Partager via


Stratégies de contrôle d’accès dans AD FS pour Windows Server 2016

Modèles de stratégie de contrôle d’accès dans AD FS

Les services de fédération Active Directory (AD FS) prennent désormais en charge l’utilisation de modèles de stratégie de contrôle d’accès. À l’aide de modèles de stratégie de contrôle d’accès, un administrateur peut appliquer des paramètres de stratégie en affectant le modèle de stratégie à un groupe de parties de confiance. L’administrateur peut également mettre à jour le modèle de stratégie. Les changements seront automatiquement appliqués aux parties de confiance si aucune interaction de l’utilisateur n’est nécessaire.

Que sont les modèles de stratégie de contrôle d’accès ?

Le pipeline AD FS principal pour le traitement des stratégies comprend trois phases : l’authentification, l’autorisation et l’émission de revendications. Pour le moment, les administrateurs AD FS doivent configurer une stratégie séparément pour chacune de ces phases. Cela implique également de comprendre les implications de ces stratégies, et de comprendre si ces stratégies ont des interdépendances. De plus, les administrateurs doivent comprendre le langage des règles de revendication, et créer des règles personnalisées pour activer une stratégie simple/commune (par exemple bloquer l’accès externe).

Les modèles de stratégie de contrôle d’accès remplacent cet ancien modèle, où les administrateurs doivent configurer les règles d’autorisation d’émission à l’aide du langage de revendications. Les anciennes applets de commande PowerShell des règles d’autorisation d’émission s’appliquent toujours, mais elles ne peuvent pas être utilisées avec le nouveau modèle. Les administrateurs peuvent choisir d’utiliser le nouveau modèle ou l’ancien modèle. Le nouveau modèle permet aux administrateurs de contrôler le moment où l’accès est octroyé, notamment en ce qui concerne l’application de l’authentification multifacteur.

Les modèles de stratégie de contrôle d’accès utilisent un modèle d’autorisation. Cela signifie que par défaut, personne n’a accès, et que l’accès doit être explicitement octroyé. Toutefois, il ne s’agit pas simplement d’un accès de type tout ou rien. Les administrateurs peuvent ajouter des exceptions à la règle d’autorisation. Par exemple, un administrateur peut octroyer l’accès en fonction d’un réseau spécifique en sélectionnant cette option et en spécifiant la plage d’adresses IP. Mais l’administrateur peut aussi ajouter une exception. Par exemple, l’administrateur peut ajouter une exception à partir d’un réseau spécifique et spécifier cette plage d’adresses IP.

Screenshot that shows where to view the Access Control Policies.

Modèles de stratégie de contrôle d’accès intégrés et modèles de stratégie de contrôle d’accès personnalisés

AD FS comprend plusieurs modèles de stratégie de contrôle d’accès intégrés. Ceux-ci ciblent des scénarios courants qui ont le même ensemble de conditions relatives à une stratégie, par exemple la stratégie d’accès client pour Office 365. Vous ne pouvez pas modifier ces modèles.

Screenshot that shows the built-in Access Control Policies.

Pour offrir une flexibilité accrue et répondre aux besoins métier, les administrateurs peuvent créer leurs propres modèles de stratégie d’accès. Ceux-ci peuvent être modifiés après leur création. Les changements apportés au modèle de stratégie personnalisé s’appliquent à toutes les parties de confiance contrôlées par ces modèles de stratégie. Pour ajouter un modèle de stratégie personnalisé, cliquez simplement sur Ajouter une stratégie de contrôle d’accès à partir de la gestion d’AD FS.

Pour créer un modèle de stratégie, un administrateur doit d’abord spécifier les conditions dans lesquelles une requête est autorisée dans le cadre de l’émission et/ou la délégation de jetons. Les options de condition et d’action sont indiquées dans le tableau ci-dessous. Les conditions en gras peuvent être configurées de manière plus poussée par l’administrateur avec des valeurs distinctes ou nouvelles. L’administrateur peut également spécifier des exceptions, le cas échéant. Quand une condition est remplie, aucune action d’autorisation n’est déclenchée si une exception est spécifiée et si la requête entrante correspond à la condition spécifiée dans l’exception.

Autoriser les utilisateurs Except
À partir d’un réseau spécifique À partir d’un réseau spécifique

Provenant de groupes spécifiques

À partir d’appareils ayant des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la requête

Provenant de groupes spécifiques À partir d’un réseau spécifique

Provenant de groupes spécifiques

À partir d’appareils ayant des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la requête

À partir d’appareils ayant des niveaux de confiance spécifiques À partir d’un réseau spécifique

Provenant de groupes spécifiques

À partir d’appareils ayant des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la requête

Avec des revendications spécifiques dans la requête À partir d’un réseau spécifique

Provenant de groupes spécifiques

À partir d’appareils ayant des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la requête

Et imposer une authentification multifacteur À partir d’un réseau spécifique

Provenant de groupes spécifiques

À partir d’appareils ayant des niveaux de confiance spécifiques

Avec des revendications spécifiques dans la requête

Si un administrateur sélectionne plusieurs conditions, elles ont une relation de type ET. Les actions s’excluent mutuellement. Pour une règle de stratégie, vous ne pouvez choisir qu’une seule action. Si l’administrateur sélectionne plusieurs exceptions, elles ont une relation de type OU. Vous trouverez ci-dessous quelques exemples de règles de stratégie :

Stratégie Règles de stratégie
L’accès extranet nécessite une authentification MFA

Tous les utilisateurs sont autorisés

Règle n° 1

à partir de l’extranet

et avec une authentification MFA

Permit

Règle n° 2

à partir de l’intranet

Permit

L’accès externe n’est pas autorisé, sauf pour les non-FTE

L’accès intranet pour les FTE sur les appareils rattachés à l’espace de travail est autorisé

Règle n° 1

À partir de l’extranet

et à partir d’un groupe non-FTE

Permit

Règle n° 2

à partir de l’intranet

et à partir d’un appareil rattaché à l’espace de travail

et à partir d’un groupe FTE

Permit

L’accès extranet nécessite une authentification MFA, sauf pour les « administrateurs de services »

Tous les utilisateurs disposent d’une autorisation d’accès

Règle n° 1

à partir de l’extranet

et avec une authentification MFA

Permit

À l’exception du groupe des administrateurs de services

Règle n° 2

toujours

Permit

l’accès d’appareils non rattachés à l’espace de travail à partir de l’extranet nécessite une authentification MFA

Autoriser la structure fabric AD pour l’accès intranet et extranet

Règle n° 1

à partir de l’intranet

Et à partir d’un groupe Structure fabric AD

Permit

Règle n° 2

à partir de l’extranet

et à partir d’un appareil non rattaché à l’espace de travail

et à partir d’un groupe Structure fabric AD

et avec une authentification MFA

Permit

Règle n° 3

à partir de l’extranet

et à partir d’un appareil rattaché à l’espace de travail

et à partir d’un groupe Structure fabric AD

Permit

Modèle de stratégie paramétrisé et modèle de stratégie non paramétrisé

Un modèle de stratégie paramétrisé est un modèle de stratégie qui a des paramètres. Un administrateur doit entrer la valeur de ces paramètres au moment de l’affectation de ce modèle aux parties de confiance. Un administrateur ne peut pas apporter de changements au modèle de stratégie paramétrisé, une fois qu’il a été créé. La stratégie intégrée, Autoriser un groupe spécifique, est un exemple de stratégie paramétrisée. Chaque fois que cette stratégie est appliquée à une partie de confiance, ce paramètre doit être spécifié.

Screenshot that shows an example of a parameterized policy template.

Un modèle de stratégie non paramétrisé est un modèle de stratégie qui n’a pas de paramètres. Un administrateur peut affecter ce modèle aux parties de confiance sans qu’aucune entrée ne soit nécessaire, et peut apporter des changements à un modèle de stratégie non paramétrisé, une fois qu’il a été créé. La stratégie intégrée Autoriser tout le monde et imposer une authentification MFA en est un bon exemple.

Screenshot that shows an example of a non-parameterized policy template.

Comment créer une stratégie de contrôle d’accès non paramétrisée

Pour créer une stratégie de contrôle d’accès non paramétrisée, utilisez la procédure suivante

Pour créer une stratégie de contrôle d’accès non paramétrisée

  1. Dans Gestion AD FS, sur la gauche, sélectionnez Stratégies de contrôle d’accès, puis sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.

  2. Entrez un nom et une description. Exemple : Autoriser les utilisateurs ayant des appareils authentifiés.

  3. Sous Autoriser l’accès si l’une des règles suivantes est respectée, cliquez sur Ajouter.

  4. Sous autorisation, cochez la case en regard de à partir d’appareils ayant un niveau de confiance spécifique

  5. En bas, sélectionnez le mot spécifique souligné

  6. Dans la fenêtre indépendante qui s’affiche, dans la liste déroulante, sélectionnez authentifié. Cliquez sur OK.

    Screenshot that shows how to select the device trust level.

  7. Cliquez sur OK. Cliquez sur OK.

    Screenshot that shows how to accept the policy change.

Comment créer une stratégie de contrôle d’accès paramétrisée

Pour créer une stratégie de contrôle d’accès paramétrisée, utilisez la procédure suivante

Pour créer une stratégie de contrôle d’accès paramétrisée

  1. Dans Gestion AD FS, sur la gauche, sélectionnez Stratégies de contrôle d’accès, puis sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.

  2. Entrez un nom et une description. Exemple : Autoriser les utilisateurs ayant une revendication spécifique.

  3. Sous Autoriser l’accès si l’une des règles suivantes est respectée, cliquez sur Ajouter.

  4. Sous autorisation, cochez la case en regard de avec des revendications spécifiques dans la requête

  5. En bas, sélectionnez le mot spécifique souligné

  6. Dans la fenêtre indépendante qui s’affiche, sélectionnez Paramètre spécifié au moment de l’affectation de la stratégie de contrôle d’accès. Cliquez sur OK.

    Screenshot that shows the Parameter specified when the access control policy is assigned option.

  7. Cliquez sur OK. Cliquez sur OK.

    Screenshot that shows how to accept the selected option.

Comment créer une stratégie de contrôle d’accès personnalisée avec une exception

Pour créer une stratégie de contrôle d’accès avec une exception, utilisez la procédure suivante.

Pour créer une stratégie de contrôle d’accès personnalisée avec une exception

  1. Dans Gestion AD FS, sur la gauche, sélectionnez Stratégies de contrôle d’accès, puis sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.

  2. Entrez un nom et une description. Exemple : Autoriser les utilisateurs ayant des appareils authentifiés mais non managés.

  3. Sous Autoriser l’accès si l’une des règles suivantes est respectée, cliquez sur Ajouter.

  4. Sous autorisation, cochez la case en regard de à partir d’appareils ayant un niveau de confiance spécifique

  5. En bas, sélectionnez le mot spécifique souligné

  6. Dans la fenêtre indépendante qui s’affiche, dans la liste déroulante, sélectionnez authentifié. Cliquez sur OK.

  7. Sous sauf, cochez la case en regard de à partir d’appareils ayant un niveau de confiance spécifique

  8. En bas, sous sauf, sélectionnez le mot spécifique souligné

  9. Dans la fenêtre indépendante qui s’affiche, dans la liste déroulante, sélectionnez managé. Cliquez sur OK.

  10. Cliquez sur OK. Cliquez sur OK.

    Screenshot that shows the Screen Editor dialog box.

Comment créer une stratégie de contrôle d’accès personnalisée avec plusieurs conditions d’autorisation

Pour créer une stratégie de contrôle d’accès avec plusieurs conditions d’autorisation, utilisez la procédure suivante

Pour créer une stratégie de contrôle d’accès paramétrisée

  1. Dans Gestion AD FS, sur la gauche, sélectionnez Stratégies de contrôle d’accès, puis sur la droite, cliquez sur Ajouter une stratégie de contrôle d’accès.

  2. Entrez un nom et une description. Exemple : Autoriser les utilisateurs ayant une revendication spécifique et provenant d’un groupe spécifique.

  3. Sous Autoriser l’accès si l’une des règles suivantes est respectée, cliquez sur Ajouter.

  4. Sous autorisation, cochez la case en regard de provenant d’un groupe spécifique et de avec des revendications spécifiques dans la requête

  5. En bas, sélectionnez le mot spécifique souligné pour la première condition, en regard des groupes

  6. Dans la fenêtre indépendante qui s’affiche, sélectionnez Paramètre spécifié au moment de l’affectation de la stratégie. Cliquez sur OK.

  7. En bas, sélectionnez le mot spécifique souligné pour la seconde condition, en regard des revendications

  8. Dans la fenêtre indépendante qui s’affiche, sélectionnez Paramètre spécifié au moment de l’affectation de la stratégie de contrôle d’accès. Cliquez sur OK.

  9. Cliquez sur OK. Cliquez sur OK.

access control policies

Comment affecter une stratégie de contrôle d’accès à une nouvelle application

L’affectation d’une stratégie de contrôle d’accès à une nouvelle application est assez simple. Elle est désormais intégrée à l’Assistant permettant d’ajouter une partie de confiance. Dans l’Assistant Ajout d’une partie de confiance, vous pouvez sélectionner la stratégie de contrôle d’accès à affecter. Il s’agit d’une obligation imposée au moment de la création d’une approbation de partie de confiance.

Screenshot that shows the Choose Access Control Policy screen.

Comment affecter une stratégie de contrôle d’accès à une application existante

Pour affecter une stratégie de contrôle d’accès à une application existante, il vous suffit de sélectionner l’application parmi les approbations de partie de confiance, puis de cliquer avec le bouton droit sur Modifier la stratégie de contrôle d’accès.

Screenshot that shows the Retrying Party Trusts application.

À partir de là, vous pouvez sélectionner la stratégie de contrôle d’accès et l’appliquer à l’application.

Screenshot that shows how to edit the Access Control Policy.

Voir aussi

Opérations d’AD FS