Поделиться через

Защита облачных ресурсов с помощью многофакторной проверки подлинности Microsoft Entra и AD FS

  • Статья

Если ваша организация федеративна с идентификатором Microsoft Entra, используйте многофакторную проверку подлинности Microsoft Entra или службы федерации Active Directory (AD FS) (AD FS) для защиты ресурсов, к которым обращается идентификатор Microsoft Entra. Используйте следующие процедуры для защиты ресурсов Microsoft Entra с помощью многофакторной проверки подлинности Microsoft Entra или службы федерации Active Directory (AD FS).

Примечание.

Задайте для параметра домена federatedIdpMfaBehavior значение enforceMfaByFederatedIdp (рекомендуется) или для параметра домена SupportsMFA значение $True. Параметр federatedIdpMfaBehavior переопределяет параметр SupportsMFA, если установлены оба.

Защита ресурсов Microsoft Entra с помощью AD FS

Чтобы защитить облачный ресурс, настройте правило утверждений, чтобы при выполнении пользователем двухфакторной проверки подлинности службы федерации Active Directory выдавали утверждение multipleauthn. Это утверждение передается в идентификатор Microsoft Entra. Для этого следуйте такой процедуре:

  1. Откройте оснастку управления AD FS.

  2. В левой части выберите Отношения доверия проверяющей стороны.

  3. Щелкните правой кнопкой мыши Платформа удостоверений Microsoft Office 365 и выберите Изменить правила утверждений.

    ADFS Console - Relying Party Trusts

  4. На вкладке "Правила преобразования выдачи" выберите Добавить правило.

    Editing Issuance Transform Rules

  5. В мастере добавления правила преобразования утверждения выберите Проход через входящее утверждение или его фильтрация в раскрывающемся списке и нажмите кнопку Далее.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Укажите имя правила.

  7. Выберите Ссылки на методы проверки подлинности в качестве типа входящего утверждения.

  8. Выберите Передавать все значения требования.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Нажмите кнопку Готово. Закройте консоль управления AD FS.

Доверенные IP-адреса для федеративных пользователей

Надежные IP-адреса позволяют администраторам обойти двухфакторную проверку подлинности для конкретных IP-адресов или для федеративных пользователей, запросы от которых формируются в их собственной интрасети. В следующих разделах описывается настройка обхода с помощью надежных IP-адресов. Для этого необходимо настроить транзит в службе федерации Active Directory или отфильтровывать входящие шаблоны утверждения с типом утверждения в корпоративной сети.

В этом примере для доверенных отношений с проверяющей стороной используется Microsoft 365.

Настройка правил утверждений AD FS

Первое, что необходимо сделать, — настроить утверждения AD FS. Создайте два правила утверждений: одно для типа утверждений в корпоративной сети и второе для пользователей, выполнивших вход.

  1. Откройте оснастку управления AD FS.

  2. В левой части выберите Отношения доверия проверяющей стороны.

  3. Щелкните правой кнопкой мыши Microsoft Office 365 Identity Platform (Платформа удостоверений Microsoft Office 365) и выберите Edit Claim Rules (Изменить правила утверждений).

    ADFS Console - Edit Claim Rules

  4. На вкладке "Правила преобразования выдачи" выберите Добавить правило.

    Adding a Claim Rule

  5. В мастере добавления правила преобразования утверждения выберите Проход через входящее утверждение или его фильтрация в раскрывающемся списке и нажмите кнопку Далее.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. В поле рядом с именем правила утверждения укажите имя правила. Пример: InsideCorpNet.

  7. В раскрывающемся списке "Тип входящего утверждения" выберите В корпоративной сети.

    Adding Inside Corporate Network claim

  8. Нажмите кнопку Готово.

  9. На вкладке "Правила преобразования выдачи" выберите Добавить правило.

  10. В мастере добавления правила преобразования утверждения выберите Отправка утверждений с помощью настраиваемого правила в раскрывающемся списке и нажмите кнопку Далее.

  11. В поле "Имя правила утверждения" введите Не затрагивать пользователей, вошедших в систему.

  12. В поле "Настраиваемое правило " введите следующее:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Нажмите кнопку Готово.

  14. Щелкните Применить.

  15. Нажмите кнопку ОК.

  16. Откройте оснастку управления AD FS.

Настройка доверенных IP-адресов многофакторной проверки подлинности Microsoft Entra с федеративными пользователями

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Теперь, когда утверждения добавлены, можно настроить надежные IP-адреса.

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

  2. Перейдите к именованным расположениям условного доступа>.

  3. В колонке Условный доступ — именованные расположения выберите Настроить надежные IP-адреса MFA

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. На странице Параметры службы в разделе доверенных IP-адресов выберите "Пропустить многофакторную проверку подлинности" для запросов от федеративных пользователей в моей интрасети.

  5. Щелкните Сохранить.

Вот и все! Теперь федеративные пользователи Microsoft 365 должны использовать MFA только в том случае, если утверждение сформировано за пределами корпоративной сети.