다음을 통해 공유

Windows Server 2016 AD FS의 액세스 제어 정책

AD FS에 대 한 액세스 제어 정책 템플릿

이제 active Directory Federation Services 액세스 제어 정책 템플릿 사용을 지원합니다. 관리자는 액세스 제어 정책 템플릿을 사용 하 여 신뢰 당사자 (Rp)의 그룹 정책 템플릿을 할당 하 여 정책 설정을 적용할 수 있습니다. 관리자 정책 템플릿에 또한 업데이트를 수행할 수 있으며 변경 내용이 적용 됩니다 신뢰 당사자에 자동으로 사용자 개입이 필요 없는 경우.

액세스 제어 정책 템플릿 무엇입니까?

정책 처리에 대 한 AD FS 코어 파이프라인에는 세 단계로: 인증, 권한 부여 및 클레임 발급 합니다. 현재 AD FS 관리자는 이러한 각 단계에 대 한 정책을 별도로 구성 해야 합니다. 또한 여기에 이러한 정책의 의미를 이해 하 고 이러한 정책은 간 종속성을 포함 하는 경우. 또한, 관리자는 클레임 규칙 언어를 이해하고 사용자 지정 규칙을 작성하여 몇 가지 간단한/일반적인 정책(예: 외부 액세스 차단)을 사용하도록 설정해야 합니다.

어떤 액세스 제어 정책 템플릿 수행는 replace 인데이 이전 모델 관리자를 사용 하 여 발급 권한 부여 규칙을 구성할 수 있는 언어를 주장 합니다. 발급 권한 부여 규칙의 PowerShell cmdlet은 이전에 적용 이지만 상호 새 모델을 포함 합니다. 관리자는 새 모델 또는 이전 모델 사용 하도록 선택할 수 있습니다. 새 모델에는 관리자를가 다단계 인증 적용을 포함 하 여 액세스 권한을 부여 하는 시기를 제어할 수 있습니다.

액세스 제어 정책 템플릿 사용 허용 합니다. 이 즉, 기본적으로, 아무도 권한과 액세스 명시적으로 부여 해야 합니다. 그러나이 경우 모두 바로 하거나 아무 것도 허용 합니다. 관리자는 허용 규칙에 예외를 추가할 수 있습니다. 예를 들어 관리자가이 옵션을 선택 하 고 IP 주소 범위를 지정 하 여 특정 네트워크에 따라 액세스 권한을 부여 하려는. 하지만 관리자가 추가할 수 고 예외를 예를 들어, 관리자가 특정 네트워크에서 예외를 추가 및 해당 IP 주소 범위를 지정 수 있습니다.

액세스 제어 정책을 볼 수 있는 위치를 보여 주는 스크린샷.

기본 제공 액세스 제어 정책 템플릿 vs 사용자 지정 액세스 제어 정책 템플릿

AD FS에는 몇 가지 기본 제공 액세스 제어 정책 템플릿을 포함합니다. 이러한 대상 집합이 정책 요구 사항, Office 365에 대 한 예를 들어 클라이언트 액세스 정책에 있는 몇 가지 일반적인 시나리오입니다. 이러한 서식 파일을 수정할 수 없습니다.

기본 제공 액세스 제어 정책을 보여 주는 스크린샷.

비즈니스 요구를 해결 하기 위해 뛰어난 유연성을 제공 하려면 정책 템플릿을 관리자 자신의 액세스를 만들 수 있습니다. 이러한 이름은 만든 후 수정할 수 및 사용자 지정 정책 서식 파일에 변경 내용이 해당 정책 템플릿에 의해 제어 되는 모든 RPs에 적용 됩니다. 추가 사용자 지정 정책 템플릿을 클릭 하면 액세스 제어 정책에서 추가 내 AD FS 관리 됩니다.

정책 템플릿을 만들려면 관리자가 먼저 어떤 조건에서 요청에 권한이 부여 됩니다 토큰 발급 및/또는 위임에 대 한을 지정 해야 합니다. 조건 및 동작 옵션은 아래 표에 나와 있습니다. 굵게 표시 된 조건은 다른 또는 새 값을 가진 관리자가 추가로 구성할 수 있습니다. 또한 관리자 수 있는 경우 예외를 지정 해야 합니다. 조건이 충족 될 때 허용 동작 트리거되지 지정 된 예외가 있는 경우 및 예외에 지정 된 조건과 일치 하는 들어오는 요청 합니다.

사용자가 허용 제외 하
특정 네트워크 특정 네트워크

특정 그룹

디바이스에서 특정 신뢰 수준

특정 요청에 대 한 클레임
특정 그룹 특정 네트워크

특정 그룹

디바이스에서 특정 신뢰 수준

특정 요청에 대 한 클레임
디바이스에서 특정 신뢰 수준 특정 네트워크

특정 그룹

디바이스에서 특정 신뢰 수준

특정 요청에 대 한 클레임
특정 요청에 대 한 클레임 특정 네트워크

특정 그룹

디바이스에서 특정 신뢰 수준

특정 요청에 대 한 클레임
다중 요소 인증을 요구 하 고 특정 네트워크

특정 그룹

디바이스에서 특정 신뢰 수준

특정 요청에 대 한 클레임

관리자가 여러 조건을 선택 하는지의 AND 관계입니다. 작업은 상호 배타적이 고 한 정책 규칙에 대 한 선택할 수 있습니다만 하나의 동작 합니다. 관리자가 여러 예외를 선택 하는지의 또는 관계입니다. 몇 가지 정책 규칙 예는 다음과 같습니다.

정책 정책 규칙
엑스트라넷 액세스 MFA 요구

모든 사용자 수

 규칙 #1

엑스트라넷

MFA를 사용 하 고

허용

규칙#2

인트라넷

허용
비 FTE 제외 하 고 외부 액세스는 허용 되지 않습니다.

작업 공간에 연결 디바이스에서 FTE에 대 한 인트라넷 액세스 허용 됩니다.

 규칙 #1

엑스트라넷

비 FTE 그룹

허용

규칙 #2

인트라넷

작업 공간에 연결 디바이스

FTE 그룹

허용
엑스트라넷 액세스 "서비스 관리"를 제외 하 고 MFA 요구

모든 사용자에 액세스할 수

 규칙 #1

엑스트라넷

MFA를 사용 하 고

허용

제외 하 고 서비스 관리 그룹

규칙 #2

항상

허용
엑스트라넷에서 액세스 비 작업 공간 연결된 디바이스에서 MFA 요구

AD 패브릭 인트라넷 및 엑스트라넷 액세스를 허용 합니다.

 규칙 #1

인트라넷

AD 패브릭 그룹

허용

규칙 #2

엑스트라넷

비-작업 공간에 연결 디바이스

AD 패브릭 그룹

MFA를 사용 하 고

허용

규칙 #3

엑스트라넷

작업 공간에 연결 디바이스

AD 패브릭 그룹

허용

매개 변수가 있는 정책 템플릿 vs 매개 변수가 없는 정책 템플릿

매개 변수가 있는 정책 템플릿은 매개 변수를 포함 하는 정책 템플릿을입니다. 관리자는 RPs.An 관리자에 게이 서식 파일을 할당할 때 이러한 매개 변수에 대 한 값 변경할 수 없습니다 매개 변수가 있는 정책 템플릿을 만든 후 입력 해야 합니다. 매개 변수가 있는 정책의 예에는 기본 제공 정책, 특정 그룹입니다. 이 정책은 RP에 적용 될 때마다이 매개 변수를 지정 해야 합니다.

매개 변수화된 정책 템플릿의 예를 보여 주는 스크린샷.

매개 변수가 없는 정책 템플릿은 매개 변수가 없는 하는 정책 템플릿을입니다. 관리자는 필요한 입력 없이 RPs에이 서식 파일을 할당할 수 하 고 변경 하는 매개 변수가 없는 정책 템플릿을 만든 후입니다. 이러한 예는 기본 제공 정책, 모든 사용자 허용 및 MFA가 필요 합니다.

매개 변수화되지 않은 정책 템플릿의 예를 보여 주는 스크린샷.

매개 변수가 없는 액세스 제어 정책을 만드는 방법

제어 정책 매개 변수가 없는 액세스를 만들려면 다음 절차를 따르십시오

매개 변수가 없는 액세스 제어 정책을 만들려면

  1. 왼쪽에서 AD FS 관리에서 액세스 제어 정책을 선택 하 고 오른쪽에서 액세스 제어 정책 추가 클릭 합니다.

  2. 이름과 설명을 입력 합니다. 예: 사용자가 인증 된 디바이스를 허용 합니다.

  3. 아래에서 다음 규칙 중 하나라도 충족 되는 경우에 대 한 액세스를 허용, 를 클릭 하 여 추가합니다.

  4. 허용, 아래에서 확인란을 선택 상자 옆에 특정 신뢰 수준으로 디바이스에서

  5. 아래에는 밑줄이 선택 특정

  6. 팝업 창에서 선택 인증 드롭다운 목록에서. Ok를 클릭합니다.

    디바이스 신뢰 수준 선택 방법을 보여 주는 스크린샷.

  7. Ok를 클릭합니다. Ok를 클릭합니다.

    정책 변경을 적용하는 방법을 보여 주는 스크린샷.

매개 변수가 있는 액세스 제어 정책을 만드는 방법

정책 매개 변수가 있는 액세스 제어를 만들려면 다음 절차를 따르십시오

매개 변수가 있는 액세스 제어 정책을 만들려면

  1. 왼쪽에서 AD FS 관리에서 액세스 제어 정책을 선택 하 고 오른쪽에서 액세스 제어 정책 추가 클릭 합니다.

  2. 이름과 설명을 입력 합니다. 예: 특정 클레임의 사용자를 허용 합니다.

  3. 아래에서 다음 규칙 중 하나라도 충족 되는 경우에 대 한 액세스를 허용, 를 클릭 하 여 추가합니다.

  4. 허용, 아래에서 확인란을 선택 상자 옆에 요청에서 특정 클레임

  5. 아래에는 밑줄이 선택 특정

  6. 팝업 창에서 선택 매개 변수를 지정 된 액세스 제어 정책 할당 되 면합니다. Ok를 클릭합니다.

    액세스 제어 정책이 옵션으로 할당될 때 지정된 매개 변수를 보여 주는 스크린샷.

  7. Ok를 클릭합니다. Ok를 클릭합니다.

    선택한 옵션을 적용하는 방법을 보여 주는 스크린샷.

예외와 함께 사용자 지정 액세스 제어 정책을 만드는 방법

예외를 사용 하 여 정책을 액세스 컨트롤을 만들려면 다음 절차를 따르십시오.

예외와 함께 사용자 지정 액세스 제어 정책을 만들려면

  1. 왼쪽에서 AD FS 관리에서 액세스 제어 정책을 선택 하 고 오른쪽에서 액세스 제어 정책 추가 클릭 합니다.

  2. 이름과 설명을 입력 합니다. 예를 들어: 허용 사용자에 게 디바이스를 인증 하지만 관리 되지 합니다.

  3. 아래에서 다음 규칙 중 하나라도 충족 되는 경우에 대 한 액세스를 허용, 를 클릭 하 여 추가합니다.

  4. 허용, 아래에서 확인란을 선택 상자 옆에 특정 신뢰 수준으로 디바이스에서

  5. 아래에는 밑줄이 선택 특정

  6. 팝업 창에서 선택 인증 드롭다운 목록에서. Ok를 클릭합니다.

  7. 아래에서 제외 하 고, 확인란을 선택 상자 옆에 특정 신뢰 수준으로 디바이스에서

  8. 맨 아래에 아래에서 제외 하 고는 밑줄이 선택 특정

  9. 팝업 창에서 선택 관리 드롭다운 목록에서. Ok를 클릭합니다.

  10. Ok를 클릭합니다. Ok를 클릭합니다.

    화면 편집기 대화 상자를 보여주는 스크린샷.

여러 허용 조건을 사용 하 여 사용자 지정 액세스 제어 정책을 만드는 방법

조건 여러 허용 된 액세스 제어 정책을 만들려면 다음 절차를 따르십시오

매개 변수가 있는 액세스 제어 정책을 만들려면

  1. 왼쪽에서 AD FS 관리에서 액세스 제어 정책을 선택 하 고 오른쪽에서 액세스 제어 정책 추가 클릭 합니다.

  2. 이름과 설명을 입력 합니다. 예: 특정 그룹에서 특정 클레임을 가진 사용자를 허용 합니다.

  3. 아래에서 다음 규칙 중 하나라도 충족 되는 경우에 대 한 액세스를 허용, 를 클릭 하 여 추가합니다.

  4. 허용, 아래에서 확인란을 선택 상자 옆에 특정 그룹에서요청에서 특정 클레임

  5. 아래에는 밑줄이 선택 특정 그룹 옆에 있는 첫 번째 경우에

  6. 팝업 창에서 선택 정책이 할당 되 면 매개 변수 지정합니다. Ok를 클릭합니다.

  7. 아래에는 밑줄이 그어진 선택 특정 클레임 옆에 있는 두 번째 조건

  8. 팝업 창에서 선택 매개 변수를 지정 된 액세스 제어 정책 할당 되 면합니다. Ok를 클릭합니다.

  9. Ok를 클릭합니다. Ok를 클릭합니다.

액세스 제어 정책

새 애플리케이션에 액세스 제어 정책을 할당 하는 방법

새 애플리케이션에는 액세스 제어 정책 할당 보다시피 상당히 단순 하 고 통합 되었습니다 마법사에는 RP를 추가 하기 위한 합니다. 신뢰 당사자 트러스트 마법사에서 할당 하고자 하는 액세스 제어 정책을 선택할 수 있습니다. 새 신뢰 당사자 트러스트를 만들 때 요구 사항입니다.

액세스 제어 정책 선택 화면을 보여주는 스크린샷.

기존 애플리케이션의 액세스 제어 정책 할당 하는 방법

액세스 제어 정책을 선택 하면 기존 애플리케이션에 애플리케이션에서 신뢰 당사자 트러스트 및 할당에서 오른쪽 클릭 액세스 제어 정책 편집합니다.

신뢰 당사자 신뢰 애플리케이션을 보여 주는 스크린샷.

여기에서 액세스 제어 정책 선택한 애플리케이션에 적용 합니다.

관리자 액세스 정책을 편집하는 방법을 보여 주는 스크린샷.

참고 항목

AD FS 작업