Udostępnij za pośrednictwem

Zabezpieczanie zasobów w chmurze przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft i usług AD FS

Jeśli Twoja organizacja jest sfederowana z identyfikatorem Firmy Microsoft Entra, użyj uwierzytelniania wieloskładnikowego firmy Microsoft lub usług Active Directory Federation Services (AD FS), aby zabezpieczyć zasoby, do których uzyskuje się dostęp za pomocą identyfikatora Entra firmy Microsoft. Użyj poniższych procedur, aby zabezpieczyć zasoby firmy Microsoft Entra przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft lub usług Active Directory Federation Services.

Notatka

Ustaw opcję domeny federatedIdpMfaBehavior na enforceMfaByFederatedIdp (zalecane) lub SupportsMFA na $True. Ustawienie federatedIdpMfaBehavior zastępuje SupportsMFA, gdy oba są ustawione.

Zabezpieczanie zasobów firmy Microsoft Entra przy użyciu usług AD FS

Aby zabezpieczyć zasób w chmurze, skonfiguruj odpowiednią regułę oświadczeń, aby usługa Active Directory Federation Services emituje oświadczenie multipleauthn, gdy użytkownik pomyślnie wykona weryfikację dwuetapową. To oświadczenie jest przekazywane do Microsoft Entra ID. Wykonaj tę procedurę, aby przejść przez kroki:

  1. Otwórz konsolę zarządzania AD FS.

  2. Po lewej stronie wybierz pozycję Relacje Zaufania Strony.

  3. Kliknij prawym przyciskiem myszy na Platformę tożsamości Microsoft Office 365 i wybierz Edytuj reguły oświadczeń.

    Konsola AD FS – relacje zaufania zewnętrznego dostawcy

  4. W obszarze Reguły wystawiania wybierz Dodaj regułę.

    Edytowanie reguł transformacji wydawania

  5. W Kreatorze dodawania reguły transformacji roszczeń wybierz pozycję przekaż lub filtruj przychodzące roszczenie z listy rozwijanej i kliknij Dalej.

    Zrzut ekranu przedstawia Kreatora dodawania reguły przekształcania oświadczenia, w którym wybierasz szablon reguły oświadczenia.

  6. Nadaj regule nazwę.

  7. Wybierz Odwołania do metod uwierzytelniania jako typ żądania przychodzącego.

  8. Wybierz Przekaż wszystkie wartości roszczeń.

    Zrzut ekranu przedstawia kreator dodawania reguły przekształcenia roszczeń, gdzie wybierasz opcję Przekaż wszystkie wartości roszczeń.

  9. Wybierz pozycję Zakończ. Zamknij konsolę zarządzania usługAMI AD FS.

Zaufane adresy IP dla użytkowników federacyjnych

Zaufane adresy IP umożliwiają administratorom obejście weryfikacji dwuetapowej dla określonych adresów IP lub dla użytkowników federacyjnych, którzy mają żądania pochodzące z własnego intranetu. W poniższych sekcjach opisano sposób konfigurowania obejścia przy użyciu zaufanych adresów IP. Jest to osiągane przez skonfigurowanie usług AD FS do używania przekazywania lub filtrowania szablonu oświadczenia przychodzącego z typem oświadczenia wewnątrz sieci firmowej.

W tym przykładzie używamy Microsoft 365 do zarządzania relacjami zaufania z zaufanymi stronami.

Skonfiguruj zasady dotyczące oświadczeń w AD FS

Pierwszą rzeczą, którą musimy zrobić, jest skonfigurowanie żądań AD FS. Utwórz dwie reguły oświadczeń— jedną dla typu oświadczenia Inside Corporate Network i dodatkową regułę do przechowywania zalogowanych użytkowników.

  1. Otwórz konsolę zarządzania AD FS.

  2. Po lewej stronie wybierz pozycję Relacje Zaufania Strony.

  3. Kliknij prawym przyciskiem myszy na platformie tożsamości Microsoft Office 365 i wybierz pozycję Edytuj reguły oświadczeń...

    Konsoli usług AD FS — Edytuj reguły roszczeń

  4. W obszarze Reguły wystawiania przekształceń wybierz opcję Dodaj regułę.

    Dodawanie reguły roszczenia

  5. W Kreatorze dodawania reguły transformacji roszczeń wybierz pozycję przekaż lub filtruj przychodzące roszczenie z listy rozwijanej i kliknij Dalej.

    Zrzut ekranu przedstawia Kreatora dodawania reguły dotyczącej przekształcania oświadczenia, gdzie wybierasz opcję Przekaż lub Filtruj dla oświadczenia przychodzącego.

  6. W polu obok pozycji Nazwa reguły oświadczenia nadaj regule nazwę. Na przykład: InsideCorpNet.

  7. Z listy rozwijanej obok pozycji Typ oświadczenia przychodzącego wybierz pozycję Inside Corporate Network.

    Dodawanie roszczenia wewnętrznej sieci korporacyjnej

  8. Wybierz pozycję Zakończ.

  9. W obszarze Reguły wystawiania wybierz Dodaj regułę.

  10. W Kreatorze dodawania reguły przekształcania roszczeń wybierz Wyślij roszczenia przy użyciu reguły niestandardowej z listy rozwijanej i kliknij Dalej.

  11. W polu "Nazwa reguły oświadczenia" wprowadź "Utrzymaj użytkowników zalogowanych".

  12. W polu Reguła niestandardowa wprowadź:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Utwórz niestandardowe żądanie, aby utrzymać użytkowników zalogowanych

  13. Wybierz pozycję Zakończ.

  14. Naciśnij Zastosuj.

  15. Wybierz pozycję Ok.

  16. Zamknij Zarządzanie usługami AD FS.

Skonfiguruj zaufane adresy IP dla uwierzytelniania wieloskładnikowego w Microsoft Entra dla użytkowników federowanych

Teraz, gdy oświadczenia są dostępne, możemy skonfigurować zaufane adresy IP.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Zasad Uwierzytelniania.

  2. Przejdź do >nazwanych lokalizacji dostępu warunkowego.

  3. W panelu Dostęp warunkowy – lokalizacje nazwane wybierz opcję Konfiguruj zaufane adresy IP MFA

    Warunkowy dostęp Microsoft Entra nazwy lokalizacji Konfiguracja zaufanych adresów IP dla usługi MFA

  4. Na stronie Ustawienia usługi w sekcji Zaufane adresy IPwybierz opcję Pomiń uwierzytelnianie wieloskładnikowe dla żądań od federacyjnych użytkowników intranetu.

  5. Wybierz zapisz.

To wszystko! W tym momencie federacyjni użytkownicy platformy Microsoft 365 powinni używać usługi MFA tylko wtedy, gdy oświadczenie pochodzi spoza firmowego intranetu.