Felhőalapú erőforrások védelme a Microsoft Entra többtényezős hitelesítésével és az AD FS használatával
Ha a szervezet össze van osztva a Microsoft Entra-azonosítóval, használja a Microsoft Entra többtényezős hitelesítést vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) a Microsoft Entra ID által elért erőforrások védelméhez. Az alábbi eljárásokkal biztonságossá teheti a Microsoft Entra-erőforrásokat a Microsoft Entra többtényezős hitelesítéssel vagy Active Directory összevonási szolgáltatások (AD FS).
Megjegyzés:
Állítsa a federatedIdpMfaBehavior tartománybeállítást (ajánlott) vagy a SupportsMFA értékre$True
.enforceMfaByFederatedIdp
Az összevontIdpMfaBehavior beállítás felülbírálja a SupportsMFA-t , ha mindkettő be van állítva.
Microsoft Entra-erőforrások védelme az AD FS használatával
A felhőszolgáltatás biztosításához állítson be egy jogcímszabályt, hogy az Active Directory összevonási szolgáltatások a multipleauthn jogcímet adja ki, amikor egy felhasználó sikeresen végez kétlépéses ellenőrzést. Ezt a jogcímet a rendszer a Microsoft Entra-azonosítónak továbbítja. Az alábbi eljárás bemutatja ennek lépéseit:
Nyissa meg az AD FS felügyeleti konzolt.
A bal oldalon válassza a Függő entitás megbízhatóságai elemet.
Kattintson a jobb gombbal a Microsoft Office 365 Identity Platform elemre, és válassza a Jogcímszabályok szerkesztése lehetőséget.
A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.
Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Bejövő jogcím továbbítása vagy szűrése elemet a legördülő menüből, majd kattintson a Tovább gombra.
Adjon nevet a szabálynak.
Válassza a Hitelesítési módszerek hivatkozásai lehetőséget a Bejövő jogcím típusaként.
Válassza Az összes jogcímérték továbbítása lehetőséget.
Kattintson a Befejezés gombra. Zárja be az AD FS felügyeleti konzolt.
Megbízható IP-címek összevont felhasználók számára
A megbízható IP-címek lehetővé teszik a rendszergazdák számára, hogy megkerüljék a kétlépéses ellenőrzést adott IP-címek vagy összevont felhasználók számára, akik a saját intranetjükről származó kérésekkel rendelkeznek. Az alábbi szakaszok azt ismertetik, hogyan konfigurálható az megkerülés megbízható IP-címek használatával. Ehhez úgy kell konfigurálni az AD FS-t, hogy áteresztést vagy a bejövő jogcímsablonok szűrését használja a vállalati hálózaton belüli jogcímtípushoz.
Ez a példa a Microsoft 365-öt használja a függő entitás megbízhatósági szolgáltatásához.
Az AD FS-jogcímszabályok konfigurálása
Az első lépés az AD FS-jogcímek konfigurálása. Két jogcímszabályt hozzon létre: egyet a vállalati hálózaton belüli jogcímtípushoz és egy másikat ahhoz, hogy a felhasználók bejelentkezve maradjanak.
Nyissa meg az AD FS felügyeleti konzolt.
A bal oldalon válassza a Függő entitás megbízhatóságai elemet.
Kattintson a jobb gombbal a Microsoft Office 365 Identity Platform elemre, és válassza a Jogcímszabályok szerkesztése… lehetőséget.
A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.
Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Bejövő jogcím továbbítása vagy szűrése elemet a legördülő menüből, majd kattintson a Tovább gombra.
A Jogcímszabály neve melletti mezőben adjon nevet a szabálynak. Például: InsideCorpNet.
A Bejövő jogcím típusa melletti legördülő listából válassza a Vállalati hálózaton belül elemet.
Kattintson a Befejezés gombra.
A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.
Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Jogcímek küldése egyéni szabállyal elemet a legördülő menüből, és kattintson a Tovább gombra.
A Jogcímszabály neve: alatti mezőbe írja be a következőt: Keep Users Signed In (A felhasználók maradjanak bejelentkezve).
Az Egyéni szabály mezőbe írja be a következőt:
c:[Type == "https://schemas.microsoft.com/2014/03/psso"] => issue(claim = c);
Kattintson a Befejezés gombra.
Kattintson az Apply (Alkalmaz) gombra .
Kattintson az OK gombra.
Zárja be az AD FS felügyeleti konzolt.
A Microsoft Entra többtényezős hitelesítésének konfigurálása Megbízható IP-címek összevont felhasználókkal
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Most, hogy megvannak a jogcímek, konfigurálhatjuk a megbízható IP-címeket.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
Keresse meg a feltételes hozzáférés>által elnevezett helyeket.
A Feltételes hozzáférés – Névvel ellátott helyek panelen válassza az MFA megbízható IP-címeinek konfigurálása lehetőséget
A Szolgáltatás Gépház lapon, a megbízható IP-címek alatt válassza a Többtényezős hitelesítés kihagyása lehetőséget az intranet összevont felhasználóitól érkező kérésekhez.
Kattintson a mentés gombra.
Ennyi az egész! Ezen a ponton az összevont Microsoft 365-felhasználóknak csak akkor kell MFA-t használniuk, ha egy jogcím a vállalati intraneten kívülről származik.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: