Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Modèles de stratégie de contrôle d’accès dans AD FS
Les services de fédération Active Directory prennent désormais en charge l’utilisation de modèles de stratégie de contrôle d’accès. À l’aide de modèles de stratégie de contrôle d’accès, un administrateur peut appliquer les paramètres de stratégie en affectant le modèle de stratégie à un groupe de parties de confiance (RPS). L’administrateur peut également apporter des mises à jour au modèle de stratégie et les modifications seront appliquées automatiquement aux parties de confiance si aucune interaction utilisateur n’est nécessaire.
Qu’est-ce que les modèles de stratégie de contrôle d’accès ?
Le pipeline principal AD FS pour le traitement des stratégies a trois phases : l'authentification, l'autorisation et l'émission de déclarations. Actuellement, les administrateurs AD FS doivent configurer une stratégie pour chacune de ces phases séparément. Cela implique également de comprendre les implications de ces stratégies et si ces stratégies ont une dépendance entre elles. En outre, les administrateurs doivent comprendre le langage de règle de revendication et créer des règles personnalisées pour activer une stratégie simple/commune (par exemple, bloquer l’accès externe).
Ce que font les modèles de stratégie de contrôle d’accès consiste à remplacer cet ancien modèle dans lequel les administrateurs doivent configurer des règles d’autorisation d’émission à l’aide du langage de revendications. Les anciennes applets de commande PowerShell des règles d’autorisation d’émission s’appliquent toujours, mais elles ne peuvent pas être utilisées avec le nouveau modèle. Les administrateurs peuvent choisir d’utiliser le nouveau modèle ou l’ancien modèle. Le nouveau modèle permet aux administrateurs de contrôler quand accorder l’accès, y compris l’application de l’authentification multifacteur.
Les modèles de stratégie de contrôle d’accès utilisent un modèle d’autorisation. Cela signifie par défaut que personne n’a accès et que l’accès doit être accordé explicitement. Cependant, il ne s'agit pas simplement d'une autorisation tout ou rien. Les administrateurs peuvent ajouter des exceptions à la règle d’autorisation. Par exemple, un administrateur peut souhaiter accorder l’accès en fonction d’un réseau spécifique en sélectionnant cette option et en spécifiant la plage d’adresses IP. Toutefois, l’administrateur peut ajouter et exception, par exemple, l’administrateur peut ajouter une exception à partir d’un réseau spécifique et spécifier cette plage d’adresses IP.
Modèles de stratégie de contrôle d’accès intégrés et modèles de stratégie de contrôle d’accès personnalisés
AD FS inclut plusieurs modèles de stratégie de contrôle d’accès intégrés. Ces scénarios ciblent certains scénarios courants qui ont le même ensemble de conditions de stratégie, par exemple la stratégie d’accès client pour Office 365. Ces modèles ne peuvent pas être modifiés.
Pour offrir une flexibilité accrue pour répondre aux besoins de votre entreprise, les administrateurs peuvent créer leurs propres modèles de stratégie d’accès. Celles-ci peuvent être modifiées après la création et les modifications apportées au modèle de stratégie personnalisé s’appliquent à toutes les adresses IP contrôlées par ces modèles de stratégie. Pour ajouter un modèle de stratégie personnalisé, cliquez simplement sur Ajouter une stratégie de contrôle d’accès à partir de la gestion AD FS.
Pour créer un modèle de stratégie, un administrateur doit d’abord spécifier les conditions dans lesquelles une demande sera autorisée pour l’émission de jetons et/ou la délégation. Les options de condition et d’action sont indiquées dans le tableau ci-dessous. Les conditions en gras peuvent être configurées par l’administrateur avec des valeurs différentes ou nouvelles. L’administrateur peut également spécifier des exceptions s’il y en a un. Lorsqu’une condition est remplie, une action d’autorisation ne sera pas déclenchée s’il existe une exception spécifiée et que la requête entrante correspond à la condition spécifiée dans l’exception.
| Permit Users | Except |
|---|---|
| From specific network | From specific network From specific groups From devices with specific trust levels With specific claims in the request |
| From specific groups | From specific network From specific groups From devices with specific trust levels With specific claims in the request |
| From devices with specific trust levels | From specific network From specific groups From devices with specific trust levels With specific claims in the request |
| With specific claims in the request | From specific network From specific groups From devices with specific trust levels With specific claims in the request |
| Et exiger une authentification multifacteur | From specific network From specific groups From devices with specific trust levels With specific claims in the request |
If an administrator selects multiple conditions, they are of AND relationship. Les actions s’excluent mutuellement et pour une règle de stratégie, vous ne pouvez choisir qu’une seule action. If admin selects multiple exceptions, they are of an OR relationship. Voici quelques exemples de règles de stratégie :
| Policy | Policy rules |
|---|---|
| L’accès extranet nécessite MFA (authentification multifacteur) Tous les utilisateurs sont autorisés |
Rule #1 from extranet et avec une authentification MFA Permit Rule#2 from intranet Permit |
| L’accès externe n’est pas autorisé sauf pour les non-salariés à temps plein. L’accès intranet pour les FTE sur les appareils rattachés à l’espace de travail est autorisé |
Rule #1 From extranet and from non-FTE group Permit Rule #2 from intranet and from workplace joined device and from FTE group Permit |
| L’accès extranet nécessite l’authentification multifacteur, sauf « administrateur de service » Tous les utilisateurs sont autorisés à accéder à |
Rule #1 from extranet et avec une authentification MFA Permit Sauf le groupe d'administration des services Rule #2 always Permit |
| l’accès d’appareils non rattachés à l’espace de travail à partir de l’extranet nécessite une authentification MFA Autoriser l’infrastructure AD pour l’accès intranet et extranet |
Rule #1 from intranet And from AD Fabric group Permit Rule #2 from extranet and from non-workplace joined device and from AD Fabric group et avec une authentification MFA Permit Rule #3 from extranet and from workplace joined device and from AD Fabric group Permit |
Modèle de stratégie paramétrable et modèle de stratégie non paramétrable
Un modèle de stratégie paramétrable est un modèle de stratégie qui a des paramètres. Un administrateur doit entrer la valeur de ces paramètres lors de l’affectation de ce modèle à RPs.Un administrateur ne peut pas apporter de modifications au modèle de stratégie paramétrable une fois qu’il a été créé. Un exemple de stratégie paramétrable est la stratégie intégrée, Autoriser un groupe spécifique. Chaque fois que cette stratégie est appliquée à un fournisseur de ressources, ce paramètre doit être spécifié.
Un modèle de stratégie non paramétrable est un modèle de stratégie qui n’a pas de paramètres. Un administrateur peut attribuer ce modèle aux RPs sans saisie requise et apporter des modifications à un modèle de stratégie non paramétré une fois qu'il a été créé. La stratégie intégrée Autoriser tout le monde et imposer une authentification MFA en est un bon exemple.
Comment créer une stratégie de contrôle d’accès non paramétrable
Pour créer une stratégie de contrôle d’accès non paramétrable, utilisez la procédure suivante
Pour créer une stratégie de contrôle d’accès non paramétrable
À partir de la gestion AD FS à gauche, sélectionnez Stratégies de contrôle d’accès, puis cliquez avec le bouton droit sur Ajouter une stratégie de contrôle d’accès.
Entrez un nom et une description. Par exemple : Autoriser les utilisateurs avec des appareils authentifiés.
Sous Autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.
Sous autorisation, cochez la case en regard de à partir d’appareils ayant un niveau de confiance spécifique
At the bottom, select the underlined specific
From the window that pops-up, select authenticated from the drop-down. Click Ok.
Click Ok. Click Ok.
Comment créer une stratégie de contrôle d’accès paramétrable
Pour créer une stratégie de contrôle d’accès paramétrable, utilisez la procédure suivante
Pour créer une stratégie de contrôle d’accès paramétrable
À partir de la gestion AD FS à gauche, sélectionnez Stratégies de contrôle d’accès, puis cliquez avec le bouton droit sur Ajouter une stratégie de contrôle d’accès.
Entrez un nom et une description. Par exemple : Autoriser les utilisateurs avec une revendication spécifique.
Sous Autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.
Sous autorisation, cochez la case en regard de avec des revendications spécifiques dans la requête
At the bottom, select the underlined specific
Dans la fenêtre qui s’affiche, sélectionnez Paramètre spécifié lorsque la stratégie de contrôle d’accès est affectée. Click Ok.
Click Ok. Click Ok.
Comment créer une stratégie de contrôle d’accès personnalisée avec une exception
Pour créer une stratégie de contrôle d’accès avec une exception, utilisez la procédure suivante.
Pour créer une stratégie de contrôle d’accès personnalisée avec une exception
À partir de la gestion AD FS à gauche, sélectionnez Stratégies de contrôle d’accès, puis cliquez avec le bouton droit sur Ajouter une stratégie de contrôle d’accès.
Entrez un nom et une description. Par exemple : Autoriser les utilisateurs avec des appareils authentifiés, mais pas gérés.
Sous Autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.
Sous autorisation, cochez la case en regard de à partir d’appareils ayant un niveau de confiance spécifique
At the bottom, select the underlined specific
From the window that pops-up, select authenticated from the drop-down. Click Ok.
Sous sauf, cochez la case en regard de à partir d’appareils ayant un niveau de confiance spécifique
At the bottom under except, select the underlined specific
From the window that pops-up, select managed from the drop-down. Click Ok.
Click Ok. Click Ok.
Comment créer une stratégie de contrôle d’accès personnalisée avec plusieurs conditions d’autorisation
Pour créer une stratégie de contrôle d’accès avec plusieurs conditions d’autorisation, utilisez la procédure suivante
Pour créer une stratégie de contrôle d’accès paramétrable
À partir de la gestion AD FS à gauche, sélectionnez Stratégies de contrôle d’accès, puis cliquez avec le bouton droit sur Ajouter une stratégie de contrôle d’accès.
Entrez un nom et une description. Par exemple : Autoriser les utilisateurs avec une revendication spécifique et à partir d’un groupe spécifique.
Sous Autoriser l’accès si l’une des règles suivantes est remplie, cliquez sur Ajouter.
Sous autorisation, cochez la case en regard de provenant d’un groupe spécifique et de avec des revendications spécifiques dans la requête
At the bottom, select the underlined specific for the first condition, next to groups
Dans la fenêtre qui s'affiche, sélectionnez Paramètre spécifié lorsque la politique est assignée. Click Ok.
At the bottom, select the underlined specific for the second condition, next to claims
Dans la fenêtre qui s’affiche, sélectionnez Paramètre spécifié lorsque la stratégie de contrôle d’accès est affectée. Click Ok.
Click Ok. Click Ok.
Comment affecter une stratégie de contrôle d’accès à une nouvelle application
L’affectation d’une stratégie de contrôle d’accès à une nouvelle application est assez simple. Elle est désormais intégrée à l’Assistant permettant d’ajouter une partie de confiance. Dans l’Assistant Ajout d’une partie de confiance, vous pouvez sélectionner la stratégie de contrôle d’accès à affecter. Il s'agit d'une exigence lors de la création d'une relation de confiance avec une partie tiers.
Comment affecter une stratégie de contrôle d’accès à une application existante
Pour affecter une stratégie de contrôle d’accès à une application existante, il vous suffit de sélectionner l’application parmi les approbations de partie de confiance, puis de cliquer avec le bouton droit sur Modifier la stratégie de contrôle d’accès.
À partir de là, vous pouvez sélectionner la stratégie de contrôle d’accès et l’appliquer à l’application.
