeglądarkach obsługujących uwierzytelnianie systemu Windows.

Uwaga

Uwierzytelnianie systemu Windows nie jest obsługiwane we wszystkich przeglądarkach. Mechanizm uwierzytelniania w usługach AD FS w systemie Windows Server 2012 R2 wykrywa agenta użytkownika przeglądarki użytkownika i używa konfigurowalnego ustawienia w celu określenia, czy agent użytkownika obsługuje uwierzytelnianie systemu Windows. Administratorzy mogą dodać do tej listy agentów użytkowników (za pomocą polecenia programu Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , aby określić alternatywne ciągi agenta użytkownika dla przeglądarek obsługujących uwierzytelnianie systemu Windows. Jeśli agent użytkownika klienta nie obsługuje uwierzytelniania systemu Windows, domyślną metodą rezerwową jest uwierzytelnianie formularzy.

Konfigurowanie uwierzytelniania wieloskładnikowego

Istnieją dwie części do skonfigurowania uwierzytelniania wieloskładnikowego w usługach AD FS w systemie Windows Server 2012 R2: określenie warunków, w których jest wymagana uwierzytelnianie wieloskładnikowe i wybranie dodatkowej metody uwierzytelniania. Aby uzyskać więcej informacji na temat dodatkowych metod uwierzytelniania, zobacz Konfigurowanie dodatkowych metod uwierzytelniania dla usług AD FS.

Ustawienia uwierzytelniania wieloskładnikowego

Dla ustawień uwierzytelniania wieloskładnikowego są dostępne następujące opcje (warunki, w których wymagane jest uwierzytelnianie wieloskładnikowe):

Możesz wymagać uwierzytelniania wieloskładnikowego dla określonych użytkowników i grup w domenie usługi AD, do której jest przyłączony serwer federacyjny.
Możesz wymagać uwierzytelniania wieloskładnikowego dla zarejestrowanych (związanych z miejscem pracy) lub niezarejestrowanych (niezwiązanych z miejscem pracy) urządzeń.

System Windows Server 2012 R2 wykorzystuje podejście skoncentrowane na użytkowniku do nowoczesnych urządzeń, na których obiekty urządzeń reprezentują relację między user@device a firmą. Obiekty urządzeń to nowa klasa w usłudze AD w systemie Windows Server 2012 R2, która może być używana do oferowania złożonej tożsamości przy zapewnianiu dostępu do aplikacji oraz usług. Nowy składnik AD FS — usługa rejestracji urządzeń (DRS) — przydziela tożsamość urządzenia w Active Directory i instaluje certyfikat na urządzeniu użytkownika, który będzie używany do reprezentowania tożsamości urządzenia. Następnie możesz użyć tej tożsamości urządzenia do dołączenia urządzenia w miejscu pracy, innymi słowy, aby połączyć urządzenie osobiste z usługą Active Directory w miejscu pracy. Gdy dołączasz urządzenie osobiste do miejsca pracy, stanie się ono znanym urządzeniem i zapewni bezproblemowe uwierzytelnianie dwuskładnikowe do chronionych zasobów i aplikacji. Innymi słowy, po dołączeniu urządzenia do miejsca pracy tożsamość użytkownika jest powiązana z tym urządzeniem i może być używana do bezproblemowej złożonej weryfikacji tożsamości przed uzyskaniem dostępu do chronionego zasobu.

Aby uzyskać więcej informacji na temat dołączania i opuszczania miejsca pracy, zobacz Dołączanie do miejsca pracy z dowolnego urządzenia na potrzeby logowania jednokrotnego i bezproblemowego uwierzytelniania dwuskładnikowego w aplikacjach firmowych.
Możesz wymagać uwierzytelniania wieloskładnikowego, gdy żądanie dostępu do chronionych zasobów pochodzi z ekstranetu lub intranetu.

Omówienie scenariusza

W tym scenariuszu włączysz uwierzytelnianie wieloskładnikowe na podstawie danych członkostwa w grupie użytkownika dla określonej aplikacji. Innymi słowy, skonfigurujesz zasady uwierzytelniania na serwerze federacyjnym, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownicy należący do określonej grupy żądają dostępu do określonej aplikacji hostowanej na serwerze sieci Web.

W tym scenariuszu włączysz zasady uwierzytelniania dla aplikacji testowej opartej na oświadczeniach o nazwie claimapp, gdzie użytkownik usługi AD Robert Hatley będzie musiał przejść uwierzytelnianie wieloskładnikowe, ponieważ należy do grupy usług AD Finance.

Instrukcje krok po kroku dotyczące konfigurowania i weryfikacji tego scenariusza znajdują się w Przewodniku: Zarządzanie ryzykiem za pomocą dodatkowego wieloczynnikowego uwierzytelniania dla aplikacji poufnych. Aby wykonać kroki opisane w tym przewodniku, należy skonfigurować środowisko laboratoryjne i wykonać kroki opisane w temacie Konfigurowanie środowiska laboratoryjnego dla usług AD FS w systemie Windows Server 2012 R2.

Inne scenariusze włączania uwierzytelniania wieloskładnikowego w usługach AD FS obejmują następujące elementy:

Włącz uwierzytelnianie wieloskładnikowe, jeśli żądanie dostępu pochodzi z ekstranetu. Kod przedstawiony w sekcji "Konfigurowanie zasad uwierzytelniania wieloskładnikowego" można zmodyfikować w Przewodniku krok po kroku: Zarządzanie ryzykiem przy użyciu dodatkowego uwierzytelniania wieloskładnikowego dla aplikacji poufnych, wykonując następujące czynności:
```
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
```
Włącz uwierzytelnianie wieloskładnikowe, jeśli żądanie dostępu pochodzi z urządzenia nieprzyłączonych do miejsca pracy. Można zmodyfikować kod przedstawiony w sekcji "Ustawienia zasad MFA" w Przewodniku krok po kroku: Zarządzanie ryzykiem z dodatkowym uwierzytelnianiem wieloskładnikowym dla aplikacji poufnych, korzystając z następujących instrukcji:
```
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
```
Załącz uwierzytelnianie wieloskładnikowe, jeśli dostęp odbywa się przez użytkownika przy użyciu urządzenia powiązanego z miejscem pracy, ale nie zarejestrowanego na tego użytkownika. Możesz zmodyfikować kod przedstawiony w sekcji "Konfigurowanie zasad uwierzytelniania wieloskładnikowego" w Przewodniku krok po kroku: Zarządzanie ryzykiem przy użyciu dodatkowego uwierzytelniania wieloskładnikowego dla aplikacji poufnych za pomocą następujących instrukcji:
```
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
```

Zobacz też

Przewodnik po przewodniku: zarządzanie ryzykiem przy użyciu dodatkowego uwierzytelniania wieloskładnikowego dla aplikacji poufnych Konfigurowanie środowiska laboratoryjnego dla usług AD FS w systemie Windows Server 2012 R2

Udostępnij za pośrednictwem