Megosztás a következőn keresztül:

Hozzáférés-vezérlési szabályzatok a Windows Server 2016 AD FS-ben

Hozzáférés-vezérlési szabályzatsablonok az AD FS-ben

Az Active Directory összevonási szolgáltatások mostantól támogatják a hozzáférés-vezérlési szabályzatsablonok használatát. A hozzáférés-vezérlési szabályzatsablonok használatával a rendszergazda kikényszerítheti a szabályzatbeállításokat úgy, hogy a szabályzatsablont függő entitások (RP-k) egy csoportjához rendeli. A rendszergazda a szabályzatsablont is frissítheti, és a módosítások automatikusan érvényesek lesznek a függő entitásokra, ha nincs szükség felhasználói beavatkozásra.

Mik azok a hozzáférés-vezérlési szabályzatsablonok?

A szabályzatfeldolgozáshoz használt AD FS-alapfolyamat három fázisból áll: hitelesítés, engedélyezés és jogcímkiállítás. Az AD FS rendszergazdáinak jelenleg külön kell konfigurálnia egy szabályzatot az egyes fázisokhoz. Ez magában foglalja ezen szabályzatok következményeinek megértését is, és ha ezek a szabályzatok függőségek között vannak. Emellett a rendszergazdáknak ismerniük kell a jogcímszabály nyelvét, és egyéni szabályokat kell létrehozniuk néhány egyszerű/gyakori szabályzat engedélyezéséhez (például a külső hozzáférés letiltásához).

A hozzáférés-vezérlési szabályzatsablonok lecserélik ezt a régi modellt, ahol a rendszergazdáknak jogcímnyelv használatával kell konfigurálnia a kiállítási engedélyezési szabályokat. A kiállítási engedélyezési szabályok régi PowerShell-parancsmagjai továbbra is érvényesek, de kölcsönösen kizárják az új modellt. A rendszergazdák választhatják az új vagy a régi modellt. Az új modell lehetővé teszi a rendszergazdák számára a hozzáférés megadásának ellenőrzését, beleértve a többtényezős hitelesítés kikényszerítését is.

A hozzáférés-vezérlési szabályzatsablonok engedélyezési modellt használnak. Ez azt jelenti, hogy alapértelmezés szerint senki sem rendelkezik hozzáféréssel, és a hozzáférést explicit módon kell megadni. Ez azonban nem egy kizárólagos vagy teljes mértékű engedély. A rendszergazdák kivételeket adhatnak az engedélyezési szabályhoz. Előfordulhat például, hogy egy rendszergazda egy adott hálózat alapján szeretne hozzáférést biztosítani a beállítás kiválasztásával és az IP-címtartomány megadásával. A rendszergazda azonban hozzáadhat és kivételt tehet, például a rendszergazda hozzáadhat egy adott hálózatból származó kivételt, és megadhatja az IP-címtartományt.

A hozzáférés-vezérlési szabályzatok megtekintésének helyét bemutató képernyőkép.

Beépített hozzáférés-vezérlési szabályzatsablonok és egyéni hozzáférés-vezérlési szabályzatsablonok

Az AD FS számos beépített hozzáférés-vezérlési szabályzatsablont tartalmaz. Ezek olyan gyakori forgatókönyveket céloznak meg, amelyek ugyanolyan szabályzatkövetelményeket támasztanak, például az Office 365 ügyfélhozzáférési szabályzatát. Ezek a sablonok nem módosíthatók.

A beépített hozzáférés-vezérlési szabályzatokat bemutató képernyőkép.

Az üzleti igények rugalmasabbá tételéhez a rendszergazdák létrehozhatják saját hozzáférési szabályzatsablonjaikat. Ezek a létrehozás után módosíthatók, és az egyéni szabályzatsablonok módosításai az összes olyan RP-re érvényesek lesznek, amelyeket ezek a szabályzatsablonok vezérelnek. Egyéni szabályzatsablon hozzáadásához egyszerűen kattintson a Hozzáférés-vezérlési szabályzat hozzáadása elemre az AD FS-felügyeleten belül.

Szabályzatsablon létrehozásához a rendszergazdának először meg kell adnia, hogy mely feltételek mellett lesz engedélyezve egy kérés a jogkivonatok kiállításához és/vagy delegálásához. A feltétel- és műveletbeállítások az alábbi táblázatban láthatók. A félkövér állapotú feltételeket a rendszergazda tovább konfigurálhatja különböző vagy új értékekkel. A rendszergazda megadhat kivételeket is, ha vannak ilyenek. Ha teljesül egy feltétel, a rendszer nem indít el engedélyezési műveletet, ha kivétel van megadva, és a bejövő kérelem megfelel a kivételben megadott feltételnek.

Felhasználók engedélyezése Kivételével
Adott hálózatról Adott hálózatról

Kijelölt csoportokból

Specifikus megbízhatósági szinttel rendelkező eszközökről

Konkrét követelésekkel a kérelemben
Kijelölt csoportokból Adott hálózatról

Kijelölt csoportokból

Specifikus megbízhatósági szinttel rendelkező eszközökről

Konkrét követelésekkel a kérelemben
Specifikus megbízhatósági szinttel rendelkező eszközökről Adott hálózatról

Kijelölt csoportokból

Specifikus megbízhatósági szinttel rendelkező eszközökről

Konkrét követelésekkel a kérelemben
Konkrét követelésekkel a kérelemben Adott hálózatról

Kijelölt csoportokból

Specifikus megbízhatósági szinttel rendelkező eszközökről

Konkrét követelésekkel a kérelemben
Többtényezős hitelesítés megkövetelése Adott hálózatról

Kijelölt csoportokból

Specifikus megbízhatósági szinttel rendelkező eszközökről

Konkrét követelésekkel a kérelemben

Ha egy rendszergazda több feltételt is kiválaszt, az ÉS kapcsolatban áll. A műveletek kölcsönösen kizárják egymást, és egy szabályzatszabály esetében csak egy műveletet választhat. Ha a rendszergazda több kivételt jelöl ki, azok VAGY kapcsolatban állnak. Az alábbiakban néhány házirendszabály-példát láthat:

Politika Szabályzatszabályok
Az extranetes hozzáféréshez MFA szükséges

Minden felhasználó számára engedélyezett

 1. szabály

az extranetről

és az MFA-val

Engedély

2. szabály

intranetről

Engedély
Külső hozzáférés nem engedélyezett, kivéve a nem teljes munkaidős alkalmazottakat.

A munkahelyi csatlakoztatott eszközön engedélyezett az FTE intranetes hozzáférése

 1. szabály

Az extranetről

és nem FTE-csoportból

Engedély

2. szabály

intranetről

és a munkahelyhez csatlakoztatott eszközről

és FTE-csoportból

Engedély
Az extranetes hozzáféréshez MFA szükséges a "szolgáltatásadminisztrátor" kivételével

Minden felhasználó számára engedélyezett a hozzáférés

 1. szabály

az extranetről

és az MFA-val

Engedély

Szolgáltatásadminisztrátorcsoport kivételével

2. szabály

mindig

Engedély
az extranetről való hozzáféréshez nem munkahelyhez csatlakoztatott eszközhöz MFA szükséges

Az AD-háló engedélyezése intranetes és extranetes hozzáféréshez

 1. szabály

intranetről

És az AD Fabric-csoportból

Engedély

2. szabály

az extranetről

és nem munkahelyhez csatlakoztatott eszközről

és az AD Fabric-csoportból

és az MFA-val

Engedély

3. szabály

az extranetről

és a munkahelyhez csatlakoztatott eszközről

és az AD Fabric-csoportból

Engedély

Paraméteres szabályzatsablon és nem paraméterezett szabályzatsablon

A paraméteres szabályzatsablon olyan szabályzatsablon, amely paraméterekkel rendelkezik. A rendszergazdáknak meg kell adniuk ezeknek a paramétereknek az értékét, amikor ezt a sablont RPs-hez rendelik. A rendszergazda nem módosíthatja a paraméteres házirendsablont a létrehozás után. A paraméterezett házirendre példa a beépített szabályzat, az adott csoport engedélyezése. Amikor ezt a házirendet alkalmazza egy RP-hez, ezt a paramétert kell megadni.

Képernyőkép egy paraméteres szabályzatsablonról.

A nem paraméterezett szabályzatsablonok olyan szabályzatsablonok, amelyek nem rendelkeznek paraméterekkel. A rendszergazda anélkül rendelheti hozzá ezt a sablont az RP-hez, hogy nincs szükség bemenetre, és módosításokat végezhet egy nem paraméterezett szabályzatsablonon a létrehozás után. Erre példa a beépített szabályzat, az Engedélyezés mindenkinek és az MFA megkövetelése.

Képernyőkép egy nem paraméteres szabályzatsablonról.

Nem paraméteres hozzáférés-vezérlési szabályzat létrehozása

Nem paraméteres hozzáférés-vezérlési szabályzat létrehozásához használja az alábbi eljárást

Nem paraméteres hozzáférés-vezérlési szabályzat létrehozása

  1. A bal oldali AD FS-kezelésben válassza a Hozzáférés-vezérlési szabályzatok lehetőséget, majd a jobb oldalon kattintson a Hozzáférés-vezérlési szabályzat hozzáadása elemre.

  2. Adjon meg egy nevet és egy leírást. Például: Hitelesített eszközökkel rendelkező felhasználók engedélyezése.

  3. Ha az alábbi szabályok valamelyike teljesül, a Hozzáférés engedélyezése csoportban kattintson a Hozzáadás gombra.

  4. Az engedély alatt jelölje be a jelölőnégyzetet a meghatározott megbízhatósági szinttel rendelkező eszközök mellett.

  5. Alul válassza ki az aláhúzott konkrét

  6. Az előugró ablakban válassza a hitelesített elemet a legördülő menüből. Kattintson az OK gombra.

    Képernyőkép az eszköz megbízhatósági szintjének kiválasztásáról.

  7. Kattintson az OK gombra. Kattintson az OK gombra.

    Képernyőkép a szabályzatmódosítás elfogadásáról.

Paraméteres hozzáférés-vezérlési szabályzat létrehozása

Paraméteres hozzáférés-vezérlési szabályzat létrehozásához használja az alábbi eljárást

Paraméteres hozzáférés-vezérlési szabályzat létrehozása

  1. A bal oldali AD FS-kezelésben válassza a Hozzáférés-vezérlési szabályzatok lehetőséget, majd a jobb oldalon kattintson a Hozzáférés-vezérlési szabályzat hozzáadása elemre.

  2. Adjon meg egy nevet és egy leírást. Például: Adott jogcímmel rendelkező felhasználók engedélyezése.

  3. Ha az alábbi szabályok valamelyike teljesül, a Hozzáférés engedélyezése csoportban kattintson a Hozzáadás gombra.

  4. Az engedély alatt jelölje be a kérelemben szereplő konkrét jogcímek melletti jelölőnégyzetet

  5. Alul válassza ki az aláhúzott konkrét

  6. Az előugró ablakban válassza a hozzáférés-vezérlési szabályzat hozzárendelésekor megadott paramétert. Kattintson az OK gombra.

    Képernyőkép a hozzáférés-vezérlési szabályzat hozzárendelésekor megadott paraméterről.

  7. Kattintson az OK gombra. Kattintson az OK gombra.

    Képernyőkép a kijelölt beállítás elfogadásáról.

Egyéni hozzáférés-vezérlési szabályzat létrehozása kivételekkel

Hozzáférés-vezérlési szabályzat kivétellel történő létrehozásához kövesse az alábbi eljárást.

Egyéni hozzáférés-vezérlési szabályzat kivétellel történő létrehozása

  1. A bal oldali AD FS-kezelésben válassza a Hozzáférés-vezérlési szabályzatok lehetőséget, majd a jobb oldalon kattintson a Hozzáférés-vezérlési szabályzat hozzáadása elemre.

  2. Adjon meg egy nevet és egy leírást. Például: Hitelesített eszközökkel rendelkező, de nem felügyelt felhasználók engedélyezése.

  3. Ha az alábbi szabályok valamelyike teljesül, a Hozzáférés engedélyezése csoportban kattintson a Hozzáadás gombra.

  4. Az engedély alatt jelölje be a jelölőnégyzetet a meghatározott megbízhatósági szinttel rendelkező eszközök mellett.

  5. Alul válassza ki az aláhúzott konkrét

  6. Az előugró ablakban válassza a hitelesített elemet a legördülő menüből. Kattintson az OK gombra.

  7. A kivétel alatt helyezzen be egy jelölőnégyzetet a megadott megbízhatósági szinttel rendelkező eszközök mellett

  8. A lenti résznél válassza ki az aláhúzott konkrét

  9. Az előugró ablakban válassza a felügyelt elemet a legördülő menüből. Kattintson az OK gombra.

  10. Kattintson az OK gombra. Kattintson az OK gombra.

    Képernyőkép a Képernyőszerkesztő párbeszédpanelről.

Egyéni hozzáférés-vezérlési szabályzat létrehozása több engedélyezési feltétellel

Ha több engedélyezési feltételt tartalmazó hozzáférés-vezérlési szabályzatot szeretne létrehozni, kövesse az alábbi eljárást

Paraméteres hozzáférés-vezérlési szabályzat létrehozása

  1. A bal oldali AD FS-kezelésben válassza a Hozzáférés-vezérlési szabályzatok lehetőséget, majd a jobb oldalon kattintson a Hozzáférés-vezérlési szabályzat hozzáadása elemre.

  2. Adjon meg egy nevet és egy leírást. Például: Adott jogcímmel rendelkező és adott csoportból származó felhasználók engedélyezése.

  3. Ha az alábbi szabályok valamelyike teljesül, a Hozzáférés engedélyezése csoportban kattintson a Hozzáadás gombra.

  4. Az engedély alatt jelölje meg a négyzetet egy adott csoportból és a kérelemben szereplő konkrét követelésekkel.

  5. Az alján válassza ki a csoportok melletti első feltétel aláhúzott konkrét lehetőségét.

  6. Az előugró ablakban válassza a szabályzat hozzárendelésekor megadott paramétert. Kattintson az OK gombra.

  7. Alul válassza ki a második feltétel alatt aláhúzott konkrét esetet a jogcímek mellett.

  8. Az előugró ablakban válassza a hozzáférés-vezérlési szabályzat hozzárendelésekor megadott paramétert. Kattintson az OK gombra.

  9. Kattintson az OK gombra. Kattintson az OK gombra.

hozzáférés-vezérlési szabályzatok

Hozzáférés-vezérlési szabályzat hozzárendelése új alkalmazáshoz

Egy új alkalmazás hozzárendelése egy hozzáférés-vezérlési szabályzathoz elég egyszerű, és most integrálva lett az RP-hozzáadás varázslóba. A Relying Party Trust varázslóban kiválaszthatja a hozzárendelni kívánt hozzáférési szabályzatot. Ez a követelmény egy új függő entitás megbízhatóságának létrehozásakor.

Képernyőkép a Hozzáférés-vezérlési szabályzat kiválasztása képernyőről.

Hozzáférés-vezérlési szabályzat hozzárendelése meglévő alkalmazáshoz

Ha hozzáférés-vezérlési szabályzatot rendel egy meglévő alkalmazáshoz, egyszerűen válassza ki az alkalmazást a függő entitás megbízhatósági szolgáltatásából, majd kattintson a jobb gombbal a Hozzáférés-vezérlési szabályzat szerkesztése elemre.

Képernyőkép, amely az Retrying Party Trusts alkalmazást mutatja.

Itt kiválaszthatja a hozzáférés-vezérlési szabályzatot, és alkalmazhatja az alkalmazásra.

Képernyőkép a hozzáférés-vezérlési szabályzat szerkesztéséről.

Lásd még:

AD FS műveletek