Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zugriffssteuerungsrichtlinienvorlagen in AD FS
Active Directory-Verbunddienste unterstützen jetzt die Verwendung von Zugriffssteuerungsrichtlinienvorlagen. Mithilfe von Zugriffssteuerungsrichtlinienvorlagen kann ein Administrator Richtlinieneinstellungen erzwingen, indem er die Richtlinienvorlage einer Gruppe vertrauender Parteien (RPs) zuweist. Der Administrator kann auch Aktualisierungen an der Richtlinienvorlage vornehmen, und die Änderungen werden automatisch auf die vertrauenden Parteien angewendet, wenn keine Benutzerinteraktion erforderlich ist.
Was sind Vorlagen für Zugriffssteuerungsrichtlinien?
Die AD FS-Kernpipeline für die Richtlinienverarbeitung umfasst drei Phasen: Authentifizierung, Autorisierung und Anspruchsausstellung. Derzeit müssen AD FS-Administratoren eine Richtlinie für jede dieser Phasen separat konfigurieren. Dies beinhaltet auch das Verständnis der Auswirkungen dieser Richtlinien und ob diese Richtlinien voneinander abhängig sind. Außerdem müssen Administratoren die Anspruchsregelsprache verstehen und benutzerdefinierte Regeln erstellen, um einige einfache/allgemeine Richtlinien zu aktivieren (z. B. externen Zugriff blockieren).
Vorlagen für Zugriffssteuerungsrichtlinien ersetzen das alte Modell, bei dem Administratoren Ausstellungsautorisierungsregeln mithilfe der Anspruchssprache konfigurieren müssen. Die alten PowerShell-Cmdlets der Ausstellungsautorisierungsregeln gelten weiterhin, sind mit dem neuen Modell jedoch nicht anwendbar. Administratoren können entweder das neue Modell oder das alte Modell verwenden. Mit dem neuen Modell können Administratoren steuern, wann der Zugriff gewährt werden soll, einschließlich der Erzwingung der mehrstufigen Authentifizierung.
Zugriffssteuerungsrichtlinienvorlagen verwenden ein Genehmigungsmodell. Dies bedeutet, dass standardmäßig niemand Zugriff hat und dieser Zugriff explizit gewährt werden muss. Dies ist jedoch nicht einfach eine Alles-oder-Nichts-Genehmigung. Administratoren können ausnahmen zur Genehmigungsregel hinzufügen. Ein Administrator möchte z. B. basierend auf einem bestimmten Netzwerk zugriff gewähren, indem er diese Option auswählt und den IP-Adressbereich angibt. Der Administrator kann jedoch beispielsweise eine Ausnahme für ein bestimmtes Netzwerk hinzufügen und diesen IP-Adressbereich angeben.
Eingebaute Vorlagen für Zugriffssteuerungsrichtlinien im Vergleich zu benutzerdefinierten Vorlagen für Zugriffssteuerungsrichtlinien
AD FS enthält mehrere integrierte Richtlinienvorlagen für die Zugriffssteuerung. Diese zielen auf einige häufige Szenarien ab, die dieselben Richtlinienanforderungen aufweisen, z. B. clientzugriffsrichtlinie für Office 365. Diese Vorlagen können nicht geändert werden.
Um mehr Flexibilität bei der Erfüllung Ihrer geschäftlichen Anforderungen zu bieten, können Administratoren eigene Zugriffsrichtlinienvorlagen erstellen. Diese können nach der Erstellung geändert werden, und Änderungen an der benutzerdefinierten Richtlinienvorlage gelten für alle vertrauenden Seiten, die von diesen Richtlinienvorlagen gesteuert werden. Wenn Sie eine benutzerdefinierte Richtlinienvorlage hinzufügen möchten, klicken Sie einfach in der AD FS-Verwaltung auf "Zugriffssteuerungsrichtlinie hinzufügen".
Um eine Richtlinienvorlage zu erstellen, muss ein Administrator zuerst angeben, unter welchen Bedingungen eine Anforderung für die Tokenausstellung und/oder -delegierung autorisiert wird. Bedingungs- und Aktionsoptionen werden in der folgenden Tabelle angezeigt. Bedingungen fett formatiert können vom Administrator mit unterschiedlichen oder neuen Werten weiter konfiguriert werden. Der Administrator kann auch Ausnahmen angeben, falls vorhanden. Wenn eine Bedingung erfüllt ist, wird keine Genehmigungsaktion ausgelöst, wenn eine Ausnahme angegeben ist und die eingehende Anforderung mit der in der Ausnahme angegebenen Bedingung übereinstimmt.
| Zulassen von Benutzer*innen | Außer |
|---|---|
| Aus einem bestimmten Netzwerk | Aus einem bestimmten Netzwerk Aus bestimmten Gruppen Von Geräten mit bestimmten Vertrauensstufen Mit bestimmten Ansprüchen in der Anforderung |
| Aus bestimmten Gruppen | Aus einem bestimmten Netzwerk Aus bestimmten Gruppen Von Geräten mit bestimmten Vertrauensstufen Mit bestimmten Ansprüchen in der Anforderung |
| Von Geräten mit bestimmten Vertrauensstufen | Aus einem bestimmten Netzwerk Aus bestimmten Gruppen Von Geräten mit bestimmten Vertrauensstufen Mit bestimmten Ansprüchen in der Anforderung |
| Mit bestimmten Ansprüchen in der Anforderung | Aus einem bestimmten Netzwerk Aus bestimmten Gruppen Von Geräten mit bestimmten Vertrauensstufen Mit bestimmten Ansprüchen in der Anforderung |
| Anfordern der Multi-Faktor-Authentifizierung | Aus einem bestimmten Netzwerk Aus bestimmten Gruppen Von Geräten mit bestimmten Vertrauensstufen Mit bestimmten Ansprüchen in der Anforderung |
Wenn ein Administrator mehrere Bedingungen auswählt, handelt es sich um EINE AND-Beziehung . Aktionen schließen sich gegenseitig aus und für eine Richtlinienregel können Sie nur eine Aktion auswählen. Wenn der Administrator mehrere Ausnahmen auswählt, handelt es sich um eine OR-Beziehung . Nachfolgend finden Sie einige Beispiele für Richtlinienregeln:
| Politik | Richtlinienregeln |
|---|---|
| Extranetzugriff erfordert MFA Alle Benutzer sind zulässig. |
Regel Nr. 1 Aus Extranet und mit MFA -Genehmigung Regel Nr. 2 aus dem Intranet -Genehmigung |
| Externer Zugriff ist nur für Nicht-Vollzeitmitarbeiter zulässig. Intranetzugriff ist für Vollzeitmitarbeiter an einem in den Arbeitsbereich eingebundenen Gerät zulässig. |
Regel Nr. 1 Von Extranet und aus einer Gruppe von Nicht-Vollzeitmitarbeitern -Genehmigung Regel Nr. 2 aus dem Intranet und an einem in den Arbeitsbereich eingebundenen Gerät und aus der Gruppe der Vollzeitmitarbeiter -Genehmigung |
| Für den Extranetzugriff ist MFA erforderlich, mit Ausnahme von „Dienstadministrator“. Allen Benutzern ist der Zugriff gestattet. |
Regel Nr. 1 Aus Extranet und mit MFA -Genehmigung Außer Dienstadministratorgruppe Regel Nr. 2 immer -Genehmigung |
| Für den Zugriff mit nicht in den Arbeitsbereich eingebundenen Geräten über das Extranet ist MFA erforderlich. Ad Fabric für Intranet- und Extranetzugriff zulassen |
Regel Nr. 1 aus dem Intranet Und aus der AD Fabric-Gruppe -Genehmigung Regel Nr. 2 Aus Extranet und an einem nicht in den Arbeitsbereich eingebundenen Gerät und aus der AD Fabric-Gruppe und mit MFA -Genehmigung Regel Nr. 3 Aus Extranet und an einem in den Arbeitsbereich eingebundenen Gerät und aus der AD Fabric-Gruppe -Genehmigung |
Parametrisierte Richtlinienvorlage im Vergleich zu nicht parametrisierten Richtlinienvorlagen
Eine parametrisierte Richtlinienvorlage ist eine Richtlinienvorlage mit Parametern. Ein Administrator muss den Wert für diese Parameter beim Zuweisen dieser Vorlage an RPs eingeben.Ein Administrator kann keine Änderungen an der parametrisierten Richtlinienvorlage vornehmen, nachdem sie erstellt wurde. Ein Beispiel für eine parametrisierte Richtlinie ist die vordefinierte Richtlinie "Bestimmte Gruppe erlauben". Wenn diese Richtlinie auf ein RP angewendet wird, muss dieser Parameter angegeben werden.
Eine nicht parametrisierte Richtlinienvorlage ist eine Richtlinienvorlage, die keine Parameter enthält. Ein Administrator kann diese Vorlage RPs ohne Eingabe zuweisen und Änderungen an einer nicht parametrisierten Richtlinienvorlage vornehmen, nachdem sie erstellt wurde. Ein Beispiel hierfür ist die vordefinierte Richtlinie „Jedem Einzelnen Zugriff gewähren und MFA verlangen“.
Erstellen einer nicht parametrisierten Zugriffssteuerungsrichtlinie
Verwenden Sie das folgende Verfahren, um eine nicht parametrisierte Zugriffssteuerungsrichtlinie zu erstellen.
So erstellen Sie eine nicht parametrisierte Zugriffssteuerungsrichtlinie
Wählen Sie in der AD FS-Verwaltung auf der linken Seite Zugriffssteuerungsrichtlinien aus, und klicken Sie mit der rechten Maustaste auf "Zugriffssteuerungsrichtlinie hinzufügen".
Geben Sie einen Namen und eine Beschreibung ein. Beispiel: Zulassen von Benutzern mit authentifizierten Geräten.
Klicken Sie unter "Zugriff zulassen", wenn eine der folgenden Regeln erfüllt ist, auf "Hinzufügen".
Aktivieren Sie unter „Zulassen“ ein Kontrollkästchen neben von Geräten mit einer bestimmten Vertrauensstufe.
Wählen Sie unten den unterstrichenen spezifischen Text aus.
Wählen Sie im Popupfenster die Option "Authentifiziert " aus der Dropdownliste aus. Klicken Sie auf 'OK'.
Klicken Sie auf 'OK'. Klicken Sie auf 'OK'.
Erstellen einer parametrisierten Zugriffssteuerungsrichtlinie
Verwenden Sie das folgende Verfahren, um eine parametrisierte Zugriffssteuerungsrichtlinie zu erstellen
So erstellen Sie eine parametrisierte Zugriffssteuerungsrichtlinie
Wählen Sie in der AD FS-Verwaltung auf der linken Seite Zugriffssteuerungsrichtlinien aus, und klicken Sie mit der rechten Maustaste auf "Zugriffssteuerungsrichtlinie hinzufügen".
Geben Sie einen Namen und eine Beschreibung ein. Beispiel: Zulassen von Benutzern mit einem bestimmten Anspruch.
Klicken Sie unter "Zugriff zulassen", wenn eine der folgenden Regeln erfüllt ist, auf "Hinzufügen".
Aktivieren Sie unter „Zulassen“ das Kontrollkästchen neben mit bestimmten Ansprüchen in der Anforderung.
Wählen Sie unten den unterstrichenen spezifischen Text aus.
Wählen Sie im Popupfenster den Parameter aus, der angegeben wird, wenn die Zugriffssteuerungsrichtlinie zugewiesen ist. Klicken Sie auf 'OK'.
Klicken Sie auf 'OK'. Klicken Sie auf 'OK'.
So erstellen Sie eine benutzerdefinierte Zugriffssteuerungsrichtlinie mit Ausnahme
Verwenden Sie das folgende Verfahren, um eine Zugriffssteuerungsrichtlinie mit Ausnahme zu erstellen.
So erstellen Sie eine benutzerdefinierte Zugriffssteuerungsrichtlinie mit einer Ausnahme.
Wählen Sie in der AD FS-Verwaltung auf der linken Seite Zugriffssteuerungsrichtlinien aus, und klicken Sie mit der rechten Maustaste auf "Zugriffssteuerungsrichtlinie hinzufügen".
Geben Sie einen Namen und eine Beschreibung ein. Beispiel: Zulassen von Benutzern mit authentifizierten, aber nicht verwalteten Geräten.
Klicken Sie unter "Zugriff zulassen", wenn eine der folgenden Regeln erfüllt ist, auf "Hinzufügen".
Aktivieren Sie unter „Zulassen“ ein Kontrollkästchen neben von Geräten mit einer bestimmten Vertrauensstufe.
Wählen Sie unten den unterstrichenen spezifischen Text aus.
Wählen Sie im Popupfenster die Option "Authentifiziert " aus der Dropdownliste aus. Klicken Sie auf 'OK'.
Aktivieren Sie unter „Außer“ ein Kontrollkästchen neben von Geräten mit einer bestimmten Vertrauensstufe.
Wählen Sie unten unter „Außer“ das unterstrichene Wort bestimmten aus.
Wählen Sie im Popupfenster die Option "Verwaltet " aus der Dropdownliste aus. Klicken Sie auf 'OK'.
Klicken Sie auf 'OK'. Klicken Sie auf 'OK'.
So erstellen Sie eine benutzerdefinierte Zugriffssteuerungsrichtlinie mit mehreren Genehmigungsbedingungen
Verwenden Sie das folgende Verfahren, um eine Zugriffssteuerungsrichtlinie mit mehreren Genehmigungsbedingungen zu erstellen
So erstellen Sie eine parametrisierte Zugriffssteuerungsrichtlinie
Wählen Sie in der AD FS-Verwaltung auf der linken Seite Zugriffssteuerungsrichtlinien aus, und klicken Sie mit der rechten Maustaste auf "Zugriffssteuerungsrichtlinie hinzufügen".
Geben Sie einen Namen und eine Beschreibung ein. Beispiel: Zulassen von Benutzern mit einem bestimmten Anspruch und einer bestimmten Gruppe.
Klicken Sie unter "Zugriff zulassen", wenn eine der folgenden Regeln erfüllt ist, auf "Hinzufügen".
Aktivieren Sie unter „Zulassen“ die Kontrollkästchen neben aus einer bestimmten Gruppe und mit bestimmten Ansprüchen in der Anforderung.
Wählen Sie unten neben „Gruppen“ das unterstrichene Wort bestimmten für die erste Bedingung aus.
Wählen Sie im Popupfenster den Parameter aus, der angegeben wird, wenn die Richtlinie zugewiesen ist. Klicken Sie auf 'OK'.
Wählen Sie unten neben „Ansprüche“ das unterstrichene Wort bestimmten für die zweite Bedingung aus.
Wählen Sie im Popupfenster den Parameter aus, der angegeben wird, wenn die Zugriffssteuerungsrichtlinie zugewiesen ist. Klicken Sie auf 'OK'.
Klicken Sie auf 'OK'. Klicken Sie auf 'OK'.
Zuweisen einer Zugriffssteuerungsrichtlinie zu einer neuen Anwendung
Der Vorgang zum Zuweisen einer Zugriffssteuerungsrichtlinie zu einer neuen Anwendung ist recht einfach und wurde jetzt in den Assistenten zum Hinzufügen einer vertrauenden Seite integriert. Im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite können Sie die Zugriffssteuerungsrichtlinie auswählen, die Sie zuweisen möchten. Dies ist eine Anforderung bei dem Erstellen einer neuen Vertrauensbeziehung zu einer vertrauenden Partei.
So weisen Sie einer vorhandenen Anwendung eine Zugriffssteuerungsrichtlinie zu
Wenn Sie einer vorhandenen Anwendung eine Zugriffssteuerungsrichtlinie zuweisen, wählen Sie einfach die Anwendung aus Vertrauensstellungen der vertrauenden Seite aus, und klicken Sie mit der rechten Maustaste auf "Zugriffssteuerungsrichtlinie bearbeiten".
Von hier aus können Sie die Zugriffssteuerungsrichtlinie auswählen und auf die Anwendung anwenden.
