Az AD FS megbízhatóságának kezelése a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás
Áttekintés
Amikor a helyszíni környezetet a Microsoft Entra-azonosítóval egyesíti, megbízhatósági kapcsolatot hoz létre a helyszíni identitásszolgáltató és a Microsoft Entra-azonosító között. A Microsoft Entra Csatlakozás kezelheti az összevonást helyi Active Directory összevonási szolgáltatás (AD FS) és a Microsoft Entra ID között. Ez a cikk áttekintést nyújt az alábbiakról:
- A Microsoft Entra Csatlakozás által a megbízhatóságra konfigurált különböző beállítások.
- A Microsoft Entra Csatlakozás által beállított kiállításátalakítási szabályok (jogcímszabályok).
- A jogcímszabályok biztonsági mentése és visszaállítása a frissítések és a konfigurációfrissítések között.
- Ajánlott eljárás az AD FS megbízhatóságának a Microsoft Entra-azonosítóval való védelméhez és monitorozásához.
Gépház a Microsoft Entra Csatlakozás
A Microsoft Entra Csatlakozás csak a Microsoft Entra ID megbízhatóságával kapcsolatos beállításokat kezeli. A Microsoft Entra Csatlakozás nem módosítja az AD FS többi függő entitás megbízhatósági beállításainak beállításait. Az alábbi táblázat a Microsoft Entra Csatlakozás által szabályozott beállításokat mutatja be.
| Beállítás | Description |
|---|---|
| Jogkivonat-aláíró tanúsítvány | A Microsoft Entra Csatlakozás használatával visszaállíthatja és újra létrehozhatja a megbízhatóságot a Microsoft Entra-azonosítóval. A Microsoft Entra Csatlakozás az AD FS-hez tartozó jogkivonat-aláíró tanúsítványok egyszeri azonnali visszaállítását végzi el, és frissíti a Microsoft Entra tartomány összevonási beállításait. |
| Jogkivonat-aláíró algoritmus | A Microsoft azt javasolja, hogy az SHA-256-ot használja jogkivonat-aláíró algoritmusként. A Microsoft Entra Csatlakozás képes észlelni, hogy a jogkivonat-aláírási algoritmus az SHA-256-nál kevésbé biztonságos értékre van-e beállítva. A következő lehetséges konfigurációs művelet során sha-256-ra frissíti a beállítást. Az új jogkivonat-aláíró tanúsítvány használatához más függő entitás megbízhatóságát is frissíteni kell. |
| Microsoft Entra ID megbízhatósági azonosító | A Microsoft Entra Csatlakozás beállítja a Microsoft Entra-azonosító megbízhatóságának megfelelő azonosító értékét. Az AD FS egyedileg azonosítja a Microsoft Entra-azonosító megbízhatóságát az azonosító érték használatával. |
| Microsoft Entra-végpontok | A Microsoft Entra Csatlakozás gondoskodik arról, hogy a Microsoft Entra ID megbízhatóságához konfigurált végpontok mindig a legújabb ajánlott értékeknek megfelelően legyenek konfigurálva a rugalmasság és a teljesítmény szempontjából. |
| Kiállítási átalakítási szabályok | Számos jogcímszabályra van szükség a Microsoft Entra ID funkcióinak optimális teljesítményéhez összevont beállításban. A Microsoft Entra Csatlakozás gondoskodik arról, hogy a Microsoft Entra-azonosító megbízhatósága mindig az ajánlott jogcímszabályok megfelelő készletével legyen konfigurálva. |
| Másodlagos azonosító | Ha a szinkronizálás alternatív azonosító használatára van konfigurálva, a Microsoft Entra Csatlakozás konfigurálja az AD FS-t alternatív azonosító használatával történő hitelesítésre. |
| Automatikus metaadat-frissítés | A Microsoft Entra-azonosítóval való megbízhatóság automatikus metaadat-frissítésre van konfigurálva. Az AD FS rendszeres időközönként ellenőrzi a Microsoft Entra ID megbízhatóság metaadatait, és naprakészen tartja, ha a Microsoft Entra ID oldalán megváltozik. |
| Integrált Windows-hitelesítés (IWA) | A Microsoft Entra hibrid csatlakoztatási művelete során az IWA engedélyezve van az eszközregisztrációhoz, hogy megkönnyítse a Microsoft Entra hibrid csatlakoztatását az alsó szintű eszközökhöz |
A Microsoft Entra Csatlakozás által konfigurált végrehajtási folyamatok és összevonási beállítások
A Microsoft Entra Csatlakozás nem frissíti a Microsoft Entra ID megbízhatósági beállításait a konfigurációs folyamatok során. A módosított beállítások attól függenek, hogy melyik tevékenység vagy végrehajtási folyamat van végrehajtva. Az alábbi táblázat a különböző végrehajtási folyamatokban érintett beállításokat sorolja fel.
| Végrehajtási folyamat | Gépház érintett |
|---|---|
| Első átmenő telepítés (expressz) | None |
| Első átmenő telepítés (új AD FS-farm) | Létrejön egy új AD FS-farm, és létrejön a Microsoft Entra-azonosítóval való megbízhatóság. |
| Első átmenő telepítés (meglévő AD FS-farm, meglévő Microsoft Entra ID-megbízhatóság) | Microsoft Entra ID megbízhatósági azonosító, kiállítási átalakítási szabályok, Microsoft Entra-végpontok, alternatív azonosító (ha szükséges), automatikus metaadatok frissítése |
| A Microsoft Entra-azonosító megbízhatóságának alaphelyzetbe állítása | Jogkivonat-aláíró tanúsítvány, jogkivonat-aláírási algoritmus, Microsoft Entra-azonosító megbízhatósági azonosító, kiállítási átalakítási szabályok, Microsoft Entra-végpontok, alternatív azonosító (ha szükséges), automatikus metaadat-frissítés |
| Összevonási kiszolgáló hozzáadása | None |
| WAP-kiszolgáló hozzáadása | None |
| Eszközbeállítások | Átalakító szabályok kiállítása, IWA az eszközregisztrációhoz |
| Összevont tartomány hozzáadása | Ha a tartomány első hozzáadása folyamatban van, vagyis a beállítás egyetlen tartomány összevonásról többtartományos összevonásra változik – a Microsoft Entra Csatlakozás az alapoktól újra létrehozza a megbízhatóságot. Ha a Microsoft Entra-azonosítóval rendelkező megbízhatóság már több tartományhoz van konfigurálva, csak a kiállítási átalakítási szabályok módosulnak |
| TLS frissítése | None |
A Microsoft Entra Csatlakozás minden művelet során biztonsági másolatot készít az aktuális megbízhatósági beállításokról a következő helyen: %ProgramData%\AAD Csatlakozás\ADFS
Megjegyzés:
Az 1.1.873.0-s verzió előtt a biztonsági mentés csak kiállítási átalakítási szabályokból állt, és biztonsági másolatot készítettek a varázsló nyomkövetési naplófájljában.
A Microsoft Entra Csatlakozás által beállított kiállításátalakítási szabályok
A Microsoft Entra Csatlakozás gondoskodik arról, hogy a Microsoft Entra-azonosító megbízhatósága mindig az ajánlott jogcímszabályok megfelelő készletével legyen konfigurálva. A Microsoft a Microsoft Entra Csatlakozás használatát javasolja a Microsoft Entra-azonosító megbízhatóságának kezeléséhez. Ez a szakasz a kiállítási átalakítási szabályok készletét és leírását sorolja fel.
| Szabály neve | Leírás |
|---|---|
| Probléma UPN | Ez a szabály lekérdezi a userprincipalname értékét a userprincipalname szinkronizálási beállításaiban konfigurált attribútum alapján. |
| Objectguid és msdsconsistencyguid lekérdezése egyéni ImmutableId jogcímhez | Ez a szabály ideiglenes értéket ad hozzá a folyamathoz az objectguid és az msdsconsistencyguid értékhez, ha létezik |
| Ellenőrizze az msdsconsconsistencyguid meglétét | Attól függően, hogy az msdsconsconsistencyguid értéke létezik-e vagy sem, beállítunk egy ideiglenes jelölőt, amely az ImmutableId-ként használandó elemeket irányítja |
| A probléma msdsconsistencyguid mint nem módosítható azonosító, ha létezik | Az msdsconsistencyguid mint ImmutableId hibát adja meg, ha az érték létezik |
| ObjectGuidRule hiba, ha az msdsConsistencyGuid szabály nem létezik | Ha az msdsconsistencyguid értéke nem létezik, az objektumguid értéke ImmutableId értékként lesz kiállítva |
| Probléma nevedentifier | Ez a szabály a névidentifier-jogcím értékét állítja ki. |
| Probléma a tartományhoz csatlakoztatott számítógépek fióktípusa esetén | Ha a hitelesítés alatt álló entitás tartományhoz csatlakoztatott eszköz, ez a szabály a fiók típusát a tartományhoz csatlakoztatott eszközt aláíró DJ-ként adja ki |
| Probléma az AccountType értékével U Standard kiadás R értékkel, ha az nem számítógépfiók | Ha a hitelesítés alatt álló entitás felhasználó, ez a szabály felhasználóként adja ki a fiók típusát |
| Probléma merül fel, ha az nem számítógépfiók | Ez a szabály akkor adja ki a kiállítóazonosító értékét, ha a hitelesítést végző entitás nem eszköz. Az érték egy regexen keresztül jön létre, amelyet a Microsoft Entra Csatlakozás konfigurál. A regex a Microsoft Entra Csatlakozás használatával összevont összes tartomány figyelembevételével jön létre. |
| Probléma a DJ-számítógép hitelesítésével kapcsolatban | Ez a szabály a kiállítóazonosító értékét adja ki, ha a hitelesítést végző entitás egy eszköz |
| Probléma a tartományhoz csatlakoztatott számítógépek onpremobjectguid elemével kapcsolatban | Ha a hitelesítés alatt álló entitás tartományhoz csatlakoztatott eszköz, ez a szabály az eszköz helyszíni objektumát okozza |
| Áthaladás az elsődleges SID-ben | Ez a szabály a hitelesítést végző entitás elsődleges biztonsági azonosítóját adja ki |
| Jogcím átadása – insideCorporateNetwork | Ez a szabály olyan jogcímet ad ki, amely segít a Microsoft Entra-azonosítónak tudni, hogy a hitelesítés vállalati hálózaton belülről vagy külsőleg érkezik-e |
| Átengedési jogcím – Psso | |
| Jelszólejárati jogcímek kiállítása | Ez a szabály három jogcímet ad ki a jelszó lejárati idejére, a jelszó lejáratának napjainak számát, valamint az URL-címet, ahová a jelszó módosítására kell irányítani. |
| Átengedési jogcím – authnmethodsreferences | Az ebben a szabályban kiadott jogcím értéke azt jelzi, hogy milyen típusú hitelesítést hajtottak végre az entitáshoz |
| Átengedési jogcím – multifactorauthenticationinstant | A jogcím értéke azt az időpontot adja meg UTC-ben, amikor a felhasználó legutóbb többtényezős hitelesítést hajtott végre. |
| Átengedési jogcím – AlternateLoginID | Ez a szabály az AlternateLoginID jogcímet állítja ki, ha a hitelesítést alternatív bejelentkezési azonosítóval hajtották végre. |
Megjegyzés:
Az UPN és az ImmutableId probléma jogcímszabályai eltérőek lesznek, ha nem alapértelmezett beállítást használ a Microsoft Entra Csatlakozás konfigurációja során
Kiállítási átalakítás szabályainak visszaállítása
A Microsoft Entra Csatlakozás 1.1.873.0-s vagy újabb verziója biztonsági másolatot készít a Microsoft Entra-azonosító megbízhatósági beállításairól, amikor frissítés történik a Microsoft Entra-azonosító megbízhatósági beállításaira. A Microsoft Entra-azonosító megbízhatósági beállításairól a rendszer biztonsági másolatot készít a következő helyen: %ProgramData%\AAD Csatlakozás\ADFS. A fájl neve a következő formátumban van: AadTrust-date-time.txt<><>, például : AadTrust-20180710-150216.txt
Az alábbi javasolt lépések végrehajtásával visszaállíthatja a kiállítás átalakítására vonatkozó szabályokat
- Nyissa meg az AD FS felügyeleti felhasználói felületét a Kiszolgálókezelő
- Nyissa meg a Microsoft Entra-azonosító megbízhatósági tulajdonságait az AD FS > függő entitás megbízhatósági szabályzatának > megnyitásával a Microsoft Office 365 Identitásplatform > jogcímkiállítási szabályzatának szerkesztésével
- Kattintson a Szabály hozzáadása elemre
- A jogcímszabály-sablonban válassza a Jogcímek küldése egyéni szabály használatával lehetőséget, majd kattintson a Tovább gombra
- Másolja ki a jogcímszabály nevét a biztonsági mentési fájlból, és illessze be a Jogcímszabály neve mezőbe
- Másolja a jogcímszabályt a biztonsági mentési fájlból az Egyéni szabály szövegmezőbe, és kattintson a Befejezés gombra
Megjegyzés:
Győződjön meg arról, hogy a további szabályok nem ütköznek a Microsoft Entra Csatlakozás által konfigurált szabályokkal.
Ajánlott eljárás az AD FS megbízhatóságának a Microsoft Entra-azonosítóval való biztonságossá tételéhez és monitorozásához
Ha az AD FS-t a Microsoft Entra-azonosítóval összevonta, kritikus fontosságú, hogy az összevonási konfigurációt (az AD FS és a Microsoft Entra ID között konfigurált megbízhatósági kapcsolatot) szorosan monitorozza, és minden szokatlan vagy gyanús tevékenységet rögzítsen. Ehhez javasoljuk, hogy állítson be riasztásokat, és értesítést kapjon, amikor bármilyen módosítás történik az összevonási konfigurációban. A riasztások beállításáról további információt az összevonási konfiguráció változásainak figyelése című témakörben talál.
Ha felhőalapú Azure MFA-t használ többtényezős hitelesítéshez összevont felhasználókkal, javasoljuk, hogy engedélyezze a további biztonsági védelmet. Ez a biztonsági védelem megakadályozza a felhőbeli Azure MFA megkerülését, ha a Microsoft Entra ID-val összevonták. Ha engedélyezve van, a Microsoft Entra-bérlő összevont tartománya esetén biztosítja, hogy egy rossz szereplő ne tudja megkerülni az Azure MFA-t, ha azt utánozza, hogy az identitásszolgáltató már végrehajtotta a többtényezős hitelesítést. A védelem új biztonsági beállítással engedélyezhető. federatedIdpMfaBehavior További információ: Ajánlott eljárások a Active Directory összevonási szolgáltatások (AD FS) biztonságossá tételéhez
További lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: