Partager via


Configurer des stratégies d’authentification

Dans AD FS, dans Windows Server 2012 R2, le contrôle d’accès et le mécanisme d’authentification sont améliorés avec plusieurs facteurs qui incluent les données d’utilisateur, d’appareil, d’emplacement et d’authentification. Ces améliorations vous permettent, par le biais de l’interface utilisateur ou de Windows PowerShell, de gérer le risque d’accorder des autorisations d’accès à des applications sécurisées par AD FS via le contrôle d’accès multifacteur et l’authentification multifacteur basées sur l’identité de l’utilisateur ou l’appartenance à un groupe, l’emplacement réseau, les données d’appareil jointes au lieu de travail et l’état d’authentification lorsque l’authentification multifacteur (MFA) a été effectuée.

Pour plus d’informations sur l’authentification multifacteur et le contrôle d’accès multifacteur dans Les services de fédération Active Directory (AD FS) dans Windows Server 2012 R2, consultez les rubriques suivantes :

Configurer des stratégies d’authentification via le composant logiciel enfichable Gestion AD FS

L’appartenance aux administrateurs, ou équivalente, sur l’ordinateur local est la condition minimale requise pour effectuer ces procédures. Passez en revue les détails sur l’utilisation des comptes et des appartenances de groupe appropriés aux groupes par défaut locaux et de domaine.

Dans AD FS, dans Windows Server 2012 R2, vous pouvez spécifier une stratégie d’authentification dans une étendue globale applicable à toutes les applications et services sécurisés par AD FS. Vous pouvez également définir des stratégies d’authentification pour des applications et services spécifiques qui s’appuient sur des approbations tierces et sont sécurisées par AD FS. La spécification d’une stratégie d’authentification pour une application particulière par approbation de partie de confiance ne remplace pas la stratégie d’authentification globale. Si la stratégie d'authentification globale ou par approbation de partie de confiance exige l'authentification multifacteur, celle-ci est déclenchée lorsque l'utilisateur tente de s'authentifier auprès de cette approbation de partie de confiance. La stratégie d’authentification globale est une solution de secours pour les approbations de partie de confiance pour les applications et services pour lesquelles aucune stratégie d’authentification spécifique n’est configurée.

Pour configurer l’authentification principale globalement dans Windows Server 2012 R2

  1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans le composant logiciel enfichable AD FS, cliquez sur Stratégies d’authentification.

  3. Dans la section Authentification principale, cliquez sur Modifier à côté de Paramètres globaux. Vous pouvez également cliquer avec le bouton droit sur Stratégies d’authentification, puis sélectionner Modifier l’authentification principale globale, ou, sous le volet Actions , sélectionnez Modifier l’authentification principale globale. Capture d’écran mettant en évidence l’option Modifier l’authentification principale globale.

  4. Dans la fenêtre Modifier la stratégie d’authentification globale , sous l’onglet Principal , vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification globale :

Configurer l’authentification principale par approbation de partie de confiance

  1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans le composant logiciel enfichable AD FS, cliquez sur Stratégies d’authentification\Par approbation de partie de confiance, puis cliquez sur l’approbation de partie de confiance pour laquelle vous souhaitez configurer les stratégies d’authentification.

  3. Cliquez avec le bouton droit sur l’approbation de la partie de confiance pour laquelle vous souhaitez configurer les stratégies d’authentification, puis sélectionnez Modifier l’authentification principale personnalisée, ou sous le volet Actions, sélectionnez Modifier l’authentification principale personnalisée. Capture d’écran mettant en évidence l’option Modifier l’authentification principale personnalisée.

  4. Dans la fenêtre Modifier la stratégie d’authentification pour <relying_party_trust_name>, sous l’onglet Principal, vous pouvez configurer le paramètre suivant dans le cadre de la Stratégie d’authentification d’approbation par partie de confiance :

    • Indique si les utilisateurs doivent fournir leurs informations d’identification à chaque connexion en activant la case les utilisateurs doivent fournir leurs informations d’identification chaque fois lors de la connexion. Capture d’écran montrant comment configurer les paramètres dans le cadre de la stratégie d’authentification par partie de confiance.

Pour configurer l’authentification multifacteur globalement

  1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans le composant logiciel enfichable AD FS, cliquez sur Stratégies d’authentification.

  3. Dans la section Authentification multifacteur, cliquez sur Modifier à côté des paramètres globaux. Vous pouvez également cliquer avec le bouton droit sur Stratégies d’authentification, puis sélectionner Modifier l’authentification multifacteur globale, ou, sous le volet Actions , sélectionnez Modifier l’authentification multifacteur globale. Capture d’écran mettant en évidence l’option Modifier l’authentification multifacteur globale.

  4. Dans la fenêtre Modifier la stratégie d’authentification globale , sous l’onglet Multifacteur , vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification multifacteur globale :

    • Paramètres ou conditions de l’authentification multifacteur via les options disponibles dans les sections Utilisateurs/Groupes, Appareils et Emplacements .

    • Pour activer l’authentification multifacteur pour l’un de ces paramètres, vous devez sélectionner au moins une méthode d’authentification supplémentaire. L’authentification par certificat est l’option disponible par défaut. Vous pouvez également configurer d’autres méthodes d’authentification supplémentaires personnalisées, par exemple, l’authentification Windows Azure Active. Pour plus d’informations, consultez le Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles.

Avertissement

Vous pouvez uniquement configurer des méthodes d’authentification supplémentaires globalement. Stratégies d’authentification

Configurer l’authentification multifacteur par approbation de partie de confiance

  1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans le composant logiciel enfichable AD FS, cliquez sur Stratégies d’authentification\Par approbation de partie de confiance, puis cliquez sur l’approbation de partie de confiance pour laquelle vous souhaitez configurer l’authentification multifacteur.

  3. Cliquez avec le bouton droit sur l’approbation de la partie de confiance pour laquelle vous souhaitez configurer l’authentification multifacteur, puis sélectionnez Modifier l’authentification multifacteur personnalisée, ou sous le volet Actions, sélectionnez Modifier l’authentification principale personnalisée.

  4. Dans la fenêtre Modifier la stratégie d’authentification pour <relying_party_trust_name>, sous l’onglet Multifacteur, vous pouvez configurer le paramètre suivant dans le cadre de la stratégie d’authentification d’approbation par partie de confiance :

    • Paramètres ou conditions de l’authentification multifacteur via les options disponibles dans les sections Utilisateurs/Groupes, Appareils et Emplacements .

Configurer des stratégies d’authentification via Windows PowerShell

Windows PowerShell offre une plus grande flexibilité en utilisant différents facteurs de contrôle d’accès et le mécanisme d’authentification qui sont disponibles dans AD FS dans Windows Server 2012 R2 pour configurer des stratégies d’authentification et des règles d’autorisation nécessaires pour implémenter un accès conditionnel vrai pour vos ressources AD FS -secured.

L’appartenance aux administrateurs, ou équivalente, sur l’ordinateur local est la condition minimale requise pour effectuer ces procédures. Passez en revue les détails sur l’utilisation des comptes et des appartenances de groupe appropriés dans les groupes locaux et les groupes par défaut de domaine (http://go.microsoft.com/fwlink/?LinkId=83477).

Pour configurer une méthode d’authentification supplémentaire via Windows PowerShell

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

Avertissement

Pour vérifier que cette commande s’est exécutée correctement, vous pouvez exécuter la Get-AdfsGlobalAuthenticationPolicy commande.

Configurer l’approbation par partie de confiance de l’authentification multifacteur basée sur les données d’appartenance de groupe d’un utilisateur

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante :
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Avertissement

Veillez à remplacer <relying_party_trust> par le nom de votre approbation de partie de confiance.

  1. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

Remarque

Veillez à remplacer <group_SID> par la valeur de l’identificateur de sécurité (SID) de votre groupe Active Directory (AD).

Pour configurer l’authentification multifacteur globalement en fonction des données d’appartenance aux groupes des utilisateurs

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Remarque

Veillez à remplacer <group_SID> par la valeur du SID de votre groupe AD.

Pour configurer l’authentification multifacteur globalement en fonction de l’emplacement de l’utilisateur

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Remarque

Veillez à remplacer <true_or_false> par soit true soit false. La valeur dépend de votre condition de règle spécifique basée sur le fait que la demande d’accès provient du extranet ou de l’intranet.

Pour configurer l’authentification multifacteur globalement en fonction des données d’appareil de l’utilisateur

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Remarque

Veillez à remplacer <true_or_false> par soit true soit false. La valeur dépend de votre condition de règle spécifique basée sur le fait que l’appareil est joint ou non au lieu de travail.

Pour configurer l’authentification multifacteur globalement si la demande d’accès provient de l’extranet et d’un appareil non joint au lieu de travail

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

Remarque

Veillez à remplacer les deux instances de <true_or_false> par l’une ou l’autre true ou false, qui dépend de vos conditions de règle spécifiques. Les conditions de règle sont basées sur le fait que l’appareil est joint au lieu de travail ou non et que la demande d’accès provient de l’extranet ou de l’intranet.

Pour configurer l’authentification multifacteur globalement si l’accès provient d’un utilisateur extranet appartenant à un certain groupe

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

Remarque

Veillez à remplacer <group_SID> par la valeur du SID de groupe et <true_or_false> par true l’une ou l’autre ou false, qui dépend de votre condition de règle spécifique basée sur la question de savoir si la demande d’accès provient de l’extranet ou de l’intranet.

Pour accorder l’accès à une application en fonction des données utilisateur via Windows PowerShell

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Remarque

Veillez à remplacer <relying_party_trust> par la valeur de votre approbation de partie de confiance.

  1. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

Remarque

Veillez à remplacer <group_SID> par la valeur du SID de votre groupe AD.

Pour accorder l’accès à une application sécurisée par AD FS uniquement si l’identité de cet utilisateur a été validée avec MFA

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Remarque

Veillez à remplacer <relying_party_trust> par la valeur de votre approbation de partie de confiance.

  1. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

Pour accorder l’accès à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un appareil joint au lieu de travail inscrit à l’utilisateur

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Remarque

Veillez à remplacer <relying_party_trust> par la valeur de votre approbation de partie de confiance.

  1. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

Pour accorder l’accès à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un appareil joint au lieu de travail inscrit auprès d’un utilisateur dont l’identité a été validée avec L’authentification multifacteur

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Remarque

Veillez à remplacer <relying_party_trust> par la valeur de votre approbation de partie de confiance.

  1. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

Pour accorder l’accès extranet à une application sécurisée par AD FS uniquement si la demande d’accès provient d’un utilisateur dont l’identité a été validée avec MFA

  1. Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Remarque

Veillez à remplacer <relying_party_trust> par la valeur de votre approbation de partie de confiance.

  1. Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

Références supplémentaires

Opérations AD FS