Merencanakan Akses Bersyarah Berbasis Perangkat Lokal
Dokumen ini menjelaskan kebijakan akses bersyariah berdasarkan perangkat dalam skenario hibrid tempat direktori lokal tersambung ke ID Microsoft Entra menggunakan Microsoft Entra Koneksi.
Layanan Federasi Direktori Aktif dan akses bersyarkat Hibrid
Layanan Federasi Direktori Aktif menyediakan komponen lokal kebijakan akses bersyariah dalam skenario hibrid. Saat Anda mendaftarkan perangkat dengan ID Microsoft Entra untuk akses bersuhidan ke sumber daya cloud, kemampuan write-back perangkat Microsoft Entra Koneksi membuat informasi pendaftaran perangkat tersedia di tempat untuk kebijakan AD FS untuk digunakan dan diberlakukan. Dengan cara ini, Anda memiliki pendekatan yang konsisten untuk mengakses kebijakan kontrol untuk sumber daya lokal dan cloud.
Jenis perangkat terdaftar
Ada tiga jenis perangkat terdaftar, yang semuanya direpresentasikan sebagai objek Perangkat di ID Microsoft Entra dan juga dapat digunakan untuk akses kondisional dengan Layanan Federasi Direktori Aktif lokal.
| Deskripsi | Tambahkan Akun Kerja atau Sekolah | Gabungan Microsoft Entra | Gabungan Domain Windows 10 |
|---|---|---|---|
| Deskripsi | Pengguna menambahkan akun kerja atau sekolah mereka ke perangkat BYOD mereka secara interaktif. Catatan: Tambahkan Akun Kerja atau Sekolah adalah pengganti Untuk Workplace Join di Windows 8/8.1 | Pengguna menggabungkan perangkat kerja Windows 10 mereka ke ID Microsoft Entra. | Perangkat yang bergabung dengan domain Windows 10 secara otomatis mendaftar dengan ID Microsoft Entra. |
| Cara pengguna masuk ke perangkat | Tidak ada masuk ke Windows sebagai akun kerja atau sekolah. Masuk menggunakan akun Microsoft. | Masuk ke Windows sebagai akun (kerja atau sekolah) yang mendaftarkan perangkat. | Masuk menggunakan akun AD. |
| Cara perangkat dikelola | Kebijakan MDM (dengan pendaftaran Intune tambahan) | Kebijakan MDM (dengan pendaftaran Intune tambahan) | Kebijakan Grup, Manajer Konfigurasi |
| Jenis Kepercayaan ID Microsoft Entra | Tempat kerja bergabung | Gabungan Microsoft Entra | Domain bergabung |
| Lokasi W10 Pengaturan | > Pengaturan Akun > Anda Menambahkan akun > kerja atau sekolah | > Sistem > Pengaturan Tentang > Bergabung dengan ID Microsoft Entra | > Sistem > Pengaturan Tentang > Bergabung dengan domain |
| Juga tersedia untuk Perangkat iOS dan Android? | Ya | No | Tidak |
Untuk informasi selengkapnya tentang berbagai cara untuk mendaftarkan perangkat, lihat juga:
- Menggunakan perangkat Windows di tempat kerja Anda
- Perangkat terdaftar Microsoft Entra
- Perangkat gabungan Microsoft Entra
Perbedaan Antara Pengguna Windows 10 dan Masuk Perangkat dengan versi sebelumnya
Untuk Windows 10 dan AD FS 2016, ada beberapa aspek baru pendaftaran dan autentikasi perangkat yang harus Anda ketahui (terutama jika Anda terbiasa dengan pendaftaran perangkat dan "gabungan tempat kerja" dalam rilis sebelumnya).
Pertama, di Windows 10 dan Layanan Federasi Direktori Aktif di Windows Server 2016, pendaftaran dan autentikasi perangkat tidak lagi hanya didasarkan pada sertifikat pengguna X509. Ada protokol baru dan lebih kuat yang memberikan keamanan yang lebih baik dan pengalaman pengguna yang lebih mulus. Perbedaan utamanya adalah bahwa, untuk Gabungan Domain Windows 10 dan gabungan Microsoft Entra, ada sertifikat komputer X509 dan kredensial baru yang disebut PRT. Anda dapat membaca semua tentang hal itu di sini dan di sini.
Kedua, Windows 10 dan AD FS 2016 mendukung autentikasi pengguna menggunakan Windows Hello untuk Bisnis, yang dapat Anda baca di sini dan di sini.
Layanan Federasi Direktori Aktif 2016 menyediakan perangkat dan SSO pengguna yang mulus berdasarkan kredensial PRT dan Paspor. Dengan menggunakan langkah-langkah dalam dokumen ini, Anda dapat mengaktifkan kemampuan ini dan melihatnya berfungsi.
Kebijakan Kontrol Akses Perangkat
Perangkat dapat digunakan dalam aturan kontrol akses Layanan Federasi Direktori Aktif sederhana seperti:
- Izinkan akses hanya dari perangkat terdaftar
- Memerlukan autentikasi multifaktor saat perangkat tidak terdaftar
Aturan ini kemudian dapat dikombinasikan dengan faktor lain seperti lokasi akses jaringan dan autentikasi multifaktor, menciptakan kebijakan akses bersyar yang kaya seperti:
- Memerlukan autentikasi multifaktor untuk perangkat yang tidak terdaftar yang mengakses dari luar jaringan perusahaan, kecuali untuk anggota grup atau grup tertentu
Dengan LAYANAN Federasi Direktori Aktif 2016, kebijakan ini dapat dikonfigurasi secara khusus untuk memerlukan tingkat kepercayaan perangkat tertentu juga: baik yang diautentikasi, dikelola, atau sesuai.
Untuk informasi selengkapnya tentang mengonfigurasi kebijakan kontrol akses Layanan Federasi Direktori Aktif, lihat Kebijakan kontrol akses di Layanan Federasi Direktori Aktif.
Perangkat terautentikasi
Perangkat yang diautentikasi adalah perangkat terdaftar yang tidak terdaftar di MDM (Intune dan MDM pihak ketiga untuk Windows 10, Intune hanya untuk iOS dan Android).
Perangkat yang diautentikasi akan memiliki klaim Layanan Federasi Direktori Aktif terkelola dengan nilai FALSE. (Sedangkan perangkat yang tidak terdaftar sama sekali tidak akan kekurangan klaim ini.) Perangkat yang diautentikasi (dan semua perangkat terdaftar) akan memiliki klaim AD FS isKnown dengan nilai TRUE.
Perangkat Terkelola:
Perangkat terkelola adalah perangkat terdaftar yang terdaftar dengan MDM.
Perangkat terkelola akan memiliki klaim Layanan Federasi Direktori Aktif terkelola dengan nilai TRUE.
Perangkat sesuai (dengan Kebijakan MDM atau Grup)
Perangkat yang sesuai adalah perangkat terdaftar yang tidak hanya terdaftar di MDM tetapi mematuhi kebijakan MDM. (Informasi kepatuhan berasal dari MDM dan ditulis ke MICROSOFT Entra ID.)
Perangkat yang sesuai akan memiliki klaim Layanan Federasi Direktori Aktif yang Sesuai dengan nilai TRUE.
Untuk daftar lengkap perangkat AD FS 2016 dan klaim akses bersyarkat, lihat Referensi.
Referensi
Pembaruan dan perubahan yang melanggar - platform identitas Microsoft | Microsoft Docs
Daftar lengkap ad FS 2016 dan klaim perangkat baru
https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtypehttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdfhttps://schemas.microsoft.com/2014/03/pssohttps://schemas.microsoft.com/2015/09/prthttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdfhttps://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttps://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttps://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2012/01/devicecontext/claims/identifierhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ostypehttps://schemas.microsoft.com/2012/01/devicecontext/claims/osversionhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttps://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2014/02/deviceusagetimehttps://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttps://schemas.microsoft.com/2014/09/devicecontext/claims/trusttypehttps://schemas.microsoft.com/claims/authnmethodsreferenceshttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agenthttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-pathhttps://schemas.microsoft.com/ws/2012/01/insidecorporatenetworkhttps://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-idhttps://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustidhttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-iphttps://schemas.microsoft.com/2014/09/requestcontext/claims/useriphttps://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk