AD FS on Windows Server 2016 introduced Banned IPs as part of the AD FS June 2018 update. この更新プログラムを使用すると、AD FS で一連の IP アドレスをグローバルに構成して、それらの IP アドレスからの要求がブロックされるようにすることができます。 Requests that have IP addresses in the x-forwarded-for or x-ms-forwarded-client-ip headers are also blocked by AD FS.
禁止 IP の追加
禁止 IP をグローバル リストに追加するには、次の PowerShell コマンドレットを使用します。
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
使用できる形式は次のとおりです。
- IPv4
- IPv6
- IPv4 または v6 での CIDR 形式
禁止 IP アドレスには 300 エントリの制限があります。 CIDR または範囲形式を使用すると、1 つのエントリで大きなエントリ ブロックを拒否できます。
禁止 IP の削除
グローバル リストから禁止 IP を削除するには、次の PowerShell コマンドレットを使用します。
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
禁止 IP の読み取り
現在の禁止 IP アドレスのセットを読み取るために、次の PowerShell コマンドレットを使用します。
PS C:\ >Get-AdfsProperties
Example output:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}