Megosztás a következőn keresztül:

Felhőalapú erőforrások védelme a Microsoft Entra többtényezős hitelesítésével és az AD FS használatával

  • Cikk

Ha a szervezet össze van osztva a Microsoft Entra-azonosítóval, használja a Microsoft Entra többtényezős hitelesítést vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) a Microsoft Entra ID által elért erőforrások védelméhez. Az alábbi eljárásokkal biztonságossá teheti a Microsoft Entra-erőforrásokat a Microsoft Entra többtényezős hitelesítéssel vagy Active Directory összevonási szolgáltatások (AD FS).

Megjegyzés:

Állítsa a federatedIdpMfaBehavior tartománybeállítást (ajánlott) vagy a SupportsMFA értékre$True.enforceMfaByFederatedIdp Az összevontIdpMfaBehavior beállítás felülbírálja a SupportsMFA-t , ha mindkettő be van állítva.

Microsoft Entra-erőforrások védelme az AD FS használatával

A felhőszolgáltatás biztosításához állítson be egy jogcímszabályt, hogy az Active Directory összevonási szolgáltatások a multipleauthn jogcímet adja ki, amikor egy felhasználó sikeresen végez kétlépéses ellenőrzést. Ezt a jogcímet a rendszer a Microsoft Entra-azonosítónak továbbítja. Az alábbi eljárás bemutatja ennek lépéseit:

  1. Nyissa meg az AD FS felügyeleti konzolt.

  2. A bal oldalon válassza a Függő entitás megbízhatóságai elemet.

  3. Kattintson a jobb gombbal a Microsoft Office 365 Identity Platform elemre, és válassza a Jogcímszabályok szerkesztése lehetőséget.

    ADFS Console - Relying Party Trusts

  4. A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.

    Editing Issuance Transform Rules

  5. Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Bejövő jogcím továbbítása vagy szűrése elemet a legördülő menüből, majd kattintson a Tovább gombra.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Adjon nevet a szabálynak.

  7. Válassza a Hitelesítési módszerek hivatkozásai lehetőséget a Bejövő jogcím típusaként.

  8. Válassza Az összes jogcímérték továbbítása lehetőséget.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Kattintson a Befejezés gombra. Zárja be az AD FS felügyeleti konzolt.

Megbízható IP-címek összevont felhasználók számára

A megbízható IP-címek lehetővé teszik a rendszergazdák számára, hogy megkerüljék a kétlépéses ellenőrzést adott IP-címek vagy összevont felhasználók számára, akik a saját intranetjükről származó kérésekkel rendelkeznek. Az alábbi szakaszok azt ismertetik, hogyan konfigurálható az megkerülés megbízható IP-címek használatával. Ehhez úgy kell konfigurálni az AD FS-t, hogy áteresztést vagy a bejövő jogcímsablonok szűrését használja a vállalati hálózaton belüli jogcímtípushoz.

Ez a példa a Microsoft 365-öt használja a függő entitás megbízhatósági szolgáltatásához.

Az AD FS-jogcímszabályok konfigurálása

Az első lépés az AD FS-jogcímek konfigurálása. Két jogcímszabályt hozzon létre: egyet a vállalati hálózaton belüli jogcímtípushoz és egy másikat ahhoz, hogy a felhasználók bejelentkezve maradjanak.

  1. Nyissa meg az AD FS felügyeleti konzolt.

  2. A bal oldalon válassza a Függő entitás megbízhatóságai elemet.

  3. Kattintson a jobb gombbal a Microsoft Office 365 Identity Platform elemre, és válassza a Jogcímszabályok szerkesztése… lehetőséget.

    ADFS Console - Edit Claim Rules

  4. A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.

    Adding a Claim Rule

  5. Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Bejövő jogcím továbbítása vagy szűrése elemet a legördülő menüből, majd kattintson a Tovább gombra.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. A Jogcímszabály neve melletti mezőben adjon nevet a szabálynak. Például: InsideCorpNet.

  7. A Bejövő jogcím típusa melletti legördülő listából válassza a Vállalati hálózaton belül elemet.

    Adding Inside Corporate Network claim

  8. Kattintson a Befejezés gombra.

  9. A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.

  10. Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Jogcímek küldése egyéni szabállyal elemet a legördülő menüből, és kattintson a Tovább gombra.

  11. A Jogcímszabály neve: alatti mezőbe írja be a következőt: Keep Users Signed In (A felhasználók maradjanak bejelentkezve).

  12. Az Egyéni szabály mezőbe írja be a következőt:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Kattintson a Befejezés gombra.

  14. Kattintson az Apply (Alkalmaz) gombra .

  15. Kattintson az OK gombra.

  16. Zárja be az AD FS felügyeleti konzolt.

A Microsoft Entra többtényezős hitelesítésének konfigurálása Megbízható IP-címek összevont felhasználókkal

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Most, hogy megvannak a jogcímek, konfigurálhatjuk a megbízható IP-címeket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Keresse meg a feltételes hozzáférés>által elnevezett helyeket.

  3. A Feltételes hozzáférés – Névvel ellátott helyek panelen válassza az MFA megbízható IP-címeinek konfigurálása lehetőséget

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. A Szolgáltatás Gépház lapon, a megbízható IP-címek alatt válassza a Többtényezős hitelesítés kihagyása lehetőséget az intranet összevont felhasználóitól érkező kérésekhez.

  5. Kattintson a mentés gombra.

Ennyi az egész! Ezen a ponton az összevont Microsoft 365-felhasználóknak csak akkor kell MFA-t használniuk, ha egy jogcím a vállalati intraneten kívülről származik.