Správa vztahu důvěryhodnosti služby AD FS s MICROSOFT Entra ID pomocí microsoft Entra Připojení
Přehled
Když federujete místní prostředí s ID Microsoft Entra, vytvoříte vztah důvěryhodnosti mezi místním zprostředkovatelem identity a ID Microsoft Entra. Microsoft Entra Připojení může spravovat federaci mezi službami místní Active Directory Federation Service (AD FS) a Microsoft Entra ID. Tento článek obsahuje přehled:
- Různá nastavení nakonfigurovaná pro vztah důvěryhodnosti microsoft entra Připojení.
- Pravidla transformace vystavování (pravidla deklarací identity) nastavená microsoftem Entra Připojení.
- Postup zálohování a obnovení pravidel deklarací identity mezi upgrady a aktualizacemi konfigurace
- Osvědčeným postupem pro zabezpečení a monitorování vztahu důvěryhodnosti služby AD FS pomocí Microsoft Entra ID.
Nastavení řízené microsoftem Entra Připojení
Microsoft Entra Připojení spravuje pouze nastavení související s vztahem důvěryhodnosti ID Microsoft Entra. Microsoft Entra Připojení neupravuje žádná nastavení pro jiné vztahy důvěryhodnosti předávající strany ve službě AD FS. Následující tabulka uvádí nastavení, která jsou řízena microsoft entra Připojení.
| Nastavení | Popis |
|---|---|
| Podpisový certifikát tokenu | Microsoft Entra Připojení lze použít k resetování a opětovnému vytvoření vztahu důvěryhodnosti pomocí Microsoft Entra ID. Microsoft Entra Připojení provede jednorázový převod podpisových certifikátů tokenů pro službu AD FS a aktualizuje nastavení federace domény Microsoft Entra. |
| Algoritmus podepisování tokenů | Microsoft doporučuje používat sha-256 jako podpisový algoritmus tokenu. Microsoft Entra Připojení může zjistit, jestli je podpisový algoritmus tokenu nastavený na hodnotu méně zabezpečenou než SHA-256. V další možné operaci konfigurace aktualizuje nastavení na SHA-256. Aby bylo možné použít nový podpisový certifikát tokenu, musí být aktualizován jiný vztah důvěryhodnosti předávající strany. |
| Identifikátor důvěryhodnosti ID Microsoft Entra | Microsoft Entra Připojení nastaví správnou hodnotu identifikátoru pro vztah důvěryhodnosti ID Microsoft Entra. Služba AD FS jednoznačně identifikuje vztah důvěryhodnosti ID Microsoft Entra pomocí hodnoty identifikátoru. |
| Koncové body Microsoft Entra | Microsoft Entra Připojení zajišťuje, aby koncové body nakonfigurované pro vztah důvěryhodnosti ID Microsoft Entra vždy odpovídaly nejnovějším doporučeným hodnotám pro odolnost a výkon. |
| Pravidla transformace vystavování | Existuje počet pravidel deklarací identity, která jsou potřebná pro optimální výkon funkcí Id Microsoft Entra v federovaných nastaveních. Microsoft Entra Připojení zajišťuje, že důvěryhodnost ID Microsoft Entra je vždy nakonfigurovaná se správnou sadou doporučených pravidel deklarací identity. |
| Alternativní ID | Pokud je synchronizace nakonfigurovaná tak, aby používala alternativní ID, Microsoft Entra Připojení nakonfiguruje službu AD FS tak, aby prováděla ověřování pomocí alternativního ID. |
| Automatická aktualizace metadat | Důvěryhodnost s ID Microsoft Entra je nakonfigurovaná pro automatickou aktualizaci metadat. Služba AD FS pravidelně kontroluje metadata důvěryhodnosti Microsoft Entra ID a udržuje ji v aktualizovaném stavu pro případ, že se změní na straně Microsoft Entra ID. |
| Integrované ověřování systému Windows (IWA) | Během operace hybridního spojení Microsoft Entra je IWA povolena pro registraci zařízení, aby se usnadnilo hybridní připojení Microsoft Entra pro zařízení nižší úrovně. |
Toky spouštění a nastavení federace nakonfigurovaná službou Microsoft Entra Připojení
Microsoft Entra Připojení neaktualizuje všechna nastavení vztahu důvěryhodnosti ID Microsoft Entra během toků konfigurace. Upravená nastavení závisí na tom, který úkol nebo tok provádění se provádí. Následující tabulka uvádí nastavení ovlivněná různými toky provádění.
| Průběh provádění | Nastavení ovlivněno |
|---|---|
| Instalace prvního průchodu (express) | Nic |
| První průchod instalace (nová farma služby AD FS) | Vytvoří se nová farma služby AD FS a vytvoří se vztah důvěryhodnosti s ID Microsoft Entra od začátku. |
| První předání instalace (existující farma služby AD FS, existující vztah důvěryhodnosti ID Microsoft Entra) | Identifikátor důvěryhodnosti ID Microsoft Entra, pravidla transformace vystavení, koncové body Microsoft Entra, alternativní ID (v případě potřeby), automatická aktualizace metadat |
| Resetování vztahu důvěryhodnosti ID Microsoft Entra | Podpisový certifikát tokenu, algoritmus podepisování tokenů, identifikátor důvěryhodnosti ID Microsoft Entra, pravidla transformace vystavení, koncové body Microsoft Entra, alternativní ID (v případě potřeby), automatická aktualizace metadat |
| Přidání federačního serveru | Nic |
| Přidání serveru WAP | Nic |
| Možnosti zařízení | Pravidla transformace vystavování, IWA pro registraci zařízení |
| Přidání federované domény | Pokud se doména přidává poprvé, znamená to, že nastavení se mění z federace jedné domény na federaci s více doménou – Microsoft Entra Připojení znovu vytvoří vztah důvěryhodnosti od začátku. Pokud je vztah důvěryhodnosti s ID Microsoft Entra již nakonfigurovaný pro více domén, upraví se pouze pravidla transformace vystavování. |
| Aktualizace protokolu TLS | Nic |
Během všech operací, ve kterých se jakékoli nastavení změní, microsoft Entra Připojení vytvoří zálohu aktuálního nastavení důvěryhodnosti v %ProgramData%\AAD Připojení\ADFS.
Poznámka:
Před verzí 1.1.873.0 se záloha skládala pouze z pravidel transformace vystavení a byly zálohovány v souboru protokolu trasování průvodce.
Pravidla transformace vystavování nastavená microsoftem Entra Připojení
Microsoft Entra Připojení zajišťuje, že důvěryhodnost ID Microsoft Entra je vždy nakonfigurovaná se správnou sadou doporučených pravidel deklarací identity. Společnost Microsoft doporučuje používat microsoft Entra Připojení pro správu vztahu důvěryhodnosti ID Microsoft Entra. Tato část uvádí sadu pravidel transformace vystavování a jejich popis.
| Název pravidla | Popis |
|---|---|
| Problém s hlavního názvu uživatele (UPN) | Toto pravidlo se dotazuje na hodnotu userprincipalname jako z atributu nakonfigurovaného v nastavení synchronizace pro userprincipalname. |
| Dotazování objectguid a msdsconsistencyguid pro vlastní deklaraci identity ImmutableId | Toto pravidlo přidá dočasnou hodnotu v kanálu pro hodnotu objectguid a msdsconsistencyguid, pokud existuje. |
| Kontrola existence msdsconsistencyguid | Na základě toho, jestli hodnota msdsconsistencyguid existuje nebo ne, nastavíme dočasný příznak pro směrování toho, co se má použít jako ImmutableId. |
| Problém s chybou msdsconsistencyguid jako NEMĚNNÉ ID, pokud existuje | Problém msdsconsistencyguid jako ImmutableId, pokud hodnota existuje |
| Problém objectGuidRule, pokud neexistuje pravidlo msdsConsistencyGuid | Pokud hodnota msdsconsistencyguid neexistuje, bude hodnota objectguid vydána jako ImmutableId. |
| Identifikátor názvu problému | Toto pravidlo vydává hodnotu deklarace identity nameidentifier. |
| Problém s typem účtu pro počítače připojené k doméně | Pokud je entita ověřená zařízením připojeným k doméně, toto pravidlo vydá typ účtu jako DJ, který označuje zařízení připojené k doméně. |
| Problém AccountType s hodnotou USER, pokud není účtem počítače | Pokud je entita ověřovaná uživatelem, toto pravidlo vydá typ účtu jako uživatel. |
| Problém se zobrazí, pokud není účtem počítače | Toto pravidlo vydá hodnotu issuerId, pokud ověřovací entita není zařízení. Hodnota se vytvoří prostřednictvím regulárního výrazu, který je nakonfigurovaný nástrojem Microsoft Entra Připojení. Regulární výraz se vytvoří po zvážení všech domén federovaných pomocí microsoft Entra Připojení. |
| Problém s ověřováním počítače DJ | Toto pravidlo vydá hodnotu issuerId, když je ověřovací entitou zařízení. |
| Problém s onpremobjectguid pro počítače připojené k doméně | Pokud je entita ověřená zařízením připojeným k doméně, toto pravidlo vydá místní objektguid pro dané zařízení. |
| Předání primárního identifikátoru SID | Toto pravidlo vydává primární identifikátor SID ověřovací entity. |
| Předání deklarace identity – insideCorporateNetwork | Toto pravidlo vydá deklaraci identity, která microsoftu Entra ID pomůže zjistit, jestli ověřování pochází z podnikové sítě nebo externě. |
| Předávací deklarace – Psso | |
| Vystavení deklarací identity vypršení platnosti hesla | Toto pravidlo vydává tři deklarace identity pro dobu vypršení platnosti hesla, počet dnů, po které vyprší platnost hesla, která se ověřuje, a adresu URL, kam se má heslo směrovat pro změnu hesla. |
| Předání deklarace identity – authnmethodsreferences | Hodnota v deklaraci identity vydané v rámci tohoto pravidla označuje, jaký typ ověřování se pro entitu provedl. |
| Předání deklarace identity – multifactorauthenticationinstant | Hodnota této deklarace identity určuje čas, kdy uživatel naposledy provedl vícefaktorové ověřování. |
| Předání deklarace identity – AlternateLoginID | Toto pravidlo vydá deklaraci identity AlternateLoginID, pokud se ověřování provedlo pomocí alternativního přihlašovacího ID. |
Poznámka:
Pravidla deklarací identity pro hlavní název uživatele (UPN) a ImmutableId se budou lišit, pokud při konfiguraci microsoft Entra Připojení použijete jinou než výchozí volbu.
Obnovení pravidel transformace vystavování
Microsoft Entra Připojení verze 1.1.873.0 nebo novější vytvoří zálohu nastavení důvěryhodnosti ID Microsoft Entra při každé aktualizaci nastavení důvěryhodnosti ID Microsoft Entra ID. Nastavení důvěryhodnosti ID Microsoft Entra se zálohuje v %ProgramData%\AAD Připojení\ADFS. Název souboru je v následujícím formátu AadTrust-date-time.txt><<>, například - AadTrust-20180710-150216.txt
Pravidla transformace vystavování můžete obnovit pomocí následujících navrhovaných kroků.
- Otevření uživatelského rozhraní pro správu služby AD FS v Správce serveru
- Otevřete vlastnosti vztahu důvěryhodnosti ID Microsoft Entra tak, že přejdete na vztahy důvěryhodnosti > předávající strany služby AD FS > systém Microsoft Office 365 Identity Platform > upravit zásady vystavování deklarací identity.
- Klikněte na Přidat pravidlo.
- V šabloně pravidla deklarace identity vyberte Odeslat deklarace identity pomocí vlastního pravidla a klikněte na Další.
- Zkopírujte název pravidla deklarace identity ze záložního souboru a vložte ho do pole Název pravidla deklarace identity.
- Zkopírujte pravidlo deklarace identity ze záložního souboru do textového pole vlastního pravidla a klikněte na Dokončit.
Poznámka:
Ujistěte se, že vaše další pravidla nejsou v konfliktu s pravidly nakonfigurovanými službou Microsoft Entra Připojení.
Osvědčené postupy pro zabezpečení a monitorování vztahu důvěryhodnosti služby AD FS pomocí Microsoft Entra ID
Když federujete službu AD FS s ID Microsoft Entra, je důležité, aby se pečlivě monitorovala konfigurace federace (vztah důvěryhodnosti nakonfigurovaný mezi službami AD FS a ID Microsoft Entra) a zachytá se jakákoli neobvyklá nebo podezřelá aktivita. Pokud to chcete udělat, doporučujeme nastavit upozornění a dostávat oznámení při každé změně konfigurace federace. Informace o nastavení upozornění najdete v tématu Monitorování změn konfigurace federace.
Pokud používáte cloudovou službu Azure MFA pro vícefaktorové ověřování s federovanými uživateli, důrazně doporučujeme povolit další ochranu zabezpečení. Tato ochrana zabezpečení zabraňuje obejití cloudového azure MFA při federaci s Id Microsoft Entra. Pokud je tato možnost povolená, pro federovanou doménu ve vašem tenantovi Microsoft Entra zajistí, že chybný objekt actor nemůže obejít Azure MFA tím, že zprostředkovatele identity už provedl vícefaktorové ověřování. Ochranu lze povolit prostřednictvím nového nastavení zabezpečení. federatedIdpMfaBehavior Další informace najdete v tématu Osvědčené postupy pro zabezpečení Active Directory Federation Services (AD FS)