使用 Microsoft Entra 多重要素驗證和 AD FS 保護雲端資源
如果您的組織與 Microsoft Entra 識別符同盟,請使用 Microsoft Entra 多重要素驗證或 Active Directory 同盟服務 (AD FS) 來保護Microsoft Entra ID 存取的資源。 使用下列程式,透過 Microsoft Entra 多重要素驗證或 Active Directory 同盟服務來保護Microsoft Entra 資源。
注意
將 的 federatedIdpMfaBehavior 網域設定 設為 enforceMfaByFederatedIdp(建議),或將 的 SupportsMFA 設為 $True。 當兩者都設定時,federatedIdpMfaBehavior 設定會覆寫 SupportsMFA。
使用 AD FS 保護Microsoft Entra 資源
若要保護您的雲端資源,請設定宣告規則,以便在使用者成功執行雙步驟驗證時,Active Directory 同盟服務發出多重身份驗證宣告。 此宣告會傳遞至 Microsoft Entra ID。 請遵循此程序逐步操作:
開啟 AD FS 管理。
在左側,選取 [信賴方信任]。
以滑鼠右鍵按下 Microsoft Office 365 身分識別平臺,然後選擇 編輯宣告規則。
在 [發行轉換規則] 上,選取 [新增規則]。
在 [新增轉換宣告規則精靈] 上,從下拉式清單中選取 [傳遞或篩選傳入宣告],然後選取 [下一步]。
![螢幕快照顯示 [新增轉換宣告規則精靈],您可以在其中選取宣告規則範本。](media/howto-mfa-adfs/trustedip3.png)
為您的規則指定名稱。
選取 [驗證方法參考] 作為傳入宣告類型。
選取 [傳遞所有宣告值。
![螢幕快照顯示 [新增轉換宣告規則精靈],在此選擇 [傳遞所有宣告值]。](media/howto-mfa-adfs/configurewizard.png)
選取 完成。 關閉AD FS管理主控台。
聯邦使用者的受信任IP
受信任的 IP 可讓系統管理員跳過特定 IP 位址的雙重驗證,或針對來自自己內部網路的聯邦使用者的要求。 下列各節說明如何使用受信任的IP設定略過。 透過將 AD FS 設定為使用通過機制或篩選具「內部公司網路」宣告類型的進入宣告範本來實現此目的。
此範例使用 Microsoft 365 作為受信任方信任。
設定 AD FS 宣告規則
我們需要做的第一件事是設定AD FS宣告。 建立兩個宣告規則,一個用於內部公司網路宣告類型,另一個用於讓使用者保持登入。
開啟 AD FS 管理。
在左側,選取 [信賴方信任]。
在 Microsoft Office 365 身分識別平臺 上按滑鼠右鍵,然後選擇 [編輯宣告規則] ...
在 [發行轉換規則] 上,選取 [[新增規則]。
在 [新增轉換宣告規則精靈] 上,從下拉式清單中選取 [傳遞或篩選傳入宣告],然後選取 [下一步]。
在 [宣告規則名稱] 旁邊的方塊中,為您的規則指定名稱。 例如:InsideCorpNet。
從下拉式清單中,[進來的宣告類型] 旁選取 [公司網絡內部]。
選取 完成。
在 [發行轉換規則] 上,選取 新增規則。
在 [新增轉換宣告規則精靈] 中,從下拉式清單中選取 [使用自訂規則 傳送宣告],然後選取 [下一步] 。
在 [宣告規則名稱] 底下的方塊中,輸入 [保持使用者登入]。
在 [自訂規則] 方塊中,輸入:
c:[Type == "https://schemas.microsoft.com/2014/03/psso"] => issue(claim = c);
選取 完成。
選取 套用。
選取 [確定]。
關閉 AD FS 管理。
設定 Microsoft Entra 多重要素驗證,搭配同盟使用者的受信任 IP 位址
現在聲明已在位,我們可以設定受信任的IP。
瀏覽至 條件式存取>具名位置。
從 [條件式存取 - 具名位置] 面板中,選取 [設定多重因素驗證 (MFA) 信任 IP]。
在 [服務設定] 頁面上,於 [信任 IP] 底下,選取 [略過針對內部網路上同盟使用者的多重驗證要求]。
選擇 儲存。
就是這樣! 此時,加入聯邦的 Microsoft 365 使用者只有在驗證要求來自於公司內部網路之外時,才需要使用多因素身份驗證 (MFA)。