Поделиться через

Защита облачных ресурсов с помощью многофакторной проверки подлинности Microsoft Entra и AD FS

  • Статья

Если ваша организация входит в федерацию с Microsoft Entra ID, используйте многофакторную аутентификацию Microsoft Entra или службы федерации Active Directory (AD FS) для защиты ресурсов, к которым осуществляется доступ через Microsoft Entra ID. Используйте следующие процедуры для защиты ресурсов Microsoft Entra с помощью многофакторной проверки подлинности Microsoft Entra или служб федерации Active Directory.

Заметка

Задайте для параметра домена федеративныйIdpMfaBehavior значение enforceMfaByFederatedIdp (рекомендуется) или ПоддерживаетMFA значение $True. Параметр federatedIdpMfaBehavior переопределяет ПоддерживаетMFA, когда оба установлены.

Защита ресурсов Microsoft Entra с помощью AD FS

Чтобы защитить облачный ресурс, настройте правило утверждений таким образом, чтобы службы федерации Active Directory выдали утверждение multipleauthn, когда пользователь успешно выполняет двухфакторную проверку подлинности. Это утверждение передается в Microsoft Entra ID. Выполните следующую процедуру, чтобы пройти все этапы.

  1. Откройте службу управления AD FS.

  2. Слева выберите доверие доверяющей стороны.

  3. Щелкните правой кнопкой мыши на платформе удостоверений Microsoft Office 365 и выберите Изменить правила утверждений.

    консоль ADFS — доверительные отношения с проверяющей стороной

  4. В правилах преобразования выпуска выберите Добавить правило.

    редактирование правил преобразования выдачи

  5. В мастере добавления правила преобразования утверждения выберите Пропустить или отфильтровать входящее утверждение в раскрывающемся списке и нажмите Далее.

    Снимок экрана показывает мастер добавления правила преобразования утверждения, в котором вы выбираете шаблон правила утверждения.

  6. Присвойте правилу имя.

  7. Выберите Методы проверки подлинности как тип входящего заявления.

  8. Выберите Просмотреть все значения утверждений.

    снимок экрана показывает мастер добавления правила преобразования утверждений, где выбран параметр

  9. Выберите Готово. Закройте консоль управления AD FS.

Доверенные IP-адреса для федеративных пользователей

Доверенные IP-адреса позволяют администраторам обойти двухфакторную проверку подлинности для определенных IP-адресов или федеративных пользователей, которые имеют запросы, исходящие из собственной интрасети. В следующих разделах описывается настройка обхода с помощью доверенных IP-адресов. Это осуществимо путем настройки AD FS для использования сквозного подключения или фильтрации входящего шаблона утверждений с типом "Внутренняя корпоративная сеть".

В этом примере Microsoft 365 используется для доверительных отношений с доверяющей стороной.

Настройка правил утверждений AD FS

Первое, что необходимо сделать, — настроить утверждения AD FS. Создайте два правила утверждений, одно для типа утверждения Внутри корпоративной сети и дополнительное для того, чтобы пользователи оставались в системе.

  1. Откройте службу управления AD FS.

  2. Слева выберите доверительные отношения проверяющей стороны.

  3. Щелкните правой кнопкой мыши платформу удостоверений Microsoft Office 365 и выберите изменить правила утверждений...

    Консоль ADFS — редактирование правил утверждений

  4. На вкладке «Правила преобразования выдачи» выберите «Добавить правило».

    Добавление правила претензии

  5. В мастере добавления правила утверждения преобразования выберите в раскрывающемся списке пропустить или отфильтровать входящее утверждение и выберите Далее.

    Снимок экрана мастера добавления правила утверждения преобразования, где вы выбираете

  6. В поле рядом с именем правила утверждения присвойте правилу имя. Например: InsideCorpNet.

  7. В раскрывающемся списке рядом с типом входящего утверждения выберите Внутри корпоративной сети.

    утверждение

  8. Выберите Готово.

  9. В правилах преобразования выпуска выберите Добавить правило.

  10. В мастере добавления правила утверждения преобразования выберите Отправить утверждения с помощью настраиваемого правила в раскрывающемся списке и выберите Далее.

  11. В поле "Имя правила утверждения" введите "Сохранить вход пользователей".

  12. В поле настраиваемого правила введите следующее:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Создайте настраиваемое утверждение, чтобы пользователи оставались авторизованными на

  13. Выберите Готово.

  14. Выберите Применить.

  15. Выберите ОК.

  16. Закройте управление AD FS.

Настройте доверенные IP-адреса для многофакторной аутентификации Microsoft Entra с использованием федеративных пользователей

Теперь, когда все необходимые элементы настроены, мы можем настроить доверенные IP-адреса.

  1. Войдите в центр администрирования Microsoft Entra как по крайней мере Администратор политики проверки подлинности.

  2. Перейдите к Условный доступ>Именованные расположения.

  3. В разделе Условный доступ — Именованные местоположения выберите Настройте доверенные IP-адреса MFA

    Microsoft Entra условный доступ именованные расположения настройка доверенных IP-адресов для MFA

  4. На странице параметров службы в разделе доверенные IP-адресавыберите Пропускать многофакторную проверку подлинности для запросов от федеративных пользователей в моей интрасети.

  5. Нажмите и сохраните.

Ну вот! На этом этапе федеративные пользователи Microsoft 365 должны использовать только MFA, если утверждение происходит за пределами корпоративной интрасети.