AD FS 操作

重要

Microsoft强烈建议迁移到 Microsoft Entra ID，而不是升级到最新版本的 AD FS。 有关详细信息，请参阅关于停用 AD FS 的资源

本文档包含 AD FS 的所有文档操作的列表。

服务配置

• 更新 AD FS 和 WAP 2016 中的 SSL 证书
• AD FS 快速还原工具
• 在 AD FS 中配置证书身份验证的备用主机名绑定
• 添加属性存储
• 使用 AD FS 2019 自定义 HTTP 安全响应标头
• 将 AD FS Powershell Commandlet 访问权限委派给非管理员用户
• 微调 SQL 并解决延迟问题
• AlwaysOn 可用性组
• 什么是 KDFv2？

身份验证配置

强身份验证（MFA）& 无密码

• 在 AD FS（2019 或更高版本）中将外部身份验证提供程序配置为主要身份验证提供程序
• 配置 AD FS（2016 或更高版本）和 Azure MFA
• 为 AD FS 配置其他身份验证方法

锁定保护

• 配置 AD FS Extranet 软锁定保护
• 配置 AD FS Extranet 智能锁定保护
• 配置 AD FS Extranet 禁止 IP

策略配置

• 配置身份验证策略
• 配置备用登录 ID
• 配置 Microsoft Entra 登录提示行为以配合 AD FS 策略

Kerberos & 证书身份验证

• 在 AD FS 中启用 AD DS 声明和 kerberos 复合身份验证
• 为用户证书身份验证配置 AD FS
• 在 AD FS 中配置证书身份验证的备用主机名绑定

装置

• AD FS 中的 设备身份验证控制

授权配置

• 在 AD FS 中配置访问控制策略
• 配置基于设备的本地条件访问

RPT 与 CPT 配置

• 配置 AD FS 以对存储在 LDAP 目录中的用户进行身份验证
• 配置声明规则
• 创建声明提供程序信任
• 创建非声明感知信赖方信任
• 创建依赖方信任
• 配置 AD FS 以使用聚合联合提供程序（例如 InCommon）

登录体验配置

• 配置 AD FS 2016 单一登录设置
• 配置 AD FS 分页登录
• 配置 AD FS 用户登录自定义
• 配置 AD FS 以发送密码过期声明
• 为不支持 WIA 的设备配置基于 Intranet 表单的身份验证

其他

• 从任何设备加入办公平台，实现跨公司应用的单点登录 (SSO) 和无缝的双因素身份验证
• 使用敏感应用程序的其他多重身份验证来管理风险
• 使用条件访问控制管理风险
• 设置 AD FS 实验室环境
• 操作指南：为敏感应用程序添加多因素身份验证以管理风险
• 演练指南：使用条件访问控制管理风险
• 演练：使用 Windows 设备加入工作区
• 演练：使用 iOS 设备加入工作区