Windows Server 2016 AD FS 中的訪問控制原則
AD FS 中的訪問控制原則範本
Active Directory 同盟服務現在支援使用訪問控制原則範本。 藉由使用訪問控制原則範本,系統管理員可以將原則範本指派給信賴憑證者群組來強制執行原則設定。 如果不需要使用者互動,系統管理員也可以對原則範本進行更新,並將變更自動套用至信賴憑證者。
什麼是訪問控制原則範本?
用於原則處理的 AD FS 核心管線有三個階段:驗證、授權和宣告發行。 目前,AD FS 系統管理員必須個別設定每個階段的原則。 這也牽涉到了解這些原則的影響,以及這些原則是否具有相依性。 此外,系統管理員必須瞭解宣告規則語言和撰寫自定義規則,才能啟用一些簡單/通用原則(例如封鎖外部存取)。
訪問控制原則範本的功能是取代這個舊模型,系統管理員必須使用宣告語言來設定發行授權規則。 發行授權規則的舊 PowerShell Cmdlet 仍適用,但它與新模型彼此互不相容。 系統管理員可以選擇使用新模型或舊模型。 新的模型可讓系統管理員控制何時授與存取權,包括強制執行多重要素驗證。
訪問控制原則範本會使用允許模型。 這表示根據預設,沒有人具有存取權,而且必須明確授與該存取權。 然而,這不僅僅是一個完全性許可。 系統管理員可以將例外狀況新增至允許規則。 例如,系統管理員可能想要藉由選取此選項並指定IP位址範圍,根據特定網路授與存取權。 但系統管理員可能會新增和 例外狀況,例如,系統管理員可能會從特定網路新增例外狀況,並指定該IP位址範圍。
內建訪問控制原則範本與自定義訪問控制原則範本
AD FS 包含數個內建訪問控制原則範本。 這些目標為一些具有相同原則需求的常見案例,例如 Office 365 的用戶端存取原則。 無法修改這些範本。
為了提高彈性以因應業務需求,系統管理員可以建立自己的存取原則範本。 這些在建立之後可以修改,自定義原則範本的變更將會套用至所有由這些原則範本控制的 RP。 若要新增自定義原則範本,只要從AD FS管理中按兩下 [新增存取控制原則]。
若要建立原則範本,系統管理員必須先指定要求將在哪些條件下獲得令牌發行和/或委派的授權。 下表顯示條件和動作選項。 系統管理員可以使用不同或新的值進一步設定粗體的條件。 如果有任何例外狀況,系統管理員可以指定例外狀況。 當符合條件時,如果指定了例外狀況,且傳入請求符合例外狀況中指定的條件,則不會觸發允許動作。
| 授權使用者 | 除了 |
|---|---|
| 從 特定 網路 | 從 特定 網路 從 特定 群組 從具有 特定 信任層級的裝置 在要求中包含 特定 權利要求 |
| 從 特定 群組 | 從 特定 網路 從 特定 群組 從具有 特定 信任層級的裝置 在要求中針對 提出特定 主張 |
| 從具有 特定 信任層級的裝置 | 從 特定 網路 從 特定 群組 從具有 特定 信任層級的裝置 在請求中包含 特定 主張 |
| 在要求中包含 特定的 權利要求 | 從 特定 網路 從 的特定 群組 來自具有 特定 信任層級的裝置 在要求中使用 特定 聲明 |
| 而且需要多重要素驗證 | 從 特定 網路 從 特定 群組 從具有 特定 信任層級的裝置 在請求中包含 特定 權利要求 |
如果系統管理員選取多個條件,它們具有 和 的關聯性。 動作是互斥的,而且針對一個政策規則,您只能選擇一個動作。 如果系統管理員選取多個例外狀況,則它們屬於 OR 關聯性。 以下顯示幾個原則規則範例:
| 原則 | 政策規則 |
|---|---|
| 外部網路存取需要多重身份驗證 (MFA) 所有使用者皆被允許 |
規則 #1 從 外部網路 並使用 MFA 許可證 Rule#2 從內部網路 許可證 |
| 除了非全職員工以外,不允許外部存取 允許全職員工在加入工作場所的裝置上進行內部網路存取 |
規則 #1 從 外部網路平台 來自非 FTE 群組 許可證 規則 #2 從內部網路 以及來自 工作場所的 裝置 來自 FTE 群組 許可證 |
| 外部網路存取需要 MFA,但「服務管理員」除外 所有使用者都可以存取 |
規則 #1 從 外部網路 並且使用 MFA 許可證 除了 服務管理群組 規則 #2 總是 許可證 |
| 非工作網絡加入的裝置從外部網絡存取需要多重身份驗證 (MFA) 允許AD網狀架構進行內部網路和外部網路存取 |
規則 #1 來自內部網路 以及來自 AD Fabric 群組 許可證 規則 #2 從 外部網路 和 來自 非工作場所的 裝置 和來自 AD Fabric 群組 並使用 MFA 許可證 規則 #3 從 外部網路 和來自已加入 工作場所 裝置 和 從 AD Fabric 群組 許可證 |
參數化原則範本與非參數化原則範本
參數化原則範本是具有參數的原則範本。 系統管理員必須在將這個範本指派給 RPs 時輸入這些參數的值。系統管理員在建立參數化原則範本之後,無法對參數化原則範本進行變更。 參數化原則的範例是內建原則 [允許特定群組]。 只要將此原則套用至 RP,就必須指定此參數。
非參數化原則範本是沒有參數的原則範本。 系統管理員可以在不需要任何輸入的情況下將此範本指派給 RPs,並在建立非參數化原則範本之後對範本進行變更。 其中一個範例是內建原則:允許所有人,並要求多因素驗證。
如何建立非參數化的訪問控制原則
若要建立非參數化的訪問控制原則,請使用下列程式
建立非參數化訪問控制原則
從左側的 AD FS 管理中選擇 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有已驗證裝置的使用者。
在 [允許存取] 如果符合下列任何規則,請按一下 [新增]。
在 [允許] 底下,選取來自具有特定信任層級 的裝置 旁的方塊。
在底部,選取特定的底線
從彈出視窗中,從下拉式清單中選取 [已驗證 ]。 按一下 [確定] 。
按一下 [確定] 。 按一下 [確定] 。
如何建立參數化訪問控制原則
若要建立參數化訪問控制原則,請使用下列程式
建立參數化訪問控制原則
從左側的 AD FS 管理中選取 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有特定聲明的使用者。
在 允許存取,如果符合下列任何規則,請點擊 新增。
在 [允許] 項目下,將複選框勾選在 旁邊,依據 的具體要求。
在底部,選取加底線的 特定的
從彈出視窗中,選取 [指派訪問控制原則時指定的參數]。 按一下 [確定] 。
按一下 [確定] 。 按一下 [確定] 。
如何建立具有例外的自定義訪問控制政策
若要建立具有例外狀況的訪問控制原則,請使用下列程式。
若要建立具有例外狀況的自訂存取控制原則
從左側的 AD FS 管理控制台選取 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有已驗證裝置但不受管理的使用者。
在 [[允許存取],如果符合下列任何規則,請按兩下 [[新增]。
在 [允許] 範疇內,於具有特定信任層級 的裝置旁邊的方塊 中打勾
在頁面底部,選取帶有底線的 特定
從彈出視窗中,從下拉式清單中選取 [已驗證 ]。 按一下 [確定] 。
在 [例外] 底下,在方塊中為具有特定信任層級 的裝置打勾
在底部的「除外」下,選擇底線 特定
從彈出視窗中,從下拉式清單中選取 [Managed]。 按一下 [確定] 。
按一下 [確定] 。 按一下 [確定] 。
![顯示 [螢幕編輯器] 對話框的螢幕快照。](media/access-control-policies-in-ad-fs/adfsacp10.png)
如何建立具有多個允許條件的自定義訪問控制原則
若要建立具有多個允許條件的訪問控制原則,請使用下列程式
建立參數化訪問控制原則
從左側的 AD FS 管理選取 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有特定聲明並來自特定組別的使用者。
在 [] 允許存取,如果符合下列任何規則 [],按 [] 新增 []。
在允許的情況下,將複選框打勾在特定群組 旁邊的,並在要求 中選擇具有特定宣告的
在底部,針對群組旁的第一個條件選取底線 特定
從彈出視窗中,選取 [當指派原則時指定的參數]。 按一下 [確定] 。
在底部,選擇緊挨著宣告旁第二個條件下方的底線 特定
從快顯的視窗中,選取 [指派訪問控制原則時指定的參數。 按一下 [確定] 。
按一下 [確定] 。 按一下 [確定] 。
如何將訪問控制原則指派給新的應用程式
將訪問控制原則指派給新的應用程式相當簡單,現在已整合到精靈來新增 RP。 從信賴方信任精靈中,您可以選取您想要指派的存取控制原則。 建立新信賴方信任關係時的需求。
![顯示 [選擇訪問控制原則] 畫面的螢幕快照。](media/access-control-policies-in-ad-fs/adfsacp13.png)
如何將訪問控制原則指派給現有的應用程式
將存取控制原則指派給現有的應用程式,只需從信賴憑證者信任選取應用程式,然後按滑鼠右鍵 編輯存取控制原則。
![顯示 [重試者信任] 應用程式的螢幕快照。](media/access-control-policies-in-ad-fs/adfsacp14.png)
您可以從這裡選取訪問控制原則,並將其套用至應用程式。
