Delen via

Beleid voor clienttoegangsbeheer in AD FS 2.0

Met een clienttoegangsbeleid in Active Directory Federation Services 2.0 kunt u gebruikers toegang tot resources beperken of verlenen. In dit document wordt beschreven hoe u clienttoegangsbeleid inschakelt in AD FS 2.0 en hoe u de meest voorkomende scenario's configureert.

Clienttoegangsbeleid inschakelen in AD FS 2.0

Volg de onderstaande stappen om clienttoegangsbeleid in te schakelen.

Stap 1: Installeer het updatepakket 2 voor AD FS 2.0-pakket op uw AD FS-servers

Download het Update Rollup 2 voor Active Directory Federation Services (AD FS) 2.0 pakket en installeer het op alle federatieservers en federatieserverproxy's.

Stap 2: Vijf claimregels toevoegen aan de vertrouwensrelatie van de Active Directory-claimprovider

Zodra updatepakket 2 is geïnstalleerd op alle AD FS-servers en proxy's, gebruikt u de volgende procedure om een set claimsregels toe te voegen die de nieuwe claimtypen beschikbaar maken voor de beleidsengine.

Hiervoor voegt u vijf acceptatietransformatieregels toe voor elk van de nieuwe aanvraagcontext claimtypen met behulp van de volgende procedure.

On the Active Directory claims provider trust, create a new acceptance transform rule to pass through each of the new request context claim types.

Als u een claimregel wilt toevoegen aan de vertrouwensrelatie van de Active Directory-claimprovider voor elk van de vijf contextclaimtypen:

  1. Klik op Start, wijs programma's aan, wijs Beheertools aan en klik vervolgens op AD FS 2.0-beheer.

  2. Klik in de consolestructuur onder AD FS 2.0\Trust Relationships op Claims Provider Trusts, klik met de rechtermuisknop op Active Directory en klik vervolgens op Claimregels bewerken.

  3. Selecteer in het dialoogvenster Claimregels bewerken het tabblad Acceptatietransformatie-regels en klik vervolgens op Regel toevoegen om de regelwizard te starten.

  4. On the Select Rule Template page, under Claim rule template, select Pass Through or Filter an Incoming Claim from the list, and then click Next.

  5. Typ op de pagina Regel configureren, onder Claimregelnaam, de weergavenaam voor deze regel; typ in binnenkomend claimtype de volgende claimtype-URL en selecteer vervolgens Alle claimwaarden doorgeven.
    https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip

  6. Als u de regel wilt controleren, selecteert u deze in de lijst en klikt u op Regel bewerken en vervolgens op Regeltaal weergeven. De claimregeltaal moet als volgt worden weergegeven: c:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip"] => issue(claim = c);

  7. Klik op Voltooien.

  8. Klik in het dialoogvenster Claimregels bewerken op OK om de regels op te slaan.

  9. Herhaal stap 2 tot en met 6 om een extra claimregel te maken voor elk van de overige vier claimtypen die hieronder worden weergegeven totdat alle vijf regels zijn gemaakt.

    https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application

    https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent

    https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy

    https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path

Step 3: Update the Microsoft Office 365 Identity Platform relying party trust

Kies een van de onderstaande voorbeeldscenario's om de claimregels voor de Relying Party-vertrouwensrelatie van Microsoft Office 365 Identity Platform te configureren die het beste voldoen aan de behoeften van uw organisatie.

Scenario's voor clienttoegangsbeleid voor AD FS 2.0

In de volgende secties worden de scenario's beschreven die bestaan voor AD FS 2.0

Scenario 1: Alle externe toegang tot Office 365 blokkeren

Dit scenario voor clienttoegangsbeleid biedt toegang vanaf alle interne clients en blokkeert alle externe clients op basis van het IP-adres van de externe client. De regelset is gebaseerd op de standaardregel voor uitgifteautorisatie: toegang tot alle gebruikers toestaan. You can use the following procedure to add an Issuance Authorization rule to the Office 365 relying party trust.

Een regel maken om alle externe toegang tot Office 365 te blokkeren

  1. Klik op Start, wijs programma's aan, wijs Beheertools aan en klik vervolgens op AD FS 2.0-beheer.
  2. Klik in de consolestructuur onder AD FS 2.0\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
  3. Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
  4. On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.
  5. Voer op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel in. Under Custom rule, type or paste the following claim rule language syntax: exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=~"customer-provided public ip address regex"]) => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "true");
  6. Klik op Voltooien. Controleer of de nieuwe regel direct onder de regel Toegang tot alle gebruikers toestaan wordt weergegeven in de lijst uitgifteautorisatieregels.
  7. Als u de regel wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK.

Notitie

U moet de bovenstaande waarde voor 'public IP address regex' vervangen door een geldige IP-expressie; zie De expressie voor het IP-adresbereik bouwen voor meer informatie.

Scenario 2: Alle externe toegang tot Office 365 blokkeren, met uitzondering van Exchange ActiveSync

In het volgende voorbeeld hebt u toegang tot alle Office 365-toepassingen, waaronder Exchange Online, van interne clients, waaronder Outlook. Het blokkeert de toegang van clients die zich buiten het bedrijfsnetwerk bevinden, zoals aangegeven door het IP-adres van de client, met uitzondering van Exchange ActiveSync-clients zoals smartphones. The rule set builds on the default Issuance Authorization rule titled Permit Access to All Users. Use the following steps to add an Issuance Authorization rule to the Office 365 relying party trust using the Claim Rule Wizard:

Een regel maken om alle externe toegang tot Office 365 te blokkeren

  1. Klik op Start, wijs programma's aan, wijs Beheertools aan en klik vervolgens op AD FS 2.0-beheer.
  2. Klik in de consolestructuur onder AD FS 2.0\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
  3. Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
  4. On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.
  5. Voer op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel in. Under Custom rule, type or paste the following claim rule language syntax: exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value=="Microsoft.Exchange.Autodiscover"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value=="Microsoft.Exchange.ActiveSync"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=~"customer-provided public ip address regex"]) => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "true");
  6. Klik op Voltooien. Controleer of de nieuwe regel direct onder de regel Toegang tot alle gebruikers toestaan wordt weergegeven in de lijst uitgifteautorisatieregels.
  7. Als u de regel wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK.

Notitie

U moet de bovenstaande waarde voor 'public IP address regex' vervangen door een geldige IP-expressie; zie De expressie voor het IP-adresbereik bouwen voor meer informatie.

Scenario 3: Alle externe toegang tot Office 365 blokkeren, met uitzondering van browsertoepassingen

The rule set builds on the default Issuance Authorization rule titled Permit Access to All Users. Use the following steps to add an Issuance Authorization rule to the Microsoft Office 365 Identity Platform relying party trust using the Claim Rule Wizard:

Notitie

This scenario isn't supported with a third-party proxy because of limitations on client access policy headers with passive (Web-based) requests.

Een regel maken om alle externe toegang tot Office 365 te blokkeren, met uitzondering van browsertoepassingen

  1. Klik op Start, wijs programma's aan, wijs Beheertools aan en klik vervolgens op AD FS 2.0-beheer.
  2. Klik in de consolestructuur onder AD FS 2.0\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
  3. Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
  4. On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.
  5. Voer op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel in. Under Custom rule, type or paste the following claim rule language syntax: exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=~"customer-provided public ip address regex"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/"]) => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "true");
  6. Klik op Voltooien. Controleer of de nieuwe regel direct onder de regel Toegang tot alle gebruikers toestaan wordt weergegeven in de lijst uitgifteautorisatieregels.
  7. Als u de regel wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK.

Scenario 4: Alle externe toegang tot Office 365 blokkeren voor aangewezen Active Directory-groepen

In het volgende voorbeeld is toegang mogelijk vanaf interne clients op basis van IP-adres. Het blokkeert de toegang van clients die zich buiten het bedrijfsnetwerk bevinden met een extern client-IP-adres, met uitzondering van die personen in een opgegeven Active Directory-groep. De regelset bouwt voort op de standaardregel uitgifteautorisatie met de titel Toegang tot alle gebruikers toestaan. Use the following steps to add an Issuance Authorization rule to the Microsoft Office 365 Identity Platform relying party trust using the Claim Rule Wizard:

Een regel maken om alle externe toegang tot Office 365 voor aangewezen Active Directory-groepen te blokkeren

  1. Klik op Start, wijs programma's aan, wijs Beheertools aan en klik vervolgens op AD FS 2.0-beheer.
  2. Klik in de consolestructuur onder AD FS 2.0\Vertrouwensrelaties op Relying Party Trusts, klik met de rechtermuisknop op de Vertrouwensrelatie van Microsoft Office 365 Identity Platform en klik vervolgens op Claimregels bewerken.
  3. Selecteer in het dialoogvenster Claimregels bewerken het tabblad Uitgifteautorisatieregels en klik vervolgens op Regel toevoegen om de wizard Claimregel te starten.
  4. On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.
  5. Voer op de pagina Regel configureren onder Claimregelnaam de weergavenaam voor deze regel in. Under Custom rule, type or paste the following claim rule language syntax: exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy"]) && exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "Group SID value of allowed AD group"]) && NOT exists([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value=~"customer-provided public ip address regex"]) => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "true");
  6. Klik op Voltooien. Controleer of de nieuwe regel direct onder de regel Toegang tot alle gebruikers toestaan wordt weergegeven in de lijst uitgifteautorisatieregels.
  7. Als u de regel wilt opslaan, klikt u in het dialoogvenster Claimregels bewerken op OK.

Beschrijvingen van de syntaxis van de claimregeltaal die in de bovenstaande scenario's wordt gebruikt

Beschrijving Claim Rule language syntax
Standaard AD FS-regel om toegang tot alle gebruikers toe te staan. Deze regel moet al aanwezig zijn in de lijst met uitgifte-autorisatieregels voor vertrouwensrelaties van het Microsoft Office 365 Identity Platform. => issue(Type = "<https://schemas.microsoft.com/authorization/claims/permit>", Value = "true");
Als u deze clausule toevoegt aan een nieuwe, aangepaste regel, geeft u aan dat de aanvraag afkomstig is van de federatieserverproxy (dat wil zeggen, het heeft de x-ms-proxy header)
Het is raadzaam dat alle regels dit bevatten. exists([Type == "<https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy>"])
Wordt gebruikt om vast te stellen dat de aanvraag afkomstig is van een client met een IP-adres in het gedefinieerde acceptabele bereik. NOT exists([Type == "<https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip>", Value=~"customer-provided public ip address regex"])
Deze component wordt gebruikt om op te geven dat als de toepassing die wordt geopend niet Microsoft.Exchange.ActiveSync is, de aanvraag moet worden geweigerd. NOT exists([Type == "<https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application>", Value=="Microsoft.Exchange.ActiveSync"])
Met deze regel kunt u bepalen of de aanroep via een webbrowser was en niet wordt geweigerd. NOT exists([Type == "<https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path>", Value == "/adfs/ls/"])
Deze regel geeft aan dat de enige gebruikers in een bepaalde Active Directory-groep (op basis van SID-waarde) moeten worden geweigerd. Door NIET aan deze uitspraak toe te voegen, wordt een groep gebruikers toegestaan, ongeacht de locatie. exists([Type == "<https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid>", Value =~ "{Group SID value of allowed AD group}"])
Dit is een vereiste component om een weigering uit te voeren wanneer aan alle voorgaande voorwaarden wordt voldaan. => issue(Type = "<https://schemas.microsoft.com/authorization/claims/deny>", Value = "true");

Het bouwen van de expressie voor het IP-adresbereik

De claim x-ms-forwarded-client-ip wordt ingevuld vanuit een HTTP-header die momenteel alleen is ingesteld door Exchange Online, die de header vult bij het doorgeven van de verificatieaanvraag aan AD FS. De waarde van de claim kan een van de volgende zijn:

Notitie

Exchange Online ondersteunt momenteel alleen IPV4- en niet IPV6-adressen.

Eén IP-adres: het IP-adres van de client die rechtstreeks is verbonden met Exchange Online

Notitie

Het IP-adres van een client in het bedrijfsnetwerk wordt weergegeven als het IP-adres van de externe interface van de uitgaande proxy of gateway van de organisatie.

Clients die zijn verbonden met het bedrijfsnetwerk door een VPN of door Microsoft DirectAccess (DA) kunnen worden weergegeven als interne zakelijke clients of als externe clients, afhankelijk van de configuratie van VPN of DA.

Een of meer IP-adressen: wanneer Exchange Online het IP-adres van de verbindingsclient niet kan bepalen, wordt de waarde ingesteld op basis van de waarde van de x-doorgestuurde header, een niet-standaardheader die kan worden opgenomen in HTTP-aanvragen en wordt ondersteund door veel clients, load balancers en proxy's op de markt.

Notitie

Meerdere IP-adressen, die het IP-adres van de client en het adres aangeven van elke proxy die de aanvraag heeft doorgegeven, worden gescheiden door een komma.

IP-adressen met betrekking tot de Exchange Online-infrastructuur worden niet weergegeven in de lijst.

Regular Expressions

Wanneer u een bereik met IP-adressen moet koppelen, moet u een reguliere expressie maken om de vergelijking uit te voeren. In de volgende reeks stappen geven we voorbeelden voor het samenstellen van een dergelijke expressie die overeenkomt met de volgende adresbereiken (houd er rekening mee dat u deze voorbeelden moet wijzigen zodat deze overeenkomen met uw openbare IP-bereik):

  • 192.168.1.1 – 192.168.1.25
  • 10.0.0.1 – 10.0.0.14

Eerst is het basispatroon dat overeenkomt met één IP-adres als volgt: \b##.##.###.##.###\b

Als we dit uitbreiden, kunnen we twee verschillende IP-adressen als volgt matchen met een OR-uitdrukking: \b###.###.###.###\b|\b###.###.###.###\b

Een voorbeeld dat overeenkomt met slechts twee adressen (zoals 192.168.1.1 of 10.0.0.1) is: \b192.168.1.1\b|\b10.0.0.1\b

Dit geeft u de techniek waarmee u een willekeurig aantal adressen kunt invoeren. Wanneer een adresbereik moet worden toegestaan, bijvoorbeeld 192.168.1.1 – 192.168.1.25, moet de overeenkomst karakter voor karakter worden uitgevoerd: \b192.168.1.([1-9]|1[0-9]|2[0-5])\b

Notitie

Het IP-adres wordt behandeld als tekenreeks en niet als een getal.

De regel wordt als volgt onderverdeeld: \b192.168.1.

Dit komt overeen met een waarde die begint met 192.168.1.

Het volgende komt overeen met het bereik dat vereist is voor het gedeelte van het adres na het laatste decimaalteken:

  • ([1-9] Komt overeen met adressen die eindigen op 1-9
  • |1[0-9] Komt overeen met adressen die eindigen op 10-19
  • |2[0-5]) Komt overeen met adressen die eindigen op 20-25

Notitie

De haakjes moeten correct worden geplaatst, zodat u niet begint met het matchen van andere delen van IP-adressen.

Als het blok 192 overeenkomt, kunnen we een vergelijkbare expressie schrijven voor het 10 blok: \b10.0.0. ([1-9]|1[0-4])\b

And putting them together, the following expression should match all the addresses for “192.168.1.1~25” and “10.0.0.1~14”: \b192.168.1.([1-9]|1[0-9]|2[0-5])\b|\b10.0.0.([1-9]|1[0-4])\b

Testing the Expression

Regex-expressies kunnen behoorlijk lastig worden, dus we raden u ten zeerste aan om een regex-verificatieprogramma te gebruiken. Als u op internet zoekt naar 'online opbouwfunctie voor regex-expressies', vindt u verschillende goede onlinehulpprogramma's waarmee u uw expressies kunt uitproberen op basis van voorbeeldgegevens.

Bij het testen van de expressie is het belangrijk dat u begrijpt wat u kunt verwachten dat overeenkomt. Het Exchange Online-systeem kan veel IP-adressen verzenden, gescheiden door komma's. De bovenstaande expressies werken hiervoor. Het is echter belangrijk om hierover na te denken bij het testen van uw regex-expressies. U kunt bijvoorbeeld de volgende voorbeeldinvoer gebruiken om de bovenstaande voorbeelden te controleren:

192.168.1.1, 192.168.1.2, 192.169.1.1. 192.168.12.1, 192.168.1.10, 192.168.1.25, 192.168.1.26, 192.168.1.30, 1192.168.1.20

10.0.0.1, 10.0.0.5, 10.0.0.10, 10.0.1.0, 10.0.1.1, 110.0.0.1, 10.0.0.14, 10.0.0.15, 10.0.0.10, 10,0.0.1

De implementatie valideren

Beveiligingscontrolelogboeken

Als u wilt controleren of de nieuwe aanvraagcontextclaims worden verzonden en beschikbaar zijn voor de pijplijn voor de verwerking van AD FS-claims, schakelt u auditlogboekregistratie in op de AD FS-server. Verzend vervolgens enkele verificatieaanvragen en controleer op de claimwaarden in de standaardvermeldingen voor beveiligingscontrolelogboeken.

Als u de logboekregistratie van controlegebeurtenissen wilt inschakelen in het beveiligingslogboek op een AD FS-server, volgt u de stappen in Controle configureren voor AD FS 2.0.

Gebeurtenisregistratie

Mislukte aanvragen worden standaard vastgelegd in het toepassingsgebeurtenislogboek onder Toepassings- en serviceslogboeken \ AD FS 2.0 \ Admin.Zie Logboekregistratie van AD FS instellen voor meer informatie over gebeurtenislogboekregistratie voor AD FS.

Configuring Verbose AD FS Tracing Logs

AD FS-traceringsgebeurtenissen worden vastgelegd in het ad FS 2.0-foutopsporingslogboek. To enable tracing, see Configure debug tracing for AD FS 2.0.

After you have enabled tracing, use the following command line syntax to enable the verbose logging level: wevtutil.exe sl “AD FS 2.0 Tracing/Debug” /l:5

Zie AD FS-claimtypen voor meer informatie over de nieuwe claimtypen.