In this guide
本指南提供下列資訊:
AD FS 中的驗證機制 - 描述 Windows Server 2012 R2 中 Active Directory 同盟服務 (AD FS) 中可用的驗證機制
案例概觀 - 使用 Active Directory 同盟服務 (AD FS) 來根據使用者的群組成員資格啟用多重要素驗證 (MFA) 案例的描述。
備註
在 Windows Server 2012 R2 的 AD FS 中,您可以根據網路位置、裝置身分識別和使用者身分識別或群組成員資格來啟用 MFA。
如需設定和驗證此案例的詳細逐步指南,請參閱 解說指南:為敏感性應用程式使用額外的多因素驗證來管理風險。
重要概念 - AD FS 中的驗證機制
AD FS 中的驗證機制優點
Windows Server 2012 R2 中的 Active Directory 同盟服務 (AD FS) 為 IT 系統管理員提供更豐富、更有彈性的工具組,以驗證想要存取公司資源的使用者。 它讓系統管理員能夠彈性地控制主要和額外的驗證方法,提供豐富的管理體驗來設定驗證原則(透過使用者介面和 Windows PowerShell),並增強存取 AD FS 所保護之應用程式和服務的終端用戶體驗。 以下是在 Windows Server 2012 R2 中使用 AD FS 保護應用程式和服務的一些優點:
全域驗證原則 - 中央管理功能,IT 系統管理員可以選擇哪些驗證方法可用來根據使用者存取受保護資源的網路位置來驗證使用者。 這可讓系統管理員執行下列動作:
強制對外部網路的存取請求使用更安全的驗證方法。
啟用裝置驗證,以進行無縫的次要要素驗證。 這會將使用者的身分識別系結至用來存取資源的已註冊裝置,因此在存取受保護的資源之前提供更安全的複合身分識別驗證。
備註
如需裝置物件、裝置註冊服務、Workplace Join 和裝置作為無縫的第二因素驗證與 SSO 的詳細資訊,請參閱 從任意裝置加入 Workplace,以實現公司應用程式中的 SSO 和無縫的第二因素驗證。
設定所有外部網路存取的 MFA 需求,或根據使用者身分識別、網路位置或用來存取受保護資源的裝置,有條件地設定 MFA 需求。
為設定驗證原則提供更大的彈性:您可以使用不同的商務值,為 AD FS 保護的資源設定自定義驗證原則。 例如,對於具有高業務影響的應用程式,您可以要求 MFA。
易於使用:簡單且直覺的管理工具,例如 GUI 型 AD FS 管理 MMC 嵌入式管理單元和 Windows PowerShell Cmdlet,可讓 IT 系統管理員以相對輕鬆的方式設定驗證原則。 透過 Windows PowerShell,您可以編寫解決方案的腳本,以大規模使用,並自動化平凡的系統管理工作。
對公司資產的更大控制:因為身為系統管理員,您可以使用AD FS來設定套用至特定資源的驗證原則,因此您可以更充分掌控公司資源的安全方式。 應用程式無法覆寫IT系統管理員指定的驗證原則。 對於敏感性應用程式和服務,您可以在每次存取資源時啟用 MFA 需求、裝置驗證,以及選擇性地進行全新驗證。
支援自定義 MFA 提供者:對於利用第三方 MFA 方法的組織,AD FS 提供整合和使用這些驗證方法的功能。
驗證範圍
在 Windows Server 2012 R2 的 AD FS 中,您可以在全域範圍內指定驗證原則,該原則適用於 AD FS 所保護的所有應用程式和服務。 您也可以為AD FS所保護的特定應用程式和服務(信賴憑證者信任)設定驗證原則。 Specifying an authentication policy for a particular application (per relying party trust) does not override the global authentication policy. 如果全域或單一信賴方信任的驗證原則需要 MFA,當用戶嘗試對此信賴方信任進行驗證時,就會觸發 MFA。 The global authentication policy is a fallback for relying party trusts (applications and services) that do not have a specific authentication policy configured.
全域驗證原則適用於所有由AD FS保護的信賴方。 您可以將下列設定設定設定為全域驗證原則的一部分:
用於主要驗證的驗證方法
MFA 的設定和方法
是否啟用裝置驗證。 For more information, see Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.
Per-relying party trust authentication policies apply specifically to attempts to access that relying party trust (application or service). You can configure the following settings as part of the per-relying party trust authentication policy:
使用者是否需要在每次登入時提供其認證
MFA settings based on the user/group, device registration, and access request location data
主要和其他驗證方法
除了主要驗證機制之外,在 Windows Server 2012 R2 中使用 AD FS,系統管理員還可以設定其他驗證方法。 主要驗證方法是內建的,旨在驗證使用者的身分識別。 您可以設定其他驗證因素來要求提供使用者身分識別的詳細資訊,進而確保更強身份驗證。
在 Windows Server 2012 R2 的 AD FS 進行主要驗證時,您有以下選項:
針對需要從公司網路外部存取的資源,預設會選取「表單驗證」。 此外,您也可以啟用憑證驗證(換句話說,智慧卡型驗證或與 AD DS 搭配運作的使用者用戶端憑證驗證)。
針對內部網路資源,預設會選取 [Windows 驗證]。 此外,您也可以啟用表單和/或憑證驗證。
藉由選取多個驗證方法,您可以讓使用者選擇在應用程式或服務的登入頁面上使用何種方法進行驗證。
您也可以啟用裝置驗證,以進行無縫的次要要素驗證。 這會將使用者的身分識別系結至用來存取資源的已註冊裝置,因此在存取受保護的資源之前提供更安全的複合身分識別驗證。
備註
如需裝置物件、裝置註冊服務、Workplace Join 和裝置作為無縫的第二因素驗證與 SSO 的詳細資訊,請參閱 從任意裝置加入 Workplace,以實現公司應用程式中的 SSO 和無縫的第二因素驗證。
如果您為內部網路資源指定 Windows 驗證方法(預設選項),驗證要求會在支援 Windows 驗證的瀏覽器上順暢地進行此方法。
備註
所有瀏覽器都不支援 Windows 驗證。 Windows Server 2012 R2 中 AD FS 中的驗證機制會偵測使用者的瀏覽器使用者代理程式,並使用可設定的設定來判斷該使用者代理程式是否支援 Windows 驗證。 系統管理員可以新增至此使用者代理程式清單(透過 Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents 命令,為支援 Windows 驗證的瀏覽器指定替代使用者代理程式字串。 如果客戶端的使用者代理程式不支援 Windows 驗證,預設後援方法是表單驗證。
設定 MFA
在 Windows Server 2012 R2 的 AD FS 中設定 MFA 有兩個部分:指定需要 MFA 的條件,然後選取其他驗證方法。 如需其他驗證方法的詳細資訊,請參閱 設定AD FS的其他驗證方法。
MFA 設定
下列選項適用於 MFA 設定(需要 MFA 的條件):
您可以在您的同盟伺服器所連接的 AD 網域中的特定使用者和群組要求使用多因素驗證 (MFA)。
You can require MFA for either registered (workplace joined) or unregistered (not workplace joined) devices.
Windows Server 2012 R2 採用以使用者為中心的新式裝置,其中裝置物件代表user@device與公司之間的關聯性。 裝置物件是 Windows Server 2012 R2 中 AD 中的新類別,可在提供應用程式和服務的存取權時用來提供複合身分識別。 AD FS 的新元件 - 裝置註冊服務 (DRS) - 在 Active Directory 中布建裝置身分識別,並在取用者裝置上設定憑證,用來代表裝置身分識別。 You can then use this device identity to workplace join your device, in other words, to connect your personal device to the Active Directory of your workplace. 當您將個人裝置加入工作場所時,它會變成已知的裝置,並提供順暢的次要要素驗證給受保護的資源和應用程式。 當裝置連接至工作環境後,使用者的身分會與此裝置綁定,並可用於在存取受保護資源前進行無縫的多重身分驗證。
For more information on workplace join and leave, see Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.
當受保護資源的存取要求來自外部網路或內部網路時,您可以要求 MFA。
案例概觀
在此案例中,您會根據特定應用程式的使用者群組成員資格數據來啟用 MFA。 換句話說,您將在同盟伺服器上設定驗證原則,使當屬於特定群組的使用者請求存取託管於網頁伺服器上的特定應用程式時,系統會要求進行 MFA 驗證。
更具體來說,在此案例中,您會為名為 claimapp 的宣告型測試應用程式啟用驗證原則,因為 AD 使用者 Robert Hatley 必須接受 MFA,因為他屬於 AD 群組 Finance。
請參閱 解說指南:使用額外的多重驗證來管理敏感應用程式的風險,其中提供了逐步設定和驗證此案例的說明。 若要完成本逐步解說中的步驟,您必須設定實驗室環境,並遵循 在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境中的步驟。
在 AD FS 中啟用 MFA 的其他案例包括:
如果存取要求來自外部網路,請啟用 MFA。 您可以修改 操作指南:使用其他多重要素驗證管理敏感性應用程式的風險 中「設定多重要素驗證策略」章節所呈現的程式碼,如下所示:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'如果存取要求來自未加入工作場所的裝置,請啟用 MFA。 您可以修改 操作指南:使用其他多重要素驗證管理敏感性應用程式的風險 中「設定多重要素驗證策略」章節所呈現的程式碼,如下所示:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Enable MFA, if the access is coming from a user with a device that is workplace joined but not registered to this user. 您可以修改 操作指南:使用其他多重要素驗證管理敏感性應用程式的風險 中「設定多重要素驗證策略」章節所呈現的程式碼,如下所示:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
另請參閱
使用手冊:使用適用於敏感性應用程式的其他多因素驗證來管理風險在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境